Instalar Security SIMATIC NET. Industrial Ethernet Security Instalar Security. Prólogo 1. Firewall en modo estándar 2. Firewall en modo avanzado

Transcripción

1 Prólogo 1 Firewall en modo estándar 2 SIMATIC NET Industrial Ethernet Security Firewall en modo avanzado 3 Configurar túnel VPN 4 Configurar un acceso remoto vía túnel VPN 5 Getting Started (primeros pasos) 04/2012 C79000-G8978-C287-01

2 Notas jurídicas Notas jurídicas Filosofía en la señalización de advertencias y peligros Este manual contiene las informaciones necesarias para la seguridad personal así como para la prevención de daños materiales. Las informaciones para su seguridad personal están resaltadas con un triángulo de advertencia; las informaciones para evitar únicamente daños materiales no llevan dicho triángulo. De acuerdo al grado de peligro las consignas se representan, de mayor a menor peligro, como sigue. PELIGRO Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones corporales graves. ADVERTENCIA Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones corporales graves. PRECAUCIÓN con triángulo de advertencia significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse lesiones corporales. PRECAUCIÓN sin triángulo de advertencia significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse daños materiales. ATENCIÓN significa que puede producirse un resultado o estado no deseado si no se respeta la consigna de seguridad correspondiente. Si se dan varios niveles de peligro se usa siempre la consigna de seguridad más estricta en cada caso. Si en una consigna de seguridad con triángulo de advertencia se alarma de posibles daños personales, la misma consigna puede contener también una advertencia sobre posibles daños materiales. Personal cualificado El producto/sistema tratado en esta documentación sólo deberá ser manejado o manipulado por personal cualificado para la tarea encomendada y observando lo indicado en la documentación correspondiente a la misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formación y experiencia, el personal cualificado está en condiciones de reconocer riesgos resultantes del manejo o manipulación de dichos productos/sistemas y de evitar posibles peligros. Uso previsto o de los productos de Siemens Considere lo siguiente: ADVERTENCIA Los productos de Siemens sólo deberán usarse para los casos de aplicación previstos en el catálogo y la documentación técnica asociada. De usarse productos y componentes de terceros, éstos deberán haber sido recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su transporte, almacenamiento, instalación, montaje, manejo y mantenimiento hayan sido realizados de forma correcta. Es preciso respetar las condiciones ambientales permitidas. También deberán seguirse las indicaciones y advertencias que figuran en la documentación asociada. Marcas registradas Todos los nombres marcados con son marcas registradas de Siemens AG. Los restantes nombres y designaciones contenidos en el presente documento pueden ser marcas registradas cuya utilización por terceros para sus propios fines puede violar los derechos de sus titulares. Exención de responsabilidad Hemos comprobado la concordancia del contenido de esta publicación con el hardware y el software descritos. Sin embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena concordancia. El contenido de esta publicación se revisa periódicamente; si es necesario, las posibles las correcciones se incluyen en la siguiente edición. Siemens AG Industry Sector Postfach NÜRNBERG ALEMANIA Referencia del documento: C79000-G8978-C P 04/2012 Sujeto a cambios sin previo aviso Copyright Siemens AG Reservados todos los derechos

3 Índice 1 Prólogo Firewall en modo estándar Ejemplo con un SCALANCE S Resumen Poner a punto los SCALANCE S y la red Preparar los ajustes de IP de los PCs Crear proyecto y módulo Configurar firewall Cargar la configuración en los módulos Security Probar la función Firewall (Ping-Test) Registro del tráfico de datos del firewall (Logging) Ejemplo con un CP x43-1 Advanced Resumen Preparar los ajustes de IP de los PCs Crear proyecto y módulo Configurar firewall Cargar la configuración en los módulos Security Probar la función Firewall (Ping-Test) Registro del tráfico de datos del firewall (Logging) Ejemplo con un CP Resumen Preparar los ajustes de IP de los PCs Crear proyecto y módulo Configurar firewall Cargar la configuración en los módulos Security Probar la función Firewall (Ping-Test) Registro del tráfico de datos del firewall (Logging) Firewall en modo avanzado SCALANCE S como firewall y router NAT Resumen Poner a punto los SCALANCE S y la red Preparar los ajustes de IP de los PCs Crear proyecto y módulo Configurar modo NAT Router Configurar firewall Cargar la configuración en los módulos Security Probar la función NAT Router (Ping-Test) Crear reglas de firewall personalizadas Sinopsis Poner a punto los SCALANCE S y la red Preparar los ajustes de IP de los PCs Crear proyecto y módulo Crear un usuario Remote Access...56 Getting Started (primeros pasos), 04/2012, C79000-G8978-C

4 Índice Ajustar y asignar reglas de firewall personalizadas Cargar la configuración en los módulos Security Iniciar sesión en página web Probar la función Firewall (Ping-Test) CP x43-1 Advanced como firewall y router NAT Resumen Preparar los ajustes de IP de los PCs Crear proyecto y módulo Configurar modo NAT Router Configurar firewall Cargar la configuración en los módulos Security Probar la función NAT Router (Ping-Test) Ejemplo con un CP 1628 y CP x Resumen Preparar los ajustes de IP de los PCs Crear proyecto y módulo Configurar firewall Cargar la configuración en los módulos Security Probar la función Firewall (Ping-Test) Configurar túnel VPN Túnel VPN entre SCALANCE S y SCALANCE S Resumen Poner a punto los SCALANCE S y la red Preparar los ajustes de IP de los PCs Crear proyecto y módulos Configurar conexión túnel Cargar la configuración en SCALANCES S Probar la función túnel (Ping-Test) Túnel VPN entre CP 1628 y CP x Resumen Preparar los ajustes de IP de los PCs Crear proyecto y módulos Configurar conexión túnel Cargar la configuración en los módulos Security Probar la función túnel (Ping-Test) Túnel VPN entre SCALANCE S y CP Resumen Instalar módulo Security y red Preparar los ajustes de IP de los PCs Crear proyecto y módulos Configurar conexión túnel Cargar la configuración en los módulos Security Probar la función túnel (Ping-Test) Túnel VPN entre todos los productos Security Sinopsis Preparar los ajustes de IP de los PCs Crear proyecto y módulos Configurar conexión túnel Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

5 Índice Cargar la configuración en un módulo Security y guardar la configuración de SOFTNET Security Client Formación de túnel con el SOFTNET Security Client Probar la función túnel (Ping-Test) Configurar un acceso remoto vía túnel VPN Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Resumen Instalar el SCALANCE S y la red Preparar ajustes IP de los PCs Crear proyecto y módulos Configurar conexión túnel Cargar la configuración en SCALANCE S y guardar la configuración de SOFTNET Security Client Formación de túnel con el SOFTNET Security Client Probar la función túnel (Ping-Test) Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client Resumen Preparar ajustes IP de los PCs Crear proyecto y módulos Configurar conexión túnel Cargar la configuración en un módulo Security y guardar la configuración de SOFTNET Security Client Formación de túnel con el SOFTNET Security Client Probar la función túnel (Ping-Test) Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client Sinopsis Instalar SCALANCE M y red Configurar los ajustes de IP de los PCs Crear proyecto y módulos Configurar la conexión de túnel Guardar la configuración del SCALANCE M y del SOFTNET Security Client Realizar la configuración del SCALANCE M Construcción del túnel con el SOFTNET Security Client Probar la función del túnel (prueba Ping) Getting Started (primeros pasos), 04/2012, C79000-G8978-C

6 Índice 6 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

7 Prólogo 1 Rápidamente a la meta con Getting Started Por medio de una red de test simple aprenderá aquí el manejo de los módulos Security y de la herramienta de configuración Security Configuration Tool. Verá cómo se pueden implementar ya en la red las funciones de protección de los módulos Security sin grandes trabajos de configuración. Utilizando como base diferentes ejemplos de seguridad podrá llevar a cabo las funciones fundamentales de los módulos Security y del SOFTNET Security Client. Configuración IP de los ejemplos Nota La configuración IP utilizada en los ejemplos se ha elegido libremente y funciona sin conflictos en la red de test aislada. Al trabajar con una red real se tiene que adaptar esta configuración IP al entorno de la red, a fin de evitar eventuales conflictos de direcciones. Ámbito de validez del Getting Started Software de configuración: STEP 7 classic V5.5 SP2 Hotfix 1 Security Configuration Tool (SCT) V3.0 o superior Productos: "Security Appliances": SCALANCE S 602 V3.0 o superior, referencia: 6GK BA10-2AA3 SCALANCE S 612 V3.0 o superior, referencia: 6GK BA10-2AA3 SCALANCE S 623 V3.0 o superior, referencia: 6GK BA10-2AA3 SOFTNET Security Client V4.0 o superior, referencia: 6GK VW02-0AA0 "Productos "Security Integrated": CP Advanced GX30 V3.0 o superior, referencia: 6GK GX31-0XE0 CP Advanced GX31 V3.0 o superior, referencia: 6GK GX30-0XE0 CP 1628 V1.0 o superior, referencia: 6GK1162-8AA00 SCALANCE M 875 V1.0 o superior, referencia: 6GK AA10-1AA2 SINAUT MD x o superior, referencia: 6NH9741-1AA00 Getting Started (primeros pasos), 04/2012, C79000-G8978-C

8 Prólogo Denominación genérica "módulo Security" En la presente documentación los siguientes productos se denominan genéricamente "módulo Security": CP Advanced GX31, CP Advanced GX30, CP 1628, SCALANCE S 602 V3/SCALANCE S 612 V3/SCALANCE S 623 V3. Los CPs Advanced GX31 y Advanced GX30 se denominan CP x43-1. SCALANCE M 875 y SINAUT MD7x se denominan SCALANCE M. Si desea saber más Encontrará más información sobre el tema "Industrial Ethernet Security" en el manual de configuración "SIMATIC NET Industrial Ethernet Security - Principios básicos y aplicación". En él se explican con detalle todas las funciones y el software de configuración Security Configuration Tool. La edición actual se puede descargar de Internet con la ID de artículo siguiente: ( Las descripciones de hardware y las indicaciones relativas a la instalación se encuentran en la documentación correspondiente a cada módulo. 8 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

9 Firewall en modo estándar Ejemplo con un SCALANCE S Resumen En este ejemplo se configura el firewall en la vista de configuración "Modo estándar". El modo estándar contiene bloques de reglas definidos para el tráfico de datos. Con esta configuración se consigue que el tráfico IP solo pueda ser iniciado por la red interna; desde la red externa solo se permite la respuesta. Construcción de la red de test Getting Started (primeros pasos), 04/2012, C79000-G8978-C

10 Firewall en modo estándar 2.1 Ejemplo con un SCALANCE S Red interna - conexión al puerto interno del módulo Security En la estructura de test, en la red interna cada nodo de red se realiza por medio de un PC que está conectado al puerto interno del módulo Security. PC2: representa un dispositivo de la red interna Módulo Security: módulo SCALANCE S para protección de la red interna Red externa - conexión al puerto externo del módulo Security La red externa pública se conecta al puerto externo del módulo Security. PC1: PC con el software de configuración Security Configuration Tool Dispositivos/componentes necesarios: Utilice los siguientes componentes para el montaje: 1 SCALANCE S, (adicionalmente, como opción: un riel de perfil de sombrero correspondientemente instalado, con material de montaje) 1 alimentación eléctrica de 24V con conexiones de cables y conectores de bloque de bornes 1 PC en el que esté instalada la herramienta de configuración "Security Configuration Tool" 1 PC en la red interna, para test de la configuración los necesarios cables de red, cables TP (Twisted Pair) según el estándar IE FC RJ45 para Industrial Ethernet. Los pasos siguientes, en síntesis: 10 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

11 Firewall en modo estándar 2.1 Ejemplo con un SCALANCE S Poner a punto los SCALANCE S y la red Proceda del siguiente modo: 1. Saque primero el SCALANCE S de su embalaje y compruebe si está en perfecto estado. 2. Conecte la alimentación de tensión a SCALANCE S. Resultado: Tras conectar la tensión de servicio brilla el diodo Fault (F) con luz amarilla. ADVERTENCIA El equipo SCALANCE S está previsto para funcionar con baja tensión de seguridad. En consecuencia, a las conexiones de alimentación solo se deben conectar bajas tensiones de seguridad (SELV) según IEC950/EN60950/ VDE0805. La fuente de alimentación utilizada para el SCALANCE S tiene que ser del tipo NEC Class 2 (gama de tensión V, consumo de corriente aprox. 250 ma). 3. Establezca las conexiones físicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto (conectores hembra RJ45): Conecte el PC2 al puerto 2 del Module 1. Conecte el PC1 al puerto 1 del Module Encienda los PCs participantes. ATENCIÓN Las conexiones de Ethernet en Port 1 y Port 2 son tratadas de forma diferente por el SCALANCE S, por lo que no se deben confundir al establecer la conexión con la red de comunicación: Port 1 - External Network conector hembra RJ45 superior, marca roja = área de red no protegida; Port 2 - Internal Network conector hembra RJ45 inferior, marca verde = red protegida por SCALANCE S; Si se permutan los puertos, el equipo pierde su función de protección Preparar los ajustes de IP de los PCs Los PCs tienen los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred Gateway estándar PC PC Getting Started (primeros pasos), 04/2012, C79000-G8978-C

12 Firewall en modo estándar 2.1 Ejemplo con un SCALANCE S Para ello, proceda del siguiente modo en el PC1 y el PC2: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 4. Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 6. Introduzca ahora en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control. 12 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

13 Firewall en modo estándar 2.1 Ejemplo con un SCALANCE S Crear proyecto y módulo Proceda del siguiente modo: 1. Instala e inicie el software de configuración "Security Configuration Tool" en el PC1. 2. Elija el comando de menú "Proyecto" > "Nuevo". 3. En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". 4. Confirme la entrada con "Aceptar". Resultado: Se ha creado un proyecto nuevo. Se abre el cuadro de diálogo "Selección de un módulo o configuración de software". 5. Configure el tipo de producto, módulo y versión de firmware. 6. En el área "Configuración", introduzca la dirección MAC en el formato predefinido. La dirección MAC está impresa en el lado frontal del módulo SCALANCE S (consulte la figura). 7. En el área "Configuración", introduzca la dirección IP externa ( ) y la máscara de subred externa ( ) en el formato predefinido y confirme el cuadro de diálogo con "Aceptar". Resultado: el módulo se muestra en la lista de los módulos configurados Configurar firewall En el modo estándar se pueden manejar fácilmente los ajustes del firewall gracias a bloques de reglas predefinidos. Haciendo clic se pueden activar estos bloques de reglas. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

14 Firewall en modo estándar 2.1 Ejemplo con un SCALANCE S Proceda del siguiente modo: 1. Marque en el área de contenido la línea "Módulo1". 2. Elija el comando de menú "Edición" > "Propiedades...". 3. En el cuadro de diálogo visualizado, seleccione la ficha "Firewall". 4. Active la opción en la forma aquí representada: Resultado: el tráfico IP se inicia únicamente desde la red interna; desde la red externa solo se permite la respuesta. El acceso vía HTTPS al diagnóstico online de PC1 y PC2 está permitido. 5. Seleccione adicionalmente las opciones Log para registrar el tráfico de datos. 6. Cierre el cuadro de diálogo con "Aceptar". 7. Guarde el proyecto con el comando de menú "Proyecto" > "Guardar como..." utilizando un nombre apropiado. 14 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

15 Firewall en modo estándar 2.1 Ejemplo con un SCALANCE S Cargar la configuración en los módulos Security Proceda del siguiente modo: 1. Seleccione el módulo en el área de contenido. 2. Elija el comando de menú "Transferir" > "A módulo...". 3. Inicie el proceso de carga con el botón "Iniciar". Si el proceso de carga se ha concluido sin errores, el SCALANCE S arranca de nuevo automáticamente y se activa la nueva configuración. Resultado: SCALANCE S en modo productivo SCALANCE S se encuentra ahora en el modo productivo. Este estado es señalizado por el diodo indicador Fault con luz verde. Con esto ha terminado la puesta en servicio de la configuración y el SCALANCE S protege ahora la red interna (PC2) por medio del firewall instalado Probar la función Firewall (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

