SCALANCE S e SOFTNET Security Client

Transcript

SCALANCE S e SOFTNET Security
___________________
Prefazione
Client
Introduzione e nozioni di
1
___________________
base
SIMATIC NET
SCALANCE S e SOFTNET Security
Client
Istruzioni operative
Proprietà del prodotto e
2
___________________
messa in servizio
3
___________________
GETTING STARTED
Progettazione con Security
4
___________________
Configuration Tool
Firewall, router e altre
5
___________________
proprietà del modulo
Comunicazione protetta nella
VPN tramite tunnel IPsec
(S612/S613)
6
___________
SOFTNET Security Client
7
___________________
(S612/S613)
Funzioni online - Test,
8
___________________
diagnostica e logging
A
___________________
Suggerimenti e assistenza
Avvertenze relative al
B
___________________
marchio CE
C
___________________
Bibliografia
D
___________________
Disegno quotato
E
___________________
Cronologia documento
02/2011
C79000-G8972-C196-07
Avvertenze di legge
Avvertenze di legge
Concetto di segnaletica di avvertimento
Questo manuale contiene delle norme di sicurezza che devono essere rispettate per salvaguardare l'incolumità
personale e per evitare danni materiali. Le indicazioni da rispettare per garantire la sicurezza personale sono
evidenziate da un simbolo a forma di triangolo mentre quelle per evitare danni materiali non sono precedute dal
triangolo. Gli avvisi di pericolo sono rappresentati come segue e segnalano in ordine descrescente i diversi livelli
di rischio.
PERICOLO
questo simbolo indica che la mancata osservanza delle opportune misure di sicurezza provoca la morte o gravi
lesioni fisiche.
AVVERTENZA
il simbolo indica che la mancata osservanza delle relative misure di sicurezza può causare la morte o gravi
lesioni fisiche.
CAUTELA
con il triangolo di pericolo indica che la mancata osservanza delle relative misure di sicurezza può causare
lesioni fisiche non gravi.
CAUTELA
senza triangolo di pericolo indica che la mancata osservanza delle relative misure di sicurezza può causare
danni materiali.
ATTENZIONE
indica che, se non vengono rispettate le relative misure di sicurezza, possono subentrare condizioni o
conseguenze indesiderate.
Nel caso in cui ci siano più livelli di rischio l'avviso di pericolo segnala sempre quello più elevato. Se in un avviso
di pericolo si richiama l'attenzione con il triangolo sul rischio di lesioni alle persone, può anche essere
contemporaneamente segnalato il rischio di possibili danni materiali.
Personale qualificato
Il prodotto/sistema oggetto di questa documentazione può essere adoperato solo da personale qualificato per il
rispettivo compito assegnato nel rispetto della documentazione relativa al compito, specialmente delle avvertenze
di sicurezza e delle precauzioni in essa contenute. Il personale qualificato, in virtù della sua formazione ed
esperienza, è in grado di riconoscere i rischi legati all'impiego di questi prodotti/sistemi e di evitare possibili
pericoli.
Uso conforme alle prescrizioni di prodotti Siemens
Si prega di tener presente quanto segue:
AVVERTENZA
I prodotti Siemens devono essere utilizzati solo per i casi d’impiego previsti nel catalogo e nella rispettiva
documentazione tecnica. Qualora vengano impiegati prodotti o componenti di terzi, questi devono essere
consigliati oppure approvati da Siemens. Il funzionamento corretto e sicuro dei prodotti presuppone un trasporto,
un magazzinaggio, un’installazione, un montaggio, una messa in servizio, un utilizzo e una manutenzione
appropriati e a regola d’arte. Devono essere rispettate le condizioni ambientali consentite. Devono essere
osservate le avvertenze contenute nella rispettiva documentazione.
Marchio di prodotto
Tutti i nomi di prodotto contrassegnati con ® sono marchi registrati della Siemens AG. Gli altri nomi di prodotto
citati in questo manuale possono essere dei marchi il cui utilizzo da parte di terzi per i propri scopi può violare i
diritti dei proprietari.
Esclusione di responsabilità
Abbiamo controllato che il contenuto di questa documentazione corrisponda all'hardware e al software descritti.
Non potendo comunque escludere eventuali differenze, non possiamo garantire una concordanza perfetta. Il
contenuto di questa documentazione viene tuttavia verificato periodicamente e le eventuali correzioni o modifiche
vengono inserite nelle successive edizioni.
Siemens AG
Industry Sector
Postfach 48 48
90026 NÜRNBERG
GERMANIA
N. di ordinazione documentazione: C79000-G8972-C196-07
Ⓟ 02/2011
Copyright © Siemens AG 2006, 2007,
2008, 2010, 2011.
Con riserva di eventuali modifiche tecniche
Prefazione
Questo manuale...
...fornisce un supporto durante la messa in servizio del Security Module SCALANCE S602 /
S612 / S613 e del SOFTNET Security Client. Le varianti SCALANCE S602 / S612 / S613
vengono di seguito indicate con SCALANCE S.
Istruzioni operative, 02/2011, C79000-G8972-C196-07
3
Prefazione
Nuovo in questa edizione
In questa edizione sono inoltre incluse le seguenti nuove funzioni:
● Security Configuration Tool V2.3
Per un semplice utilizzo e per ottenere una migliore panoramica sui diversi tipi di moduli,
la gestione dell'integrazione dei moduli e la sostituzione dei moduli ha una nuova
concezione.
Un SOFTNET Security Client V3.0 può essere configurato insieme ad un MD741-1 e
possono essere creati i dati di configurazione corrispondenti (vedere GETTING
STARTED Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e
SOFTNET Security Client (Pagina 89)).
Per la modalità IKE (fase 1) possono essere parametrizzati algoritmi di codifica AES-128,
AES-192 e AES-256.
Oltre ai sistemi operativi Windows XP SP2 e Windows XP SP3 viene supportato il
sistema operativo Windows 7 (non la versione Home).
● SOFTNET Security Client V3.0
Per una migliore visualizzazione e diagnostica degli stati dei collegamenti sono state
implementate nuove icone ed è stata aggiunta una panoramica supplementare della
diagnostica ("Diagnostica estesa").
Per la consolle log nella panoramica del tunnel è possibile eseguire impostazioni in
previsione dei messaggi da visualizzare e della dimensione dei file Log.
Per risparmiare i costi in caso di collegamenti basati sui volumi, esiste la possibilità di
disattivare il testo di raggiungibilità a discapito della funzionalità di diagnostica del
SOFTNET Security Client V3.0.
Durante la diagnostica della raggiungibilità del partner del tunnel, nei tunnel con percorsi
di trasmissione più lenti (UMTS, GPRS, ecc.) può verificarsi che la raggiungibilità venga
visualizzata come negativa nonostante la comunicazione funzioni. In questo caso il
tempo di attesa della risposta ping (test di raggiungibilità) può generalmente aumentare.
La realizzazione del collegamento ad un MD741-1 viene supportata. In questo caso può
essere configurato un indirizzo DNS dinamico (vedere GETTING STARTED Esempio 5:
Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client
(Pagina 89)).
● Dati di configurazione per modulo MD 741-1
Per configurare un MD741-1 esterno per un accesso con il SOFTNET Security Client
V3.0, tramite il Security Configuration Tool V2.3 è possibile esportare i dati di
configurazione in un file di testo. (GETTING STARTED Esempio 5: Accesso remoto esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client (Pagina 89)).
4
Prefazione
Validità di questo manuale
Questo manuale è valido per i seguenti apparecchi e componenti:
● SIMATIC NET SCALANCE S602 6GK5 602-0BA00-2AA3 - con versione FW da V2.3
● SIMATIC NET SCALANCE S612 V2 6GK5 612-0BA00-2AA3 - con versione FW da V2.3
● SIMATIC NET SCALANCE S613 V2 6GK5 613-0BA00-2AA3 - con versione FW da V2.3
● SIMATIC NET SOFTNET Security Client 6GK1 704-1VW02-0AA0 - a partire dalla
versione 2008
● Security Configuration Tool - Versione V2.3
Destinatari
Questo manuale è rivolto al personale che esegue la messa in servizio del Security Module
SCALANCE S e del SOFTNET Security Client in una rete.
Ulteriore documentazione
Nel manuale "SIMATIC NET Reti Industrial Ethernet Twisted Pair e Fiber Optic“ si trovano
ulteriori avvertenze sui prodotti SIMATIC NET che possono essere utilizzati insieme al
Security Module SCALANCE S in una rete Industrial Ethernet.
Questo manuale di rete in formato elettronico può essere scaricato dal Customer Support in
internet al seguente indirizzo:
http://support.automation.siemens.com/WW/view/it/1172207
(http://support.automation.siemens.com/WW/view/de/1172207)
Norme e omologazioni
L'apparecchio SCALANCE S risponde ai requisiti richiesti dal marchio CE. Avvertenze
dettagliate su questo argomento si trovano nell'appendice del presente manuale operativo.
Simboli ricorrenti
In queste istruzioni questo simbolo rimanda a suggerimenti particolari.
Il simbolo rimanda ad una particolare bibliografia raccomandata.
Questo simbolo rimanda ad una guida dettagliata nella guida in base al contesto. Alla guida
è possibile accedere con il tasto F1 o con il pulsante "Help" nella relativa finestra di dialogo.
F1
5
Prefazione
Rimandi bibliografici /.../
I rimandi ad ulteriori documentazioni sono indicati con un numero bibliografico riportato tra
due barre /.../. In base a questi numeri è possibile rilevare dalla bibliografia riportata alla fine
del presente manuale la parte di documentazione.
6
Indice
Prefazione ................................................................................................................................................. 3
1
2
3
Introduzione e nozioni di base ................................................................................................................. 11
1.1
Impiego di SCALANCE S612, S613 e SOFTNET Security Client...............................................11
1.2
Impiego di SCALANCE S602.......................................................................................................14
1.3
Progettazione e amministrazione.................................................................................................16
Proprietà del prodotto e messa in servizio ............................................................................................... 17
2.1
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.1.6
2.1.7
2.1.8
2.1.9
Proprietà del prodotto ..................................................................................................................17
Caratteristiche hardware e panoramica delle funzioni.................................................................17
Fornitura.......................................................................................................................................18
Apertura della confezione e controllo ..........................................................................................19
Collegamento a Ethernet .............................................................................................................19
Tensione di alimentazione ...........................................................................................................20
Contatto di segnalazione .............................................................................................................21
Tasto Reset - Ripristino della configurazione all'impostazione di fabbrica..................................22
Indicatori.......................................................................................................................................23
Dati tecnici....................................................................................................................................25
2.2
2.2.1
2.2.2
2.2.3
2.2.4
Montaggio ....................................................................................................................................27
Montaggio su una guida ad U ......................................................................................................28
Montaggio su una guida profilata.................................................................................................30
Montaggio a parete ......................................................................................................................31
Collegamento a terra ...................................................................................................................31
2.3
2.3.1
2.3.2
Messa in servizio .........................................................................................................................32
Operazione 1: Collegamento del modulo SCALANCE S ............................................................34
Operazione 2: Progettazione e caricamento ...............................................................................34
2.4
C-PLUG (Configuration Plug) ......................................................................................................36
2.5
Trasferimento del firmware ..........................................................................................................39
GETTING STARTED ............................................................................................................................... 41
3.1
3.1.1
3.1.2
3.1.3
3.1.4
3.1.5
3.1.6
3.1.7
Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S613 ....................42
Informazioni generali....................................................................................................................42
Configurazione di SCALANCE S e rete.......................................................................................44
Configurazione delle impostazioni IP dei PC...............................................................................45
Creazione del progetto e del modulo...........................................................................................46
Progettazione del collegamento del tunnel..................................................................................47
Caricamento della configurazione in SCALANCE S....................................................................48
Test della funzione di tunnel (test Ping).......................................................................................49
3.2
3.2.1
3.2.2
3.2.3
3.2.4
Esempio 2: Firewall - utilizzo di SCALANCE S come firewall .....................................................51
Informazioni generali....................................................................................................................51
Configurazione di SCALANCE S e della rete ..............................................................................53
Configurazione delle impostazioni IP dei PC...............................................................................54
Creazione del progetto e del modulo...........................................................................................55
7
Indice
3.2.5
3.2.6
3.2.7
3.2.8
Progettazione del firewall ............................................................................................................ 57
Caricamento della configurazione in SCALANCE S................................................................... 58
Test della funzione firewall (test Ping) ........................................................................................ 59
Registrazione del traffico di dati del firewall (Logging) ............................................................... 61
3.3
3.3.1
3.3.2
3.3.3
3.3.4
3.3.5
3.3.6
3.3.7
3.3.8
Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router.......................... 62
Informazioni generali................................................................................................................... 62
Configurazione di SCALANCE S e della rete ............................................................................. 64
Configurazione delle impostazioni IP dei PC .............................................................................. 65
Creazione del progetto e del modulo .......................................................................................... 66
Progettazione dell’esercizio NAT router...................................................................................... 68
Progettazione del firewall ............................................................................................................ 70
Caricamento della configurazione in SCALANCE S................................................................... 73
Test della funzione del NAT router (test Ping) ............................................................................ 73
3.4
Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e
SOFTNET Security Client ........................................................................................................... 76
Configurazione di SCALANCE S e della rete ............................................................................. 78
Configurazione delle impostazioni IP dei PC .............................................................................. 79
Creazione del progetto e del modulo .......................................................................................... 81
Progettazione del collegamento del tunnel ................................................................................. 84
Caricamento della configurazione in SCALANCE S e salvataggio della configurazione
SOFTNET Security Client ........................................................................................................... 85
Realizzazione del tunnel con il SOFTNET Security Client ......................................................... 86
Test della funzione di tunnel (test Ping)...................................................................................... 87
3.4.1
3.4.2
3.4.3
3.4.4
3.4.5
3.4.6
3.4.7
3.4.8
3.5
3.5.1
3.5.2
3.5.3
3.5.4
3.5.5
3.5.6
3.5.7
3.5.8
3.5.9
4
Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET
Security Client ............................................................................................................................. 89
Configurazione di MD741-1 e reti ............................................................................................... 91
Configurazione di impostazioni IP dei PC................................................................................... 92
Creazione di un progetto e di moduli .......................................................................................... 93
Progettazione del collegamento via tunnel ................................................................................. 95
Salvataggio della configurazione dell'MD741-1 e del SOFTNET Security Client....................... 97
Esecuzione della configurazione dell'MD741-1 .......................................................................... 98
Realizzazione del tunnel con il SOFTNET Security Client ....................................................... 105
Test della funzione tunnel (test ping) ........................................................................................ 107
Progettazione con Security Configuration Tool ...................................................................................... 109
4.1
Insieme di funzioni e tipo di funzionamento .............................................................................. 109
4.2
Installazione .............................................................................................................................. 111
4.3
Superficie operativa e voci di menu .......................................................................................... 112
4.4
4.4.1
4.4.2
4.4.3
4.4.4
4.4.5
Gestione dei progetti ................................................................................................................. 115
Informazioni generali................................................................................................................. 115
Creazione e modifica di progetti ............................................................................................... 117
Configurazione utenti ................................................................................................................ 120
Controlli di coerenza ................................................................................................................. 122
Impostazione di nomi simbolici per indirizzi IP/MAC. ............................................................... 123
4.5
Caricamento della configurazione in SCALANCE S................................................................. 126
4.6
Dati di configurazione per MD 740 / MD 741 ............................................................................ 128
8
Indice
5
6
Firewall, router e altre proprietà del modulo........................................................................................... 131
5.1
5.1.1
5.1.2
5.1.3
Panoramica / Nozioni di base ....................................................................................................132
SCALANCE S come firewall ......................................................................................................132
SCALANCE S come Router.......................................................................................................133
SCALANCE S come server DHCP ............................................................................................133
5.2
Creazione di moduli e impostazione dei parametri di rete.........................................................134
5.3
5.3.1
5.3.2
Firewall - Proprietà del modulo in modalità Standard ................................................................137
Progettazione del firewall...........................................................................................................137
Preimpostazione del firewall ......................................................................................................140
5.4
5.4.1
5.4.2
5.4.3
5.4.4
5.4.5
5.4.6
5.4.7
5.4.8
5.4.9
5.4.10
Firewall - Proprietà del modulo in modalità Advanced ..............................................................142
Progettazione del firewall...........................................................................................................143
Regole firewall globali ................................................................................................................144
Impostazione delle regole del filtro pacchetto IP locali ..............................................................147
Regole del filtro pacchetto IP .....................................................................................................149
definizione dei servizi IP ............................................................................................................153
definizione dei servizi ICMP.......................................................................................................155
Impostazione di regole del filtro pacchetto MAC .......................................................................157
Regole del filtro pacchetto MAC ................................................................................................158
definizione dei servizi MAC........................................................................................................160
configurazione di gruppi di servizi..............................................................................................162
5.5
Sincronizzazione dell'ora ...........................................................................................................163
5.6
Creazione di certificati SSL........................................................................................................165
5.7
5.7.1
5.7.2
5.7.3
5.7.4
Modalità Routing ........................................................................................................................166
Routing.......................................................................................................................................166