16 Firewall en modo estándar 2.1 Ejemplo con un SCALANCE S Sección de test 1 Pruebe ahora el funcionamiento de la configuración de firewall, primero con el tráfico de datos IP saliente permitido: 1. En el PC2, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping de PC2 a PC1 (dirección IP ) Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. Recibirá el mensaje siguiente (respuesta positiva de PC1): Resultado Cuando los telegramas IP llegan al PC1, la "estadística ping" muestra para lo siguiente: Enviado = 4 Recibido = 4 Perdido = 0 (0% pérdida) Debido a la configuración, los telegramas ping han podido pasar de la red interna a la externa. El PC de la red externa ha respondido a los telegramas ping. Por la función "Stateful-Inspection" del firewall, los telegramas de respuesta que llegan ahora de la red externa son transmitidos automáticamente a la red interna. Sección de test 2 Pruebe ahora el funcionamiento de la configuración de firewall con el tráfico de datos IP saliente bloqueado: 1. Llame de nuevo el diálogo Firewall, tal como lo ha hecho antes. 2. Desactive ahora en la ficha "Firewall" la opción "Permitir tráfico IP" > "Externo -> Interno". Cierre el cuadro de diálogo con "Aceptar". 16 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

17 Firewall en modo estándar 2.1 Ejemplo con un SCALANCE S 3. Cargue ahora de nuevo la configuración modificada en el módulo Security. 4. Una vez realizada la carga sin errores, introduzca el mismo comando ping ("ping ") en la ventana del símbolo del sistema del PC2. Seguidamente, recibirá el mensaje siguiente (ninguna respuesta de PC1): Resultado Los telegramas IP del PC2 no pueden llegar al PC1, ya que no está permitido el tráfico de datos desde la "red interna" (PC2) a la "red externa" (PC1). Esto se indica en la "estadística ping" para del siguiente modo: Enviado = 4 Recibido = 0 Perdido = 4 (100% pérdida) Registro del tráfico de datos del firewall (Logging) En los módulos Security está activado por defecto el registro local de eventos del sistema, de Audit y del filtro de paquetes. Además, en el transcurso de este ejemplo se han activado, en la configuración del firewall, las opciones Log para el tráfico de datos correspondiente. Puede hacerse mostrar en el modo online los eventos registrados. Proceda del siguiente modo: 1. En el PC1, cambie al modo online en la Security Configuration Tool con el comando de menú "Ver" > "Online". 2. Elija el comando de menú "Edición" > "Diagnóstico online...". 3. Seleccione la ficha "Registro de filtro de paquetes". 4. Accione el botón "Iniciar lectura". 5. Acuse el cuadro de diálogo presentado con "Aceptar". Resultado: las entradas Log se leen del módulo Security y se presentan aquí. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

18 Firewall en modo estándar 2.2 Ejemplo con un CP x43-1 Advanced 2.2 Ejemplo con un CP x43-1 Advanced Resumen En este ejemplo se configura el firewall en la vista de configuración "Modo estándar". El modo estándar contiene bloques de reglas definidos para el tráfico de datos. Con esta configuración se consigue que el tráfico IP solo pueda ser iniciado por la red interna y por la estación; desde la red externa solo se permite la respuesta. Estructura de la red de test 18 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

19 Firewall en modo estándar 2.2 Ejemplo con un CP x43-1 Advanced Red interna - conexión a un puerto interno del módulo Security En la estructura de test, en la red interna cada nodo de red se realiza por medio de un PC que está conectado a un puerto interno del módulo Security. PC2: representa un dispositivo de la red interna Módulo Security: CP x43-1 para proteger la red interna Red externa - conexión al puerto externo del módulo Security La red externa pública se conecta al puerto externo del módulo Security. PC1: PC con el software de configuración Security Configuration Tool y STEP 7 Requisitos: Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes: El software de configuración Security Configuration Tool está instalado en el PC1. STEP 7 está instalado en el PC1, donde ya se ha creado un proyecto de STEP 7 con el módulo Security. La dirección IP del PC1 debe estar en la misma subred que la dirección Gigabit del módulo Security. El CP x43-1 tiene los ajustes siguientes en STEP 7: Dirección IP Gigabit: , máscara de subred: Dirección IP PROFINET: , máscara de subred: Los pasos siguientes resumidos: Getting Started (primeros pasos), 04/2012, C79000-G8978-C

20 Firewall en modo estándar 2.2 Ejemplo con un CP x43-1 Advanced Preparar los ajustes de IP de los PCs Los PCs tienen los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred Pasarela estándar PC PC Para ello, proceda del siguiente modo en el PC1 y el PC2: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 4. Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 20 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

21 Firewall en modo estándar 2.2 Ejemplo con un CP x43-1 Advanced 6. Introduzca ahora en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control Crear proyecto y módulo Proceda del siguiente modo: 1. Active la casilla de verificación "Activar Security" en la ficha "Security" de las propiedades del objeto. 2. En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". Confirme la entrada con "Aceptar". Resultado: se ha creado un proyecto nuevo de Security. 3. En HW Config, abra la Security Configuration Tool con el comando de menú "Edición" > "Security Configuration Tool". Resultado: el módulo Security se muestra en la lista de los módulos configurados Configurar firewall En el modo estándar se pueden manejar fácilmente los ajustes del firewall gracias a bloques de reglas predefinidos. Haciendo clic se pueden activar estos bloques de reglas. Proceda del siguiente modo: 1. En el área de contenido de la Security Configuration Tool marque la línea que contiene el CP. 2. Elija el comando de menú "Edición" > "Propiedades...". 3. En el cuadro de diálogo visualizado, seleccione la ficha "Firewall". 4. Active la casilla de verificación "Activar firewall". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

22 Firewall en modo estándar 2.2 Ejemplo con un CP x43-1 Advanced 5. Active las opciones en la forma aquí representada: Resultado: el tráfico IP puede iniciarse tanto desde la red interna como desde la estación; desde la red externa solo se permite la respuesta. El acceso vía HTTPS al diagnóstico online de PC1 y PC2 está permitido. 6. Seleccione adicionalmente las opciones Log para registrar el tráfico de datos correspondiente. 7. Cierre el cuadro de diálogo con "Aceptar". 22 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

23 Firewall en modo estándar 2.2 Ejemplo con un CP x43-1 Advanced Cargar la configuración en los módulos Security Proceda del siguiente modo: 1. Cierre la Security Configuration Tool. 2. En HW Config elija el menú "Estación" > "Guardar y compilar". 3. Cargue la nueva configuración en el módulo Security utilizando el menú "Sistema de destino" > "Cargar en módulo...". Si el proceso de carga se ha concluido sin errores, el módulo Security arranca automáticamente y se activa la nueva configuración. Resultado: módulo Security en modo productivo La puesta en servicio de la configuración ha terminado. El módulo Security protege la red interna (PC2). Está permitido el tráfico IP de red interna a externa Probar la función Firewall (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

24 Firewall en modo estándar 2.2 Ejemplo con un CP x43-1 Advanced Sección de test 1 Pruebe ahora el funcionamiento de la configuración de firewall, primero con el tráfico de datos IP saliente permitido: 1. En el PC2, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping de PC2 a PC1 (dirección IP ) Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. Recibirá el mensaje siguiente (respuesta positiva de PC1): Resultado Cuando los telegramas IP llegan al PC1, la "estadística ping" muestra para lo siguiente: Enviado = 4 Recibido = 4 Perdido = 0 (0% pérdida) Debido a la configuración, los telegramas ping han podido pasar de la red interna a la externa. El PC de la red externa ha respondido a los telegramas ping. Por la función "Stateful-Inspection" del firewall, los telegramas de respuesta que llegan ahora de la red externa son transmitidos automáticamente a la red interna. Sección de test 2 Pruebe ahora el funcionamiento de la configuración de firewall con el tráfico de datos IP saliente bloqueado: 1. Llame de nuevo el cuadro de diálogo Firewall, tal como lo ha hecho antes. 2. Desactive ahora en la ficha "Firewall" la opción "Permitir tráfico IP" > "Estación => Externo / Interno => Externo". Cierre el cuadro de diálogo con "Aceptar". 24 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

25 Firewall en modo estándar 2.2 Ejemplo con un CP x43-1 Advanced 3. Cargue ahora de nuevo la configuración modificada en el módulo Security. 4. Una vez realizada la carga sin errores, introduzca el mismo comando ping ("ping ") en la ventana del símbolo del sistema del PC2. Seguidamente, recibirá el mensaje siguiente (ninguna respuesta de PC1): Resultado Los telegramas IP del PC2 no pueden llegar al PC1, ya que no está permitido el tráfico de datos desde la "red interna" (PC2) ni desde la estación a la "red externa" (PC1). Esto se indica en la "estadística ping" para del siguiente modo: Enviado = 4 Recibido = 0 Perdido = 4 (100% pérdida) Registro del tráfico de datos del firewall (Logging) En los módulos Security está activado por defecto el registro local de eventos del sistema, de Audit y del filtro de paquetes. Además, en el transcurso de este ejemplo se han activado, en la configuración del firewall, las opciones Log para el tráfico de datos correspondiente. Puede hacerse mostrar en el modo online los eventos registrados. Proceda del siguiente modo: 1. En el PC1, cambie al modo online en la Security Configuration Tool con el comando de menú "Ver" > "Online". 2. Elija el comando de menú "Edición" > "Diagnóstico online...". 3. Seleccione la ficha "Registro de filtro de paquetes". 4. Accione el botón "Iniciar lectura". 5. Acuse el cuadro de diálogo presentado con "Aceptar". Resultado: las entradas Log se leen del módulo Security y se presentan aquí. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

26 Firewall en modo estándar 2.3 Ejemplo con un CP Ejemplo con un CP Resumen En este ejemplo se configura el firewall en la vista de configuración "Modo estándar". El modo estándar contiene bloques de reglas definidos para el tráfico de datos. Con esta configuración se consigue que el tráfico IP solo pueda ser iniciado por el PC2; desde la red externa solo se permite la respuesta. Estructura de la red de test PC1: PC con el software de configuración Security Configuration Tool y STEP 7 PC2 y módulo Security: PC con CP 1628 Requisitos: Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes: El software de configuración Security Configuration Tool está instalado en el PC1. STEP 7 está instalado en el PC1, donde ya se ha creado un proyecto de STEP 7 con el módulo Security. El PC2 con CP 1628 tiene los ajustes siguientes en STEP 7: Dirección IP Industrial Ethernet: , máscara de subred: La dirección IP NDIS se establece en la configuración IP del PC. 26 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

27 Firewall en modo estándar 2.3 Ejemplo con un CP 1628 Los pasos siguientes resumidos: Preparar los ajustes de IP de los PCs Los PCs tienen los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred PC PC2 NDIS: Para ello, proceda del siguiente modo en el PC1 y el PC2: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

28 Firewall en modo estándar 2.3 Ejemplo con un CP Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 6. Introduzca ahora en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control. 28 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

29 Firewall en modo estándar 2.3 Ejemplo con un CP Crear proyecto y módulo Proceda del siguiente modo: 1. Active la casilla de verificación "Activar Security" en la ficha "Security" de las propiedades del objeto. 2. En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". Confirme la entrada con "Aceptar". Resultado: se ha creado un proyecto nuevo de Security. 3. En HW Config, abra la Security Configuration Tool con el comando de menú "Edición" > "Security Configuration Tool". Resultado: el módulo Security se muestra en la lista de los módulos configurados Configurar firewall En el modo estándar se pueden manejar fácilmente los ajustes del firewall gracias a bloques de reglas predefinidos. Haciendo clic se pueden activar estos bloques de reglas. Proceda del siguiente modo: 1. En el área de contenido de la Security Configuration Tool marque la línea que contiene el CP Elija el comando de menú "Edición" > "Propiedades...". 3. En el cuadro de diálogo visualizado, seleccione la ficha "Firewall". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

30 Firewall en modo estándar 2.3 Ejemplo con un CP Active las opciones en la forma aquí representada: Resultado: el tráfico IP solo puede iniciarse desde el PC2; desde el PC1 solo se permite la respuesta. El acceso vía HTTPS al diagnóstico online de PC1 y PC2 está permitido. 5. Seleccione adicionalmente las opciones Log para registrar el tráfico de datos. 6. Cierre el cuadro de diálogo con "Aceptar". 30 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

31 Firewall en modo estándar 2.3 Ejemplo con un CP Cargar la configuración en los módulos Security Proceda del siguiente modo: 1. Cierre la Security Configuration Tool. 2. En HW Config elija el menú "Estación" > "Guardar y compilar". 3. Cargue la nueva configuración en el módulo Security utilizando el menú "Sistema de destino" > "Cargar en módulo...". Si el proceso de carga se ha concluido sin errores, el módulo Security arranca automáticamente y se activa la nueva configuración. Resultado: módulo Security en modo productivo La puesta en servicio de la configuración ha terminado. El módulo Security protege el PC2. Está permitido el tráfico IP saliente de la red externa al PC Probar la función Firewall (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

32 Firewall en modo estándar 2.3 Ejemplo con un CP 1628 Sección de test 1 Pruebe ahora el funcionamiento de la configuración de firewall, primero con el tráfico de datos IP saliente permitido: 1. En el PC2, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping de PC2 a PC1 (dirección IP ) Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. Recibirá el mensaje siguiente (respuesta positiva de PC1): Resultado Cuando los telegramas IP llegan al PC1, la "estadística ping" muestra para lo siguiente: Enviado = 4 Recibido = 4 Perdido = 0 (0% pérdida) Debido a la configuración, los telegramas ping han podido pasar del PC2 al PC1. El PC1 ha respondido a los telegramas ping. Por la función "Stateful-Inspection" del firewall, los telegramas de respuesta que llegan ahora del PC1 son transmitidos automáticamente al PC Registro del tráfico de datos del firewall (Logging) En los módulos Security está activado por defecto el registro local de eventos del sistema, de Audit y del filtro de paquetes. Además, en el transcurso de este ejemplo se han activado, en la configuración del firewall, las opciones Log para el tráfico de datos correspondiente. Puede hacerse mostrar en el modo online los eventos registrados. 32 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

33 Firewall en modo estándar 2.3 Ejemplo con un CP 1628 Proceda del siguiente modo: 1. En el PC1, cambie al modo online en la Security Configuration Tool con el comando de menú "Ver" > "Online". 2. Elija el comando de menú "Edición" > "Diagnóstico online...". 3. Seleccione la ficha "Registro de filtro de paquetes". 4. Accione el botón "Iniciar lectura". 5. Acuse el cuadro de diálogo presentado con "Aceptar". Resultado: las entradas Log se leen del módulo Security y se presentan aquí. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

34 Firewall en modo estándar 2.3 Ejemplo con un CP Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

35 Firewall en modo avanzado SCALANCE S como firewall y router NAT Resumen En este ejemplo se configura el modo de router NAT. La configuración se realiza en la vista de configuración "Modo avanzado". Con la configuración se consigue que todos los telegramas enviados desde la subred interna al dispositivo PC1 de la red externa pasen el firewall. Los telegramas se transmiten al exterior con una dirección IP transformada a la dirección IP del módulo Security así como con un número de puerto asignado dinámicamente. Desde la red externa solo se permite la respuesta a estos telegramas. Estructura de la red de test Getting Started (primeros pasos), 04/2012, C79000-G8978-C

36 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT Red interna - conexión al puerto interno del módulo Security En la estructura de test, en la red interna cada nodo de red se realiza por medio de un PC que está conectado al puerto interno del módulo Security. PC2: representa un dispositivo de la red interna Módulo Security: módulo SCALANCE S para protección de la red interna Red externa - conexión al puerto externo del módulo Security La red externa pública se conecta al puerto externo del módulo Security. PC1: PC con el software de configuración Security Configuration Tool Dispositivos/componentes necesarios: Utilice los siguientes componentes para el montaje: 1 SCALANCE S, (adicionalmente, como opción: un riel de perfil de sombrero correspondientemente instalado, con material de montaje); 1 alimentación eléctrica de 24V con conexiones de cables y conectores de bloque de bornes; 1 PC en el que esté instalada la herramienta de configuración "Security Configuration Tool"; 1 PC en la red interna, para test de la configuración; los necesarios cables de red, cables TP (Twisted Pair) según el estándar IE FC RJ45 para Industrial Ethernet. Los pasos siguientes resumidos: 36 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