NAT/NAPT Routing....................................................................................................................167
NAT/NAPT Routing - Esempi per la configurazione parte 1......................................................172
NAT/NAPT Routing - Esempi per la configurazione parte 2......................................................174
5.8
Server DHCP .............................................................................................................................176
Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613)................................................... 181
6.1
VPN con SCALANCE S .............................................................................................................181
6.2
6.2.1
6.2.2
Gruppi ........................................................................................................................................184
Creazione di gruppi e assegnazione di moduli ..........................................................................184
Tipi di moduli all'interno di un gruppo ........................................................................................186
6.3
Configurazione del tunnel nella modalità Standard ...................................................................187
6.4
6.4.1
6.4.2
6.4.3
6.4.4
Configurazione del tunnel in modalità Advanced.......................................................................188
Progettazione delle proprietà dei gruppi ....................................................................................188
Assunzione di SCALANCE S nel gruppo configurato................................................................191
SOFTNET Security Client ..........................................................................................................192
Configurazione delle proprietà VPN specifiche per il modulo....................................................193
6.5
6.5.1
6.5.2
6.5.3
Configurazione di nodi di rete interni .........................................................................................196
Tipo di funzionamento della modalità di programmazione ........................................................196
Visualizzazione dei nodi di rete interni trovati............................................................................199
Configurazione manuale dei nodi di rete ...................................................................................200
9
Indice
7
8
A
SOFTNET Security Client (S612/S613) ................................................................................................. 203
7.1
Impiego del SOFTNET Security Client ..................................................................................... 203
7.2
7.2.1
7.2.2
Installazione e messa in servizio del SOFTNET Security Client .............................................. 206
Installazione e avvio del SOFTNET Security Client.................................................................. 206
Disinstallazione del SOFTNET Security Client ......................................................................... 207
7.3
Impostazione dei file di configurazione con lo strumento di progettazione Security
Configuration Tool..................................................................................................................... 207
7.4
Comando del SOFTNET Security Client................................................................................... 210
7.5
Configurazione e modifica del tunnel........................................................................................ 213
Funzioni online - Test, diagnostica e logging ......................................................................................... 223
8.1
Panoramica delle funzioni della finestra di dialogo online ........................................................ 224
8.2
8.2.1
8.2.2
8.2.3
Registrazione di eventi (logging)............................................................................................... 226
Impostazioni Log locale nella configurazione ........................................................................... 227
Network Syslog - Impostazioni nella configurazione ................................................................ 230
Progettazione del loggig pacchetti ............................................................................................ 232
Suggerimenti e assistenza..................................................................................................................... 235
A.1
Il modulo SCALANCE S non si avvia correttamente ................................................................ 235
A.2
Il modulo SCALANCE S non è raggiungibile ............................................................................ 235
A.3
Sostituzione di un modulo SCALANCE S ................................................................................. 235
A.4
Il modulo SCALANCE S è compromesso ................................................................................. 235
A.5
Codice dai dati di progettazione compromesso o perso........................................................... 236
A.6
Comportamento di esercizio generale ...................................................................................... 237
B
Avvertenze relative al marchio CE ......................................................................................................... 239
C
Bibliografia............................................................................................................................................. 241
D
Disegno quotato..................................................................................................................................... 243
E
Cronologia documento........................................................................................................................... 245
E.1
Cronologia documento .............................................................................................................. 245
Glossario / indice delle abbreviazioni..................................................................................................... 247
Indice analitico ....................................................................................................................................... 259
10
Introduzione e nozioni di base
1
SIMATIC NET SCALANCE S e SIMATIC NET SOFTNET Security Client rappresentano il
concetto di sicurezza SIEMENS, mirato a soddisfare le richieste di sicurezza di
comunicazione nella tecnica di automazione industriale.
Questo capitolo fornisce informazioni generali sulle funzioni di sicurezza degli apparecchi e
dei componenti
● Security Module SCALANCE S
● SOFTNET Security Client
Suggerimento:
l'approccio rapido a SCALANCE S è descritto nel capitolo 3 "GETTING STARTED".
1.1
Impiego di SCALANCE S612, S613 e SOFTNET Security Client
Protezione totale - compito di SCALANCE S612 / S613
Grazie alla combinazione di diverse misure di sicurezza come firewall, router NAT/NAPT e
VPN (Virtual Private Network) tramite IPsec Tunnel, gli apparecchi SCALANCE S612 / S613
proteggono apparecchi singoli o intere celle di automazione:
● spionaggio dei dati
● manipolazione dei dati
● accessi non autorizzati;
SCALANCE S612 / S613 consente questa protezione flessibile, senza retroeffetti,
indipendente dal protocollo (dal layer 2 secondo IEEE 802.3) e senza utilizzo complicato.
SCALANCE S612 / S613 e SOFTNET Security Client vengono configurati con lo strumento
di progettazione Security Configuration Tool.
11
1.1 Impiego di SCALANCE S612, S613 e SOFTNET Security Client
Service Computer
con
62)71(7
Scurity Client
External
931WUDPLWHWXQQHO,3VHF
Internal
&RPSXWHUGLJHVWLRQH
SURGX]LRQH
rete esterna
6&$/$1&(6
6&$/$1&(6
• )LUHZDOO
ವ5RXWHU
ವ1$71$37
5RXWHU
6&$/$1&(6
External
External
External
Internal
Internal
Internal
IE/PB
Link
ET 200X
HMI
0
S7-400
OP 270
LQWHUQD6HUYL]LRVXSHUYLVLRQH
Figura 1-1
1
LQWHUQD&HOODGLDXWRPD]LRQH
S7-300
Configurazione della rete con SCALANCE S612 / S613
12
1.1 Impiego di SCALANCE S612, S613 e SOFTNET Security Client
Funzioni di sicurezza
● Firewall
– IP Firewall con Stateful Packet Inspection;
– Firewall anche per telegrammi Ethernet "Non-IP" secondo IEEE 802.3
(telegrammi layer 2; non valido se viene utilizzata la modalità router)
– Limitazione della larghezza di banda
Tutti i nodi di rete che si trovano in un segmento di rete interno di uno SCALANCE S
sono protetti da questo Firewall.
● Comunicazione protetta con IPsec Tunnel
SCALANCE S612 / S613 e SOFTNET Security Clients possono essere raggruppati
tramite progettazione. Tra tutti gli SCALANCE S612 / S613 e un SOFTNET Security
Client di un gruppo vengono realizzati IPsec Tunnel (VPN, Virtual Private Network). Tutti i
nodi interni di questo SCALANCE S possono comunicare tra loro in modo sicuro tramite
questo tunnel.
● Indipendenza dal protocollo
La realizzazione dei tunnel comprende anche telegrammi Ethernet secondo IEEE 802.3
(telegrammi layer 2; non valido se viene utilizzata la modalità router).
Attraverso il tunnel IPsec vengono trasmessi sia telegrammi IP, sia telegrammi Non-IP.
● Router operation
Utilizzando SCALANCE S come router, si collega la rete interna alla rete esterna. La rete
interna collegata tramite SCALANCE S diventa quindi una sotto-rete propria.
● Protezione per apparecchi e segmenti di rete
La funzione di protezione Firewall e VPN può estendersi dal funzionamento di singoli
apparecchi, più apparecchi, fino a interi segmenti di rete.
● Senza retroeffetti in caso di montaggio in reti piatte (modalità bridge)
I nodi di rete interni possono essere trovati senza progettazione. In caso di montaggio di
uno SCALANCE S612 / S613 in un'infrastruttura di rete esistente non è quindi necessario
riconfigurare gli apparecchi terminali.
Il modulo cerca di trovare nodi interni; i nodi interni che non possono essere trovati in
questo modo devono perciò essere progettati.
Comunicazione PC/PG in VPN - Compito del SOFTNET Security Client
Con il software PC SOFTNET Security Client sono possibili accessi remoti sicuri dal PC/PG
agli apparecchi di automazione protetti da SCALANCE S, in tutte le reti pubbliche.
Con il SOFTNET Security Client un PC/PG viene configurato automaticamente in modo che
esso possa realizzare una comunicazione sicura tramite tunnel IPsec nella VPN (Virtual
Private Network) con uno o diversi SCALANCE S.
Le applicazioni PG/PC come diagnostica NCM o STEP7 possono in questo modo accedere
con un collegamento sicuro tramite tunnel ad apparecchi o reti che si trovano in una rete
interna protetta con SCALANCE S.
13
1.2 Impiego di SCALANCE S602
Anche il software PC SOFTNET Security Client viene configurato con lo strumento di
progettazione Security Configuration Tool; in questo modo viene garantita la progettazione
completamente integrata che non richiede uno speciale Security Know How.
Nodi di rete interni ed esterni
SCALANCE S612 / S613 ripartisce le reti in due aree:
● rete interna: aree protette con "nodi interni"
I nodi interni sono quelli protetti da uno SCALANCE S.
● rete esterna: aree non protette con "nodi esterni"
I nodi esterni sono quelli che si trovano fuori dall'area protetta.
ATTENZIONE
Le reti interne vengono considerate sicure (fidate).
Collegare un segmento di rete interno a segmenti di rete esterni solo tramite
SCALANCE S.
Non devono esistere altri percorsi di collegamento tra rete interna ed esterna!
1.2
Impiego di SCALANCE S602
Firewall e Router - Compito di SCALANCE S602
Grazie alla combinazione di diverse misure di sicurezza come firewall e router NAT/NAPT,
l'apparecchio SCALANCE S602 protegge singoli apparecchi o intere celle di automazione
da:
● spionaggio dei dati
● accessi non autorizzati;
SCALANCE S602 consente questa protezione in modo flessibile e senza trattamenti
complessi.
SCALANCE S602 viene configurato con lo strumento di progettazione Security Configuration
Tool.
14
1.2 Impiego di SCALANCE S602
UHWHHVWHUQD
SCALANCE S
SCALANCE S
SCALANCE S
External
External
External
Internal
Internal
Internal
• )LUHZDOO
ವ5RXWHU
ವ1$7URXWHU
1$37
IE/PB
Link
ET 200X
HMI
0
1
S7-400
OP 270
"interna": Servizio & supervisione
Figura 1-2
"interna": Cella di automazione
S7-300
"interna": Cella di automazione
Configurazione della rete con SCALANCE S602
Funzioni di sicurezza
● Firewall
– IP Firewall con Stateful Packet Inspection;
– Firewall anche per telegrammi Ethernet "Non-IP" secondo IEEE 802.3
(telegrammi layer 2; non vale per S602 se viene utilizzato il funzionamento router);
– Limitazione della larghezza di banda
Tutti i nodi di rete che si trovano in un segmento di rete interno di uno SCALANCE S
sono protetti da questo Firewall.
● Funzionamento router
Utilizzando SCALANCE S come router, si disaccoppia la rete interna dalla rete esterna.
La rete interna collegata da SCALANCE S diventa quindi una sotto-rete propria;
SCALANCE S deve essere indirizzato esplicitamente come router tramite il proprio
indirizzo IP.
● Protezione per apparecchi e segmenti di rete
La funzione di protezione Firewall può estendersi dal funzionamento di singoli
apparecchi, più apparecchi, fino a interi segmenti di rete.
● Senza retroeffetti in caso di montaggio in reti piatte (modalità bridge)
In caso di montaggio di uno SCALANCE S602 in un'infrastruttura di rete esistente non è
necessario reimpostare gli apparecchi terminali.
15
1.3 Progettazione e amministrazione
Nodi di rete interni ed esterni
SCALANCE S602 ripartisce le reti in due aree:
● rete interna: aree protette con "nodi interni"
I nodi interni sono quelli protetti da uno SCALANCE S.
● rete esterna: aree non protette con "nodi esterni"
I nodi esterni sono quelli che si trovano fuori dall'area protetta.
ATTENZIONE
Le reti interne vengono considerate sicure (fidate).
Collegare un segmento di rete interno a segmenti di rete esterni solo tramite
SCALANCE S.
Non devono esistere altri percorsi di collegamento tra rete interna ed esterna!
1.3
Progettazione e amministrazione
Riassunto dei punti più importanti
L'interazione con lo strumento di progettazione Security Configuration Tool consente un
impiego semplice e sicuro dei moduli SCALANCE S:
● Progettazione senza nozioni esperti IT con il Security Configuration Tool
Con il Security Configuration Tool anche non esperti IT possono impostare un modulo
SCALANCE S. In una modalità di ampliamento, in caso di necessità, è possibile eseguire
impostazioni complicate.
● Comunicazione amministrativa protetta
La trasmissione delle impostazioni verso SCALANCE S vengono eseguite con un
collegamento codificato SSL.
● Protezione contro l'accesso nel Security Configuration Tool
Grazie alla gestione utente del Security Configuration Tool, è garantito una protezione
contro l'accesso per gli apparecchi SCALANCE S e i dati di progettazione.
● Supporto dati C-PLUG impiegabile
Il C-PLUG è un supporto dati innestabile, sul quale sono salvati i dati di configurazione
codificati. In caso di sostituzione di uno SCALANCE S, esso consente la configurazione
senza PC/PG.
16
Proprietà del prodotto e messa in servizio
2
Questo capitolo descrive l'approccio all'utilizzo e a tutte le proprietà più importanti
dell'apparecchio SCALANCE S.
Qui vengono descritte le possibilità di montaggio disponibili e la messa in servizio
dell'apparecchio in poche operazioni.
Altre informazioni
La configurazione dell'apparecchio per applicazioni standard è descritta in modo sintetico nel
capitolo "GETTING STARTED".
Le informazioni dettagliate per la progettazione e le funzioni online si trovano nella parte di
consultazione di questo manuale.
2.1
Proprietà del prodotto
Nota
Le omologazioni indicate hanno validità solo quando sul prodotto è stata applicata la relativa
contrassegnatura.
2.1.1
Caratteristiche hardware e panoramica delle funzioni
Tutti i moduli SCALANCE S offrono le seguenti potenzialità fondamentali:
Hardware
● Custodia robusta con grado di protezione IP 30
● Montaggio a scelta su guida ad U S7-300 o DIN di 35 mm
● Alimentazione ridondante
17
2.1 Proprietà del prodotto
● Contatto di segnalazione
● Campo di temperatura ampliata (-20 °C ... +70 °C SCALANCE S613)
Panoramica delle funzioni dei tipi di apparecchio
Rilevare dalla seguente tabella le funzioni supportate dall'apparecchio.
Nota
In questo manuale vengono descritte tutte le funzioni. Osservare nella tabella le descrizioni
che riguardano l'apparecchio utilizzato.
Fare attenzione anche alle indicazioni supplementari nei titoli del capitolo!
Tabella 2- 1
Panoramica delle funzioni
S602
S612 V1
S612 V2
S613 V1
S613 V2
Firewall
Funzionamento
x
x
x
x
x
Router NAT/NAPT
x
-
x
-
x
Server DHCP
x
-
x
-
x
Syslog rete
x
-
x
-
x
Tunnel IPsec (VPN, Virtual Private Network)
-
x
x
x
x
-
x
x
x
x
x La funzione è supportata
- La funzione non è supportata
2.1.2
Fornitura
Che cosa è compreso nella fornitura di SCALANCE S?
● Apparecchio SCALANCE S
● Morsettiera innestabile a 2 poli
18
● Morsettiera innestabile a 4 poli
● Informazioni relative al prodotto
● CD con il seguente contenuto:
– Manuale
– Software di progettazione Security Configuration Tool
2.1.3
Apertura della confezione e controllo
Apertura della confezione, controllo
1. Controllare che il pacchetto sia completo.
2. Controllare che i singoli pezzi non presentino danni dovuti al trasporto.
AVVERTENZA
Mettere in servizio solo pezzi non danneggiati!
2.1.4
Collegamento a Ethernet
Possibilità di collegamento
SCALANCE S dispone di 2 prese RJ-45 per il collegamento a Ethernet.
Nota
Alla porta TP nella versione RJ–45 possono essere collegati TP-Cord o TP-XP-Cord con una
lunghezza massima di 10 m.
In combinazione con Industrial Ethernet FastConnect IE FC Standard Cable e IE FC RJ–45
Plug 180, tra due apparecchi è consentita una lunghezza complessiva del cavo di max. 100
m.
19
ATTENZIONE
I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in modo
diverso e non devono quindi essere scambiati durante il collegamento alla rete di
comunicazione:
 Porta 1 - Rete esterna
presa RJ45 superiore, contrassegno rosso = area della rete non protetta;
 Port 2 - Internal Network
presa RJ45 inferiore, contrassegno verde = rete protetta con SCALANCE S;
In caso di scambio delle porte l'apparecchio perde la sua funzione di protezione.
Autonegotiation
SCALANCE S supporta l'Autonegotiation.
Autonegotiation significa che i parametri di collegamento e di trasmissione vengono
negoziati automaticamente con i nodi di rete interrogati.
Funzione MDI /MDIX autocrossing
SCALANCE S supporta la funzione MDI / MDIX Autocrossing.
La funzione MDI /MDIX autocrossing offre il vantaggio di un cablaggio continuo, senza che
sia necessario un cavo Ethernet esterno incrociato. Il mancato funzionamento in caso di cavi
di trasmissione e ricezione scambiati viene quindi impedito. In questo modo l'installazione
viene notevolmente semplificata.
2.1.5
Tensione di alimentazione
AVVERTENZA
L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso
voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo
tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805.
L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2
(campo di tensione 18-32 V, corrente necessaria 250 mA).
L'apparecchio può essere alimentato solo con un'unità di alimentazione che risponde alle
richieste della classe 2 per alimentazioni dellla "National Electrical Code,table 11 (b)". In
caso di una struttura con alimentazione ridondante (due alimentazioni separate) devono
essere soddisfatti entrambi i requisiti.
20
ATTENZIONE
Non collegare mai SCALANCE S a tensione alternata o a tensioni continue superiori a 32 V
DC.
Il collegamento dell'alimentazione viene eseguito con una morsettiera innestabile a 4 poli.
L'alimentazione può essere collegata in modo ridondante. Entrambi gli ingressi sono
disaccoppiati. Non esiste una ripartizione del carico. In caso di alimentazione ridondante,
l'alimentatore con la tensione di uscita maggiore fornisce l'alimentazone di SCALANCE S. La
tensione di alimentazione è collegata ad alta resistenza alla custodia per consentire un
montaggio senza collegamento a terra.
Figura 2-1
2.1.6
Contatto di segnalazione
ATTENZIONE
Il contatto di segnalazione deve essere caricato al massimo con 100 mA (tensione di
sicurezza (SELV), DC 24 V).
Non collegare mai SCALANCE S a tensione alternata o a tensioni continue superiore a 32
V DC.
Il collegamento del contatto di segnalazione viene eseguito con una morsettiera innestabile
a 2 poli. Il contatto di segnalazione è un interruttore senza potenziale con il quale vengono
segnalati stati di errore tramite interruzione del contatto.
Con il contatto di segnalazione possono essere segnalati i seguenti errori:
● errori nella tensione di alimentazione
● errori interni
In caso di errore o se SCALANCE S è senza tensione, il contatto di segnalazione è aperto.
In caso di funzionamento senza errori il contatto è chiuso.
21
Figura 2-2
2.1.7
Contatto di segnalazione
Tasto Reset - Ripristino della configurazione all'impostazione di fabbrica
SCALANCE S dispone di un tasto Reset. Il tasto Reset si trova sul lato posteriore
dell'apparecchio, sotto il coperchio a vite, immediatamente di fianco al C-PLUG.
Il tasto Reset è protetto meccanicamente contro l'azionamento accidentale.
ATTENZIONE
Assicurarsi che a SCALANCE S acceda solo personale autorizzato.
Che funzione ha il tasto?
Con il tasto Reset possono essere attivate due funzioni:
● Riavvio
Il modulo viene riavviato. La configurazione caricata viene mantenuta.
● Ripristino delle impostazioni della fabbrica
Il modulo viene riavviato e riportato allo stato della fornitura. Una configurazione caricata
viene cancellata.
Riavvio - Procedimento
1. Smontare eventualmente il modulo SCALANCE S per consentire l'accesso al vano.
2. Rimuovere i tappi M32 sul lato posteriore dell'apparecchio.
Il tasto Reset si trova in un vano sul lato posteriore dello SCALANCE S, direttamente di
fianco al posto connettore per il C-PLUG. Questo vano è protetto con un tappo con
chiusura a vite. Il tasto si trova in un piccolo foro ed è quindi protetto contro l'azionamento
involontario.
22
3. Premere il tasto Reset per meno di 5 secondi.
Il riavvio dura fino a 2 minuti. Durante il riavvio l'indicatore Fault lampeggia con luce
gialla. Fare attenzione che durante questa operazione l'alimentazione non venga
interrotta.
Alla conclusione del riavvio l'apparecchio passa automaticamente nel funzionamento
produttivo. L'indicatore Fault è successivamente acceso con luce verde permanente.
4. Chiudere il vano con il tappo M32 e montare l'apparecchio.
Ripristino delle impostazioni della fabbrica - Procedimento
ATTENZIONE
Se durante il ripristino delle impostazioni di fabbrica è innestato un C-PLUG, il C-PLUG
viene cancellato!
1. Smontare eventualmente il modulo SCALANCE S per consentire l'accesso al vano.
2. Rimuovere i tappi M32 sul lato posteriore dell'apparecchio.
Il tasto Reset si trova in un vano sul lato posteriore dello SCALANCE S, direttamente di
fianco al posto connettore per il C-PLUG. Questo vano è protetto con un tappo con
chiusura a vite. Il tasto si trova in un piccolo foro ed è quindi protetto contro l'azionamento
involontario.
3. Premere il tasto Reset e tenerlo premuto - per più di 5 secondi - fino a quando l'indicatore
Fault lampeggia con luce gialla-rossa.
Il ripristino dura fino a 2 minuti. Durante il ripristino l'indicatore Fault lampeggia con luce
gialla-rossa. Fare attenzione che durante questa operazione l'alimentazione non venga
interrotta.
Alla conclusione del ripristino l'apparecchio si riavvia automaticamente. L'indicatore Fault
è successivamente acceso con luce gialla permanente.
4. Chiudere il vano con il tappo M32 e montare l'apparecchio.
2.1.8
Indicatori
,QGLFD]LRQHGLVWDWRGHOODSRUWD3H7;
,QGLFD]LRQHGLVWDWRGHOODSRUWD3H7;
,QGLFD]LRQH)DXOWH3RZHU
23
Indicatore di errore (Fault LED)
Indicatore dello stato operativo:
Stato
Significato
si accende la luce rossa
Il modulo riconosce un errore.
(il contatto di segnalazione è aperto)
Vengono riconosciuti i seguenti errori:

Errore interno (per esempio: avvio fallito)

C-PLUG non valido (formattazione non valida)
si accende la luce verde
Il modulo è nel funzionamento produttivo
NON si accende
Il modulo si è guastato; nessuna tensione di alimentazione
(il contatto di segnalazione è chiuso).
(il contatto di segnalazione è aperto).
si accende la luce gialla (luce
permanente)
Il modulo è in avvio
Se non esiste nessun indirizzo IP, il modulo rimane in questo
stato.
lampeggia ad intermittenza luce
gialla-rossa
Il modulo ritorna allo stato della fornitura.
Indicatore Power (L1, L2)
Lo stato della tensione di alimentazione viene segnalato con 2 LED:
Stato
Significato
La tensione di alimentazione L1 e L2 è collegata.
non si accende
La tensione di alimentazione L1 e L2 non è attiva o <14 V (L+)
si accende la luce rossa
La tensione di alimentazione L1 e L2 si è guastata durante il
funzionamento o <14 V (L+)
Indicatori dello stato delle porte (P1 e TX, P2 e TX)
Lo stato delle interfacce viene segnalato con rispettivamente 2 LED per entrambi i
collegamenti:
Stato
Significato
LED P1 / P2
TP-Link presente
lampeggia / si accende la luce
gialla
Ricezione dei dati su RX
off
Nessun TP e nessuna ricezione di dati
LED TX
24
2.1.9
Stato
Significato
lampeggia / si accende la luce
gialla
I dati vengono trasmessi
off
Non vengono trasmessi dati
Dati tecnici
Collegamenti
Collegamenti di terminali o componenti di rete
tramite Twisted Pair
2 prese RJ–45 con assegnazione MDI-X 10/100
Mbit/s (halfduplex/fullduplex)
Collegamento per tensione di alimentazione
1 morsettiera innestabile a 4 poli
Collegamento per contatto di segnalazione
1 morsettiera innestabile a 2 poli
Dati elettrici
Alimentazione DC 24 V (DC 18 ... 32 V)

eseguita in modo ridondante

tensione di sicurezza a basso voltaggio
(SELV)
Potenza dissipata con DC 24 V
3,84 W
Corrente assorbita con tensione nominale
max. 250 mA
Lunghezze di cavi ammesse
Collegamento tramite cavi Industrial Ethernet FC
TP:
0 - 100 m
Industrial Ethernet FC TP Standard Cable con
IE FC RJ–45 Plug 180
o
tramite Industrial Ethernet FC Outlet RJ–45 con
0 - 90 m
Industrial Ethernet FC TP Standard Cable + 10 m
TP Cord
0 - 85 m
Industrial Ethernet FC TP Marine/Trailing Cable
con IE FC RJ–45 Plug 180
o
0 - 75 m Industrial Ethernet FC TP
Marine/Trailing Cable + 10 m TP Cord
Configurazione software con VPN
Numero di IPsec Tunnel
SCALANCE S612
max. 64
SCALANCE S613
max. 128
Configurazione software "Firewall"
Numero di blocchi di regole
SCALANCE S602
max. 256
SCALANCE S612
max. 256
SCALANCE S613
max. 256
25
Temperature ambiente ammesse/EMC
Temperatura di esercizio SCALANCE S602
0 °C ... +60 °C
0 °C ... +60 °C
-20 °C ... +70 °C
Temperatura di magazzinaggio/trasporto
-40 °C ... +80 °C
Umidità relativa in esercizio
95 % (senza condensa)
Altitudine d'esercizio
fino a 2000 m s.l.m ad una temperatura ambiente
di max. 56 °C
fino a 3000 m s.l.m ad una temperatura ambiente
di max. 50 °C
Grado di radiodisturbi
EN 50081-2 Class A
Resistenza a disturbi
EN 50082-2
Grado di protezione
IP 30
Omologazioni
c-UL-us
UL 60950
c-Ul-us for Hazardous Locations
UL 1604, UL 2279Pt.15
FM
FM 3611
C-TICK
AS/NZS 2064 (Class A).
CE
EN 50081-2, EN 50082-2
ATEX Zone 2
EN50021
MTBF
81,09 anni
CSA C22.2 N. 60950
Struttura costruttiva
Dimensioni (L x A x P) in mm
60 x 125 x 124
Peso in g
780
Possibilità di montaggio