37 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT Poner a punto los SCALANCE S y la red Proceda del siguiente modo: 1. Saque primero el SCALANCE S de su embalaje y compruebe si está en perfecto estado. 2. Conecte la alimentación de tensión a SCALANCE S. Resultado: Tras conectar la tensión de servicio brilla el diodo Fault (F) con luz amarilla. ADVERTENCIA El equipo SCALANCE S está previsto para funcionar con baja tensión de seguridad. En consecuencia, a las conexiones de alimentación solo se deben conectar bajas tensiones de seguridad (SELV) según IEC950/EN60950/ VDE0805. La fuente de alimentación utilizada para el SCALANCE S tiene que ser del tipo NEC Class 2 (gama de tensión V, consumo de corriente aprox. 250 ma). 3. Establezca las conexiones físicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto (conectores hembra RJ45): Conecte el PC2 al puerto 2 del Module 1. Conecte el PC1 al puerto 1 del Module Encienda los PCs participantes. ATENCIÓN Las conexiones de Ethernet en Port 1 y Port 2 son tratadas de forma diferente por el SCALANCE S, por lo que no se deben confundir al establecer la conexión con la red de comunicación: Port 1 - External Network, conector hembra RJ 45 superior, marca roja = área de red no protegida; Port 2 - Internal Network conector hembra RJ45 inferior, marca verde = red protegida por SCALANCE S; Si se permutan los puertos, el equipo pierde su función de protección Preparar los ajustes de IP de los PCs Los PCs tienen los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred Pasarela estándar PC PC Para la pasarela estándar se indican las direcciones IP que se asignan al módulo Security en la configuración subsiguiente para la interfaz interna y la externa: Getting Started (primeros pasos), 04/2012, C79000-G8978-C

38 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT PC1 utiliza la interfaz externa. PC2 utiliza la interfaz interna. Proceda del siguiente modo en el PC1 y el PC2: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 4. Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 6. Introduzca en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control. 38 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

39 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT Crear proyecto y módulo Proceda del siguiente modo: 1. Instala e inicie el software de configuración "Security Configuration Tool" en el PC1. 2. Elija el comando de menú "Proyecto" > "Nuevo". 3. En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". Confirme la entrada con "Aceptar". Resultado: se ha creado un proyecto nuevo. Se abre el cuadro de diálogo "Selección de un módulo o configuración de software". 4. Configure el tipo de producto, módulo y versión de firmware. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

40 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT 5. En el área "Configuración", introduzca la dirección MAC en el formato predefinido. La dirección MAC está impresa en el lado frontal del módulo SCALANCE S (consulte la figura). 6. En el área "Configuración", introduzca la dirección IP externa ( ) y la máscara de subred externa ( ) en el formato predefinido y confirme el cuadro de diálogo con "Aceptar". Resultado: el módulo se muestra en la lista de los módulos configurados. 40 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

41 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT Configurar modo NAT Router La aplicación más frecuente, en la que todos los dispositivos internos envían telegramas a la red externa, ocultando su dirección IP mediante las funciones de NAT, está preconfigurada para el módulo Security. A continuación se muestra cómo activar dicho comportamiento. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

42 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT Activación del modo Router - procedimiento: 1. Cambie la vista de configuración al modo avanzado con el comando de menú "Ver" > "Modo avanzado". 2. Haga doble clic en el módulo Security. Resultado: se abre la ficha "Interfaces". 3. Seleccione el "Modo Routing" como "Routing de interfaz". 4. Complemente en el campo de entrada "Interno (P2)" los datos de dirección para la interfaz del SCALANCE S con la red interna del siguiente modo: Dirección IP: Máscara de subred: Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

43 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT Activación del modo de router NAT para dispositivos internos - procedimiento: Configure la conversión de direcciones solicitada para el modo NAT. 1. Elija la ficha "NAT". 2. Seleccione en el campo de entrada "NAT" las dos opciones "NAT activo" y "Permitir habilitación para todos los dispositivos internos". En el campo de entrada "NAT" se ha completado la lista de conversión de direcciones agregando una entrada al final. La entrada "*" en la columna "Dirección IP interna" representa ahora todos los dispositivos de la red interna. 3. Cierre el cuadro de diálogo con "Aceptar". Ajuste el firewall de manera que puedan pasar los telegramas en el sentido de interno a externo. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

44 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT Configurar firewall En este ejemplo se define un bloque de reglas que permita el tráfico de telegramas desde el dispositivo interno (PC2) hacia el dispositivo de la red externa (PC1). Además, se muestra cómo definir globalmente un bloque de reglas y cómo asignarlo a un módulo. El bloque de reglas definido anteriormente puede asignarse a otros módulos del mismo proyecto mediante "Drag & Drop". Definición de bloque de reglas global - procedimiento: 1. Abra en el área de navegación el objeto "Bloques de reglas FW globales" y seleccione allí "Bloques de reglas IP FW". 2. Elija la entrada "Insertar bloque de reglas" del menú contextual. 44 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

45 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT 3. En el cuadro de diálogo presentado, introduzca un bloque de reglas de la siguiente forma: 4. En la línea del nuevo bloque de reglas active la casilla de verificación "Log". Resultado: se ha activado el registro de filtro de paquetes. Se registran los telegramas para los que se aplican las reglas definidas. Este registro lo utilizará en el ejemplo aquí mostrado para el test final de la configuración. 5. Cierre el cuadro de diálogo con "Aceptar". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

46 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT Asignación de bloque de reglas global - procedimiento: 1. Seleccione en el área de navegación el objeto "Módulo1" y, manteniendo pulsado el botón izquierdo del ratón, arrástrelo al nuevo bloque de reglas de firewall global. 2. Puede controlar la asignación abriendo de nuevo el cuadro de diálogo para ajustar las propiedades del módulo y seleccionando la ficha "Firewall". La regla de firewall global se ha almacenado en la ficha "Reglas IP". 3. Pulsando el botón "Desplegar bloques de reglas" puede visualizar el bloque de reglas en detalle. Resultado: la configuración offline ha terminado. 46 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

47 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT Cargar la configuración en los módulos Security Proceda del siguiente modo: 1. Seleccione el módulo en el área de contenido. 2. Elija el comando de menú "Transferir" > "A módulo...". 3. Inicie el proceso de carga con el botón "Iniciar". Si el proceso de carga se ha concluido sin errores, el SCALANCE S arranca de nuevo automáticamente y se activa la nueva configuración. Resultado: SCALANCE S en modo productivo SCALANCE S se encuentra ahora en el modo productivo. Este estado es señalizado por el indicador Fault con luz verde Probar la función NAT Router (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Para poder reconocer las repercusiones del modo de router NAT, utilice la posibilidad del registro de filtro de paquetes en la interfaz de firewall. Recuerde: al definir la regla de firewall global se ha activado ya la opción del registro de filtro de paquetes. Observación sobre el comando ping: como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

48 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT Sección de test 1 - Enviar comando ping Pruebe ahora el funcionamiento del modo de router NAT con el tráfico de datos IP de red interna a red externa del siguiente modo: 1. En el PC2, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping de PC2 a PC1 (dirección IP ) Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. A continuación recibirá el mensaje siguiente (respuesta positiva de PC1): Sección de test 2 - Evaluar el resultado 1. Cambie al modo online en la Security Configuration Tool con el comando de menú "Ver" > "Online". 2. Seleccione el módulo que debe editarse y elija el comando de menú "Edición" > "Diagnóstico online..." para abrir el cuadro de diálogo online. 3. Seleccione la ficha "Registro de filtro de paquetes". 48 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

49 Firewall en modo avanzado 3.1 SCALANCE S como firewall y router NAT 4. Accione el botón "Iniciar lectura". 5. Confirme el cuadro de diálogo presentado con "Aceptar". Resultado: las entradas Log se leen del módulo Security y se presentan aquí. Resultado En las líneas de salida de la autenticación verá lo siguiente: Línea de salida 1 Las direcciones IP de los telegramas de PC2 a PC1 se muestran en la interfaz con la red externa con la dirección IP externa del módulo Security ( ). Esto responde a la esperada conversión de direcciones (observación: aquí no se ve la asignación adicional de puerto). Línea de salida 2 Los telegramas de respuesta se muestran con la dirección de destino del dispositivo de la subred interna (PC2: ). Con esto puede reconocer que se ha producido la conversión de direcciones, antes de que el telegrama de respuesta atraviese el firewall. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

50 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas 3.2 Crear reglas de firewall personalizadas Sinopsis En este ejemplo se crea una regla de firewall personalizada y se asigna a un usuario. La configuración se realiza en la vista de configuración "Modo avanzado". El usuario creado está autorizado a acceder al PC2 de la red interna desde el PC1 de la red externa. Para todos los demás usuarios el acceso está bloqueado. Estructura de la red de test Red interna - conexión al puerto interno del módulo Security En la estructura de test, en la red interna cada nodo de red se realiza por medio de un PC que está conectado al puerto interno del módulo Security. PC2: representa un dispositivo de la red interna Módulo Security: módulo SCALANCE S para protección de la red interna Red externa - conexión al puerto externo del módulo Security La red externa pública se conecta al puerto externo del módulo Security. PC1: PC con el software de configuración Security Configuration Tool 50 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

51 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas Dispositivos/componentes necesarios: Utilice los siguientes componentes para el montaje: 1 SCALANCE S, (adicionalmente, como opción: un riel de perfil de sombrero correspondientemente instalado, con material de montaje); 1 fuente de alimentación de 24V con conector de cable y enchufe para bloque de bornes; 1 PC en el que esté instalada la herramienta de configuración "Security Configuration Tool"; 1 PC en la red interna, para test de la configuración; los cables de red necesarios, cables TP (Twisted Pair) según el estándar IE FC RJ45 para Industrial Ethernet. Los pasos siguientes resumidos: Poner a punto los SCALANCE S y la red Proceda del siguiente modo: 1. Saque primero el SCALANCE S de su embalaje y compruebe si está en perfecto estado. 2. Conecte la alimentación de tensión a SCALANCE S. Resultado: Tras conectar la tensión de servicio brilla el diodo Fault (F) con luz amarilla. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

52 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas ADVERTENCIA El equipo SCALANCE S está previsto para funcionar con baja tensión de seguridad. En consecuencia, a las conexiones de alimentación solo se deben conectar bajas tensiones de seguridad (SELV) según IEC950/EN60950/ VDE0805. La fuente de alimentación utilizada para el SCALANCE S tiene que ser del tipo NEC Class 2 (gama de tensión V, consumo de corriente aprox. 250 ma). 3. Establezca las conexiones físicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto (conectores hembra RJ45): Conecte el PC2 al puerto 2 del Module 1. Conecte el PC1 al puerto 1 del Module Encienda los PCs participantes. ATENCIÓN Las conexiones de Ethernet en Port 1 y Port 2 son tratadas de forma diferente por el SCALANCE S, por lo que no se deben confundir al establecer la conexión con la red de comunicación: Port 1 - External Network conector hembra RJ45 superior, marca roja = área de red no protegida; Port 2 - Internal Network conector hembra RJ45 inferior, marca verde = red protegida por SCALANCE S; Si se permutan los puertos, el equipo pierde su función de protección Preparar los ajustes de IP de los PCs Los PCs tienen los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred Gateway estándar PC PC Para ello, proceda del siguiente modo en el PC1 y el PC2: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 52 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

53 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas 4. Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 6. Introduzca ahora en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control Crear proyecto y módulo Proceda del siguiente modo: 1. Instala e inicie el software de configuración "Security Configuration Tool" en el PC1. 2. Elija el comando de menú "Proyecto" > "Nuevo". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

54 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas 3. En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". Confirme la entrada con "Aceptar". Resultado: se ha creado un proyecto nuevo. Se abre el cuadro de diálogo "Selección de un módulo o configuración de software". 4. Configure el tipo de producto, módulo y versión de firmware. 5. En el área "Configuración", introduzca la dirección MAC en el formato predefinido. La dirección MAC está impresa en el lado frontal del módulo SCALANCE S (consulte la figura). 6. En el área "Configuración", introduzca la dirección IP externa ( ) y la máscara de subred externa ( ) en el formato predefinido. 54 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

55 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas 7. Active la opción "Activar routing". 8. Introduzca la dirección IP interna ( ) y la máscara de subred interna ( ) en el formato predefinido y confirme el cuadro de diálogo con "Aceptar". Resultado: el módulo se muestra en la lista de los módulos configurados. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

56 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas Crear un usuario Remote Access Crear un usuario Remote Access 1. Elija el comando de menú "Opciones" > "Administración de usuarios". 2. Haga clic en el botón "Agregar". 3. Introduzca un usuario nuevo con los datos siguientes: 4. Cierre el cuadro de diálogo con "Aceptar". 56 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

57 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas Ajustar y asignar reglas de firewall personalizadas Así se llega a esa función 1. Cambie la vista de configuración al modo avanzado con el comando de menú "Ver" > "Modo avanzado". 2. En el área de navegación, seleccione el objeto "Bloques de reglas IP personalizadas". 3. Elija la entrada "Insertar bloque de reglas" del menú contextual. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

58 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas 4. En el cuadro de diálogo presentado, introduzca un bloque de reglas del siguiente modo: 5. En la lista "Usuarios disponibles" seleccione el usuario "Remote" y haga clic en el botón "Agregar". 58 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

59 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas Asignación de un bloque de reglas - procedimiento: 1. Seleccione el módulo Security en el área de navegación y, manteniendo pulsado el botón izquierdo del ratón, arrástrelo al nuevo bloque de reglas de firewall personalizado. 2. Puede controlar la asignación abriendo de nuevo el cuadro de diálogo para ajustar las propiedades del módulo y seleccionando la ficha "Firewall". La regla de firewall personalizada se ha almacenado en la ficha "Reglas IP". 3. Pulsando el botón "Desplegar bloques de reglas" puede visualizar el bloque de reglas en detalle. Resultado: la configuración offline ha terminado Cargar la configuración en los módulos Security Proceda del siguiente modo: 1. Seleccione el módulo en el área de contenido. 2. Elija el comando de menú "Transferir" > "A módulo...". 3. Inicie el proceso de carga con el botón "Iniciar". Si el proceso de carga se ha concluido sin errores, el SCALANCE S arranca de nuevo automáticamente y se activa la nueva configuración. Resultado: SCALANCE S en modo productivo SCALANCE S se encuentra ahora en el modo productivo. Este estado es señalizado por el indicador Fault con luz verde. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

60 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas Iniciar sesión en página web Iniciar sesión mediante página web 1. En el navegador web del PC1 introduzca la dirección " 2. En la ventana siguiente, introduzca el nombre de usuario "Remote" y la contraseña correspondiente. 3. El bloque de reglas de firewall predefinido está activado para el usuario "Remote". El acceso del PC1 en la red externa al PC2 en la red interna está permitido Probar la función Firewall (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". 60 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

61 Firewall en modo avanzado 3.2 Crear reglas de firewall personalizadas Sección de test Pruebe ahora el funcionamiento de la configuración de firewall del siguiente modo: 1. En el PC1, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping de PC1 a PC2 (dirección IP ) Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. Recibirá el mensaje siguiente (respuesta positiva de PC2): Resultado Cuando los telegramas IP llegan al PC1, la "estadística ping" muestra para lo siguiente: Enviado = 4 Recibido = 4 Perdido = 0 (0% pérdida) Debido a la configuración, los telegramas ping han podido pasar de la red externa a la interna. El PC de la red interna ha respondido a los telegramas ping. Por la función "Stateful- Inspection" del firewall, los telegramas de respuesta que llegan ahora de la red interna son transmitidos automáticamente a la red externa. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

62 Firewall en modo avanzado 3.3 CP x43-1 Advanced como firewall y router NAT 3.3 CP x43-1 Advanced como firewall y router NAT Resumen En este ejemplo se configura el modo de router NAT. La configuración se realiza en la vista de configuración "Modo avanzado". Con la configuración se consigue que todos los telegramas enviados desde la subred interna al dispositivo PC1 de la red externa pasen el firewall. Los telegramas se transmiten al exterior con una dirección IP transformada a la dirección IP del módulo Security así como con un número de puerto asignado dinámicamente. Desde la red externa solo se permite la respuesta a estos telegramas. Además, se muestra cómo definir globalmente un bloque de reglas y cómo asignarlo a un módulo. Estructura de la red de test 62 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

63 Firewall en modo avanzado 3.3 CP x43-1 Advanced como firewall y router NAT Red interna - conexión al puerto interno del módulo Security En la estructura de test, en la red interna cada nodo de red se realiza por medio de un PC que está conectado al puerto interno del módulo Security. PC2: representa un dispositivo de la red interna Módulo Security: CP x43-1 para proteger la red interna Red externa - conexión al puerto externo del módulo Security La red externa pública se conecta al puerto externo del módulo Security. PC1: PC con el software de configuración Security Configuration Tool y STEP 7 Requisitos: Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes: El software de configuración Security Configuration Tool está instalado en el PC1. STEP 7 está instalado en el PC1, donde ya se ha creado un proyecto de STEP 7 con el módulo Security. La dirección IP del PC1 debe estar en la misma subred que la dirección Gigabit del módulo Security. El CP x43-1 tiene los ajustes siguientes en STEP 7: Dirección IP Gigabit: , máscara de subred: Dirección IP PROFINET: , máscara de subred: Los pasos siguientes resumidos: Getting Started (primeros pasos), 04/2012, C79000-G8978-C

64 Firewall en modo avanzado 3.3 CP x43-1 Advanced como firewall y router NAT Preparar los ajustes de IP de los PCs Los PCs tienen los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred Pasarela estándar PC PC Para la pasarela estándar se indican las direcciones IP que se asignan al módulo Security en la configuración subsiguiente para la interfaz interna y la externa: PC1 utiliza la interfaz externa. PC2 utiliza la interfaz interna. Proceda del siguiente modo en el PC1 y el PC2: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 64 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

65 Firewall en modo avanzado 3.3 CP x43-1 Advanced como firewall y router NAT 4. Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 6. Introduzca en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

66 Firewall en modo avanzado 3.3 CP x43-1 Advanced como firewall y router NAT Crear proyecto y módulo Proceda del siguiente modo: 1. Active la casilla de verificación "Activar Security" en la ficha "Security" de las propiedades del objeto. 2. En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". Confirme la entrada con "Aceptar". Resultado: se ha creado un proyecto nuevo de Security. 3. En HW Config, abra la Security Configuration Tool con el comando de menú "Edición" > "Security Configuration Tool". Resultado: el módulo Security se muestra en la lista de los módulos configurados Configurar modo NAT Router La aplicación más frecuente, en la que todos los dispositivos internos envían telegramas a la red externa, ocultando su dirección IP mediante las funciones de NAT, está preconfigurada para el módulo Security. A continuación se muestra cómo activar dicho comportamiento. Activación del modo de router NAT para dispositivos internos - procedimiento: Configure la conversión de direcciones solicitada para el modo NAT. 1. Cambie la vista de configuración al modo avanzado con el comando de menú "Ver" > "Modo avanzado". 2. Elija la ficha "NAT". 66 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

67 Firewall en modo avanzado 3.3 CP x43-1 Advanced como firewall y router NAT 3. Seleccione en el campo de entrada "NAT" las dos opciones "NAT activo" y "Permitir habilitación para todos los dispositivos internos". En el campo de entrada "NAT" se ha completado la lista de conversión de direcciones agregando una entrada al final. La entrada "*" en la columna "Dirección IP interna" representa ahora todos los dispositivos de la red interna. 4. Cierre el cuadro de diálogo con "Aceptar". Ajuste el firewall de manera que puedan pasar los telegramas en el sentido de interno a externo Configurar firewall En este ejemplo se define un bloque de reglas que permita el tráfico de telegramas desde el dispositivo interno (PC2) hacia el dispositivo de la red externa (PC1). Getting Started (primeros pasos), 04/2012, C79000-G8978-C

68 Firewall en modo avanzado 3.3 CP x43-1 Advanced como firewall y router NAT Además, se muestra cómo definir globalmente un bloque de reglas y cómo asignarlo a un módulo. El bloque de reglas definido anteriormente puede asignarse a otros módulos del mismo proyecto mediante "Drag & Drop". Definición del bloque de reglas global - procedimiento: 1. Abra en el área de navegación el objeto "Bloques de reglas FW globales" y seleccione allí "Bloques de reglas IP FW". 2. Elija la entrada "Insertar bloque de reglas" del menú contextual. 68 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

69 Firewall en modo avanzado 3.3 CP x43-1 Advanced como firewall y router NAT 3. En el cuadro de diálogo presentado, introduzca un bloque de reglas del siguiente modo: 4. En la línea del nuevo bloque de reglas active la casilla de verificación "Log". Resultado: se ha activado el registro de filtro de paquetes. Se registran los telegramas para los que se aplican las reglas definidas. Este registro se utilizará en el ejemplo aquí mostrado para el test final de la configuración. 5. Cierre el cuadro de diálogo con "Aceptar". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

70 Firewall en modo avanzado 3.3 CP x43-1 Advanced como firewall y router NAT Asignación del bloque de reglas global - procedimiento: 1. Seleccione el módulo Security en el área de navegación y, manteniendo pulsado el botón izquierdo del ratón, arrástrelo al nuevo bloque de reglas de firewall global. 2. Puede controlar la asignación abriendo de nuevo el cuadro de diálogo para ajustar las propiedades del módulo y seleccionando la ficha "Firewall". La regla de firewall global se ha almacenado en la ficha "Reglas IP". 3. Pulsando el botón "Desplegar bloques de reglas" puede visualizar el bloque de reglas en detalle. 4. Active la casilla de verificación "Activar firewall". Resultado: la configuración offline ha terminado. 70 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

71 Firewall en modo avanzado 3.3 CP x43-1 Advanced como firewall y router NAT Cargar la configuración en los módulos Security Proceda del siguiente modo: 1. Cierre la Security Configuration Tool. 2. En HW Config elija el menú "Estación" > "Guardar y compilar". 3. Cargue la nueva configuración en el módulo Security utilizando el menú "Sistema de destino" > "Cargar en módulo...". Si el proceso de carga se ha concluido sin errores, el módulo Security arranca automáticamente y se activa la nueva configuración. Resultado: módulo Security en modo productivo La puesta en servicio de la configuración ha terminado. El módulo Security protege la red interna (PC2). Está permitido el tráfico IP de red interna a externa Probar la función NAT Router (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Para poder reconocer las repercusiones del modo de router NAT, utilice la posibilidad del registro de filtro de paquetes en la interfaz de firewall. Recuerde: al definir la regla de firewall global se ha activado ya la opción del registro de filtro de paquetes. Observación sobre el comando ping: como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

72 Firewall en modo avanzado 3.3 CP x43-1 Advanced como firewall y router NAT Sección de test 1 - Enviar comando ping Pruebe ahora el funcionamiento del modo de router NAT con el tráfico de datos IP de red interna a red externa del siguiente modo: 1. En el PC2, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping de PC2 a PC1 (dirección IP ) Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. A continuación recibirá el mensaje siguiente (respuesta positiva de PC1): Sección de test 2 - Evaluar el resultado 1. Cambie al modo online en la Security Configuration Tool con el comando de menú "Ver" > "Online". 2. Seleccione el módulo que debe editarse y elija el comando de menú "Edición" > "Diagnóstico online..." para abrir el cuadro de diálogo online. 3. Seleccione la ficha "Registro de filtro de paquetes". 4. Accione el botón "Iniciar lectura". 5. Confirme el cuadro de diálogo presentado con "Aceptar". Resultado: las entradas Log se leen del módulo Security y se presentan aquí. 72 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

73 Firewall en modo avanzado 3.4 Ejemplo con un CP 1628 y CP x Ejemplo con un CP 1628 y CP x Resumen En este ejemplo, la configuración se realiza en la vista de configuración "Modo avanzado". Con la configuración se consigue que todos los telegramas enviados desde el dispositivo PC2 al módulo Security 1 pasen el firewall y viceversa. Asimismo, desde el PC1 se permite el acceso al PC2 y al módulo Security 1. Estructura de la red de test Módulo Security 1: CP x43-1 Advanced PC1: PC con el software de configuración Security Configuration Tool y STEP 7 PC2 con módulo Security 2: PC con CP 1628 Requisitos: Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes: El software de configuración Security Configuration Tool está instalado en el PC1. STEP 7 está instalado en el PC1, donde ya se ha creado un proyecto de STEP 7. En el proyecto de STEP 7 se ha creado una conexión S7 TCP/IP especificada entre el CP 1628 (PC2) y el CP x43-1. El CP 1628 es el dispositivo activo. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

74 Firewall en modo avanzado 3.4 Ejemplo con un CP 1628 y CP x43-1 El CP 1628 tiene los ajustes siguientes en STEP 7: Dirección IP Industrial Ethernet: , máscara de subred: La dirección IP NDIS se establece en la configuración IP del PC. El CP x43-1 tiene los ajustes siguientes en STEP 7: Dirección IP Gigabit: , máscara de subred: Dirección IP PROFINET: , máscara de subred: Los pasos siguientes resumidos: Preparar los ajustes de IP de los PCs Los PCs tienen los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred PC PC2 NDIS: Proceda del siguiente modo en el PC1 y el PC2: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 74 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

75 Firewall en modo avanzado 3.4 Ejemplo con un CP 1628 y CP x Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 6. Introduzca en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control Crear proyecto y módulo Proceda del siguiente modo: 1. Active la casilla de verificación "Activar Security" en la ficha "Security" de las propiedades del objeto del CP En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". Confirme la entrada con "Aceptar". Resultado: se ha creado un proyecto nuevo de Security. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

76 Firewall en modo avanzado 3.4 Ejemplo con un CP 1628 y CP x Pase a las propiedades del objeto del CP x43-1 y active también la casilla de verificación "Activar Security" en la ficha "Security". 4. En HW Config, abra la Security Configuration Tool con el comando de menú "Edición" > "Security Configuration Tool". Resultado: los módulos Security se muestran en la lista de los módulos configurados Configurar firewall En este ejemplo se definen las reglas de firewall necesarias: Definición de reglas de firewall para el CP procedimiento: 1. Seleccione en el área de contenido la línea "CP-1628". 2. Elija el comando de menú "Edición" > "Propiedades...". 76 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

77 Firewall en modo avanzado 3.4 Ejemplo con un CP 1628 y CP x En el cuadro de diálogo visualizado, seleccione la ficha "Firewall". 4. Active la opción tal como se muestra a continuación. Las dos primeras reglas se crean automáticamente para la conexión configurada. Definición de reglas de firewall para el CP x procedimiento: 1. Seleccione en el área de contenido la línea "CP Advanced". 2. Elija el comando de menú "Edición" > "Propiedades...". 3. En el cuadro de diálogo visualizado, seleccione la ficha "Firewall". 4. Active la opción tal como se muestra a continuación. Las dos primeras reglas se crean automáticamente para la conexión configurada. Resultado: la configuración offline ha terminado Cargar la configuración en los módulos Security Proceda del siguiente modo: 1. Cierre la Security Configuration Tool. 2. En HW Config elija el menú "Estación" > "Guardar y compilar". 3. Cargue la nueva configuración en el módulo Security utilizando el menú "Sistema de destino" > "Cargar en módulo...". 4. Realice los pasos 2-3 para el segundo CP. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

78 Firewall en modo avanzado 3.4 Ejemplo con un CP 1628 y CP x43-1 Si el proceso de carga se ha concluido sin errores, los módulos Security arrancan automáticamente y se activa la nueva configuración. Resultado: módulo Security en modo productivo La puesta en servicio de la configuración ha terminado. El módulo Security 2 protege el PC2. Está permitido el tráfico IP saliente del CP 1628 (módulo Security 2) al CP x43-1 (módulo Security 1) Probar la función Firewall (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". 78 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

79 Firewall en modo avanzado 3.4 Ejemplo con un CP 1628 y CP x43-1 Sección de test 1 Pruebe ahora el funcionamiento de la configuración de firewall, primero con el tráfico de datos IP saliente permitido: 1. En el PC2, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping del PC2 al CP x43-1 (dirección IP ) Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. Recibirá el mensaje siguiente (respuesta positiva del CP x43-1): Resultado Cuando los telegramas IP llegan al CP x43-1, la "estadística ping" muestra para lo siguiente: Enviado = 4 Recibido = 4 Perdido = 0 (0% pérdida) Debido a la configuración, los telegramas ping han podido pasar del PC2 al CP x43-1. El CP x43-1 ha respondido a los telegramas ping. Por la función "Stateful-Inspection" del firewall, los telegramas de respuesta que llegan ahora del CP x43-1 son transmitidos automáticamente al PC2. Sección de test 2 - Evaluar el resultado 1. Cambie al modo online en la Security Configuration Tool con el comando de menú "Ver" > "Online". 2. Seleccione el módulo que debe editarse y elija el comando de menú "Edición" > "Diagnóstico online..." para abrir el cuadro de diálogo online. 3. Seleccione la ficha "Registro de filtro de paquetes". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

80 Firewall en modo avanzado 3.4 Ejemplo con un CP 1628 y CP x Accione el botón "Iniciar lectura". 5. Confirme el cuadro de diálogo presentado con "Aceptar". Resultado: las entradas Log se leen del módulo Security y se presentan aquí. 80 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

81 Configurar túnel VPN Túnel VPN entre SCALANCE S y SCALANCE S Resumen En este ejemplo se configura la función de túnel en la vista de configuración "Modo estándar". Los módulos Security 1 y 2 constituyen en este ejemplo los dos puntos finales del túnel para la conexión de túnel protegida. Con esta configuración se consigue que el tráfico IP y el tráfico de la Layer 2 (solo en el modo bridge) solo sea posible a través de las conexiones de túnel establecidas emtre interlocutores autorizados. Construcción de la red de test Getting Started (primeros pasos), 04/2012, C79000-G8978-C

82 Configurar túnel VPN 4.1 Túnel VPN entre SCALANCE S y SCALANCE S Red interna - conexión a un puerto interno del módulo Security En la estructura de test, en la red interna cada nodo de red se realiza por medio de un PC que está conectado al puerto interno del módulo Security. PC1: representa un dispositivo de la red interna 1 PC2: representa un dispositivo de la red interna 2 Módulo Security 1: módulo SCALANCE S (excepto S602) para protección de la red interna 1 Módulo Security 2: módulo SCALANCE S (excepto S602) para protección de la red interna 2 Red externa - conexión al puerto externo del módulo Security La red externa pública se conecta al puerto externo del módulo Security. PC3: PC con el software de configuración Security Configuration Tool Dispositivos/componentes necesarios: Utilice los siguientes componentes para el montaje: 2 SCALANCE (excepto S602), (opcional: uno o dos rieles de perfil de sombrero correspondientemente instalados, con material de montaje); 1 ó 2 dispositivos de alimentación eléctrica de 24V con conectores de cables y enchufes de bloques de bornes (ambos módulos pueden funcionar también con un dispositivo de alimentación eléctrica común) ; 1 PC en el que esté instalada la herramienta de configuración "Security Configuration Tool"; 2 PCs en las redes internas, para el test de la configuración; 1 hub o switch de red para el establecimiento de conexiones de red con los dos módulos Security así como los PCs/las PGs; los cables de red necesarios, cables TP (Twisted Pair) según el estándar IE FC RJ45 para Industrial Ethernet. Los pasos siguientes resumidos: 82 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

83 Configurar túnel VPN 4.1 Túnel VPN entre SCALANCE S y SCALANCE S Poner a punto los SCALANCE S y la red Proceda del siguiente modo: 1. Saque primero los equipos SCALANCE S de su embalaje y compruebe si están en perfecto estado. 2. Conecte la alimentación de tensión a SCALANCE S. Resultado: Tras conectar la tensión de servicio brilla el diodo Fault (F) con luz amarilla. ADVERTENCIA El equipo SCALANCE S está previsto para funcionar con baja tensión de seguridad. En consecuencia, a las conexiones de alimentación solo se deben conectar bajas tensiones de seguridad (SELV) según IEC950/EN60950/ VDE0805. La fuente de alimentación utilizada para el SCALANCE S tiene que ser del tipo NEC Class 2 (gama de tensión V, consumo de corriente aprox. 250 ma). 1. Establezca las conexiones físicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto (conectores hembra RJ45): Conecte PC1 al Port 2 de Module 1 y PC2 al Port 2 de Module 2. Conecte Port 1 de Module 1 y Port 1 de Module 2 al Hub/Switch. Conecte también PC3 al Hub/Switch. 2. Encienda los PCs participantes. ATENCIÓN Las conexiones de Ethernet en Port 1 y Port 2 son tratadas de forma diferente por el SCALANCE S, por lo que no se deben confundir al establecer la conexión con la red de comunicación: Port 1 - External Network conector hembra RJ45 superior, marca roja = área de red no protegida; Port 2 - Internal Network conector hembra RJ45 inferior, marca verde = red protegida por SCALANCE S Si se permutan los puertos, el equipo pierde su función de protección. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

84 Configurar túnel VPN 4.1 Túnel VPN entre SCALANCE S y SCALANCE S Preparar los ajustes de IP de los PCs Los PCs tienen los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred PC PC PC Proceda del siguiente modo para PC1, PC2 y PC3: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 4. Haga clic en el botón "Propiedades". 84 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