Guida ad U

Guida profilata S7-300

Montaggio a parete
Numeri di ordinazione
SCALANCE S602
6GK5602-0BA00-2AA3
SCALANCE S612
6GK5612-0BA00-2AA3
SCALANCE S613
6GK5613-0BA00-2AA3
Manuale "Reti Industrial Ethernet TP e Fiber
Optic"
6GK1970-1BA10-0AA0
Numeri di ordinazione per accessori
IE FC Stripping Tool
6GK1901-1GA00
IE FC Blade Cassettes
6GK1901-1GB00
IE FC TP Standard Cable
6XV1840 2AH10
IE FC TP Trailing Cable
6XV1840-3AH10
IE FC TP Marine Cable
6XV1840-4AH10
Unità confezione = 1 pezzo
6GK1 901-1BB10-2AA0
26
2.2 Montaggio
2.2
Unità confezione = 10 pezzi
6GK1 901-1BB10-2AB0
Unità confezione = 50 pezzi
6GK1 901-1BB10-2AE0
Montaggio
Nota
I requisiti richiesti secondo EN61000-4-5, Surge controllo dei cavi di alimentazione, vengono
soddisfatti solo in caso di impiego di un parafulmine VT AD 24V art. N. 918 402.
Costruttore:
DEHN+SÖHNE GmbH+Co.KG Hans Dehn Str.1 Postfach 1640 D-92306 Neumarkt
AVVERTENZA
In caso di impiego in aree soggette a pericolo di esplosione (zona 2) SCALANCE S deve
essere montato in un contenitore.
Nell'area di validità dell'ATEX 95 (EN 50021) questo contenitore deve corrispondere
almeno a IP54 secondo EN 60529.
AVVISO
L'APPARECCHIO PUÒ ESSERE COLLEGATO O SCOLLEGATO DALLA TENSIONE DI
ALIMENTAZIONE SOLO SE PUÒ ESSERE COMPLETAMENTE ESCLUSO UN
PERICOLO DI ESPLOSIONE.
27
2.2 Montaggio
Tipi di montaggio
SCALANCE S consente diversi tipi di montaggio:
● Montaggio su una guida ad U DIN di 35 mm
● Montaggio su una guida profilata SIMATIC S7-300
● Montaggio a parete
Nota
Durante l'installazione e l'esercizio rispettare le direttive di montaggio e le avvertenze di
sicurezza riportate in questa descrizione e nel manuale SIMATIC NET Reti Industrial
Ethernet Twisted Pair e Fiber Optic /1/.
ATTENZIONE
Si raccomanda di proteggere l'apparecchio contro la luce solare diretta con un
oscuramento adatto.
Questo evita un riscaldamento indesiderato dell'apparecchio e un invecchiamento
precoce dell'apparecchio e del cablaggio.
2.2.1
Montaggio su una guida ad U
Montaggio
Montare SCALANCE S su una guida ad U di 35 mm secondo DIN EN 50022.
1. Agganciare la guida a scatto superiore dell'aparecchio nella guida ad U e premerla verso
il basso contro la guida ad U fino a quando scatta in posizione.
28
2.2 Montaggio
2. Montare i cavi di collegamento elettrici e la morsettiera per il contatto di segnalazione.
Figura 2-3
SCALANCE S Montaggio su una guida ad U DIN (35mm)
Smontaggio
Per smontare SCALANCE S dalla guida ad U:
1. Smontare dapprima i cavi TP e sfilare la morsettiera per la tensione di alimentazione e il
contatto di segnalazione.
29
2.2 Montaggio
2. Sbloccare l'apparecchio con un cacciavite dal blocco della guida ad U dal lato inferiore
dell'apparecchio e sollevare quindi l'apparecchio in basso dalla guida ad U.
Figura 2-4
2.2.2
SCALANCE S Smontaggio da una guida ad U DIN (35mm)
Montaggio su una guida profilata
Montaggio su una guida profilata SIMATIC S7-300
1. Agganciare la guida del contenitore sul lato superiore del contenitore di SCALANCE S
nella guida profilata S7.
30
2.2 Montaggio
2. Avvitare l'apparecchio SCALANCE S al lato inferiore della guida profilata.
Figura 2-5
2.2.3
SCALANCE S Montaggio su una guida profilata SIMATIC S7-300
Montaggio a parete
Materiale di montaggio
Per il fissaggio - per esempio su una parete di cemento armato, utilizzare:
● 4 tasselli da parete con diametro di 6 mm e lunghezza di 30 mm
● Viti con diametro di 3,5 mm e lunghezza di 40 mm
Nota
Il fissaggio a parete deve essere progettato in modo da poter sopportare almeno il peso
quadruplo dell'apparecchio.
2.2.4
Collegamento a terra
Montaggio su una guida ad U
Il collegamento a terra viene eseguito sulla guida ad U.
31
2.3 Messa in servizio
Guida profilata S7-300
Il collegamento a terra viene eseguito sul lato poteriore dell'apparecchio e con la vite con
collare.
Montaggio a parete
Il collegamento a terra viene eseguito con la vite di fissaggio sul foro senza vernice.
ATTENZIONE
Fare attenzione che SCALANCE S deve essere collegato a terra possibilmente a bassa
resistenza tramite una vite di fissaggio.
2.3
Messa in servizio
ATTENZIONE
Prima della messa in servizio leggere assolutamente e con attenzione le indicazioni
riportate nei capitoli "Proprietà del prodotto" e "Montaggio" seguire in particolare le
istruzioni riportate nelle avvertenze per la sicurezza.
Principio
Per l'esercizio di un SCALANCE S è necessario caricare una configurazione progettata con
il Security Configuration Tool. Questa operazione viene descritta di seguito.
Una configurazione di uno SCALANCE S comprende i parametri IP e l'impostazione di
regole firewall ed eventualmente l'impostazione di IPsec Tunnel (S612 / S613) o
funzionamento Router.
Prima della messa in servizio è fondamentalmente possibile progettare offline l'intera
configurazione e successivamente caricarla. Alla prima configurazione (impostazioni della
fabbrica), per l'indirizzamento utilizzare l'indirizzo MAC stampigliato sull'apparecchio.
A seconda dell'impiego, durante la messa in servizio si carica contemporaneamente la
configurazione in uno o più moduli.
32
6HFXULW\
&RQILJXUDWLRQ
7RRO
2IIOLQH
'DWLGLFRQILJXUD]LRQH
9RFHGLPHQX
7UDQVIHUႧ7R0RGXOH
6&$/$1&(6
6&$/$1&(6
External
Internal
Figura 2-6
External
+XE6ZLWFK
Internal
Grafica panoramica Messa in servizio
Impostazioni della fabbrica
Con le impostazioni della fabbrica (alla fornitura o dopo il "ripristino delle impostazioni della
fabbrica"), dopo l'inserimento della tensione di alimentazione SCALANCE S ha il seguente
comportamento:
● Non è possibile una comunicazione IP in quanto mancano le impostazioni IP; in
particolare SCALANCE S non dispone ancora di un indirizzo IP.
Non appena al modulo SCALANCE S è stato assegnato un indirizzo IP valido tramite
configurazione, il modulo può essere raggiunto anche tramite router (successivamente è
possibile la comunicazione IP).
● L'apparecchio ha un indirizzo MAC preimpostato in modo fisso; l'indirizzo MAC è
stampigliato sull'apparecchio; questo indirizzo va inserito durante la progettazione.
● Il Firewall è preconfigurato con le seguenti regole di base del Firewall:
– il traffico di dati non protetto da porta interna a porta esterna e viceversa (esterna ↔
interna) non è possibile;
Lo stato non configurato si riconosce dal F-LED giallo acceso.
33
Vedere anche
Proprietà del prodotto (Pagina 17)
Montaggio (Pagina 27)
2.3.1
Operazione 1: Collegamento del modulo SCALANCE S
Procedimento:
1. Disimballare dapprima SCALANCE S e controllare che i componenti non siano
danneggiati.
2. Collegare la tensione di alimentazione a SCALANCE S.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F)
giallo.
3. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di
rete nelle porte previste (prese RJ45).
Collegare la porta 1 (porta esterna) alla rete esterna alla quale è collegato il PC/PG di
progettazione.
Collegare la porta 2 (porta interna) alla rete interna.
Osservazione:
Durante la messa in servizio, in linea di principio è possibile collegare dapprima il PC/PG
di progettazione alla porta 1 o alla porta 2 e rinunciare al collegamento di altri nodi di rete
fino a quando nell'apparecchio è impostata una configurazione. In caso di collegamento
alla porta 2 è tuttavia necessario configurare separatamente ogni singolo modulo
SCALANCE S!
4. Proseguire quindi con l'operazione successiva "Progettazione e caricamento".
2.3.2
Operazione 2: Progettazione e caricamento
Qui di seguito viene descritto come si progetta il modulo SCALANCE S partendo dalle
impostazioni di fabbrica.
Procedimento:
1. Avviare lo strumento di progettazione Security Configuration Tool fornito.
2. Selezionare la voce di menu Project ▶ New.
Viene richiesto di inserire un nome utente e una password. Alla registrazione utente
definita qui viene assegnato il ruolo di un amministratore.
3. Inserire un nome utente e una password e confermare l'inserimento; in questo modo si
crea un nuovo progetto.
34
4. È stata visualizzata automaticamente la finestra di dialogo "Selezione di un'unità o
configurazione software". Configurare a questo punto il tipo di prodotto, l'unità e il release
del firmware.
5. Inserire nella casella per l'"Indirizzo MAC" nel campo "Configurazione" l'indirizzo MAC
stampigliato sul contenitore del modulo nel formato indicato.
Questo indirizzo si trova sul lato frontale del modulo SCALANCE S (vedere figura).
6. Inserire l'indirizzo IP esterno e la maschera della sotto-rete esterna nel campo
"Configurazione" nelle caselle previste e confermare la finestra di dialogo con "OK". In
questo modo il modulo viene acquisito nell'elenco dei moduli configurati.
7. Selezionare il modulo e inserire eventualmente l'indirizzo IP del router predefinito facendo
clic nella colonna "Router predefinito".
opzionale: Progettare eventualmente altre proprietà del modulo e dei gruppi di moduli.
8. Salvare quindi il progetto con la seguente voce di menu con un nome appropriato:
Project ▶ Save As…
35
2.4 C-PLUG (Configuration Plug)
9. Selezionare la seguente voce di menu:
Transfer ▶ To Module...
Compare la seguente finestra di dialogo del trasferimento.
10.Facendo clic sul pulsante "Start" si trasferisce la configurazione nel modulo SCALANCE
S.
Risultato: a questo punto il modulo SCALANCE S è configurato e può comunicare sul
livello IP. Questo stato operativo viene segnalato dal LED di indicazione Fault attraverso
luce verde.
2.4
C-PLUG (Configuration Plug)
Campo d'impiego
Il C-PLUG è un supporto dati per il salvataggio dei dati di configurazione e di progettazione
dell'apparecchio di base (SCALANCE S). Di conseguenza, in caso di sostituzione
dell'apparecchio di base i dati di configurazione rimangono a disposizione.
Principio del funzionamento
L'alimentazione elettrica viene eseguita dall'apparecchio di base. In assenza di corrente il CPLUG mantiene i dati in permanenza.
Inserimento nel posto connettore C-PLUG
Il posto connettore per il -PLUG si trova sul lato posteriore dell'apparecchio. Per impiegare il
C-PLUG procedere nel modo seguente:
1. Rimuovere il coperchio a vite M32.
36
2. Spostare il C-PLUG nel vano previsto.
3. Chiudere quindi il vano con il coperchio a vite M32.
ATTENZIONE
Osservare lo stato operativo
Il C-PLUG deve essere innestato o sfilato solo in assenza di tensione!
Figura 2-7
Inserire il C-PLUG nell'apparecchio e togliere il C-PLUG dall'apparecchio con l'aiuto
di un cacciavite
Funzionamento
Su un C-PLUG non scritto (alla fornitura), durante l'avvio dell'apparecchio vengono salvati
automaticamente tutti i dati di configurazione di SCALANCE S. Anche le modifiche della
configurazione durante il funzionamento vengono salvate sul C-PLUG senza l'intervento
dell'utente.
Un apparecchio di base con C-PLUG innestato utilizza automaticamente durante l'avvio i
dati di configurazione di un C-PLUG innestato. Il presupposto è che i dati siano stati scritti da
un tipo di apparecchio compatibile.
37
In questo modo, in caso di guasto viene consentita una sostituzione rapida e semplice
dell'apparecchio di base. In caso di sostituzione il C-PLUG viene tolto dal componente
guastatosi e innestato nel pezzo di ricambio. Dopo il primo avvio l'apparecchio sostitutivo
dispone automaticamente della stessa configurazione dell'apparecchio guastatosi.
Nota
Dati di progetto coerenti - Adattamento dell'indirizzo MAC
Dopo la sostituzione dell'apparecchio con uno sostitutivo i dati di progettazione devono
essere coerenti. L'indirizzo MAC nella progettazione deve essere adattato all'indirizzo MAC
stampigliato sull'apparecchio sostitutivo.
Se nell'apparecchio sostitutivo si utilizza il C-PLUG già configurato dell'apparecchio
sostituito, non è strettamente necessario questo provvedimento per l'avvio e il
funzionamento dell'apparecchio.
ATTENZIONE
Ripristino delle impostazioni della fabbrica
Se durante il ripristino delle impostazioni di fabbrica è innestato un C-PLUG, il C-PLUG
viene cancellato!
Utilizzo di un C-PLUG riutilizzato
Utilizzare solo C-PLUG formattati per il relativo tipo di modulo SCALANCE S. I C-PLUG
utilizzati in altri tipi di apparecchi e formattati per altri tipi di apparecchi non devono essere
utilizzati.
Rilevare dalla seguente tabella il C-Plug che può essere utilizzato per il tipo di modulo
SCALANCE S:
Tipo di modulo
SCALANCE S
C-Plug formattato da
S602
S602
x
-
-
S612
-
x
x *)
S613
-
x
x
S612
x
C-Plug utilizzabile con il tipo di modulo
-
C-Plug non utilizzabile con il tipo di modulo
*)
La compatibilità dipende dalla struttura d'insieme.
S613
38
2.5 Trasferimento del firmware
Rimozione del C-PLUG
La rimozione del C-PLUG è necessaria solo in caso di guasto (errore hardware)
dell'apparecchio di base.
ATTENZIONE
Osservare lo stato operativo
Il C-PLUG può essere rimosso solo in assenza di tensione!
Diagnostica
L'innesto di un C-PLUG, che contiene la configurazione di un tipo di apparecchio non
compatibile e la rimozione involontaria del C-PLUG o funzioni di errore generali del C-PLUG
vengono segnalati con i dispositivi di diagnostica dell'apparecchio terminale (Fault-LED
rosso).
2.5
Trasferimento del firmware
Le nuove versioni di firmware possono essere caricate nel modulo SCALANCE S con lo
strumento di progettazione Security Configuration Tool.
Requisiti richiesti
Per il trasferimento di un nuovo firmware su un modulo SCALANCE S devono essere
soddisfatti i seguenti requisiti:
● Si deve disporre di autorizzazioni di amministratore per il progetto;
● SCALANCE S deve essere progettato con un indirizzo IP.
Il trasferimento è sicuro
Il trasferimento del firmware avviene tramite un collegamento protetto e può quindi essere
eseguito anche dalla rete non protetta.
Il firmware stesso è contrassegnato e codificato. In questo modo viene assicurato che sul
modulo SCALANCE S possa essere caricato solo un firmware autentico.
Il trasferimento può essere eseguito durante il funzionamento
Il trasferimento del firmware può essere eseguito durante il funzionamento di un modulo
SCALANCE S. La comunicazione viene tuttavia interrotta per la durata dopo il caricamento
fino al riavvio concluso automaticamente di SCALANCE S. Un nuovo firmware caricato
diventa attivo solo dopo questo riavvio del modulo SCALANCE S.
Se il trasferimento è stato disturbato o interrotto, l'unità si avvia di nuovo con la versione di
firmware precedente.
39
2.5 Trasferimento del firmware
Procedimento per il trasferimento
Selezionare la seguente voce di menu:
Transer ▶ Firmware Update...
40
GETTING STARTED
3
Obiettivo raggiunto velocemente con GETTING STARTED
In base ad una semplice rete di test qui si apprende l'utilizzo di SCALANCE S e dello
strumento di progettazione Security Configuration Tool. Qui viene descritto come possono
essere già realizzate senza complicati lavori di progettazione le funzioni di protezione di
SCALANCE S nella rete.
Possono essere realizzate diverse funzioni di base SCALANCE S / SOFTNET Security
Client in base a diversi esempi di sicurezza:
● Con SCALANCE S612 / S613:
– Configurazione di un VPN con SCALANCE S come punti terminali di un IPsec Tunnel
– Configurazione di una VPN con SCALANCE S e SOFTNET Security Client come punti
terminali di un IPsec Tunnel
● Con tutti i moduli SCALANCE S:
– Configurazione di SCALANCE S come firewall
– Configurazione di SCALANCE S come router NAT/NAPT e firewall
● Con SOFTNET Security Client
– Configurazione di una VPN con SCALANCE S e SOFTNET Security Client come punti
– Configurazione di una VPN con MD741-1 e SOFTNET Security Client come punti
Se si intende sapere di più
Per ulteriori informazioni consultare i capitoli seguenti di questo manuale. In questi capitoli
viene descritta dettagliatamente l'intera funzionalità.
Nota
Le impostazioni IP utilizzate negli esempi sono scelte liberamente e funzionano senza
conflitti nella rete di test isolata.
Nell'insieme di reti reale queste impostazioni IP devono essere adattate all'ambiente di rete
per evitare eventuali conflitti di indirizzo.
41
GETTING STARTED
3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S613
3.1
Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE
S612 / S613
3.1.1
Informazioni generali
In questo esempio viene progettata la funzione di tunnel nella visualizzazione di
progettazione "Modalità standard". I moduli SCALANCE S Module 1 e SCALANCE Module 2
formano in questo esempio i due punti terminali del tunnel per il collegamento sicuro tramite
tunnel.
Con questa configurazione il traffico IP e Layer 2 (solo modalità Bridge) è possibile solo
tramite i collegamenti via tunnel configurati tra partner autorizzati.
Realizzazione della rete di test
PC3
PC1
7XQQHO
internes
Netz 1
UHWHLQWHUQD
externes Netz
UHWHHVWHUQD
PC2
internes
Netz 2
UHWHLQWHUQD
42
GETTING STARTED
● Rete interna - Collegamento a SCALANCE S porta 2 ("Porta "Internal Network")
Nella rete interna la struttura di test dei nodi di rete viene realizzata rispettivamente con
un PC collegato alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE
S.
– PC1: Rappresenta un nodo della rete interna 1
– PC2: Rappresenta un nodo della rete interna 2
– SCALANCE S-Modul 1: modulo SCALANCE S per la rete interna 1
– SCALANCE S-Modul 2: modulo SCALANCE S per la rete interna 2
● Rete esterna - Collegamento a SCALANCE S porta 1 ("Porta "External Network")
La rete pubblica esterna viene collegata alla porta "External Network" (porta 1, rossa) di
un modulo SCALANCE S.
PC3: PC con software di configurazione Security Configuration Tool
Apparecchi/componenti necessari:
Per la struttura utilizzare i seguenti componenti:
● 2 moduli SCALANCE S, (opzionalmente: 1 o 2 guide ad U appositamente montate con
materiale di montaggio);
● 1 o 2 alimentazioni elettriche di 24V con collegamenti cavi e connettori morsettiera
(entrambi i moduli possono essere utilizzati anche con un'alimentazione elettrica
comune);
● 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool";
● 2 PC nelle reti interne per il test della configurazione;
● 1 hub o switch di rete per la realizzazione di collegamenti di rete con i due SCALANCE S
e i PC/PG;
● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet.
Panoramica delle seguenti operazioni:
&RQILJXUD]LRQHGL6&$/$1&(6HUHWL
&RQILJXUD]LRQHGLLPSRVWD]LRQL,3GHL3&
&UHD]LRQHGLXQSURJHWWRHGHOPRGXOR
3URJHWWD]LRQHGHOODIXQ]LRQHWXQQHO
&DULFDPHQWRGHOODFRQILJXUD]LRQHQHOOR6&$/$1&(6
7HVWGHOODIXQ]LRQHILUHZDOOWHVWSLQJ
43
GETTING STARTED
3.1.2
Configurazione di SCALANCE S e rete
Procedimento:
1. Disimballare dapprima gli apparecchi SCALANCE S e controllare che i componenti non
siano danneggiati.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo.
AVVERTENZA
(campo di tensione 18-32 V, corrente necessaria ca. 250 mA).
Per il montaggio e il collegamento dei moduli SCALANCE S osservare il capitolo 2
"Proprietà del prodotto e messa in servizio".
rete nelle porte previste (prese RJ45):
– Collegare il PC1 alla porta 2 del modulo 1 e il PC2 alla porta 2 del modulo 2.
– Collegare la porta 1 del modulo 1 e la porta 1 del modulo 2 all'hub/allo switch.
– Collegare anche il PC3 all'hub/allo switch.
2. Inserire quindi i PC interessati.
ATTENZIONE