85 Configurar túnel VPN 4.1 Túnel VPN entre SCALANCE S y SCALANCE S 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 6. Introduzca en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control Crear proyecto y módulos Proceda del siguiente modo: 1. Instala e inicie el software de configuración "Security Configuration Tool" en el PC3. 2. Elija el comando de menú "Proyecto" > "Nuevo". 3. En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". Confirme la entrada con "Aceptar". Resultado: se ha creado un proyecto nuevo. Se abre el cuadro de diálogo "Selección de un módulo o configuración de software". 4. Configure el tipo de producto, el módulo y la versión de firmware, y cierre el cuadro de diálogo con"aceptar". 5. Cree un segundo módulo. Resultado: los módulos se muestran en la lista de los módulos configurados. El nombre y los parámetros se asignan automáticamente conforme a los ajustes predeterminados del proyecto. 6. Haga clic en el área de navegación en "Todos los módulos" y a continuación en el área de contenido, en la línea con "Módulo1". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

86 Configurar túnel VPN 4.1 Túnel VPN entre SCALANCE S y SCALANCE S 7. Haga clic en la columna "Dirección MAC" e introdúzcala en el formato predeterminado. La dirección MAC está impresa en el lado frontal del módulo SCALANCE S (consulte la figura). 8. Haga clic en la columna "Dirección IP ext." e introdúzcala en el formato predeterminado junto con la máscara de subred externa: para el módulo 1: Dirección IP: Máscara de subred: para el módulo 2: Dirección IP: Máscara de subred: Repita los pasos 6 a 8 con "Módulo2". 86 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

87 Configurar túnel VPN 4.1 Túnel VPN entre SCALANCE S y SCALANCE S Configurar conexión túnel Dos módulos Security pueden crear un túnel IPSec para la comunicación segura si están asignados a un mismo grupo en el proyecto. Proceda del siguiente modo: 1. Seleccione "Grupos VPN" en el área de navegación y cree un grupo con el comando de menú "Insertar" > "Grupo". El grupo recibe automáticamente el nombre "Grupo1". 2. Seleccione el primer módulo Security en el área de contenido y arrástrelo al "Grupo1" en el área de navegación. El módulo está asignado ahora a ese grupo o bien es miembro de ese grupo. El color del símbolo de la llave cambia de gris a azul. 3. Seleccione el segundo módulo Security en el área de contenido y arrástrelo al "Grupo1" en el área de navegación. El módulo está asignado ahora también a ese grupo. 4. Guarde el proyecto con el comando de menú "Proyecto" > "Guardar como..." utilizando un nombre apropiado. La configuración de la conexión de túnel ha terminado. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

88 Configurar túnel VPN 4.1 Túnel VPN entre SCALANCE S y SCALANCE S Cargar la configuración en SCALANCES S Proceda del siguiente modo: 1. Llame el siguiente cuadro de diálogo con el comando de menú "Transferir" > "A todos los módulos...": 2. Seleccione ambos módulos por medio del botón "Seleccionar todos". 3. Inicie el proceso de carga con el botón "Iniciar". Si el proceso de carga se ha concluido sin errores, el SCALANCE S arranca de nuevo automáticamente y se activa la nueva configuración. Resultado: SCALANCE S en modo productivo SCALANCE S se encuentra ahora en el modo productivo. Este estado es señalizado por el diodo indicador Fault con luz verde. Con esto ha concluido la puesta en servicio de la configuración y los dos SCALANCE S pueden crear un túnel de comunicación a través del que se pueden comunicar de forma segura los nodos de las dos redes internas. 88 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

89 Configurar túnel VPN 4.1 Túnel VPN entre SCALANCE S y SCALANCE S Probar la función túnel (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". Sección de test 1 Compruebe ahora el funcionamiento de la conexión de túnel establecida entre PC1 y PC2 del siguiente modo: 1. En el PC1, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping de PC1 a PC2 (dirección IP ) Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. Seguidamente, recibirá el mensaje siguiente (respuesta positiva de PC2): Resultado Cuando los telegramas IP llegan al PC2, la "estadística ping" muestra para lo siguiente: Enviado = 4 Recibido = 4 Perdido = 0 (0% pérdida) Getting Started (primeros pasos), 04/2012, C79000-G8978-C

90 Configurar túnel VPN 4.1 Túnel VPN entre SCALANCE S y SCALANCE S Dado que no estaba permitida ninguna otra comunicación, esto telegramas solo se pueden haber transportado por el túnel VPN. Sección de test 2 Repita el test emitiendo un comando ping desde el PC3. 1. En el PC3, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Emita de nuevo el mismo comando ping ("ping ") en la ventana del símbolo del sistema del PC3. Seguidamente, recibirá el mensaje siguiente (ninguna respuesta de PC2): Resultado Los telegramas IP del PC3 no pueden llegar al PC2, ya que no hay configurada ninguna comunicación túnel entre estos equipos ni tampoco se permite el tráfico de datos IP normal. Esto se indica en la "estadística ping" para del siguiente modo: Enviado = 4 Recibido = 0 Perdido = 4 (100% pérdida) 90 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

91 Configurar túnel VPN 4.2 Túnel VPN entre CP 1628 y CP x Túnel VPN entre CP 1628 y CP x Resumen En este ejemplo se configura la función de túnel en la vista de configuración "Modo estándar". Los módulos Security 1 y 2 constituyen en este ejemplo los dos puntos finales del túnel para la conexión de túnel protegida. Con esta configuración se consigue que el tráfico IP y el tráfico de la Layer 2 solo sea posible a través de las conexiones de túnel establecidas entre interlocutores autorizados de un grupo VPN. Construcción de la red de test PC1 con módulo Security 1: PC con CP 1628 PC2: PC con el software de configuración Security Configuration Tool y STEP 7 Módulo Security 2: CP x43-1 Requisitos: Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes: El software de configuración Security Configuration Tool está instalado en el PC2. STEP 7 está instalado en el PC2, donde ya se ha creado un proyecto de STEP 7. Los CPs disponen de la hora y fecha actuales. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

92 Configurar túnel VPN 4.2 Túnel VPN entre CP 1628 y CP x43-1 El CP 1628 tiene los ajustes siguientes en STEP 7: Dirección IP Industrial Ethernet: , máscara de subred: La dirección IP NDIS se establece en la configuración IP del PC. El CP x43-1 tiene los ajustes siguientes en STEP 7: Dirección IP Gigabit: , máscara de subred: Dirección IP PROFINET: , máscara de subred: Los pasos siguientes, en síntesis: Preparar los ajustes de IP de los PCs Los PCs tienen los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred PC1 NDIS: PC Proceda del siguiente modo en el PC1 y el PC2: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 92 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

93 Configurar túnel VPN 4.2 Túnel VPN entre CP 1628 y CP x Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 6. Introduzca en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control Crear proyecto y módulos Proceda del siguiente modo: 1. Active la casilla de verificación "Activar Security" en la ficha "Security" de las propiedades del objeto del CP En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". Confirme la entrada con "Aceptar". 3. Resultado: se ha creado un proyecto nuevo de Security. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

94 Configurar túnel VPN 4.2 Túnel VPN entre CP 1628 y CP x Pase a las propiedades del objeto del CP x43-1 y active también la casilla de verificación "Activar Security" en la ficha "Security". 5. En HW Config, abra la Security Configuration Tool con el comando de menú "Edición" > "Security Configuration Tool". Resultado: los módulos Security se muestran en la lista de los módulos configurados Configurar conexión túnel Dos módulos Security pueden crear un túnel IPSec para la comunicación segura si están asignados a un mismo grupo VPN en el proyecto. Proceda del siguiente modo: 1. Seleccione "Grupos VPN" en el área de navegación y cree un grupo con el comando de menú "Insertar" > "Grupo". El grupo recibe automáticamente el nombre "Grupo1". 2. Haga clic en "Todos los módulos" en el área de navegación y a continuación en el área de contenido, en el primer CP. 3. Arrastre el CP al "Grupo1" del área de navegación. El módulo está asignado ahora a dicho grupo o bien es miembro del mismo. El color del símbolo de la llave cambia de gris a azul. 4. Seleccione el segundo CP en el área de contenido y arrástrelo al "Grupo1" en el área de navegación. 94 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

95 Configurar túnel VPN 4.2 Túnel VPN entre CP 1628 y CP x43-1 Resultado: el segundo CP también está asignado ahora a dicho grupo y la configuración de la conexión de túnel ha terminado Cargar la configuración en los módulos Security Proceda del siguiente modo: 1. Cierre la Security Configuration Tool. 2. En HW Config elija el menú "Estación" > "Guardar y compilar". 3. Cargue la nueva configuración en el módulo Security utilizando el menú "Sistema de destino" > "Cargar en módulo...". 4. Realice los pasos 2-3 para el segundo CP. Si el proceso de carga se ha concluido sin errores, los módulos Security arrancan automáticamente y se activa la nueva configuración. Resultado: módulos Security en modo productivo Con esto ha concluido la puesta en servicio de la configuración y los dos módulos Security pueden crear un túnel de comunicación Probar la función túnel (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

96 Configurar túnel VPN 4.2 Túnel VPN entre CP 1628 y CP x43-1 Sección de test 1 Compruebe ahora el funcionamiento de la conexión de túnel establecida entre PC1 y módulo Security 2 del siguiente modo: 1. En el PC1, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping del PC1 al módulo Security 2 (dirección IP ) Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. A continuación recibirá el mensaje siguiente (respuesta positiva del módulo Security 2): Resultado Cuando los telegramas IP llegan al módulo Security 2, la "estadística ping" muestra para lo siguiente: Enviado = 4 Recibido = 4 Perdido = 0 (0% pérdida) Dado que no estaba permitida ninguna otra comunicación, estos telegramas solo se pueden haber transportado por el túnel VPN. 96 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

97 Configurar túnel VPN 4.2 Túnel VPN entre CP 1628 y CP x43-1 Sección de test 2 Repita el test emitiendo un comando ping desde el PC2. 1. En el PC2, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Emita de nuevo el mismo comando ping ("ping ") en la ventana del símbolo del sistema del PC2. A continuación recibirá el mensaje siguiente (ninguna respuesta del módulo Security 2): Resultado Los telegramas IP del PC2 no pueden llegar al módulo Security 2, ya que no hay configurada ninguna comunicación de túnel entre estos dispositivos ni tampoco se permite el tráfico de datos IP normal. Esto se indica en la "estadística ping" para del siguiente modo: Enviado = 4 Recibido = 0 Perdido = 4 (100% pérdida) Getting Started (primeros pasos), 04/2012, C79000-G8978-C

98 Configurar túnel VPN 4.3 Túnel VPN entre SCALANCE S y CP 4.3 Túnel VPN entre SCALANCE S y CP Resumen En este ejemplo se configura la función de túnel en la vista de configuración "Modo estándar". Los módulos Security 1 y 2 constituyen en este ejemplo los dos puntos finales del túnel para la conexión de túnel protegida. Con esta configuración se consigue que el tráfico IP y el tráfico de la Layer 2 solo sea posible a través de las conexiones de túnel establecidas entre interlocutores autorizados. Estructura de la red de test 98 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

99 Configurar túnel VPN 4.3 Túnel VPN entre SCALANCE S y CP Red interna - conexión al puerto interno del módulo Security En la estructura de test, en la red interna cada nodo de red se realiza por medio de un PC que está conectado al puerto interno del módulo Security. PC1: representa un dispositivo de la red interna 1 PC2: representa un dispositivo de la red interna 2 Módulo Security 1: módulo SCALANCE S (excepto S602) para protección de la red interna 1 Módulo Security 2: CP x43-1 para proteger la red interna 2 Red externa - conexión a un puerto externo del módulo Security La red externa pública se conecta a un puerto externo del módulo Security. PC3: PC con el software de configuración Security Configuration Tool y STEP 7 Requisitos: Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes: El software de configuración Security Configuration Tool está instalado en el PC3. El CP x43-1 tiene los ajustes siguientes en STEP 7: Dirección IP Gigabit: , Máscara de subred: Dirección IP PROFINET: , máscara de subred: Los pasos siguientes resumidos: Getting Started (primeros pasos), 04/2012, C79000-G8978-C

100 Configurar túnel VPN 4.3 Túnel VPN entre SCALANCE S y CP Instalar módulo Security y red Proceda del siguiente modo: 1. Establezca las conexiones físicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto (conectores hembra RJ45): Conecte el PC1 a un puerto interno del módulo Security 1 y el PC2 a un puerto interno del módulo Security 2. Conecte el puerto externo del módulo Security 1 y el puerto externo del módulo Security 2 al hub/switch. Conecte también PC3 al Hub/Switch. 2. Encienda los PCs participantes. ATENCIÓN Las conexiones Ethernet en el puerto interno y externo son tratadas de forma diferente por el módulo Security, por lo que no se deben confundir al establecer la conexión con la red de comunicación: Si se permutan los puertos, el equipo pierde su función de protección Preparar los ajustes de IP de los PCs Los PCs tienen los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred Gateway estándar PC PC PC Proceda del siguiente modo para PC1, PC2 y PC3: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 100 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

101 Configurar túnel VPN 4.3 Túnel VPN entre SCALANCE S y CP 4. Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 6. Introduzca en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control Crear proyecto y módulos Proceda del siguiente modo: 1. Active la casilla de verificación "Activar Security" en la ficha "Security" de las propiedades del objeto. 2. En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". Confirme la entrada con "Aceptar". Resultado: se ha creado un proyecto nuevo. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

102 Configurar túnel VPN 4.3 Túnel VPN entre SCALANCE S y CP 3. En HW Config, abra la Security Configuration Tool con el comando de menú "Edición" > "Security Configuration Tool". Resultado: el CP creado se mostrará en la lista de los módulos configurados. 4. Cree un módulo SCALANCE S con los parámetros siguientes en la Security Configuration Tool con el comando de menú "Insertar" > "Módulo": Dirección IP (ext.): , máscara de subred (ext.): Indique además la dirección MAC impresa en la parte frontal del módulo Security. Resultado: el CP y el módulo SCALANCE S se muestran en la lista de los módulos configurados dentro de la Security Configuration Tool Configurar conexión túnel Dos módulos Security pueden crear un túnel IPSec para la comunicación segura si están asignados a un mismo grupo en el proyecto. Proceda del siguiente modo: 1. Seleccione "Grupos VPN" en el área de navegación y cree un grupo con el comando de menú "Insertar" > "Grupo". El grupo recibe automáticamente el nombre "Grupo1". 2. Haga clic en el área de navegación en "Todos los módulos" y a continuación en el área de contenido, en el módulo SCALANCE S. 102 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

103 Configurar túnel VPN 4.3 Túnel VPN entre SCALANCE S y CP 3. Arrástrelo al "Grupo1" del área de navegación. El módulo está asignado ahora a dicho grupo o bien es miembro del mismo. El color del símbolo de la llave cambia de gris a azul. 4. Seleccione el CP en el área de contenido y arrástrelo al "Grupo1" en el área de navegación. Resultado: el CP también está asignado ahora a dicho grupo y la configuración de la conexión de túnel ha terminado Cargar la configuración en los módulos Security SCALANCE S - procedimiento: 1. En STEP 7, abra la Security Configuration Tool con el comando de menú "Edición" > "Security Configuration Tool". 2. Llame el siguiente cuadro de diálogo con el comando de menú "Transferir" > "A todos los módulos...": En la lista se muestra el módulo SCALANCE S. 1. Seleccione el módulo SCALANCE S. 2. Inicie el proceso de carga con el botón "Iniciar". Si el proceso de carga se ha concluido sin errores, el SCALANCE S arranca de nuevo automáticamente y se activa la nueva configuración. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

104 Configurar túnel VPN 4.3 Túnel VPN entre SCALANCE S y CP CP - procedimiento: 1. Cierre la Security Configuration Tool. 2. En HW Config elija el menú "Estación" > "Guardar y compilar". 3. Cargue la nueva configuración en el módulo Security utilizando el menú "Sistema de destino" > "Cargar en módulo...". Si el proceso de carga se ha concluido sin errores, el módulo Security arranca automáticamente y se activa la nueva configuración. Resultado: módulos Security en modo productivo Con esto ha concluido la puesta en servicio de la configuración y los dos módulos Security pueden crear un túnel de comunicación a través del que se pueden comunicar de forma segura los nodos de las dos redes internas Probar la función túnel (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". 104 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

105 Configurar túnel VPN 4.3 Túnel VPN entre SCALANCE S y CP Sección de test 1 Compruebe ahora el funcionamiento de la conexión de túnel establecida entre PC1 y PC2 del siguiente modo: 1. En el PC1, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping de PC1 a PC2 (dirección IP ) Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. Seguidamente, recibirá el mensaje siguiente (respuesta positiva de PC2): Resultado Cuando los telegramas IP llegan al PC2, la "estadística ping" muestra para lo siguiente: Enviado = 4 Recibido = 4 Perdido = 0 (0% pérdida) Dado que no estaba permitida ninguna otra comunicación, estos telegramas solo se pueden haber transportado por el túnel VPN. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

106 Configurar túnel VPN 4.3 Túnel VPN entre SCALANCE S y CP Sección de test 2 Repita el test emitiendo un comando ping desde el PC3. 1. En el PC3, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Emita de nuevo el mismo comando ping ("ping ") en la ventana del símbolo del sistema del PC3. Seguidamente, recibirá el mensaje siguiente (ninguna respuesta de PC2): Resultado Los telegramas IP del PC3 no pueden llegar al PC2, ya que no hay configurada ninguna comunicación de túnel entre estos dispositivos ni tampoco se permite el tráfico de datos IP normal. Esto se indica en la "estadística ping" para del siguiente modo: Enviado = 4 Recibido = 0 Perdido = 4 (100% pérdida) 106 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

107 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security 4.4 Túnel VPN entre todos los productos Security Sinopsis En este ejemplo se configura la función de túnel en la vista de configuración "Modo estándar". Con esta configuración se consigue que el tráfico IP entre interlocutores autorizados de los diferentes grupos VPN solo sea posible a través de las conexiones de túnel establecidas. El acceso desde la PG de servicio en la que está instalado el SOFTNET Security Client está permitido para los cuatro módulos Security. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

108 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security Grupo VPN Dispositivo VPN 1 SCALANCE S 612 V3.0 CP Advanced GX30 V3.0 SOFTNET Security Client 2 CP Advanced GX31 V3.0 CP Advanced GX30 V3.0 SOFTNET Security Client 3 CP 1628 V1.0 CP Advanced GX31 V3.0 SOFTNET Security Client Requisitos: Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes: El software de configuración Security Configuration Tool y el SOFTNET Security Client están instalados en el PC2. Todos los módulos Security disponen de la hora y fecha actuales. STEP 7 está instalado en el PC1, donde ya se ha creado un proyecto de STEP 7 con los módulos Security siguientes: Módulo Security Dirección IP Máscara de subred CP Advanced GX30 V3.0 Gigabit: PROFINET: CP Advanced GX31 V3.0 Gigabit: PROFINET: CP 1628 V1.0 Industrial Ethernet: Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

109 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security Los pasos siguientes resumidos: Preparar los ajustes de IP de los PCs Los PCs tienen los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred PC PC Para ello, proceda del siguiente modo en el PC1 y el PC2: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

110 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security 4. Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 6. Introduzca ahora en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control. 110 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

111 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security Crear proyecto y módulos Activar Security para los CPs 1. Active la casilla de verificación "Activar Security" en la ficha "Security" de las propiedades del objeto del CP Advanced GX En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". Confirme la entrada con "Aceptar". Resultado: se ha creado un proyecto nuevo de Security. 3. Active consecutivamente la casilla de verificación "Activar Security" en la ficha "Security" de las propiedades del objeto del CP Advanced GX31 y del CP En HW Config, abra la Security Configuration Tool con el comando de menú "Edición" > "Security Configuration Tool". Resultado: los CPs creados que tienen la Security activada se muestran en la lista de los módulos configurados. Crear un SCALANCE S y SOFTNET Security Client 1. Cree un módulo con el comando de menú "Insertar" > "Módulo". Configure lo siguiente: Tipo de producto: SCALANCE S Módulo: S612 Versión de firmware V3 Dirección IP (ext.): , máscara de subred (ext.): Active la casilla de verificación "Activar routing" e introduzca los datos siguientes: Dirección IP (int.): , máscara de subred (int.): Resultado: el módulo SCALANCE S creado se muestra en la lista de los módulos configurados como "Módulo1". 3. En el área "Configuración", introduzca la dirección MAC en el formato predefinido. La dirección MAC está impresa en el lado frontal del módulo SCALANCE S. 4. Cree un segundo módulo con el comando de menú "Insertar" > "Módulo". Configure lo siguiente: Tipo de producto: SOFTNET Configuration (SOFTNET Security Client, SCALANCE M87x, MD74x) Módulo: SOFTNET Security Client Versión de firmware: V4 Resultado: el SOFTNET Security Client creado se muestra en la lista de los módulos configurados como "Módulo2". 5. Haga clic en el área de navegación en "Todos los módulos" y a continuación en el área de contenido, en la línea con "Módulo1". 6. Haga clic en la columna "Nombre" e introduzca el nombre "SCA612". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

112 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security 7. Haga clic en la línea con el "Módulo2". 8. Haga clic en la columna "Nombre" e introduzca el nombre "SSC-PC2". Resultado: los CPs, el módulo SCALANCE S y el SOFTNET Security Client se muestran en la lista de los módulos configurados dentro de la Security Configuration Tool Configurar conexión túnel Los módulos Security pueden crear un túnel IPSec para la comunicación segura si están asignados a un mismo grupo en el proyecto. 112 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

113 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security Proceda del siguiente modo: 1. Seleccione "Grupos VPN" en el área de navegación y cree un grupo con el comando de menú "Insertar" > "Grupo". El grupo recibe automáticamente el nombre "Grupo1". 2. Inserte dos grupos más. Los grupos recibe automáticamente los nombres "Grupo2" y "Grupo3". 3. Arrastre consecutivamente el módulo SCALANCE S, el CP Advanced GX30 y el SOFTNET Security Client al "Grupo1" en el área de navegación. Ahora, los módulos están asignados al grupo1 o bien son miembros del mismo. El color del símbolo de la llave cambia de gris a azul. 4. Arrastre consecutivamente el CP Advanced GX31, el CP Advanced GX30 y el SOFTNET Security Client al "Grupo2" en el área de navegación. Ahora, los módulos están asignados al grupo2 o bien son miembros del mismo. El color del símbolo de la llave cambia de gris a azul. 5. Arrastre consecutivamente el CP 1628, el CP Advanced GX31 y el SOFTNET Security Client al "Grupo3" en el área de navegación. Ahora, los módulos están asignados al grupo3 o bien son miembros del mismo. El color del símbolo de la llave cambia de gris a azul. 6. Cierre la SCT. La configuración de la conexión de túnel ha terminado. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

114 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security Cargar la configuración en un módulo Security y guardar la configuración de SOFTNET Security Client SCALANCE S y SOFTNET Security Client - procedimiento: 1. En HW Config, abra la Security Configuration Tool con el comando de menú "Edición" > "Security Configuration Tool". 2. Llame el siguiente cuadro de diálogo con el comando de menú "Transferir" > "A todos los módulos...": 3. Inicie el proceso de carga con el botón "Iniciar". 4. Guarde el archivo de configuración "NombreDeProyecto.SSC-PC2.dat" en el directorio del proyecto y asigne una contraseña como clave privada del certificado. Si el proceso de carga se ha concluido sin errores, el SCALANCE S arranca de nuevo automáticamente y se activa la nueva configuración. CPs - procedimiento: 1. Cierre la Security Configuration Tool. 2. En HW Config elija el menú "Estación" > "Guardar y compilar" para el CP Advanced. 3. Cargue la nueva configuración en el módulo Security utilizando el menú "Sistema de destino" > "Cargar en módulo...". 4. Realice los pasos 2-3 para el CP y el CP Si el proceso de carga se ha concluido sin errores, los módulos Security arrancan automáticamente y se activa la nueva configuración. 114 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

115 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security Resultado: módulos Security en modo productivo Con esto ha concluido la puesta en servicio de la configuración y los módulos Security de un grupo VPN pueden crear un túnel de comunicación y comunicarse entre ellos de forma segura Formación de túnel con el SOFTNET Security Client Proceda del siguiente modo: 1. Inicie el SOFTNET Security Client en PC2. 2. Pulse el botón "Cargar configuración", cambie a su directorio del proyecto y cargue el archivo de configuración "NombreDeProyecto.SSC-PC2.dat". 3. Introduzca la contraseña para la clave privada del certificado y confirme con "Siguiente". 4. Confirme el cuadro de diálogo " Activar todos los dispositivos configurados estáticamente?" con "Sí". 5. Pulse el botón "Vista general de túneles". 6. Para que las subredes aprendidas puedan comunicarse, actívelas utilizando el menú contextual. Resultado: conexión de túnel activa Se han establecido los túneles entre el SOFTNET Security Client y los módulos Security. Este estado operativo se señaliza con un círculo verde. En la consola de Log de la vista del túnel del SOFTNET Security Client aparecen algunas respuestas de su sistema respecto a cómo se ha desarrollado el intento de conexión y sobre si se han establecido directivas para su conexión de comunicación. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

116 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security Con esto ha concluido la puesta en servicio de la configuración y los módulos Security de los grupos VPN configurados y del SOFTNET Security Client han creado túneles de comunicación a través de los que se pueden comunicar de forma segura. 116 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

117 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security Probar la función túnel (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". Sección de test Compruebe ahora el funcionamiento de la conexión de túnel establecida entre PC2 y PC3 del siguiente modo: 1. En el PC2, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping de PC2 a PC3 (dirección IP ) Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. A continuación recibirá el mensaje siguiente (respuesta positiva de PC1): Resultado Cuando los telegramas IP llegan al PC1, la "estadística ping" muestra para lo siguiente: Enviado = 4 Recibido = 4 Perdido = 0 (0% pérdida) Getting Started (primeros pasos), 04/2012, C79000-G8978-C

118 Configurar túnel VPN 4.4 Túnel VPN entre todos los productos Security Dado que no estaba permitida ninguna otra comunicación, estos telegramas solo se pueden haber transportado por el túnel VPN. Repetir sección de test Pruebe ahora consecutivamente el funcionamiento de las conexiones de túnel establecidas entre PC2 y PC1, PC2 y CP Advanced GX30 y PC2 y CP Advanced GX31, tal como se describe en el apartado "Sección de test". Si la conexión de túnel se ha establecido correctamente, recibirá de cada PC o módulo Security una respuesta positiva a la correspondiente consulta ping. 118 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

119 Configurar un acceso remoto vía túnel VPN Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Resumen En este ejemplo se configura la función de túnel VPN en la vista de configuración "Modo estándar". Un módulo Security y el SOFTNET Security Client constituyen en este ejemplo los dos puntos finales del túnel para la conexión de túnel protegida a través de una red pública. Con esta configuración se consigue que el tráfico IP entre dos interlocutores autorizados solo sea posible a través de las conexiones de túnel VPN establecidas. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

120 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Estructura de la red de test Red interna - conexión al puerto interno del módulo Security En la estructura de test, en la red interna cada nodo de red se realiza por medio de un PC que está conectado al puerto interno del módulo Security. PC1: representa un dispositivo de la red interna Módulo Security: módulo SCALANCE S (excepto S602) para protección de la red interna Red externa - conexión al puerto externo del módulo Security La red externa pública se conecta al puerto externo del módulo Security. PC2: PC con el software de configuración Security Configuration Tool y el software SOFTNET Security Client para el acceso VPN seguro a la red interna PC3: PC de test para la sección de test 2 Nota En el ejemplo, en representación de una red WAN externa pública se recurre a una red local para explicar los aspectos básicos del funcionamiento correspondiente. En los lugares correspondientes se dan explicaciones relativas al uso de una WAN. 120 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

121 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Dispositivos/componentes necesarios: Utilice los siguientes componentes para el montaje: 1 módulo SCALANCE S (excepto S602), (opcional: un riel de perfil de sombrero correspondientemente instalado, con material de montaje); 1 alimentación eléctrica de 24V con conexiones de cables y conectores de bloque de bornes; 1x PC en el cual va instalada la herramienta de configuración "Security Configuration Tool" y el cliente VPN "SOFTNET Security Client"; 1 PC en la red interna, para test de la configuración; 1 PC en la red externa, para test de la configuración; 1 hub o switch de red para el establecimiento de conexiones de red con el módulo SCALANCE S así como el PC; los necesarios cables de red, cables TP (Twisted Pair) según el estándar IE FC RJ45 para Industrial Ethernet. Los pasos siguientes resumidos: Instalar el SCALANCE S y la red Proceda del siguiente modo: 1. Saque primero el SCALANCE S de su embalaje y compruebe si está en perfecto estado. 2. Conecte la alimentación de tensión al módulo SCALANCE S. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

122 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Resultado: Tras conectar la tensión de servicio brilla el diodo Fault (F) con luz amarilla. ADVERTENCIA El equipo SCALANCE S está previsto para funcionar con baja tensión de seguridad. En consecuencia, a las conexiones de alimentación solo se deben conectar bajas tensiones de seguridad (SELV) según IEC950/EN60950/ VDE0805. La fuente de alimentación utilizada para el SCALANCE S tiene que ser del tipo NEC Class 2 (gama de tensión V, consumo de corriente aprox. 250 ma). 1. Establezca las conexiones físicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto (conectores hembra RJ45): Conecte el PC1 al puerto 2 del Module 1. Conecte el puerto 1 del Module 1 al hub/switch. Conecte también PC2 y PC3 al hub/switch. 2. Encienda los PCs participantes. Nota Para el uso de una WAN como red externa pública, las conexiones con el hub/switch se tienen que reemplazar por las conexiones con la red WAN (acceso a Internet). ATENCIÓN Las conexiones de Ethernet en Port 1 y Port 2 son tratadas de forma diferente por el SCALANCE S, por lo que no se deben confundir al establecer la conexión con la red de comunicación: Puerto 1 - "External Network" conector hembra RJ45 superior, marca roja = área de red no protegida; Puerto 2 - "Internal Network" conector hembra RJ45 inferior, marca verde = red protegida por SCALANCE S Si se permutan los puertos, el equipo pierde su función de protección Preparar ajustes IP de los PCs Los PCs deberían tener los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred Pasarela estándar PC PC PC Para la pasarela estándar se indican las direcciones IP que se asignan al módulo Security en la configuración subsiguiente para la interfaz interna y la externa: 122 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

123 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client PC1 utiliza la interfaz interna. PC2 y PC3 utilizan la interfaz externa. Nota Para el uso de una WAN como red externa pública se tienen que preparar en PC2 y PC3 los respectivos ajustes IP para la conexión con la red WAN (Internet). Proceda del siguiente modo para PC1, PC2 y PC3: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 4. Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

124 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client 6. Introduzca en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control Crear proyecto y módulos Proceda del siguiente modo: 1. Elija el comando de menú "Proyecto" > "Nuevo". 2. En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". 3. Confirme la entrada. Resultado: se ha creado un proyecto nuevo. Se abre el cuadro de diálogo "Selección de un módulo o configuración de software". 4. Configure el tipo de producto, el módulo y la versión de firmware, y cierre el cuadro de diálogo con"aceptar". 5. Cree un segundo módulo con el comando de menú "Insertar" > "Módulo". Configure lo siguiente: Tipo de producto: SOFTNET Configuration (SOFTNET Security Client, SCALANCE M87x/MD74x) Módulo: SOFTNET Security Client Versión de firmware: conforme a la versión utilizada del SOFTNET Security Client. Cierre el cuadro de diálogo con "Aceptar". Resultado: el módulo se muestra en la lista de los módulos configurados. El nombre se asigna automáticamente conforme a los ajustes predeterminados del proyecto. 124 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

125 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client 6. Haga doble clic en "Módulo1". Resultado: se abre la ficha "Interfaces". 7. Introduzca los valores siguientes en el campo "Externo (P1)": Dirección IP: , Máscara de subred: MAC: la dirección MAC impresa en el lado frontal del módulo SCALANCE S (consulte la figura). Nota Para el uso de una WAN como red externa pública, introduzca como "Dirección IP ext." la dirección IP recibida de su proveedor, a través de la que luego se podrá acceder al módulo Security en la WAN (Internet). Para que el módulo Security pueda enviar paquetes a través de la WAN (Internet), tiene que introducir su router ADSL como "router estándar". Si utiliza un router ADSL como pasarela de Internet, habilite en él al menos los puertos siguientes: Port 500 (ISAKMP) Port 4500 (NAT-T) Para SCALANCE S es necesario habilitar también el puerto 443 (HTTPS) para descargas de configuraciones (a través de WAN sin túnel activo). Getting Started (primeros pasos), 04/2012, C79000-G8978-C