I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in
modo diverso e non devono quindi essere scambiati durante il collegamento alla rete di
comunicazione:
 Port 1 - External Network
44
GETTING STARTED
3.1.3
Configurazione delle impostazioni IP dei PC
Per i test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete
PC1
191.0.0.1
255.255.0.0
PC2
191.0.0.2
255.255.0.0
PC3
191.0.0.3
255.255.0.0
Per PC1, PC2 e PC3 procedere rispettivamente nel modo seguente:
1. Aprire sul PC interessato il pannello di controllo con la seguente voce di menu:
Start ▶ Pannello di controllo
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)" e fare clic sul pulsante
"Proprietà".
45
GETTING STARTED
4. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" e inserire i valori
assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP dei PC" nelle
caselle previste.
Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
3.1.4
Creazione del progetto e del modulo
Procedimento:
1. Avviare il software di progettazione Security Configuration Tool sul PC3.
2. Creare un nuovo progetto con la seguente voce di menu:
Project ▶ New
configurazione software". Configurare quindi il tipo di prodotto, l'unità e il release del
firmware e chiudere la finestra di dialogo con "OK".
5. Creare un secondo modulo con la seguente voce di menu:
Inserisci ▶ Modulo
Configurare quindi il tipo di prodotto, l'unità e il release del firmware e chiudere la finestra
di dialogo con "OK".
Questo modulo ottiene automaticamente un nome in base alle preimpostazioni per il
progetto e anche i valori di parametri preimpostati. Rispetto al "Modulo1" l'indirizzo IP è
progressivo, quindi diverso.
6. Fare clic nell'area di navigazione su "All Modules" e successivamente nell'area del
contenuto sulla riga "Module1".
46
GETTING STARTED
7. Fare quindi clic nella colonna "MAC Address" e inserire l'indirizzo nel formato indicato.
8. Fare quindi clic nella colonna "IP Address ext.", inserire l'indirizzo nel formato indicato e
adattare la maschera della sotto-rete.
– Per modulo 1: Indirizzo IP: 191.0.0.201 Maschera della sotto-rete: 255.255.0.0
– Per modulo 2: Indirizzo IP: 191.0.0.202 Maschera della sotto-rete: 255.255.0.0
9. Ripetere le operazioni da 6. a 8. con "Module 2".
3.1.5
Progettazione del collegamento del tunnel
Due SCALANCE S possono realizzare un tunnel IPsec per la comunicazione protetta se nel
progetto essi sono assegnati allo stesso gruppo.
Procedimento:
1. Selezionare nell'area di navigazione "All Groups" e creare con la seguente voce di menu
un nuovo gruppo:
47
GETTING STARTED
Insert ▶ Group
Questo gruppo ottiene automaticamente il nome "Group1".
2. Selezionare nell'area del contenuto il modulo SCALANCE S "Module1" e trascinarlo sul
"Group1" nell'area di navigazione.
Il modulo è ora assegnato a questo gruppo e membro di questo gruppo.
Il colore del simbolo di chiave dell'icona del modulo cambia da grigio a blu.
3. Selezionare nell'area del contenuto il modulo SCALANCE S "Module 2" e trascinarlo sul
Anche il modulo è ora assegnato a questo gruppo.
4. Salvare quindi questo progetto con la seguente voce di menu con un nome appropriato:
Project ▶ Save As...
La configurazione del collegamento tramite tunnel è quindi conclusa.
3.1.6
Caricamento della configurazione in SCALANCE S
Procedimento:
1. Richiamare con la seguente voce di menu la seguente finestra di dialogo:
48
GETTING STARTED
Transfer ▶ To All Modules…
2. Selezionare entrambi i moduli con il pulsante"Select All".
3. Avviare l'operazione di caricamento con il pulsante "Start".
Se l'operazione di caricamento è stata conclusa senza errori, SCALANCE S viene riavviato
automaticamente e la nuova configurazione viene attivata.
Risultato: SCALANCE S in esercizio produttivo
SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato
dal LED di indicazione Fault attraverso luce verde.
La messa in servizio della configurazione è quindi conclusa ed entrambi gli SCALANCE S
possono realizzare un tunnel di comunicazione con il quale i nodi della rete possono
comunicare in modo protetto da entrambe le reti interne.
3.1.7
Test della funzione di tunnel (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
49
GETTING STARTED
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
ATTENZIONE
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni PING. Eventualmente i servizi ICMP del tipo Request e
Response devono essere abilitati.
Sequenza di test 1
Testare ora il funzionamento del collegamento tramite tunnel tra PC1 e PC2 nel modo
seguente:
1. Richiamare sul PC2 nella barra di avvio la seguente voce di menu:
Start ▶Tutti i programmi ▶ Accessori ▶ Prompt dei comandi
2. Immissione dell'istruzione Ping del PC1 sul PC2 (indirizzo IP 191.0.0.2)
Direttamente nella riga di comando della finestra visualizzata "Prompt dei comandi", sulla
posizione del cursore immettere il comando
ping 191.0.0.2
On
Compare successivamente il seguente messaggio: (risposta positiva del PC2).
Risultato
Quando si sono raggiunti i telegrammi IP PC2 , la "Statistica Ping" visualizza per 191.0.0.2
quanto segue:
● Trasmesso = 4
● Ricevuto = 4
● Perso = 0 (0% perdita)
Poiché non era ammessa nessun'altra comunicazione, questi telegrammi possono essere
stati trasportati solo tramite tunnel VPN.
50
GETTING STARTED
3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall
Sequenza di test 2
Ripetere ora il test inserendo un comando Ping dal PC3.
Start ► Tutti i programmi ► Accessori ► Prompt dei comandi
2. Inserire di nuovo lo stesso comando Ping (ping 191.0.0.2) nella finestra del prompt dei
comandi da PC3.
Compare successivamente il seguente messaggio: (nessuna risposta del PC2).
Risultato
I telegrammi IP del PC3 non possono raggiungere il PC2 in quanto non è configurata una
comunicazione tramite tunnel tra questi apparecchi, né è ammesso un traffico di dati IP
normale.
Nella "Statistica Ping" per 191.0.0.2 viene visualizzato quanto segue:
● Trasmesso = 4
● Ricevuto = 0
3.2
Esempio 2: Firewall - utilizzo di SCALANCE S come firewall
3.2.1
In questo esempio viene progettato il firewall nella visualizzazione di progettazione "Modalità
standard". La modalità standard contiene blocchi di regole predefinite per il traffico di dati.
Con questa configurazione il traffico IP può essere inizializzato solo da rete interna; dalla
rete esterna è ammessa solo la risposta.
51
GETTING STARTED
3&
6&$/$1&(60RGXOH
External
Internal
3&
UHWHHVWHUQD
UHWHLQWHUQD
)LUHZDOO
● Rete interna - Collegamento a SCALANCE S porta 2
Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato
alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE S.
– PC2: Rappresenta un nodo della rete interna
– SCALANCE S-Modul 1: modulo SCALANCE S per la rete interna
● Rete esterna - Collegamento a SCALANCE S porta 1
– PC1: PC con software di configurazione Security Configuration Tool
52
GETTING STARTED
● 1 SCALANCE S, (inoltre opzionalmente: una guida ad U appositamente montata con
materiale di montaggio)
● 1 alimentazione elettrica di 24V con collegamenti dei cavi e connettori morsettiera;
● 1 PC sul quale è installato lo strumento di progettazione Security Configuration Tool
● 1 PC nella rete interna per il test della configurazione
Industrial Ethernet
3URJHWWD]LRQHGHOILUHZDOO
7HVWGHOODIXQ]LRQHILUHZDOOWHVWSLQJORJJLQJ
3.2.2
Configurazione di SCALANCE S e della rete
Procedimento:
danneggiati.
giallo.
53
GETTING STARTED
AVVERTENZA
"Proprietà del prodotto e messa in servizio"
– Collegare il PC2 alla porta 2 del modulo 1.
ATTENZIONE
comunicazione:
 Port 1 - External Network
3.2.3
PC
Indirizzo IP
PC1
191.0.0.1
255.255.0.0
PC2
191.0.0.2
255.255.0.0
Per il PC1 e il PC2 procedere quindi nel modo seguente:
54
GETTING STARTED
"Proprietà".
caselle previste.
3.2.4
Procedimento:
1. Installare e avviare il software di progettazione Security Configuration Tool sul PC1.
55
GETTING STARTED
Project ▶ New
del firmware.
56
GETTING STARTED
6. Inserire nel formato indicato l'indirizzo IP esterno (191.0.0.200) e la maschera della sottorete esterna (255.255.0.0) e confermare la finestra di dialogo con "OK". In questo modo il
modulo viene acquisito nell'elenco dei moduli configurati.
3.2.5
Progettazione del firewall
Nella modalità Standard, i blocchi di regole predefiniti semplificano il comando delle
impostazioni del firewall. Questi blocchi di regole possono essere attivati cliccandoli con il
mouse.
Procedimento:
1. Selezionare nell'area del contenuto la riga "Modul1".
Edit ▶ Properties…
3. Selezionare nella finestra di dialogo visualizzata la scheda "Firewall".
57
GETTING STARTED
4. Attivare l'opzione come rappresentato qui di seguito:
In questo modo si ottiene che il traffico IP possa essere inizializzato solo da rete interna;
dalla rete esterna è ammessa solo la risposta.
5. Selezionare inoltre le opzioni Log per attivare il traffico di dati.
6. Chiudere la finestra di dialogo con "OK".
Project ▶ Save As…
3.2.6
Procedimento:
1. Selezionare il modulo nell'area del contenuto.
58
GETTING STARTED
Transfer ▶ To Module…
Se l'operazione di caricamento è stata conclusa senza errori, il modulo SCALANCE S viene
riavviato automaticamente e la nuova configurazione viene attivata.
La messa in servizio della configurazione è quindi conclusa e SCALANCE S protegge ora la
rete interna (PC 2 tramite il firewall configurato in base alle regole progettate: "Traffico IP
consentito dalla rete interna alla rete esterna".
3.2.7
Test della funzione firewall (test Ping)
Ping.
ATTENZIONE
59
GETTING STARTED
Sequenza di test 1
Testare ora il funzionamento della configurazione del firewall dapprima per il traffico di dati
IP in uscita nel modo seguente:
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il seguente comando:
ping 191.0.0.1
Risultato
Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per 191.0.0.1
quanto segue:
● Trasmesso = 4
● Ricevuto = 4
A causa della progettazione, i telegrammi Ping possono finire dalla rete interna nella rete
esterna. Il PC nella rete esterna ha risposto ai telegrammi Ping. Con la funzione "StatefulInspection" del firewall i telegrammi di risposta, provenienti solo dalla rete esterna, vengono
inoltrati automaticamente nella rete interna.
Sequenza di test 2
Testare ora il funzionamento della configurazione del firewall per il traffico di dati IP in uscita
disabilitato nel modo seguente:
1. Richiamare di nuovo la finestra di dialogo del firewall come precedentemente descritto.
2. Disattivare di nuovo nella scheda "Firewall" l'opzione "Consenti traffico IP dalla rete
interna alla rete esterna".
Chiudere la finestra di dialogo con "OK".
60
GETTING STARTED
3. Caricare ora la configurazione modificata di nuovo sul modulo SCALANCE S.
4. Alla conclusione corretta dell'operazione di caricamento immettere lo stesso comando
Ping (ping 191.0.0.1) nella finestra del prompt dei comandi del PC2 come
precedentemente descritto.
Compare successivamente il seguente messaggio: (nessuna risposta positiva del PC1).
Risultato
I telegrammi IP del PC2 non possono ora raggiungere il PC1 in quanto il traffico di dati
proveniente dalla "rete interna" (PC2) verso la "rete esterna" (PC1) non è consentito.
● Trasmesso = 4
● Ricevuto = 0
3.2.8
Registrazione del traffico di dati del firewall (Logging)
In SCALANCE S è inserita come standard la registrazione locale degli eventi del sistema,
audit e del filtro pacchetti.
Inoltre nel corso nell'esempio durante la progettazione del firewell sono state attivate le
opzioni Log per l'intero traffico di dati.
Nella modalità online è quindi possibile visualizzare gli eventi attivati.
Procedimento:
1. Passare ora al PC1 nel Security Configuration Tool con la seguente voce di menu nel
modo operativo online:
View ▶ Online
Edit ▶ Online Diagnostics...
3. Selezionare la scheda "Packet Filter Log".
61
GETTING STARTED
3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router
4. Azionare il pulsante "Start Reading"
5. Confermare la finestra di dialogo visualizzata con OK.
Risultato: le voci Log vengono lette da SCALANCE S e visualizzate.
3.3
Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall
e router
3.3.1
In questo esempio è descritta la progettazione del funzionamento router NAT. La
progettazione viene eseguita nella visualizzazione di progettazione "Advanced Mode".
La configurazione qui preimpostata consente ai telegrammi trasmessi dalla sotto-rete interna
ai nodi PC1 nella rete esterna di passare attraverso il firewall. I telegrammi vengono inoltrati
verso l'esterno con un indirizzo IP trasformato in indirizzi IP dello SCALANCE S e un numero
di porta indicato dinamicamente.
Dalla rete esterna viene consentita solo la risposta a questo telegramma.
62
GETTING STARTED
3&
6&$/$1&(60RGXOH
External
Internal
3&
UHWHHVWHUQD
UHWHLQWHUQD
)LUHZDOO
● Rete interna - Collegamento a SCALANCE S porta 2
Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato
alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE S.
– PC2: Rappresenta un nodo della rete interna
– SCALANCE S-Modul 1: modulo SCALANCE S per la rete interna
● Rete esterna - Collegamento a SCALANCE S porta 1
PC1: PC con software di configurazione Security Configuration Tool
● 1 SCALANCE S, (inoltre opzionalmente: una guida ad U appositamente montata con
63
GETTING STARTED
● 1 PC sul quale è installato lo strumento di progettazione Security Configuration Tool;
● 1 PC nella rete interna per il test della configurazione;
3URJHWWD]LRQHGHOODPRGDOLW¢1$75RXWHU
3URJHWWD]LRQHGHOILUHZDOO
7HVWGHOODIXQ]LRQH1$7URXWHUWHVWSLQJ
5HJLVWUD]LRQHGHOORVFDPELRGLGDWLORJJLQJ
3.3.2
Procedimento:
danneggiati.
giallo.
AVVERTENZA
"Proprietà del prodotto e messa in servizio"
64
GETTING STARTED
ATTENZIONE
comunicazione:
 Porta 1 - Rete esterna
3.3.3
PC
Indirizzo IP
Standard gateway
PC1
192.168.10.100
255.255.255.0
192.168.10.1
PC2
172.10.10.100
255.255.255.0
172.10.10.1
In Standard gateway vanno indicati gli indirizzi IP che vengono assegnati al modulo
SCALANCE S nella seguente progettazione per l'interfaccia interna ed esterna:
● Il PC1 utilizza l'interfaccia esterna.
● Il PC2 utilizza l'interfaccia interna.
Per il PC1 e il PC2 procedere nel modo seguente:
65
GETTING STARTED
"Proprietà".
caselle previste.
3.3.4
Procedimento:
1. Installare e avviare il software di progettazione Security Configuration Tool sul PC1.
66
GETTING STARTED
Project ▶ New
del firmware.
67
GETTING STARTED
6. Inserire nel formato indicato l'indirizzo IP esterno (192.168.10.1) e la maschera della
sotto-rete esterna (255.255.255.0) e confermare la finestra di dialogo con "OK". In questo
modo il modulo viene acquisito nell'elenco dei moduli configurati.
3.3.5
Progettazione dell’esercizio NAT router
Il caso di impiego frequente nel quale tutti i nodi interni trasmettono telegrammi nella rete
interna e dei quali deve essere nascosto l'indirizzo IP con la funzionalità NAT è
preconfigurato nello SCALANCE S. Come indicato qui di seguito, questo comportamento
può essere attivato facendo semplicemente clic sulla modalità Routing.
Attivazione della modalità Routing - Procedimento:
1. Commutare dapprima la visualizzazione della progettazione nella modalità Advanced.
2. Selezionare quindi la seguente voce di menu:
View ▶ Advanced Mode
3. Fare doppio clic sul modulo SCALANCE S. In questo modo si apre la finestra di dialogo
per l'impostazione delle proprietà del modulo.
68
GETTING STARTED
4. Selezionare nella finestra di dialogo visualizzata la scheda "Routing Mode".
5. Selezionare nel campo di immissione "Routing" l'opzione "active".
6. Nel campo di immissione "Routing" completare l'inserimento dell'indirizzo per l'interfaccia
dello SCALANCE S per la rete interna nel modo seguente:
– Indirizzo IP interno del modulo: 172.10.10.1
– Maschera della sotto-rete interna: 255.255.255.0
Attivazione della modalità NAT router per nodi interni - Procedimento:
Si tratta di configurare la conversione di indirizzo richiesta per la modalità NAT.
1. Selezionare quindi nel campo di immissione "NAT" entrambe le opzioni "NAT active" e
"Allow Internal -> External for all users".
69
GETTING STARTED
Si riconosce che nel campo di immissione "NAT" alla fine dell'elenco di conversione degli
indirizzi è stata aggiunta una voce. La voce "*" nella colonna "internal IP address" è
presente per tutti i nodi nella rete interna.
Ora è necessario consentire al firewall di far passare i telegrammi dall'interno all'esterno.
3.3.6
È necessario definire un blocco di regole che consenta il traffico di telegrammi dal nodo
interno (PC2) al nodo nella rete esterna (PC1).
L'esempio illustra inoltre come eseguire la definizione globale di un blocco di regole e
l'assegnazione ad un modulo. Se si vogliono configurare altri moduli nello stesso progetto, è
sufficiente assegnare il blocco di regole definito agli altri moduli tramite "Drag and Drop";
naturalmente a condizione che debba essere applicata la stessa regola.
Definizione del blocco di regole globale - Procedimento:
1. Aprire nell'area di navigazione l'oggetto "Global FW Rulesets" e selezionare l'oggetto
"FW IP Rulesets".
70
GETTING STARTED
2. Con il tasto destro del mouse selezionare la seguente voce di menu:
Insert Firewall rule set
3. Inserire nella finestra di dialogo visualizzata un blocco di regole come rappresentato di
seguito:
4. Fare clic nella colonna "Log" sulla riga del nuovo blocco di regole. In questo modo si
attiva l'opzione loggin filtro pacchetto. I telegrammi ai quali viene applicata la regola
definita vengono registrati.
Nell'esempio qui riportato questa registrazione viene utilizzata per il successivo test della
configurazione.
71
GETTING STARTED
Assegnazione del blocco di regole globale - Procedimento:
1. Selezionare nell'area di navigazione l'oggetto "Module1" e trascinarlo sul nuovo blocco di
regole globale creato tenendo premuto il tasto sinistro del mouse.
2. L'assegnazione può essere controllata aprendo di nuovo la finestra di dialogo per
l'impostazione delle proprietà del modulo e selezionando la scheda "Firewall".
Qui si può vedere che la regola Firewall globale è stata memorizzata.
3. Azionando il pulsante "Expanded Rulesets" si visualizza il blocco di regola in dettaglio.
In questo modo la configurazione offline è conclusa.
72
GETTING STARTED
3.3.7
Procedimento:
1. Selezionare il modulo nell'area del contenuto.
Se l'operazione di caricamento è stata conclusa senza errori, il modulo SCALANCE S viene
riavviato automaticamente e la nuova configurazione viene attivata.
La messa in servizio della configurazione è quindi conclusa e SCALANCE S protegge ora la
rete interna (PC 2 tramite il firewall configurato in base alle regole progettate: "Consenti
traffico IP in uscita" dalla rete interna a quella esterna.
3.3.8
Test della funzione del NAT router (test Ping)
Ping. Per poter riconoscere la modalità NAT router utilizzare il logging filtro pacchetto
sull'interfaccia Firewall.
Promemoria: Per la definizione della regole globale del firewall è già stata attivata l'opzione
per il logging del filtro pacchetto.
73
GETTING STARTED
Osservazione per il comando Ping: in alternativa possono essere utilizzati anche altri