126 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Configurar el routing 1. Seleccione el "Modo Routing" como "Routing de interfaz" en la ficha "Interfaces". 2. Complemente en el campo de entrada "Interno (P2)" los datos de dirección para el SCALANCE S tal como se describe a continuación y confirme la entrada con "Aceptar": Dirección IP interna del módulo: Máscara de subred interna: Haga clic en el área de navegación en "Todos los módulos" y a continuación en el área de contenido, en la línea con "Módulo2". 4. Haga clic en la columna "Nombre" e introduzca el nombre "SSC-PC2". Resultado: los ajustes han concluido y deberían corresponderse con la figura siguiente: 126 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

127 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Configurar conexión túnel Un SCALANCE S y el SOFTNET Security Client pueden crear un túnel IPSec para la comunicación segura si están asignados a un mismo grupo en el proyecto. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

128 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Proceda del siguiente modo: 1. Seleccione "Grupos VPN" en el área de navegación y cree un grupo con el comando de menú "Insertar" > "Grupo". El grupo recibe automáticamente el nombre "Grupo1". 2. Seleccione en el área de contenido el módulo de SCALANCE S "Módulo1" y arrástrelo a "Grupo1" en el área de navegación. El módulo está asignado ahora a dicho grupo o bien es miembro del mismo. El color del símbolo de la llave cambia de gris a azul. Esto significa que para el módulo se ha configurado una conexión IPsec. 3. Seleccione en el área de contenido el módulo SOFTNET Security Client y arrástrelo al "Grupo1" en el área de navegación. El módulo está asignado ahora también a dicho grupo. 4. Guarde el proyecto con el comando de menú "Proyecto" > "Guardar como..." utilizando un nombre apropiado. La configuración de la conexión de túnel ha terminado. 128 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

129 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Cargar la configuración en SCALANCE S y guardar la configuración de SOFTNET Security Client Proceda del siguiente modo: 1. Llame el siguiente cuadro de diálogo con el comando de menú "Transferir" > "A todos los módulos...": 2. Inicie el proceso de carga con el botón "Iniciar". 3. Guarde el archivo de configuración "NombreDeProyecto.SSC-PC2.dat" en el directorio del proyecto y asigne una contraseña como clave privada del certificado. Si el proceso de carga se ha concluido sin errores, el módulo Security arranca de nuevo automáticamente y se activa la nueva configuración. Resultado: SCALANCE S en modo productivo El módulo Security está en modo productivo. Este estado es señalizado por el diodo Fault con luz verde. Con esto ha concluido la puesta en servicio de la configuración y el módulo Security y el SOFTNET Security Client pueden crear un túnel de comunicación a través del que se pueden comunicar de forma segura los nodos de las redes internas con PC2. Nota Para el uso de una WAN como red externa pública, no se puede configurar un módulo Security con la configuración de fábrica a través de la red WAN. Configure en este caso el módulo Security a partir de la red interna. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

130 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Formación de túnel con el SOFTNET Security Client Procedimiento a seguir: 1. Inicie el SOFTNET Security Client en PC2. 2. Pulse el botón "Load Configuration", cambie a su directorio del proyecto y cargue el archivo de configuración "Nombredeproyecto.SSC-PC2.dat". 3. Introduzca la contraseña para la contraseña privada del certificado y confirme con "Next". 4. Confirme el diálogo "Activate static configured members?" con "Yes". 5. Accione el botón "Tunnel Overview" Resultado: conexión de túnel activa Se ha establecido el túnel entre SCALANCE S y SOFTNET Security Client. Este estado operativo se señaliza con un círculo verde en la entrada "Module1". En la consola de Log de la vista del túnel del SOFTNET Security Client aparecen algunas respuestas de su sistema respecto a cómo se ha desarrollado el intento de conexión y sobre si se han establecido directivas para su conexión de comunicación. 130 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

131 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Con esto ha concluido la puesta en servicio de la configuración y el módulo SCALANCE S y el SOFTNET Security Client pueden crear un túnel de comunicación a través del que se pueden comunicar de forma segura los nodos de la red interna y PC Probar la función túnel (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

132 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". Sección de test 1 Compruebe ahora el funcionamiento de la conexión de túnel establecida entre PC1 y PC2 del siguiente modo: 1. En el PC2, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping de PC2 a PC1 (dirección IP ). Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando ping en la posición del cursor. Aparecerá entonces el siguiente mensaje: (respuesta positiva del PC1). Resultado Cuando los telegramas IP llegan al PC1, la "estadística ping" muestra para lo siguiente: Enviado = 4 Recibido = 4 Perdido = 0 (0% pérdida) Dado que no estaba permitida ninguna otra comunicación, estos telegramas solo se pueden haber transportado por el túnel VPN. 132 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

133 Configurar un acceso remoto vía túnel VPN 5.1 Acceso remoto - Ejemplo de túnel VPN con SCALANCE S612 y SOFTNET Security Client Sección de test 2 Repita ahora el test emitiendo un comando ping desde el PC3. 1. En el PC3, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Emita de nuevo el mismo comando ping (ping ) en la ventana del símbolo del sistema del PC3. Aparecerá el siguiente mensaje: (ninguna respuesta del PC1). Resultado Los telegramas IP del PC3 no pueden llegar al PC1, ya que no hay configurada ninguna comunicación túnel entre estos equipos ni tampoco se permite el tráfico de datos IP normal. Esto se indica en la "estadística ping" para del siguiente modo: Enviado = 4 Recibido = 0 Perdido = 4 (100% pérdida) Getting Started (primeros pasos), 04/2012, C79000-G8978-C

134 Configurar un acceso remoto vía túnel VPN 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client Resumen En este ejemplo se configura la función de túnel VPN en la vista de configuración "Modo estándar". Un módulo Security y un SOFTNET Security Client constituyen en este ejemplo los dos puntos finales del túnel para la conexión de túnel protegida a través de una red pública. Con esta configuración se consigue que el tráfico IP entre interlocutores autorizados solo sea posible a través de las conexiones de túnel VPN establecidas. Estructura de la red de test 134 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

135 Configurar un acceso remoto vía túnel VPN 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client Red interna - conexión al puerto interno del módulo Security En la estructura de test, en la red interna cada nodo de red se realiza por medio de un PC que está conectado al puerto interno del módulo Security. PC1: representa un dispositivo de la red interna Módulo Security: CP x43-1 para proteger la red interna Red externa - conexión al puerto externo del módulo Security La red externa pública se conecta al puerto externo de un módulo Security. PC2: PC con el software de configuración Security Configuration Tool y el software SOFTNET Security Client para el acceso VPN seguro a la red interna PC3: PC de test para la sección de test 2 Nota En el ejemplo, en representación de una red WAN externa pública se recurre a una red local para explicar los aspectos básicos del funcionamiento correspondiente. En los lugares correspondientes se dan explicaciones relativas al uso de una WAN. Requisitos: Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes: El software de configuración Security Configuration Tool está instalado en el PC2. STEP 7 está instalado en el PC2, donde ya se ha creado un proyecto de STEP 7. El módulo Security dispone de la hora y fecha actuales. El CP x43-1 tiene los ajustes siguientes en STEP 7: Dirección IP Gigabit: , máscara de subred: Dirección IP PROFINET: , máscara de subred: Getting Started (primeros pasos), 04/2012, C79000-G8978-C

136 Configurar un acceso remoto vía túnel VPN 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client Los pasos siguientes resumidos: Preparar ajustes IP de los PCs Los PCs deberían tener los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred Pasarela estándar PC PC PC Para la pasarela estándar se indican las direcciones IP que se asignan al módulo Security en la configuración subsiguiente para la interfaz interna y la externa: PC1 utiliza la interfaz interna. PC2 y PC3 utilizan la interfaz externa. Nota Para el uso de una WAN como red externa pública se tienen que preparar en PC2 y PC3 los respectivos ajustes IP para la conexión con la red WAN (Internet). Proceda del siguiente modo para PC1, PC2 y PC3: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 136 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

137 Configurar un acceso remoto vía túnel VPN 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client 4. Haga clic en el botón "Propiedades". 5. Seleccione en el cuadro de diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" el botón de opción "Usar la siguiente dirección IP:" apagado. 6. Introduzca en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

138 Configurar un acceso remoto vía túnel VPN 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client Crear proyecto y módulos Proceda del siguiente modo: 1. Active la casilla de verificación "Activar Security" en la ficha "Security" de las propiedades del objeto del módulo Security en STEP En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". Confirme la entrada con "Aceptar". Resultado: se ha creado un proyecto nuevo de Security. 3. Abra el menú "Edición" > "Security Configuration Tool". Resultado: el módulo Security se muestra en la lista de los módulos configurados. 1. Cree un segundo módulo con el comando de menú "Insertar" > "Módulo". Configure lo siguiente: Tipo de producto: SOFTNET Configuration (SOFTNET Security Client, SCALANCE M87x/MD74x) Módulo: SOFTNET Security Client Versión de firmware: conforme a la versión utilizada del SOFTNET Security Client. 2. Cierre el cuadro de diálogo con "Aceptar". Resultado: el módulo se muestra en la lista de los módulos configurados. El nombre se asigna automáticamente conforme a los ajustes predeterminados del proyecto. Nota Para el uso de una WAN como red externa pública, introduzca como "Dirección IP ext." la dirección IP recibida de su proveedor, a través de la que luego se podrá acceder al módulo Security en la WAN (Internet). Para que el módulo Security pueda enviar paquetes a través de la WAN (Internet), tiene que introducir su router ADSL como "router estándar". Si utiliza un DSL-Router como Internet Gateway, tiene que activar en él al menos los puertos siguientes: puerto 500 (ISAKMP) puerto 4500 (NAT-T) Si se descargan configuraciones (no a través de un túnel activo) se tiene que activar además el Port 443 (HTTPS). 138 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

139 Configurar un acceso remoto vía túnel VPN 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client 3. Haga clic en el área de navegación en "Todos los módulos" y a continuación en el área de contenido, en la línea con "Módulo2". 4. Haga clic en la columna "Nombre" e introduzca el nombre "SSC-PC2". Resultado: los ajustes han concluido y deberían corresponderse con la figura siguiente: Configurar conexión túnel El módulo Security y el SOFTNET Security Client pueden crear un túnel IPSec para la comunicación segura si están asignados a un mismo grupo en el proyecto. Proceda del siguiente modo: 1. Seleccione "Grupos VPN" en el área de navegación y cree un grupo con el comando de menú "Insertar" > "Grupo". El grupo recibe automáticamente el nombre "Grupo1". 2. Seleccione el módulo Security en el área de contenido y arrástrelo al "Grupo1" en el área de navegación. El módulo está asignado ahora a dicho grupo o bien es miembro del mismo. El color del símbolo de la llave cambia de gris a azul. Esto significa que para el módulo se ha configurado una conexión IPsec. 3. Seleccione en el área de contenido el módulo SOFTNET Security Client y arrástrelo al "Grupo1" en el área de navegación. El módulo está asignado ahora también a dicho grupo. La configuración de la conexión de túnel ha terminado. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

140 Configurar un acceso remoto vía túnel VPN 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client Cargar la configuración en un módulo Security y guardar la configuración de SOFTNET Security Client Proceda del siguiente modo: 1. Llame el siguiente cuadro de diálogo con el comando de menú "Transferir" > "A todos los módulos...": 2. Inicie el proceso de carga con el botón "Iniciar". 3. Guarde el archivo de configuración "NombreDeProyecto.SSC-PC2.dat" en el directorio del proyecto y asigne una contraseña como clave privada del certificado. Si el proceso de carga se ha concluido sin errores, el módulo Security arranca de nuevo automáticamente y se activa la nueva configuración. Resultado: módulo Security en modo productivo Con esto ha concluido la puesta en servicio de la configuración y el módulo Security y el SOFTNET Security Client pueden crear un túnel de comunicación a través del que se pueden comunicar de forma segura los nodos de las redes internas con PC2. Nota Para el uso de una WAN como red externa pública, no se puede configurar un módulo Security con la configuración de fábrica a través de la red WAN. Configure en este caso el módulo Security a partir de la red interna. 140 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

141 Configurar un acceso remoto vía túnel VPN 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client Formación de túnel con el SOFTNET Security Client Proceda del siguiente modo: 1. Inicie el SOFTNET Security Client en PC2. 2. Pulse el botón "Cargar configuración", cambie a su directorio del proyecto y cargue el archivo de configuración "NombreDeProyecto.SSC-PC2.dat". 3. Introduzca la contraseña para la clave privada del certificado y confirme con "Siguiente". 4. Confirme el cuadro de diálogo " Activar todos los dispositivos configurados estáticamente?" con "Sí". 5. Pulse el botón "Vista general de túneles". Resultado: conexión de túnel activa Se ha establecido el túnel entre el módulo Security y el SOFTNET Security Client. Este estado operativo se señaliza con un círculo verde en la entrada "Módulo1". En la consola de Log de la vista general del túnel del SOFTNET Security Client aparecen algunas respuestas de su sistema respecto a cómo se ha desarrollado el intento de conexión y sobre si se han establecido directivas para la conexión de comunicación. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

142 Configurar un acceso remoto vía túnel VPN 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client Con esto ha concluido la puesta en servicio de la configuración y el módulo Security y el SOFTNET Security Client han creado un túnel de comunicación a través del que se pueden comunicar de forma segura los nodos de la red interna y PC Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

143 Configurar un acceso remoto vía túnel VPN 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client Probar la función túnel (Ping-Test) Cómo se puede probar la función configurada? La prueba de la función se puede realizar con un comando ping tal como se describe a continuación. Como alternativa se pueden utilizar otros programas de comunicación para el test de la configuración. ATENCIÓN En Windows, el firewall puede estar ajustado por defecto de manera que no puedan pasar comandos ping. Eventualmente tendrá que habilitar los servicios ICMP del tipo "Request" y "Response". Sección de test 1 Compruebe ahora el funcionamiento de la conexión de túnel establecida entre PC1 y PC2 del siguiente modo: 1. En el PC2, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Entrada del comando ping de PC2 a PC1 (dirección IP ). Directamente en la línea de comandos de la ventana "Símbolo del sistema", introduzca el comando "ping " en la posición del cursor. A continuación recibirá el mensaje siguiente (respuesta positiva de PC1): Getting Started (primeros pasos), 04/2012, C79000-G8978-C

144 Configurar un acceso remoto vía túnel VPN 5.2 Acceso remoto - ejemplo de túnel VPN con CP x43-1 Advanced y SOFTNET Security Client Resultado Cuando los telegramas IP llegan al PC1, la "estadística ping" muestra para lo siguiente: Enviado = 4 Recibido = 4 Perdido = 0 (0% pérdida) Dado que no estaba permitida ninguna otra comunicación, estos telegramas solo se pueden haber transportado por el túnel VPN. Sección de test 2 Repita ahora el test emitiendo un comando ping desde el PC3. 1. En el PC3, llame en la barra de inicio el comando de menú "Inicio" > "Todos los programas" > "Accesorios" > "Símbolo del sistema". 2. Emita de nuevo el mismo comando ping ("ping ") en la ventana del símbolo del sistema del PC3. Seguidamente, recibirá el mensaje siguiente (ninguna respuesta de PC1): Resultado Los telegramas IP del PC3 no pueden llegar al PC1, ya que no hay configurada ninguna comunicación de túnel entre estos dispositivos ni tampoco se permite el tráfico de datos IP normal. Esto se indica en la "estadística ping" para del siguiente modo: Enviado = 4 Recibido = 0 Perdido = 4 (100% pérdida) 144 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

145 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client Sinopsis En este ejemplo se configura la función de túnel VPN en la vista de configuración "Modo avanzado". Un SCALANCE M y el SOFTNET Security Client forman los dos puntos finales del túnel para la conexión de túnel segura a través de una red pública. Con esta configuración se consigue que el tráfico IP entre dos interlocutores autorizados solo sea posible a través de la conexión de túnel VPN establecida. Nota Para la configuración de este ejemplo es obligatorio obtener del proveedor (proveedor de telefonía móvil) una dirección IP pública, no modificable, para la tarjeta SIM del SCALANCE M, a la que se pueda acceder a través de Internet. (Otra posibilidad es utilizar una dirección DynDNS para el SCALANCE M.) Configuración de la red de test: Getting Started (primeros pasos), 04/2012, C79000-G8978-C

146 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client Red interna - conexión a SCALANCE M puerto X2 ("red interna") En la configuración de test, en la red interna cada nodo de red se realiza por medio de un PC que está conectado al puerto "Internal Network" (puerto X2) de un SCALANCE M. PC1: representa un dispositivo de la red interna SCALANCE M: módulo SCALANCE M para protección de la red interna Red pública externa - conexión a través de la antena SCALANCE M ("red externa") La red pública externa es una red GSM o de telefonía móvil, que puede ser seleccionada por el abonado del proveedor (de telefonía móvil) y se alcanza a través de la antena del módulo SCALANCE M. PC2: PC con elsoftware de configuración Security Configuration Tool y el software SOFTNET Security Client para el acceso VPN seguro a la red interna Dispositivos/componentes necesarios: Utilice los siguientes componentes para el montaje: 1 módulo SCALANCE M con tarjeta SIM (opcional: un riel de perfil de sombrero correspondientemente instalado, con material de montaje); 1 fuente de alimentación de 24V con conector de cable y enchufe para bloque de bornes; 1 PC en el cual va instalada la herramienta de configuración "Security Configuration Tool" y el cliente VPN "SOFTNET Security Client"; 1 PC en la red interna, del SCALANCE M con un navegador para la configuración del SCALANCE M y el test de la configuración; 1 router ADSL (conexión a Internet para el PC con el cliente VPN (RDSI, ADSL, UMTS, etc.)) Los cables de red, cables TP (Twisted Pair) necesarios según el estándar IE FC RJ45 para Industrial Ethernet. 146 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

147 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client Los pasos siguientes, en síntesis Instalar SCALANCE M y red Proceda del siguiente modo: 1. Saque primero el SCALANCE M de su embalaje y compruebe si está en perfecto estado. 2. Siga la puesta en servicio "paso a paso" descrita en el manual de sistema del SCALANCE M hasta llegar al punto en el que deberá configurar según sus requisitos. Utilice para ello PC1, Instalación del SCALANCE M, consulte el capítulo Realizar la configuración del SCALANCE M (Página 154). 3. Establezca las conexiones físicas de red enchufando los conectores de los cables de red en los puertos previstos al efecto (conectores hembra RJ45): Conecte el PC1 con el puerto X2 ("red interna") del SCALANCE M Conecte PC2 con el DSL-Router 4. Ponga en marcha los PCs implicados Configurar los ajustes de IP de los PCs Los PCs deberían tener los siguientes ajustes de dirección IP para el test: PC Dirección IP Máscara de subred Gateway estándar PC PC Getting Started (primeros pasos), 04/2012, C79000-G8978-C

148 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client Para la pasarela estándar del PC1 indique la dirección IP que se asigne al módulo SCALANCE M (para la interfaz de red interna) en la siguiente configuración. Para PC2, indique la dirección IP del DSL-Router (para la interfaz de red interna). Con PC1 y PC2 proceda en cada caso de la siguiente manera para abrir las conexiones de red en el PC correspondiente: 1. Abra el panel de control en el respectivo PC con el comando de menú "Inicio" > "Panel de control". 2. Abra el símbolo "Red y centro de autorización" y, en el menú de navegación que se encuentra a la izquierda, seleccione la opción "Modificar los ajustes del adaptador". 3. Active en el cuadro de diálogo "Propiedades de la conexión LAN" la casilla de verificación "Protocolo Internet versión 4 (TCP/IPv4)". 4. Haga clic en el botón "Propiedades". 5. Seleccione en el diálogo "Propiedades del protocolo de Internet versión 4 (TCP/IPv4)" la casilla de verificación "Usar la siguiente dirección IP:" apagado. 148 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

149 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client 6. Introduzca en los campos previstos al efecto los valores correspondientes al PC, tomados de la tabla "Crear configuración IP de los PCs". 7. Cierre los cuadros de diálogo con "Aceptar" y cierre el panel de control Crear proyecto y módulos. Proceda del siguiente modo: 1. Instala e inicie el software de configuración "Security Configuration Tool" en el PC2. 2. Elija el comando de menú "Proyecto" > "Nuevo". 3. En el siguiente cuadro de diálogo cree un usuario con nombre de usuario y la contraseña correspondiente. Al usuario se le asignará automáticamente el papel de "Administrator". 4. Confirme la entrada. Resultado: se ha creado un proyecto nuevo. Se abre el cuadro de diálogo "Selección de un módulo o configuración de software". 5. Configure lo siguiente: Tipo de producto: SOFTNET Configuration (SOFTNET Security Client, SOFTNET Security Client, SCALANCE M87x/MD74x) Módulo: SOFTNET Security Client Versión de firmware: V3 Asigne el nombre de módulo "SSC-PC2" y cierre el cuadro de diálogo con"aceptar". 6. Cree un segundo módulo con el comando de menú "Insertar" > "Módulo". Configure lo siguiente: Tipo de producto: SOFTNET Configuration (SOFTNET Security Client, SOFTNET Security Client, SCALANCE M87x/MD74x) Módulo: SCALANCE M87x/MD74x Versión de firmware: V3 Asigne el nombre de módulo "SCALANCE M". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

150 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client 7. En el área "Configuración", introduzca la dirección IP externa y la máscara de subred externa en el formato predefinido. Nota Para la configuración de este ejemplo es obligatorio obtener del proveedor (proveedor de telefonía móvil) una dirección IP pública, no modificable, para la tarjeta SIM del SCALANCE M, a la que se pueda acceder a través de Internet. Introduzca la dirección IP como dirección IP externa para su módulo. Si trabaja con direcciones dinámicas para el SCALANCE M, necesitará una dirección DynDNS para el módulo. En este caso no necesita adaptar la dirección IP externa en este lugar. La dirección IP insertada sirve únicamente como comodín. En la configuración del SOFTNET Security Client, indique posteriormente un nombre DNS en lugar de una dirección IP externa. 8. En el área "Configuración", introduzca la dirección IP interna ( ) y la máscara de subred interna ( ) en el formato predefinido y confirme el cuadro de diálogo con "Aceptar". Resultado: los ajustes han concluido y deberían corresponderse con la figura siguiente: Configurar la conexión de túnel Un SCALANCE M y el SOFTNET Security Client pueden crear un túnel IPSec para la comunicación segura si están asignados a un mismo grupo en el proyecto. 150 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

151 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client Proceda del siguiente modo: 1. Seleccione "Grupos VPN" en el área de navegación y cree un grupo con el comando de menú "Insertar" > "Grupo": El grupo recibe automáticamente el nombre "Grupo1". 2. Seleccione el módulo SCALANCE M en el área de contenido y arrástrelo al "Grupo1" en el área de navegación. El módulo está asignado a dicho grupo o bien es miembro del mismo. El color del símbolo de la llave cambia de gris a azul. Esto significa que para el módulo se ha configurado una conexión IPsec. 3. Seleccione en el área de contenido el módulo SOFTNET Security Client "SSC-PC2" y arrástrelo a "Grupo1" en el área de navegación. El módulo está asignado también a dicho grupo. 4. Cambie al modo avanzado con el comando de menú "Ver" > "Modo avanzado". 5. Abra las propiedades de grupo del Grupo 1 seleccionado en el menú de contexto "Propiedades..". Getting Started (primeros pasos), 04/2012, C79000-G8978-C

152 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client 6. Modifique la vida útil SA de la fase 1 y de la fase 2 a 1440 minutos y deje todos los demás ajustes tal como están. ATENCIÓN Solo se puede crear una conexión de túnel correcta entre un SCALANCE M y SOFTNET Security Client si se respetan los siguientes parámetros. El uso de parámetros diferentes puede ocasionar que los dos partner de tunneling no puedan establecer entre sí conexión VPN alguna. Procedimiento de autenticación: Certificado Advanced Settings Phase 1: Modo IKE: Main Phase 1 DH Group: Group2 Phase 1 Encryption: 3DES-168 Vida útil SA (minutos): 1440 minutos Phase 1 Authentication: SHA1 Advanced Settings Phase 2: SA Lifetype: Time Phase 2 Encryption: 3DES-168 Vida útil SA: 1440 minutos Phase 2 Authentication: SHA1 152 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

153 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client 7. Guarde el proyecto con el comando de menú "Proyecto" > "Guardar como..." utilizando un nombre apropiado. La configuración de la conexión de túnel ha terminado Guardar la configuración del SCALANCE M y del SOFTNET Security Client Proceda del siguiente modo: 1. Llame el siguiente cuadro de diálogo con el comando de menú "Transferir" > "A todos los módulos...": 2. Inicie el proceso de carga con el botón "Iniciar". 3. Guarde el archivo de configuración "NombreDeProyecto.SSC-PC2.dat" en el directorio del proyecto y asigne una contraseña como clave privada del certificado. En el directorio del proyecto se guardan los siguientes archivos: "NombreDeProyecto.SSC-PC2.dat" "NombreDeProyecto.SecuenciaDeCaracteres.SSC-PC2.p12" "NombreDeProyecto.Grupo1.cer" 4. Guarde el archivo de configuración "NombreDeProyecto.SCALANCE-M.txt" en el directorio del proyecto y asigne una contraseña como clave privada del certificado. En el directorio del proyecto se guardan los siguientes archivos: "NombreDeProyecto.SCALANCE-M.txt" "NombreDeProyecto.SecuenciaDeCaracteres.SCALANCE-M.p12" "NombreDeProyecto.Grupo1.SCALANCE-M.cer" Getting Started (primeros pasos), 04/2012, C79000-G8978-C

154 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client Ha guardado todos los archivos y certificados necesarios y puede poner en servicio el SCALANCE M y el SOFTNET Security Client Realizar la configuración del SCALANCE M Con la ayuda del archivo de texto guardado "NombreDeProyecto.SCALANCE-M.txt", puede llevar a cabo fácilmente la configuración con la Web Based Management del SCALANCE M. A continuación, tomando este ejemplo, se le muestra paso a paso la configuración del SCALANCE M. Para la configuración se realiza lo siguiente: el SCALANCE M recibe una dirección IP pública fija a la que se puede acceder vía Internet; el SOFTNET Security Client recibe una dirección IP dinámica del proveedor. Paralelamente se le indicará donde corresponda que configure un nombre DynDNS para el SCALANCE M. Proceda del siguiente modo: 1. Conéctese por medio del PC1 con la plataforma web del SCALANCE M. Observación: si el SCALANCE M tiene ajustes de fábrica, entonces la interfaz interna del módulo tiene la dirección IP Navegue hasta el directorio "IPSec VPN" > "Certificados". 154 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

155 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client 3. Ha guardado los certificados necesarios en el último capítulo de PC2, y ha indicado una contraseña para la clave privada. Transfiera primero al PC1 los certificados ("NombreDeProyecto.SecuenciaDeCaracteres.SCALANCE-M.p12", "NombreDeProyecto.Grupo1.SCALANCE-M.cer") para el SCALANCE M. 4. Cargue ahora en el módulo el certificado de los interlocutores "NombreDeProyecto.Grupo1.SCALANCE-M.cer" y el archivo PKCS 12 "NombreDeProyecto.SecuenciaDeCaracteres.SCALANCE-M.p12". Modo VPN Roadwarrior del SCALANCE M Puesto que el SOFTNET Security Client dispone de una dirección IP dinámica, se utiliza el modo VPN Roadwarrior del SCALANCE M para establecer una conexión segura. Modo Roadwarrior del SCALANCE M: En el modo VPN Roadwarrior, el SCALANCE M puede aceptar conexiones VPN de interlocutores con dirección desconocida. Se pueden aplicar de forma móvil, por ejemplo, interlocutores que obtengan de forma dinámica su dirección de IP. La conexión VPN debe ser establecida a través de los interlocutores. Es posible una conexión VPN en el modo Roadwarrior. Las conexiones VPN en el modo estándar pueden, para ello, ser operadas en paralelo. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

156 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client Proceda del siguiente modo: 1. Navegue hasta el directorio "IPSec VPN" > "Conexiones". 2. Haga clic en el botón "Editar" de "Ajustes". 3. Realice los ajustes del Roadwarrior VPN tal y como se muestra en la siguiente figura, y guárdelos. Puede determinar la "ID remota" desde el archivo de texto "NombreDeProyecto.SCALANCE-M.txt". La entrada de la "ID remota" es posible opcionalmente. 4. Haga clic en el botón "Editar" de IKE en la ventana "Conexiones VPN IPSec". 156 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

157 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client 5. Realice los ajustes IKE del Roadwarrior VPN tal y como se muestra en el siguiente gráfico, y guárdelos. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

158 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client ATENCIÓN Solo se puede crear una conexión de túnel correcta entre SCALANCE M y SOFTNET Security Client si se respetan estrictamente los siguientes parámetros. El uso de parámetros diferentes hace que los dos partner de tunneling no establezcan entre sí conexión VPN alguna. Aténgase siempre a los ajustes indicados en el archivo de texto recibido (como se indica a continuación). Procedimiento de autenticación: X.509 certificado de interlocutores Fase 1 - ISKAMP SA: ISAKMP-SA encriptación: 3DES-168 ISAKMP-SA Hash: SHA-1 Modo ISAKMP-SA: Main Mode ISAKMP-SA vida (segundos): Fase 2 - IPSec SA: Encriptación IPSec SA: 3DES-168 IPSec SA Hash: SHA-1 PSec SA vida (segundos): Grupo DH/PFS: DH Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

159 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client 6. Para poder utilizar la función de diagnóstico del SOFTNET Security Client para un túnel VPN correctamente establecido en conexión con el SCALANCE M, deberá admitir un ping de la red externa del SCALANCE M. Navegue para ello hasta el directorio "Seguridad" > "Avanzado". Ponga la función "ICMP de externa a SCALANCE M" en el valor "Permitir ping" y guarde la entrada. Para ello deberá observar lo que se expresa en el siguiente gráfico. Nota Si no autoriza esta función no podrá utilizar la función de diagnóstico del SOFTNET Security Client para un túnel VPN correctamente construido en conexión con el SCALANCE M. Entonces no recibirá mensaje alguno sobre si el túnel se ha establecido correctamente, pero puede comunicarse de forma segura a través del túnel. 7. Para poder llegar a la interfaz web del SCALANCE M también a través de la interfaz externa, autorice el acceso remoto HTTPS. De esta forma tiene la posibilidad de configurar y diagnosticar a distancia el SCALANCE M a través de un túnel. Navegue para ello hasta el directorio "Acceso" > "HTTPS". Ponga la función "Activar el acceso remoto HTTPS" en el valor "Sí", como se muestra en el siguiente gráfico, y guarde los cambios. Getting Started (primeros pasos), 04/2012, C79000-G8978-C

160 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client Nota Si desea llegar al SCALANCE M por medio de un nombre DNS, parametrice en el siguiente directorio la conexión del servidor DynDNS: "Red externa" > "Ajustes avanzados" > "DynDNS" 1. Cambie el ajuste "Notificar este SCALANCE M en un servidor DynDNS" al valor "Sí". 2. Indique su nombre de usuario y la contraseña de su DynDNS Account. 3. Introduzca íntegramente la dirección DynDNS en el campo "Nombre de host DynDNS". Introduzca también el dominio de dicha dirección (p. ej. "mydns.dyndns.org"). 160 Getting Started (primeros pasos), 04/2012, C79000-G8978-C287-01

161 Configurar un acceso remoto vía túnel VPN 5.3 Acceso remoto - Ejemplo de túnel VPN con SCALANCE M y SOFTNET Security Client Con esto ha terminado la puesta en servicio del SCALANCE M. El módulo y el SOFTNET Security Client pueden constituir un túnel de comunicación a través del cual pueden comunicarse de forma segura los nodos de red de la red interna con PC Construcción del túnel con el SOFTNET Security Client Proceda del siguiente modo: 1. Inicie el SOFTNET Security Client en PC2. 2. Pulse el botón "Cargar configuración", cambie a su directorio del proyecto y cargue el archivo de configuración "NombreDeProyecto.SSC-PC2.dat". 3. Para una configuración del SCALANCE M, el SOFTNET Security Client abre el cuadro de diálogo "Ajustes IP/DNS SCALANCE M". En este cuadro de diálogo, indique la dirección IP pública del SCALANCE M que haya recibido de su proveedor. Confirme el cuadro de diálogo con "Aceptar". Observación: Si trabaja con un nombre DNS, entonces puede configurarlo en dicho cuadro de diálogo en lugar de una dirección IP. 4. Introduzca la contraseña para el certificado y confirme con "Siguiente". Getting Started (primeros pasos), 04/2012, C79000-G8978-C