programmi di comunicazione per il test della configurazione.
ATTENZIONE
Sezione di test 1 - Trasmissione del comando ping
Testare ora il funzionamento della modalità NAT router per il traffico di dati IP dall'interno
all'esterno nel modo seguente:
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il seguente comando:
ping 192.168.10.100
Sezione di test 2 - Analisi del risultato
1. Nel Security Configuration Tool passare alla modalità Online. Selezionare quindi la
seguente voce di menu:
View ▶ Online
2. Selezionare il modulo da modificare e selezionare la seguente voce di menu per aprire la
finestra di dialogo online:
Selezionare la scheda "Packet Filter Log".
74
GETTING STARTED
3. Azionare il pulsante "Start Reading"
4. Confermare la finestra di dialogo visualizzata con "OK".
Risultato: le voci Log vengono lette da SCALANCE S e visualizzate.
Risultato
Nelle righe di visualizzazione della registrazione si riconosce quanto segue:
● Riga di visualizzazione 1
Gli indirizzi IP dei telegrammi da PC2 a PC1 vengono indicati sull'interfaccia verso la rete
esterna con l'indirizzo IP esterno del modulo SCALANCE S (192.168.10.01). Questo
corrisponde alla conversione ampliata di indirizzo (osservazione: qui non è visibile
l'assegnazione di porta supplementare).
● Riga di visualizzazione 2
75
GETTING STARTED
3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security
Client
I telegrammi di risposta vengono visualizzati con l'indirizzo di destinazione del nodo nella
sotto-rete interna (PC2: 172.10.10.100). Da qui si riconosce che la conversione di
indirizzo è già avvenuta prima che il telegramma di risposta attraversino il firewall.
3.4
Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE
S612 / S613 e SOFTNET Security Client
3.4.1
In questo esempio viene progettata la funzione di tunnel VPN nella visualizzazione di
progettazione "Modalità standard". Uno SCALANCE S e il SOFTNET Security Client
formano in questo esempio i due punto terminali del tunnel per il collegamento via tunnel
protetto tramite una rete pubblica.
Con questa configurazione il traffico IP è possibile solo tramite i collegamenti via tunnel VPN
configurati tra partner autorizzati.
PC3
6&$/$1&(6
0RGXOR
PC2
PC1
External
Internal
Hub / Switch
7XQQHO
5HWHLQWHUQD
5HWHHVWHUQDSXEEOLFD
76
GETTING STARTED
3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client
● Rete interna - Collegamento a SCALANCE S porta 2 ("Porta "Internal Network")
Nella rete interna la struttura di test di un nodo di rete viene realizzata con un PC
collegato alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE S.
– PC1: rappresenta un nodo della rete interna
– SCALANCE S Modul 1: modulo SCALANCE S per la protezione della rete interna
● Rete esterna pubblica - Collegamento a SCALANCE S porta 1 ("Porta "External
Network")
– PC2: PC con il software di configurazione Security Configuration Tool e il software
SOFTNET Security Client per l'accesso VPN sicuro nella rete interna
– PC3: PC di test per sezione di test 2
Nota
Nell'esempio, al posto di una WAN pubblica esterna, viene illustrata una rete locale per la
spiegazione del principio del relativo tipo di funzione.
Le spiegazioni relative all'utilizzo di una WAN vengono indicate nei relativi punti.
● 1 modulo SCALANCE S, (opzionalmente: una guida ad U appositamente montata con
● 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool"; e il
client VPN "SOFTNET Security Client"
● 1 PC nella rete interna per il test della configurazione;
● 1 PC nella rete esterna per il test della configurazione;
● 1 hub o switch di rete per la realizzazione di collegamenti di rete con il modulo
SCALANCE S e i PC;
77
GETTING STARTED
Client
&UHD]LRQHGLXQSURJHWWRHGLPRGXOL
&DULFDPHQWRGHOODFRQILJXUD]LRQHLQ6&$/$1&(6H
VDOYDWDJJLRGHOODFRQILJXUD]LRQH62)71(76HFXULW\&OLHQW
5HDOL]]D]LRQHGHOWXQQHOFRQLO62)71(76HFXULW\&OLHQW
7HVWGHOODIXQ]LRQHWXQQHO
3.4.2
Procedimento:
1. Disimballare dapprima l'apparecchio SCALANCE S e controllare che i componenti non
siano danneggiati.
2. Collegare la tensione di alimentazione al modulo SCALANCE S.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo.
AVVERTENZA
"Proprietà del prodotto e messa in servizio".
78
GETTING STARTED
– Collegare la porta 1 del modulo 1 all'hub/allo switch.
– Collegare anche il PC2 e il PC3 all'hub/allo switch.
Nota
Per l'utilizzo di una WAN come rete pubblica esterna, i collegamenti all'hub/allo switch
vanno sostituiti con collegamenti alla WAN (accesso internet).
ATTENZIONE
comunicazione:
 Port 1 - "External Network"
 Port 2 - "Internal Network"
3.4.3
Per i test nei PC devono essere impostati i seguenti indirizzi IP.
PC
Indirizzo IP
Standard gateway
PC1
192.168.0.1
255.255.255.0
192.168.0.201
PC2
191.0.0.2
255.255.0.0
191.0.0.201
PC3
191.0.0.3
255.255.0.0
191.0.0.201
In Standard gateway vanno indicati gli indirizzi IP che vengono assegnati al modulo
SCALANCE S nella seguente progettazione per l'interfaccia interna ed esterna:
● Il PC1 utilizza l'interfaccia interna.
● PC2 e PC3 utilizzano l'interfaccia esterna.
Nota
Per l'utilizzo di una WAN come rete pubblica esterna, sul PC2 e sul PC3 devono essere
configurare le rispettive impostazioni IP per il collegamento con la WAN (Internet).
Per PC1, PC2 e PC3 procedere rispettivamente nel modo seguente:
79
GETTING STARTED
Client
Start ► Pannello di controllo
"Proprietà".
caselle previste.
80
GETTING STARTED
3.4.4
Procedimento:
Project ► New
definita qui viene assegnato automaticamente il ruolo di un amministratore.
configurazione software". Configurare quindi il tipo di prodotto, l'unità e il release del
firmware e chiudere la finestra di dialogo con "OK".
Insert ► Module
Configurare quindi il tipo di prodotto, "SOFTNET Configuration", l'unità "SOFTNET
Security Client" e il release del firmware del SOFTNET Security Client Version e chiudere
la finestra di dialogo con "OK".
Questo modulo ottiene automaticamente un nome in base alle preimpostazioni per il
progetto.
6. Fare clic nell'area di navigazione su "All Modules" e successivamente nell'area del
contenuto sulla riga "Module1".
7. Fare quindi clic nella colonna "MAC Address" e inserire l'indirizzo nel formato indicato.
81
GETTING STARTED
Client
8. Fare quindi clic nella colonna "IP Address ext.", inserire l'indirizzo nel formato indicato e
adattare la maschera della sotto-rete.
Per Module1: Indirizzo IP: 191.0.0.201, Maschera della sotto-rete: 255.255.0.0
Nota
Per l'utilizzo di una WAN come rete pubblica esterna, indicare come"IP Address ext."
l'indirizzo IP statico rilevato dal proprio provider con il quale è possibile raggiungere il
modulo SCALANCE nella WAN (Internet).
Per consentire che il modulo SCALANCE S possa inviare pacchetti tramite la WAN
(Internet), come "Default Router" è necessario inserire il proprio router DSL.
Se si utilizza un router DSL come Internet Gateway, a questo devono essere inoltrate
almeno le seguenti porte:
• Porta 500 (ISAKMP)
• Porta 4500 (NAT-T)
Nei download di configurazione (non attraverso un tunnel attivo) deve inoltre essere
inoltrata la porta 443 (HTTPS).
9. Aprire il menu delle proprietà del "Modul1" selezionando la voce, azionando il tasto destro
del mouse e selezionando la voce di menu "Properties…".
82
GETTING STARTED
10.Attivare in base alla visualizzazione della scheda "Routing Mode" la modalità Routing,
inserire l'indirizzo IP interno (192.168.0.201) e la maschera della sotto-rete
(255.255.255.0) del modulo SCALANCE S e confermare con "OK".
11.Fare clic nell'area di navigazione su "All Modules" e successivamente nell'area del
contenuto sulla riga "Modul2".
12.Fare clic nella colonna "Name" e inserire il nome "SSC-PC2".
Il SOFTNET Security Client non necessita di altre impostazioni.
A questo punto la visualizzazione dovrebbe essere simile alla seguente figura.
83
GETTING STARTED
Client
3.4.5
Progettazione del collegamento del tunnel
Uno SCALANCE S e il SOFTNET Security Client possono realizzare un tunnel IPsec per la
comunicazione protetta se nel progetto essi sono assegnati allo stesso gruppo.
Procedimento:
un nuovo gruppo:
Insert ► Group
2. Selezionare nell'area del contenuto il modulo SCALANCE S "Modul1" e trascinarlo sul
Il colore del simbolo di chiave dell'icona del modulo cambia da grigio a blu.
3. Selezionare nell'area del contenuto il modulo SOFTNET Security Client e trascinarlo sul
Project ► Save As…
84
GETTING STARTED
3.4.6
Caricamento della configurazione in SCALANCE S e salvataggio della
configurazione SOFTNET Security Client
Procedimento:
Transfer ► To All Modules…
3. Salvare il file di configurazione "Projectname.SSC-PC2.dat" nella directory del progetto e
assegnare una password per il codice privato del certificato.
Se l'operazione di caricamento è stata conclusa senza errori, SCALANCE S viene riavviato
automaticamente e la nuova configurazione viene attivata.
dal LED Fault attraverso luce verde.
La messa in servizio della configurazione è quindi conclusa e il modulo SCALANCE S e il
SOFTNET Security Client possono realizzare un tunnel di comunicazione con il quale i nodi
della rete possono comunicare in modo protetto dalla rete interna con PC2.
Nota
Per l'utilizzo di una WAN come rete pubblica esterna, non è possibile configurare un modulo
SCALANCE S con l'impostazione di fabbrica tramite la WAN. Configurare in questo caso il
modulo SCALANCE S fuori dalla rete interna.
85
GETTING STARTED
Client
3.4.7
Realizzazione del tunnel con il SOFTNET Security Client
Procedimento:
1. Avviare il SOFTNET Security Client su PC2.
2. Azionare il pulsante "Load Configuration", passare alla directory del progetto e caricare il
file di configurazione "Projectname.SSC-PC2.dat".
3. Inserire la password per il codice privato del certificato e confermare con "Next".
4. Confermare la finestra di dialogo "Attivazione di tutti i nodi statici configurati?" con "Sì".
5. Azionare il pulsante "Panoramica del tunnel"
Risultato: Collegamenti via tunnel attivi
Il tunnel tra SCALANCE S e SOFTNET Security Client è stato realizzato. Questo stato
operativo viene segnalato con il cerchio verde nella voce "Module1".
Nella consolle Log della panoramica del tunnel del SOFTNET Security Client si ricevono
alcuni messaggi di risposta dal proprio sistema sullo svolgimento del tentativo di
collegamento e se è stata creata una Policy per il collegamento di comunicazione.
86
GETTING STARTED
La messa in servizio della configurazione è quindi conclusa e il modulo SCALANCE S e il
SOFTNET Security Client hanno realizzato un tunnel di comunicazione con il quale i nodi
della rete possono comunicare in modo protetto dalla rete interna e PC2.
3.4.8
Test della funzione di tunnel (test Ping)
Ping.
87
GETTING STARTED
Client
ATTENZIONE
Sequenza di test 1
seguente:
2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP 192.168.0.1).
Direttamente nella riga di comando della finestra visualizzata "Prompt dei comandi", sulla
posizione del cursore immettere il comando
ping 192.168.0.1
On
Risultato
Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per 192.168.0.1
quanto segue:
● Trasmesso = 4
● Ricevuto = 4
Poiché non era ammessa nessun'altra comunicazione, questi telegrammi possono essere
stati trasportati solo tramite tunnel VPN.
88
GETTING STARTED
3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client
Sequenza di test 2
Ripetere ora il test inserendo un comando Ping dal PC3.
2. Inserire di nuovo lo stesso comando Ping (ping 192.168.0.1) nella finestra del prompt dei
comandi da PC3.
Compare successivamente il seguente messaggio: (nessuna risposta positiva del PC1).
Risultato
I telegrammi IP del PC3 non possono raggiungere il PC1 in quanto non è configurata una
comunicazione tramite tunnel tra questi apparecchi, né è ammesso un traffico di dati IP
normale.
● Trasmesso = 4
● Ricevuto = 0
3.5
Esempio 5: Accesso remoto - esempio di un tunnel VPN con
MD741-1 e SOFTNET Security Client
3.5.1
In questo esempio viene progettata la funzione di tunnel VPN nella visualizzazione di
progettazione "advanced mode". Un MD741-1 e il SOFTNET Security Client formano i due
punti terminali del tunnel per il collegamento via tunnel protetto tramite una rete pubblica.
89
GETTING STARTED
Con questa configurazione il traffico IP è possibile solo tramite il collegamento via tunnel
VPN configurato tra partner autorizzati.
Nota
Per la configurazione di questo esempio è assolutamente necessario che per la scheda SIM
dell'MD741-1 il proprio Provider (società di telefonia mobile) metta a disposizione un
indirizzo IP fisso raggiungibile da Internet.
(In alternativa è possibile operare anche con un indirizzo DynDNS per l'MD741-1.)
Struttura della rete di test:
0'
3&
3&
:$1
'6/5RXWHU
7XQQHO
5HWHHVWHUQDSXEEOLFD
5HWHLQWHUQD
● Rete interna - Collegamento a MD741-1 porta X2 ("Rete interna")
Nella rete interna la struttura di test di un nodo di rete viene realizzata con un PC
collegato alla porta "Internal Network" (porta 2) di un modulo MD741-1.
– PC1: rappresenta un nodo della rete interna
– MD741-1: Modulo MD741-1 per la protezione della rete interna
Rete pubblica esterna - collegamento tramite antenna MD741-1 ("Rete esterna")
La rete pubblica esterna è esclusivamente una rete GSM o una rete mobile che l'utente
può scegliere dal provider (società di telefonia mobile) e che viene raggiunta tramite
l'antenna del modulo MD741-1.
– PC2: PC con software di configurazione Security Configuration Tool e software
SOFTNET Security Client per l'accesso VPN sicuro nella rete interna
● 1 modulo MD741-1 con scheda SIM, (opzionale: una guida ad U appositamente montata
con materiale di montaggio);
● 1 alimentazione elettrica di 24V con collegamento del cavo e connettore morsettiera;
● 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool" e il
client VPN "SOFTNET Security Client";
90
GETTING STARTED
● 1 PC nella rete interna dell'MD741-1 con un Browser per la progettazione dell'MD741-1 e
il test della configurazione;
● 1 DSL Router (collegamento in Internet per il PC con VPN Client (ISDN, DSL, UMTS,
ecc.))
● I cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Panoramica delle seguenti operazioni
&RQILJXUD]LRQHGL0'HUHWL
&UHD]LRQHGLXQSURJHWWRHGLPRGXOL
6DOYDWDJJLRGHOODFRQILJXUD]LRQHGHOO
0'HGHO
62)71(76HFXULW\&OLHQW
(VHFX]LRQHGHOODFRQILJXUD]LRQHGHOO
0'
5HDOL]]D]LRQHGHOWXQQHOFRQLO62)71(76HFXULW\&OLHQW
7HVWGHOODIXQ]LRQHWXQQHO
3.5.2
Configurazione di MD741-1 e reti
Procedimento:
1. Disimballare dapprima l'apparecchio MD741-1 e controllare che i componenti non siano
danneggiati.
2. Seguire la messa in servizio "passo-passo" del manuale di sistema MD741-1 fino al
punto nel quale si deve effettuare la configurazione in base alle proprie esigenze.
Utilizzare a tal fine PC1, Configurazione dell'MD741, vedere capitolo Esecuzione della
configurazione dell'MD741-1 (Pagina 98).
– Collegare il PC1 alla porta X2 ("Rete interna") dell'MD741-1
– Collegare il PC2 al DSL Router
91
GETTING STARTED
3.5.3
Configurazione di impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP.
PC
IP address
Finestra della sotto-rete Standard gateway
PC1
192.168.1.101
255.255.255.0
192.168.1.1
PC2
192.168.2.202
255.255.255.0
192.168.2.1
In standard gateway per PC1 deve essere inserito l'indirizzo IP che si assegna al modulo
MD741-1 (per l'interfaccia di rete interna) nella successiva progettazione. Per PC2 inserire
l'indirizzo IP del DSL Router (per l'interfaccia di rete interna).
In PC1 e PC2 procedere nel modo seguente per aprire le connessioni di rete sul PC interessato:
Start ► Pannello di controllo
2. Aprire il simbolo "Centro connessioni di rete e condivisione".
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)" e azionare il pulsante
"Proprietà".
92
GETTING STARTED
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" . Inserire i valori
caselle previste.
3.5.4
Creazione di un progetto e di moduli
Procedimento:
Project ► New
definita qui viene assegnato automaticamente il ruolo di un amministratore.
93
GETTING STARTED
La finestra di dialogo "Selezione di un'unità o configurazione software" viene visualizzata
automaticamente.
4. Configurare quindi il tipo di prodotto, "SOFTNET Configuration (SOFTNET Security
Client, MD74x)", l'unità "SOFTNET Security Client", la versione firmware "V3.0" e indicare
il nome di modulo "SSC-PC2"
Insert ► Module
Configurare quindi il tipo di prodotto, "SOFTNET Configuration (SOFTNET Security
Client, MD74x)", l'unità "MD74x" e indicare il nome di modulo "MD741-1".
7. Fare quindi clic nella campo "Configuration" nella casella "IP Address (ext.)" e inserire
l'indirizzo nel formato indicato. Configurare inoltre la relativa maschera della sotto-rete
esterna.
Nota
Per la configurazione di questo esempio è assolutamente necessario che per la scheda
SIM dell'MD 741-1 il proprio Provider (società di telefonia mobile) metta a disposizione un
indirizzo IP fisso raggiungibile da Internet. Inserire questo indirizzo IP come indirizzo IP
esterno per il modulo.
Se si opera con indirizzi dinamici per l'MD741-1, per il modulo è necessario un indirizzo
DynDNS. In questo caso non è necessario adattare l'indirizzo IP esterno in questa
posizione. L'indirizzo IP inserito serve quindi solo come segnaposto.
Durante la configurazione del SOFTNET Security Client, al posto di un indirizzo IP
esterno inserire un nome DNS.
8. Fare quindi clic nella campo "Configuration" nella casella "IP Address (int.)" e inserire
l'indirizzo nel formato indicato. (Indirizzo IP: 192.168.1.1) Configurare inoltre la relativa
maschera della sotto-rete interna. (Maschera della sotto-rete: 255.255.255.0)
9. Chiudere quindi la finestra di dialogo con "OK".
Si ottiene una visualizzazione in base alla seguente figura.
94
GETTING STARTED
3.5.5
Progettazione del collegamento via tunnel
Un MD741-1 e il SOFTNET Security Client possono realizzare un tunnel IPsec per la
comunicazione protetta se nel progetto essi sono assegnati allo stesso gruppo.
Procedimento:
un nuovo gruppo:
Insert ► Group
2. Selezionare nell'area del contenuto il modulo MD741-1 "MD741-1" e trascinarlo su
Il colore del simbolo di chiave dell'icona del modulo cambia da grigio a blu. Questo indica
che per il modulo è stato progettato un collegamento IPsec.
3. Selezionare nell'area del contenuto il modulo SOFTNET Security Client "SSC-PC2" e
trascinarlo sul "Group1" nell'area di navigazione.
4. Portare il progetto in "advanced mode" selezionando la seguente voce di menu:
5. Aprire le proprietà del gruppo Group1 selezionando il menu contestuale "Properties...".
95
GETTING STARTED
6. Modificare la durata SA per Phase 1 e Phase 2 a 1440 minuti e lasciare tutte le altre
impostazioni ai valori predefiniti.
96
GETTING STARTED
ATTENZIONE
Un collegamento via tunnel corretto tra MD741-1 e SOFTNET Security Client può
essere realizzato solo se vengono rispettati i parametri riportati di seguito.
L'impiego di parametri diversi può comportare la mancata realizzazione della
connessione VPN tra i due partner del tunnel.
Metodo di autentificazione: Certificato
Advanced Settings Phase 1:
 Modalità IKE: Main




Fase 1 gruppo DH: Group2
Fase 1 codifica: 3DES-168
Durata SA (minuti): 1440
Fase 1 autentificazione: SHA1
Advanced Settings Phase 2:
 Tipo di durata SA: Time
 Fase 2 codifica: 3DES-168
 Durata SA (minuti): 1440
 Fase 2 autentificazione: SHA1
Project ► Save As...
3.5.6
Salvataggio della configurazione dell'MD741-1 e del SOFTNET Security Client
Procedimento:
97
GETTING STARTED
Transfer ► To All Modules…
3. Salvare il file di configurazione "Projectname.SSC-PC2.dat" nella directory del progetto e
assegnare una password per il codice privato del certificato. Nella directory del progetto
vengono salvati i seguenti file:
– "Projectname.SSC-PC2.dat"
– "Projectname.string.SSC-PC2.p12"
– "Projectname.group1.cer"
4. Salvare il file di configurazione "Projectname.MD741-1.txt" nella directory del progetto e
assegnare una password per il codice privato del certificato. Nella directory del progetto
vengono salvati i seguenti file:
– "Projectname.MD741-1.txt"
– "Projectname.string.MD741-1.p12"
– "Projectname.group1.MD741-1.cer"
A questo punto sono stati salvati tutti i file e i certificati necessari ed è possibile mettere in
servizio l'MD741-1 e il SOFTNET Security Client.
3.5.7
Esecuzione della configurazione dell'MD741-1
Grazie al file di testo salvato "Projectname.MD741-1.txt" è possibile eseguire una
configurazione in modo semplice in base al Web Based Management dell'MD741-1. Qui di
seguito viene illustrato passo per passo un esempio di configurazione dell'MD741-1.
Per la configurazione viene richiesto quanto segue:
● MD741-1 riceve un indirizzo IP pubblico fisso, raggiungibile da Internet;
● al SOFTNET Security Client viene assegnato un indirizzo IP dinamico dal Provider.
98
GETTING STARTED
Parallelamente, al punto corrispondente viene visualizzata anche l'avvertenza relativa alla
progettazione di un nome DynDNS per l'MD741-1.
Procedimento:
1. Collegarsi tramite PC1 alla superficie Web dell'MD741-1.
Osservazione: Se l'MD741-1 presenta le impostazioni di fabbrica, l'interfaccia interna del
modulo ha l'indirizzo IP 192.168.1.1
2. Navigare nella seguente directory:
IPSec VPN ► Certificati
3. I certificati necessari sono stati salvati sul PC2 in base al capitolo precedente ed è stata
assegnata una password per il codice privato. Trasferire i certificati
("Projectname.string.MD741-1.p12", "Projectname.group1.MD741-1.cer") per l'MD741-1
dapprima al PC1.
4. Caricare quindi il punto opposto certificato "Projectname. group1.MD741-1.cer" e il file
PKCS 12 "Projectname.string.MD741-1.p12" sul modulo.
99
GETTING STARTED
Modalità VPN Roadwarrior dell'MD741-1
Poiché il SOFTNET Security Client dispone di un indirizzo IP dinamico, viene utilizzata la
modalità VPN Roadwarrior dell'MD741-1 per realizzare un collegamento protetto.
● Modalità Roadwarrior dell'MD741-1:
– Nella modalità VPN Roadwarrier SINAUT MD741-1 può accettare collegamenti VPN
dai punti opposti con indirizzo sconosciuto. Possono ad esempio essere punti opposti
in impiego mobile che rilevato il proprio indirizzo IP dinamicamente.
– Il collegamento VPN deve essere realizzato attraverso il punto opposto. È possibile un
solo collegamento VPN in modalità Roadwarrier. I collegamenti VPN in modalità
standard possono essere utilizzati parallelamente.
Procedimento:
1. Navigare nella seguente directory:
IPSec VPN ► Collegamenti
2. Modificare le impostazioni di Roadwarrior VPN come illustrato nella seguente figura e
salvare gli inserimenti.
La "Remote ID" può essere rilevata dal file di testo "Projectname.MD741-1.txt".
L'inserimento della "Remote ID" è possibile in modo opzionale.
100
GETTING STARTED
3. Modificare le impostazioni IKE di Roadwarrior VPN come illustrato nella seguente figura e
salvare gli inserimenti.
101
GETTING STARTED
ATTENZIONE
Un collegamento via tunnel corretto tra MD741-1 e SOFTNET Security Client può
essere realizzato solo se vengono rispettati i parametri riportati di seguito.
L'impiego di parametri diversi comporta la mancata realizzazione della connessione
VPN tra i due partner del tunnel. Per questo motivo attenersi sempre alle impostazioni
elencate nel file di testo (come illustrato anche di seguito).
Metodo di autentificazione:X.509 certificato punto opposto
Phase 1 - ISKAMP SA:
 ISAKMP-SA codifica:3DES-168
 ISAKMP-SA Hash: SHA-1
 ISAKMP-SA modalità: Main Mode
 ISAKMP-SA durata (secondi): 86400
Phase 2 - IPSec SA:
 IPSec SA codifica: 3DES-168
 IPSec SA Hash: SHA-1
 IPSec SA durata (secondi): 86400
Gruppo DH/PFS: DH-2 1024
102
GETTING STARTED
4. Per poter utilizzare la funzione di diagnostica del SOFTNET Security Client per i tunnel
VPN realizzati con successo in combinazione con l'MD741-1, è necessario consentire un
ping dalla rete esterna dell'MD741-1.
Navigare quindi nella directory:
Security ► Advanced
Impostare la funzione "External ICMP to the MD741-1" sul valore "Allow Ping" e salvare
l'inserimento. A tal proposito osservare la seguente figura.
Nota
Se non si abilita questa funzione, non è possibile utilizzare la funzione di diagnostica del
SOFTNET Security Client per il tunnel VPN necessario realizzato in combinazione con
l'MD741-1. Non si ottiene alcuna risposta se il tunnel è stato realizzato con successo, ma
è tuttavia possibile comunicare in modo sicuro tramite il tunnel.
5. Per poter raggiungere la Webinterface del modulo MD741-1 anche tramite l'interfaccia
esterna, abilitare l'accesso remoto HTTPS.
In questo modo si ha la possibilità di configurare e diagnosticare da remoto l'MD741-1
tramite un tunnel realizzato.
Navigare quindi nella directory:
Access ► HTTPS
Impostare la funzione "Enable HTTPS remote access" sul valore "Yes", come illustrato
nella seguente figura e salvare l'inserimento.
103
GETTING STARTED
Nota
Se si vuole raggiungere l'MD741-1 tramite un nome DNS, parametrizzare nella seguente
directory il collegamento DynDNS Server:
External Network ► Advanced Settings ►DynDNS
1. Modificare l'impostazione "Log on tu DynDNS server" al valore "Yes".
2. Inserire il nome utente e la password del proprio DynDNS account.
3. Inserire l'indirizzo DynDNS completo nella casella "DynDNS hostname". Fare
attenzione ad inserire anche il dominio per questo indirizzo. (Es.: "mydns.dyndns.org")
A questo punto la messa in servizio del modulo MD741-1 è conclusa. Il modulo e il
SOFTNET Security Client possono realizzare un tunnel di comunicazione con il quale dai
nodi della rete interna è possibile comunicare in modo sicuro con PC2.
104
GETTING STARTED
3.5.8
Realizzazione del tunnel con il SOFTNET Security Client
Procedimento:
1. Avviare il SOFTNET Security Client sul PC2.
2. Azionare il pulsante "Load Configuration", passare alla directory del progetto e caricare il
file di configurazione "Projectname.SSC-PC2.dat".
3. Per una configurazione MD741-1 il SOFTNET Security Client apre la finestra di dialogo
"IP-/DNS settings MD741-1". Inserire in questa finestra di dialogo l'indirizzo IP pubblico
del modulo MD741-1 ricevuto dal proprio provider. Confermare la finestra di dialogo con
"OK".
Osservazione: Se si utilizza un nome DNS, in questa finestra di dialogo è possibile
configurare questo nome al posto di un indirizzo IP.
4. Inserire la password per il certificato e confermare con "Next".
105
GETTING STARTED
5. Confermare la finestra di dialogo "Enable all statically configured nodes?" con "Yes".
6. Azionare il pulsante "Tunnel Overview".
Nota
Se si vuole raggiungere il modulo MD741-1 tramite un nome DNS, parametrizzare nel
passo 3 l'indirizzo DynDNS completo nella casella di inserimento "DNS Name". (Es.:
"mydns.dyndns.org")
Risultato: collegamento via tunnel attivo
Il tunnel tra MD741-1 e SOFTNET Security Client è stato realizzato.
Dall'icona blu nella voce "MD741-1" si riconosce che è stata creata una Policy per questo
collegamento di comunicazione.
Lo stato operativo che indica la raggiungibilità dell'MD741-1, viene segnalato dal "cerchio
verde" nella voce "MD741-1".
Nota
Fare attenzione che questa funzione dipende dall'abilitazione della funzione ping sul modulo
MD741-1.
Nella consolle logging della panoramica del tunnel del SOFTNET Security Client si ricevono
inoltre alcuni messaggi di risposta dal proprio sistema, dai quali è possibile rilevare:
106
GETTING STARTED
● Come si è svolto il tentativo di collegamento?
● È stata creata la Policy per il collegamento di comunicazione?
La messa in servizio della configurazione è quindi conclusa. Il modulo MD741-1 e il
SOFTNET Security Client hanno realizzato un tunnel di comunicazione con il quale dai nodi
della rete interna è possibile comunicare in modo sicuro con PC2.
3.5.9
Test della funzione tunnel (test ping)
Eseguire i test della funzione come descritto qui di seguito con un'istruzione ping.
107
GETTING STARTED
ATTENZIONE
essere eseguite istruzioni pin. Eventualmente i servizi ICMP del tipo Request e Response
devono essere abilitati.
Sezione di test
seguente:
2. Inserimento dell'istruzione ping da PC2 a PC1 (indirizzo IP 192.168.1.101).
Direttamente nella riga dell'istruzione della finestra visualizzata "Richiesta di inserimento",
sulla posizione del cursore, inserire il comando
Ping 192.168.1.101
.
Compare il seguente messaggio: (risposta positiva da PC1).
Risultato
Se i telegrammi IP hanno raggiunto PC1, la "Statistica ping" per 192.168.1.101 visualizza
quando segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0 % di perdita)
Poiché non era ammessa nessuna comunicazione, questi telegrammi possono essere stati
trasportati solo tramite il tunnel VPN.
108
Progettazione con Security Configuration Tool
4
Il Security Configuration Tool è lo strumento di progettazione fornito con SCALANCE S.
Il presente capitolo semplifica l'approccio con la superficie operativa e il tipo di
funzionamento dello strumenti di progettazione.
Qui viene descritto come configurare, comandare e gestire i progetti SCALANCE S.
Altre informazioni
Nei seguenti capitoli di questo manuale viene descritto in modo dettagliato come si
configurano i moduli e il tunnel IPsec.
Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche
nella guida in linea. Alla guida è possibile accedere con il tasto F1 o con il pulsante "Help"
nella relativa finestra di dialogo.
F1
4.1
Insieme di funzioni e tipo di funzionamento
Potenzialità
Lo strumento di progettazione Security Configuration Tool si utilizza per i seguenti compiti:
● Progettazione di SCALANCE S
● Progettazione del SOFTNET Security Client (S612 / S613 / MD 741-1)
● Creazione di dati di configurazione per MD 740-1 / MD 741-1
● Funzioni di test e di diagnostica, indicazioni di stato
109
4.1 Insieme di funzioni e tipo di funzionamento
Modi operativi
Il Security Configuration Tool dispone di due modi operativi:
● Offline - Visualizzazione di progettazione
Nel modo operativo offline viene eseguita la progettazione dei dati di configurazione per i
moduli SCALANCE S e SOFTNET Security Client. Prima dell'operazione di caricamento
non deve esistere un collegamento con SCALANCE S.
● Online
La modalità online serve al test e alla diagnostica di uno SCALANCE S.
2IIOLQH
&DULFDPHQWR
2QOLQH'LDJQRVWLFDHWHVW
Due visualizzazioni di comando
Nel modo operativo offline il Security Configuration Tool mette a disposizione due
visualizzazioni di comando:
● Modalità standard
Lo Standard Mode è preimpostato nel Security Configuration Tool. Esso offre una rapida
e semplice progettazione per il funzionamento di SCALANCE S.
● Modalità ampliata
Nella modalità ampliata esistono possibilità di impostazione ampliate che consentono
l'impostazione individuale delle regole del firmware e della funzionalità di sicurezza.
110
4.2 Installazione
Tipo di funzionamento - Sicurezza e coerenza
● Accesso solo per utenti autorizzati
Ciascun progetto può essere protetto contro l'accesso non autorizzato inserendo una
password.
● Dati di progetto coerenti
Già durante l'inserimento nelle singole finestra di dialogo vengono eseguiti controlli di
coerenza. Inoltre è possibile avviare in qualsiasi momento un controllo di coerenza
esteso nel progetto in tutte le finestre di dialogo.
Possono essere caricati solo i dati di progetto coerenti.
● Protezione dei dati del progetto tramite codifica
I dati del progetto e di configurazione memorizzati solo protetti sia nel file del progetto, sia
nel C-Plug tramite codifica.
4.2
Installazione
Lo strumento di progettazione Security Configuration Tool si installa dal CD SCALANCE S
fornito.
Requisiti richiesti
I requisiti richiesti per l'installazione e il funzionamento del Security Configuration Tool su un
PC/PG sono:
● Sistema operativo Windows XP SP2 o SP3 (non Home), Windows 7 (non Home);
● PC/PG con almeno 128 Mbyte di memoria RAM e una CPU con una frequenza di
impulso di almeno 1 GHz.
Procedimento
ATTENZIONE
Prima dell'installazione del Security Configuration Tool leggere assolutamente il file
"README" presente sul CD. In questo file sono eventualmente indicate avvertenze
importati e le ultime modifiche.
● Inserire il CD SCALANCE S nel lettore CD-ROM; in caso di funzione Autorun attivata, la
superficie operativa dalla quale si effettua l'installazione viene avviata automaticamente.
o
● Avviare l'applicazione "start.exe" presente sul CD SCALANCE S fornito.
111
4.3 Superficie operativa e voci di menu
4.3
Superficie operativa e voci di menu
Struttura della superficie operativa
①
L'area di navigazione funge da Project-Explorer con le seguenti cartelle principali:

Regole globali firewall
I nodi contengono i blocchi di regole globali firewall progettati Altre cartelle distinguono tra:

–
Blocco regole IP
–
Blocco regole MAC
Tutti i moduli
Il nodo contiene i moduli progettati SCALANCE S o SOFTNET Security Client del progetto.

Tutti i gruppi
Il nodo "All Groups" contiene tutte le VPN create.
Selezionando un oggetto nell'area di navigazione si ottengono nell'area del contenuto le informazioni dettagliate su
questo oggetto.
112
②
Area del contenuto:
Selezionando un oggetto nell'area di navigazione, nell'area del contenuto si ottengono informazioni dettagliate su
questo oggetto.
Qui possono essere inseriti alcuni parametri.
③
Facendo doppio clic sugli oggetti, vengono aperte le finestre di dialogo delle proprietà per l'inserimento di altri
parametri.
Riga di stato
La riga di stato illustra gli stati operativi e i messaggi di stato attuali; di questi fanno parte:

L'utente attuale e il tipo di utente

La visualizzazione di comando - Standard Mode / Advanced Mode

Lo stato operativo - Online / Offline
Barra dei menu
Qui di seguito è riportata una panoramica delle voci di menu selezionabili e del loro
significato.
Voce di menu
Significato / Osservazioni
Project ▶…
Funzioni per le impostazioni specifiche del progetto, nonché
caricamento e salvataggio dei file del progetto.
New
Crea un nuovo progetto
Open...
Apre un progetto esistente.
Save
Salva il progetto aperto nel percorso attuale con il nome del
progetto.
Save As...
Salva il progetto aperto nel percorso selezionabile con il nome del
progetto.
Properties…
Si apre la finestra di dialogo delle proprietà del progetto.
Progetti aperti per ultimi
Possibilità di selezione diretta dei progetti elaborati finora.
Shortcut
Exit
Edit ▶…
Nota:
Le funzioni qui indicate possono in parte essere raggiunte
nell'oggetto selezionato anche con il menu di scelta rapida del
tasto destro del mouse.
Copy
Copia l'oggetto selezionato.
Ctrl+C
Paste
Riprende e inserisce l'oggetto dalla memoria intermedia.
Ctrl+V
Del
Cancella l'oggetto selezionato.
Del
Rename
Rinomina l'oggetto selezionato.
F2
Properties
Apre la finestra di dialogo delle proprietà dell'oggetto selezionato.
F4
Online Diagnostics…
Accede alle funzioni di test e di diagnostica.
La voce di menu può essere vista solo nella visualizzazione
online.
Insert ▶…
(Voci di menu in modalità offline)
113
Voce di menu
Module
Shortcut
Crea un nuovo progetto
Ctrl+M
La voce di menu è attiva solo se nell'area di navigazione è
selezionato un oggetto modulo o un gruppo.
Group
Crea un nuovo gruppo.
Ctrl+G
selezionato un oggetto gruppi.
Firewall rule set
Creare un nuovo blocco di regole IP firewall o un blocco di regole
MAC von validità globale.
Ctrl+F
selezionato un oggetto firewall.
Transfer ▶…
To Module...
Carica i dati nei moduli selezionati.
Osservazione: possono essere caricati solo dati di progetto
coerenti.
To All Modules...
Carica i dati nei moduli progettati.
Osservazione: possono essere caricati solo dati di progetto
coerenti.
Configuration Status…
Visualizza in una lista lo stato di configurazione dei moduli
progettati.
Firmware Update...
Carica il nuovo firmware nello SCALANCE S selezionato.
View ▶…
Advanced Mode
Commuta dalla modalità Standard alla modalità Advanced.
Ctrl+E
Attenzione: è possibile annullare una commutazione nella
modalità Advanced per il progetto attuale se non sono state
eseguite modifiche.
È preimpostata la modalità Standard.
Offline
Rappresenta la preimpostazione.
Ctrl+Shift+D
Online
Ctrl+D
Options ▶…
IP Service Definitions ...
Apre la finestra di dialogo per le definizioni dei servizi per le
regole IP Firewall.
"Advanced Mode".
MAC Service
Definitions…
Apre la finestra di dialogo per le definizioni dei servizi per le
regole MAC Firewall.
"Advanced Mode".
Project Change
Password…
Funzione per la modifica della password utente.
Network Adapters...
Funzione per la selezione dell'adattatore di rete locale con il
quale deve essere realizzato un collegamento con SCALANCE S.
114
4.4 Gestione dei progetti
Voce di menu
Log Files...
Shortcut
Visualizzazione dei file Log.
I file Log possono essere letti e le registrazioni Log possono
essere avviate.
Symbolic Names...
Impostazione di nomi simbolici per indirizzi IP o MAC.
Check Consistency
Controllare la coerenza dell'intero progetto. Viene visualizzata
una lista dei risultati.
Help ▶…
Contenuto …
Guida alle funzioni e ai parametri che si trovano nel Security
Configuration Tool.
Ctrl+Shift+F1
Indice …
Guida alle funzioni e ai parametri che si trovano nel Configuration
Tool.
Ctrl+Shift+F2
Informazione...
Informazioni sulla versione del Security Configuration Tool.
4.4
Gestione dei progetti
4.4.1
Progetto SCALANCE S
Un progetto nel Security Configuration Tool comprende tutte le informazioni di
configurazione e di gestione per uno o diversi apparecchi SCALANCE S, SOFTNET Security
Client o apparecchi MD74x.
Creare nel progetto un modulo per ciascun apparecchio SCALANCE S, ciascun SOFTNET
Security Client e per ciascun apparecchio MD74x.
Le configurazioni di un progetto contengono in generale:
● Impostazioni valide in tutto il progetto
● Impostazioni specifiche per il modulo
● Assegnazione ai gruppi per tunnel IPsec (S612 / S613 / SOFTNET Security Client)
115
Inoltre una gestione utenti regola le autorizzazioni di accesso ai dati del progetto e quindi
agli apparecchi SCALANCE S.
Impostazioni valide in tutto il progetto
● Proprietà del progetto
Oltre all'indicazione di indirizzo e di nome, queste proprietà comprendono indicazioni per i
valori di inizializzazione e impostazioni di autorizzazione.
● Blocchi di regole firewall globali
Le regole globali del firewall possono essere assegnate contemporaneamente a diversi
moduli. In molti casi questa possibilità semplifica la progettazione rispetto alla
progettazioni di blocchi di regole del firewall in caso di impostazioni specifiche per il
modulo.
● Definizione del servizio
Con l'aiuto delle definizioni del servizio IP è possibile definire in modo chiaro e compatto
le regole del firewall.
Impostazioni specifiche per il modulo
La maggior parte di funzioni viene configurata nella finestra di dialogo delle proprietà di un
modulo. Panoramica delle schede disponibili e relativa funzione:
Funzione / scheda nella finestra di dialogo delle proprietà
disponibile nella modalità …
Standard
Advanced
X
X
X
X
Network
Qui è possibile indicare eventuali indirizzi del router che si trova
nella propria rete.
Firewall
Nella modalità standard attivare il firewall con semplici regole
standard. Inoltre qui è possibile attivare le impostazioni
Logging.
Nella modalità Advanced è possibile definire regole del filtro
pacchetto dettagliate. Inoltre è possibile definire impostazioni di
logging esplicite per ogni regola del filtro pacchetto.
Certificati SSL
X
In caso di necessità - per esempio con un certificato
compromesso - è possibile importare un certificato o creare un
nuovo certificato con il Security Configuration Tool.
Sincronizzazione dell'ora
Definire il tipo di sincronizzazione per data e ora.
X
X
Impostazioni Log
Qui è possibile eseguire indicazioni esatte per la modalità di
registrazione e di memorizzazione di eventi Logging.
X
116
Funzione / scheda nella finestra di dialogo delle proprietà
disponibile nella modalità …
Standard
Advanced
Nodi
X
Per un modulo in modalità Bridge è possibile qui configurare le
sotto-reti statiche interne e i nodi IP/MAC e autorizzare o
bloccate la programmazione di nodi interni.
Per un modulo in modalità Routing è possibile inserire i nodi
interni / le sotto-reti complete con le quali deve essere
realizzato il tunnel.
VPN
Se il modulo si trova in un gruppo, qui è possibile configurare la
Dead-Peer-Detection, il tipo di realizzazione del collegamento e
l'indirizzo IP della WAN.
X
Modalità Routing
Nella modalità standard attivare la funzione "Router".
X
X
Nella modalità Advanced è inoltre possibile attivare la funzione
router NAT/NAPT e definire in una lista la conversione di
indirizzi.
Server DHCP
Per la rete interna è possibile attivare il modulo come server
DHCP.
X
La descrizione dettagliata di queste funzioni si trova nel capitolo "Firmware, router e altre
proprietà del modulo".
Assegnazione ai gruppi per tunnel IPsec (S612 / S613 / SOFTNET Security Client)
Questo definisce quali moduli SCALANCE S, SOFTNET Security Client e moduli MD74x
possono comunicare tra loro tramite il tunnel IPsec.
Assegnando i moduli SCALANCE S, SOFTNET Security Client e i moduli MD74x ad un
gruppo, questi moduli possono realizzare il tunnel di comunicazione tramite una VPN (virtual
private network).
Solo i moduli dello stesso gruppo possono comunicare tra loro in modo sicuro tramite il
tunnel; i moduli SCALANCE S, i SOFTNET Security Client e i moduli MD74x possono far
parte simultaneamente di diversi gruppi.
4.4.2
Creazione e modifica di progetti
Creazione di un progetto
Selezionare la voce di menu
Project ▶ New...
Viene richiesto di assegnare un nome utente e una password. L'utente che viene creato è
del tipo Administrator.
117
Di conseguenza Security Configuration Tool crea come standard un progetto e apre
automaticamente la finestra di dialogo "Selection of a module or software configuration" nella
quale è possibile configurare il primo modulo.
Definizione dei valori di inizializzazione per un progetto
Con i valori di inizializzazione si definiscono le proprietà che vengono riprese
automaticamente durante la creazione di nuovi moduli.
Per l'inserimento dei valori di inizializzazione selezionare la seguente voce di menu:
Project ▶ Properties…, scheda "Dafault Initialization Values"
118
Protezione dei dati del progetto tramite codifica
I dati del progetto e di configurazione memorizzati solo protetti sia nel file del progetto, sia
nel C-Plug tramite codifica.
Vedere anche
Firewall, router e altre proprietà del modulo (Pagina 131)
119
4.4.3
Configurazione utenti
Tipi di utente e autorizzazioni
L'accesso ai progetti e ai moduli SCALANCE S viene gestito con le impostazioni utente
configurabili. SCALANCE S conosce due tipi di utente con diverse autorizzazioni:
● Amministratori
Con il ruolo di utente del tipo "Administrator" si dispone delle autorizzazioni di accesso
illimitato a tutti i dati di configurazione e ai moduli SCALANCE S.
● User
Con il ruolo di utente del tipo "user" si dispone delle seguenti autorizzazioni di accesso.
– Accesso in lettura alla configurazione; eccezione: è ammessa la modifica della propria
password.
– Accesso in lettura agli SCALANCE S nel modo operativo "Online" per test e
diagnostica.
Autentificazione utenti
Gli utenti del progetto devono autentificarsi durante l'accesso. Per ogni utente è possibile
definire un'autentificazione con password.
ATTENZIONE
Le password utente deve essere custodita in modo sicuro.
Se si dimenticano le password utente, non si dispone più dell'accesso al progetto
interessato e alle configurazioni, nonché ai moduli SCALANCE S.
L'accesso ai moduli SCALANCE S può essere eseguito solo con il comando "Ripristino
delle impostazioni della fabbrica"; tuttavia si perdono le configurazioni.
Finestra di dialogo per la configurazione di utenti
Per la configurazione di utenti selezionare la seguente voce di menu:
Project ▶ Properties…, scheda "Authentification Settings".
120
Protezione da perdita di accesso accidentale
Il sistema assicura che nel progetto rimanga configurato sempre almeno un utente del tipo
"Administrator". In questo modo si evita che l'accesso al progetto venga perso per sempre in
seguito ad "autocancellazione" accidentale.
ATTENZIONE
Se si modificano le impostazioni di autentificazione, è necessario ricaricare prima i moduli
SCALANCE S in modo che queste impostazioni (ad es. nuovi utenti, modifiche di
password) diventino attive nei moduli.
121
4.4.4
Controlli di coerenza
Security Configuration Tool distingue:
● Controlli di coerenza locali
● Controlli di coerenza in tutto il progetto
Per maggiori informazioni sulle regole da osservare per l'immissione nelle finestra di dialogo,
consultare le descrizioni delle finestre di dialogo riportate alla voce "controllo della coerenza"
del manuale.
Controlli di coerenza locali
Un controllo della coerenza è definito locale quando si può eseguire direttamente all'interno
di una finestra di dialogo. Con le seguenti azioni possono essere eseguiti controlli:
● dopo essere usciti da un campo
● dopo essere usciti da una riga in una tabella
● uscendo dalla finestra di dialogo con "OK"
Controlli di coerenza in tutto il progetto
I controlli della coerenza in tutto il progetto forniscono informazioni sui moduli configurati
correttamente. Poiché i controlli di coerenza continui in tutto il progetto necessitano di troppo
tempo, in quanto durante l'impostazione di un progetto vengono configurati dati di
progettazione principalmente incoerenti, un controllo automatico viene effettuato solo con le
seguenti azioni:
● durante il salvataggio del progetto
● durante l'apertura del progetto
● prima del caricamento di una configurazione
ATTENZIONE
I dati di progettazione possono essere caricati solo se il progetto è complessivamente
coerente.
Per eseguire un controllo della coerenza in tutto il progetto, procedere nel modo seguente
Il controllo della coerenza può essere avviato in qualsiasi momento per un progetto aperto
selezionando la seguente voce di menu:
Options ▶ Check Consistency
122
Il risultato del controllo viene visualizzato in un elenco. Se il progetto contiene dati incoerenti,
nella riga di stato esiste inoltre un rimando al risultato del controllo della coerenza.
Posizionando il puntatore del mouse e facendo clic nella riga di stato è possibile nascondere
l'elenco del controllo.
4.4.5
Impostazione di nomi simbolici per indirizzi IP/MAC.
Significato e vantaggio
In un progetto SCALANCE S al posto di indirizzi IP e indirizzi MAC è possibile assegnare
nomi simbolici in una tabella dei simboli.
La progettazione dei singoli servizi può quindi essere eseguita in modo più semplice e
sicuro.
Per le seguenti funzioni e relativa progettazione vengono tenuti in considerazione nomi
simbolici all'interno di un progetto:
● Firewall
● Router NAT/NAPT
● Syslog
● DHCP
Validità e univocità
La validità dei nomi simbolici indicati nella tabella dei simboli è limitata alla progettazione
all'interno di un progetto SCALANCE S.
All'interno del progetto ad ogni nome simbolico deve essere assegnato in modo univoco un
solo indirizzo IP o un indirizzo MAC.
Acquisizione automatica di nomi simbolici nella tabella dei simboli
È possibile utilizzare nomi simbolici nelle funzioni indicate al posto di indirizzi IP, ad esempio
durante la creazione di regole firewall, senza che essi siano già assegnati nella tabella dei
simboli qui descritta.
I nomi simbolici assegnati in questo modo vengono ripresi automaticamente nella tabella dei
simboli e possono essere assegnati in un secondo momento. Nell'ambito del controllo della
coerenza vengono segnalate assegnazioni mancanti.
Finestra di dialogo per l'assegnazione di nomi simbolici
Per evitare incoerenze tra un'assegnazione "indirizzo IP - nome simbolico" e "indirizzo MAC
- nome simbolico", i nomi simbolici vengono gestiti in una singola tabella dei simboli.
Selezionare la seguente voce di menu per aprire la tabella dei simboli:
Options ▶ Symbolic Names..
123
Per registrare le voci nella tabella dei simboli procedere nel modo seguente:
● Nuove voci
1. Azionare il pulsante "Add" per inserire un nuovo nome simbolico nella successiva riga
libera della tabella.
2. Inserire il nome simbolico conforme a DNS. 1)
3. Completare la voce con l'indirizzo IP o l'indirizzo MAC. Possono essere indicati anche
entrambi gli indirizzi.
Legenda:
La conformità DNS secondo RFC1035 comprende le seguenti regole:
- limitazione a 255 caratteri complessivi (lettere, numeri, trattino o punto);
- il nome deve iniziare con una lettera;
- il nome può finire con una lettera o un numero;
- un componente del nome all'interno del nome, vale a dire una stringa di caratteri tra due
punti, può avere una lunghezza di max. 63 caratteri;
- nessun carattere speciale come dieresi, parentesi, sottolineature, barre, spazi vuoti ecc.
1)
● Voci automatiche
Se il nome simbolico è già stato indicato nell'ambito di un servizio, nella tabella dei simboli si
trova una relativa voce.
1. Fare clic sulla casella d'immissione per l'indirizzo IP o per l'indirizzo MAC.
2. Completare la voce con l'indirizzo IP o l'indirizzo MAC. Possono essere indicati anche
Se si cancella una voce dalla tabella dei simboli, i nomi simbolici utilizzati nei servizi
vengono mantenuti. In questo caso il controllo della coerenza riconosce i nomi simbolici non
definiti. Questo vale sia per voci create manualmente, sia per voci create automaticamente.
Suggerimento:
124
Per la tabella dei simboli qui descritta è particolarmente sensato l'impiego del controllo della
coerenza in tutto il progetto. In base alla lisa si può riconoscere e correggere ogni
incoerenza.
Il controllo della coerenza può essere avviato in qualsiasi momento per un progetto aperto
selezionando la seguente voce di menu:
Controllo della coerenza - vanno osservate queste regole
Per l'inserimento rispettare le regole riportate qui di seguito.
Controllo / Regola
Controllo eseguito 1)
locale
L'assegnazione di un nome simbolico ad un indirizzo IP o ad un
indirizzo MAC deve essere univoco in entrambe le direzioni.
in tutto il
progetto
x
I nomi simbolici devono essere conformi a DNS. 2)
x
Ciascuna riga nella tabella dei simboli deve contenere un nome
simbolico. Deve essere inserito un indirizzo IP, un indirizzo MAC o
x
Agli indirizzi IP del modulo SCALANCE S non devono essere assegnati
nomi simbolici.
x
I nomi simbolici utilizzati nel progetto per gli indirizzi IP o gli indirizzi
MAC devono essere trovarsi nella tabella dei simboli.
x
Possono verificarsi incoerenze dovute alla cancellazione delle voci nella
tabella dei simboli e alla mancata relativa cancellazione o correzione
nelle finestre di dialogo di progettazione.
Legenda:
1)
Osservare le descrizioni nel capitolo "Controlli delle coerenze".
2) La conformità DNS secondo RFC1035 comprende le seguenti regole:
- limitazione complessiva a 255 caratteri (lettere, cifre, trattino o punto);
- il nome deve iniziare con una lettera;
- il nome deve finire con una lettera o una cifra;
- una parte integrante del nome all'interno del nome, vale a dire una stringa di caratteri tra
due punti, può essere di max. 63 caratteri;
- nessun carattere speciale come dieresi, parentesi, sottolineatura, barra, spazio vuoto ecc.
125
4.5 Caricamento della configurazione in SCALANCE S
4.5
I dati di configurazione creati offline vengono caricati nello SCALANCE S raggiungibile nella
rete tramite relative voci di menu.
2IIOLQH
7UDVIHULPHQWR
DOPRGXOR
DWXWWLLPRGXOL
126
4.5 Caricamento della configurazione in SCALANCE S
Requisiti richiesti
● Collegamenti
In linea di principio i dati di configurazione possono essere caricati sia tramite la porta 1
dell'apparecchio, sia tramite la porta 2 dell'apparecchio.
Configurare i moduli di un gruppo prevalentemente tramite la rete esterna comune di
questi moduli (porta apparecchio 1).
Se il computer di configurazione si trova in una rete interna, nel firewall di questo
SCALANCE S deve essere abilitato in modo esplicito l'indirizzo IP degli altri moduli del
gruppo e questo modulo deve essere configurato per primo. (Questo procedimento viene
supportato sol quando a tutti i moduli SCALANCE S è già stato assegnato un indirizzo IP.
vedere "Particolarità durante la prima configurazione")
ATTENZIONE
Utilizzo di diversi adattatori di rete durante la prima configurazione
Se si utilizzano diversi adattatore di rete in un PC/PG, prima della prima configurazione
selezionare l'adattatore di rete con il quale si può raggiungere il modulo SCALANCE S.
Utilizzare la voce di menu "Options ▶ Network Adapter…"
● Stato operativo
Le configurazioni possono essere caricate durante il funzionamento dell'apparecchio
SCALANCE S. Dopo il caricamento viene eseguito automaticamente un riavvio degli
apparecchi. Dopo il caricamento può verificarsi una breve interruzione della
comunicazione tra rete interna ed esterna.
ATTENZIONE
Particolarità nella prima configurazione
Se un modulo non ha impostato ancora i parametri IP - vale a dire prima della prima
configurazione - tra il modulo e il computer di configurazione non deve trovarsi nessun
Router o SCALANCE S.
ATTENZIONE
Modifica del collegamento al PC
Se si cambia la posizione di un PC dall'interfaccia interna a quella esterna di
SCALANCE S, gli accessi di questo PC a SCALANCE S vengono bloccati per ca. 10
min (funzione di sicurezza per la prevenzione di "ARP-Cache-Spoofing").
ATTENZIONE
Il progetto deve essere coerente
I dati di progettazione possono essere caricati solo se il progetto è complessivamente
coerente. In caso di incoerenza viene visualizzato un elenco di controllo dettagliato.
Trasferimento sicuro
I dati vengono trasferiti con protocollo protetto.
127
4.6 Dati di configurazione per MD 740 / MD 741
Procedimento
Per il caricamento utilizzare in alternativa le voci di menu:
● Transfer ▶ To Module...
In questo modo si trasferisce la configurazione a tutti i moduli selezionati.
● Transfer ▶ To All Modules…
In questo modo si trasferisce la configurazione a tutti i moduli configurati nel progetto.
Livellamento della configurazione diversa
Non è consentito un ricaricamento dei dati di configurazione dal modulo SCALANCE S al
progetto.
4.6
Dati di configurazione per MD 740 / MD 741
Trasmissione ad un modulo
Le informazioni VPN per la parametrizzazione di un MD 740-1 / MD 741-1 possono essere
generate con il Security Configuration Tool. Con i file così generati è possibile configurare il
MD 740-1 / MD 741-1.
Vengono generati i seguenti tipi di file:
● File di esportazione con dati di configurazione
– Tipo di file: file ".txt" in formato ASCII
– Contiene le informazioni di configurazione esportate per il MD 740 / MD 741,
compresa un'informazione sui altri certificati creati.
● Certificato modulo
– Tipo di file: File ".p12"
– Il file contiene il certificato del modulo e il materiale di codifica
– L'accesso è protetto da password.
● Certificato gruppi
– Tipo di file: File ".cer"
I file di configurazione per l'MD 740-1 / MD 741-1 possono essere utilizzati anche per
configurare altri tipi di client VPN non contenuti nella selezione dei moduli. Il requisito minimo
per l'utilizzo di questi client è il supporto di IPsec VPNs nella modalità tunnel.
128
Figura 4-1
File di esportazione per MD 741-1
Nota
Al modulo non vengono trasmessi file di configurazione. Viene generato solo un file ASCII
con il quale si può configurare l'MD 740-1 / MD 741-1. Tuttavia questo è possibile solo se il
modulo si trova in almeno un gruppo VPN nel quale si trova anche un modulo SCALANCE S
o un SOFTNET Security Client V3.0.
Procedere nel modo seguente
1. Selezionare nel campo del contenuto il modulo "MD 740-1" / "MD 741-1" e selezionare
129
2. Nella finestra di salvataggio successiva indicare il percorso e il nome del file di
configurazione e fare clic su "Save".
3. Alla fine compare la domanda se si vuole creare una password per entrambi i file di
certificato creati.
Se si seleziona "No", come password viene assegnato il nome della progettazione (p.
es. DHCP_senza_Routing_02), non la password del progetto.
Se si seleziona "Yes" (raccomandato), è necessario inserire la password nella finestra
successiva.
Risultato: I file (e i certificati) vengono salvati nella directory specificata.
Nota
Dopo il salvataggio viene segnalata l'incompatibilità successiva del progetto. I progetti
salvati p. es. con il Security Configuration Tool V2.1 non possono essere caricati con il
Security Configuration Tool V2.
Nota
Ulteriori informazioni per la configurazione dell'MD 740-1 / MD 741-1 si trovano nel
manuale di sistema MD 741-1 / MD 740-1.
130
Firewall, router e altre proprietà del modulo
5
Questo capitolo descrive come vengono creati i moduli e quali impostazioni sono possibili
per i singoli moduli in un progetto. Il ruolo principale per queste operazioni lo hanno le
impostazioni per la funzione firewall e la funzione router NAT/NAPT di SCALANCE S.
Nota
S612/S613
Le impostazioni del firewall che possono essere eseguite per i singoli moduli possono influire
anche sulla comunicazione che viene svolta tramite collegamenti via tunnel IPsec nella rete
interna (VPN).
Altre informazioni
Nei seguenti capitoli di questo manuale viene descritto in modo dettagliato come si configura
il tunnel IP.
nella guida in linea.
F1
Alla guida è possibile accedere con il tasto F1 o con il pulsante "Help" nella relativa finestra
di dialogo.
ATTENZIONE
Potenzialità e tipi di apparecchio
Osservare le funzioni supportate dal tipo di apparecchio utilizzato.
Vedere anche
Funzioni online - Test, diagnostica e logging (Pagina 223)
Caratteristiche hardware e panoramica delle funzioni (Pagina 17)
131
5.1 Panoramica / Nozioni di base
5.1
Panoramica / Nozioni di base
5.1.1
SCALANCE S come firewall
Significato
La funzionalità Firewall di SCALANCE S ha il compito di proteggere la rete interna da influssi
o disturbi provenienti dalla rete esterna. Questo significa che, a seconda della
configurazione, sono consentite solo determinate relazioni di comunicazione
precedentemente esistenti tra nodi di rete dalla rete interna e nodi di rete dalla rete esterna.
Tutti i nodi di rete che si trovano in un segmento di rete interno di uno SCALANCE S sono
protetti da questo Firewall.
La funzionalità firewall può essere configurata per i seguenti livelli di protocollo:
● IP Firewall con Stateful Packet Inspection;
● Firewall anche per telegrammi Ethernet "Non-IP" secondo IEEE 802.3 (telegrammi layer
2)
● Limitazione della larghezza di banda
Regole firewall
Le regole firewall sono regole per il traffico di dati nelle seguenti direzioni:
● dalla rete interna a quella esterna e viceversa;
● dalla rete interna ad un tunnel IPsec e viceversa (S612/S613).
Progettazione
Vanno distinti le due visualizzazioni di comando:
● Nella modalità standard si accede a regole semplici predefinite.
● Nella modalità Advanced è possibile definire regole specifiche.
Inoltre nella modalità Advanced vanno distinte regole firewall e blocchi di regole firewall
per moduli:
– Le regole firewall locali sono assegnate rispettivamente ad un modulo. Esse vengono
progettate nella finestra di dialogo delle proprietà del modulo.
– Le regole globali del firewall possono essere assegnate contemporaneamente a
diversi moduli. Questa possibilità semplifica in molti casi la progettazione.
Inoltre esiste la possibilità di definire in modo chiaro e compatto le regole del firewall con
l'aiuto delle definizioni del servizio. A queste definizioni del servizio è possibile fare
riferimento sia nelle regole firewall locali, sia nei blocchi di regole firewall globali.
132
5.1 Panoramica / Nozioni di base
5.1.2
SCALANCE S come Router
Significato
Utilizzando SCALANCE S come router, si collega la rete interna alla rete esterna. La rete
interna collegata tramite SCALANCE S diventa quindi una sotto-rete propria.
Esistono le seguenti possibilità:
● Routing - impostabile nella modalità Standard e nella modalità Advanced
● NAT/NAPT Routing - impostabile nella modalità Advanced
Routing - impostabile nella modalità Standard e nella modalità Advanced
Vengono inoltrati telegrammi destinati ad un indirizzo IP esistente nelle relative sotto-reti
(interne o esterne). Di conseguenza valgono le regole firewall definite per la rispettiva
direzione di trasmissione.
Per questo modo operativo è inoltre necessario progettare un indirizzo IP per la sotto-rete
interna.
Nota: Rispetto ad un funzionamento Bridge di SCALANCE S, nella modalità Routing i tag
VLAN vengono persi.
NAT/NAPT Routing - impostabile nella modalità Advanced
In questo modo operativo viene inoltre eseguita una trasformazione degli indirizzi IP. Gli
indirizzi IP degli apparecchi nella sotto-rete interna vengono rappresentati sugli indirizzi IP
esterni e quindi non sono "visibili" sulla rete esterna.
Per questo modo operativo progettare la trasformazione di indirizzo in un elenco. Assegnare
rispettivamente un indirizzo IP interno e un indirizzo IP esterno.
A seconda del metodo che si vuole impiegare, per l'assegnazione vale:
● NAT (Network Address Translation)
In questo caso vale: Indirizzo = indirizzo IP
● NAPT (Network Address Port Translation)
In questo caso vale: Indirizzo = indirizzo IP + numero di porta
5.1.3
SCALANCE S come server DHCP
Significato
Sulla rete interna SCALANCE S può essere utilizzato come server DHCP. In questo modo è
possibile assegnare automaticamente gli indirizzi IP agli apparecchi collegati alla rete
interna.
Gli indirizzi IP vengono assegnati dinamicamente da una banda di indirizzi indicata oppure
viene assegnato un determinato indirizzo IP di un determinato apparecchio.
133
5.2 Creazione di moduli e impostazione dei parametri di rete
Progettazione
La configurazione come server DHCP è possibile nella visualizzazione "Advanced Mode".
5.2
Creazione di moduli e impostazione dei parametri di rete
Creazione di moduli
Creando un nuovo progetto, come standard il Security Configuration Tool apre la finestra di
dialogo "Selection of a module or software configuration" nella quale è possibile configurare
il primo modulo.
Ulteriori moduli si creano con la seguente voce di menu:
Insert ▶ Module
in alternativa: con il menu contestuale nell'oggetto selezionato "All Modules".
Nella fase successiva, in questa finestra di dialogo selezionare il tipo di prodotto, l'unità e il
release del firmware.
134
Impostazioni di rete di un modulo
Le impostazioni di rete di un modulo comprendono:
● Parametri di indirizzo del modulo
● Indirizzi del router esterno
Parametri di indirizzo
Alcuni parametri di indirizzo possono essere configurati nella finestra di dialogo "Selection of
a module or software configuration" durante la creazione di un modulo.
I parametri di indirizzo possono essere inseriti anche nell'area del contenuto selezionando
l'oggetto "All Modules" nell'area di navigazione:
Le seguenti proprietà dei moduli vengono visualizzate per colonne:
Tabella 5- 1
Parametri IP - Selezione di "All Modules"
Proprietà/colonna
Significato
Commento/selezione
Number
Numero di modulo progressivo
viene assegnato automaticamente
Name
Denominazione logica tecnologica del
modulo.
selezionabile liberamente
Ext. IP address
Indirizzo IP con il quale è raggiungibile
assegnazione adatta nell'insieme di reti.
l'apparecchio della rete esterna, ad esempio
per caricare la configurazione.
Maschera sotto-rete est.
Int. IP address
Indirizzo IP con il quale è raggiungibile
l'apparecchio della rete interna, se
configurato come router.
Maschera sotto-rete int.
La casella di inserimento può essere editata
solo se nelle proprietà del modulo è stato
attivato il funzionamento router.
La casella di inserimento può essere editata
solo se nelle proprietà del modulo è stato
attivato il funzionamento router.
Default Router
Indirizzo IP del router in una rete esterna.
MAC address
Indirizzo hardware del modulo
L'indirizzo MAC è stampigliato sulla
custodia del modulo.

Osservare l'indirizzo MAC
supplementare nella modalità Routing
(indicazione alla fine di questa tabella).
135
Proprietà/colonna
Significato
Commento/selezione
Typ
Tipo di apparecchio

SCALANCE S602

SCALANCE S612 V1

SCALANCE S612 V2

SCALANCE S613 V1

SCALANCE S613 V2

SOFTNET Security Client 2005


SOFTNET Security Client V3.0
 MD 74x
Per questi tipi di moduli non esiste una
"finestra di dialogo delle proprietà".
Per MD 74x nell'area del contenuto
possono essere impostati gli indirizzi IP e le
maschere della sotto-rete.
Comment
Informazioni tecnologiche utili per il modulo
e sotto-rete protetta dal modulo.
Indirizzo MAC supplementare in modalità Routing
In modalità Routing SCALANCE S utilizza un indirizzo MAC supplementare sull'interfaccia
verso la sotto-rete interna. Questo secondo indirizzo MAC viene formato dall'indirizzo MAC
stampigliato sull'apparecchio nel modo seguente:
● Indirizzo MAC (interno) = indirizzo MAC stampigliato + 1
Nel funzionamento nelle reti piatte (funzionamento Bridge) è sempre valido l'indirizzo MAC
stampigliato sia sull'interfaccia interna, sia su quella esterna.
Nella finestra di dialogo online del Security Configuration Tool vengono visualizzati gli
indirizzi MAC attualmente validi nella scheda "Status".
Finestra di dialogo "Network / External Routers"
A seconda della struttura di rete esistente può essere necessario indicare oltre al router
standard altri router.
Selezionare il modulo da modificare e selezionare la seguente voce di menu per configurare
router esterni:
Edit ▶ Properties.., scheda "Network"
136
5.3 Firewall - Proprietà del modulo in modalità Standard
Figura 5-1
Finestra di dialogo "Network"
Vedere anche
Panoramica delle funzioni della finestra di dialogo online (Pagina 224)
5.3
Firewall - Proprietà del modulo in modalità Standard
5.3.1
Protezione da disturbi provenienti dalla rete esterna
La funzionalità Firewall di SCALANCE S ha il compito di proteggere la rete interna da influssi
o disturbi provenienti dalla rete esterna. Questo significa che sono consentite solo
determinate relazioni di comunicazione precedentemente esistenti tra nodi di rete dalla rete
interna e nodi di rete dalla rete esterna.
137
Con le regole del filtro pacchetti si definisce l'abilitazione o la limitazione del traffico di dati
continuo in base alle proprietà dei pacchetti di dati.
In SCALANCE S612 / S613 il firewall può essere impiegato per il traffico di dati (via tunnel
IPsec) codificato e il traffico di dati non codificato.
Nella modalità standard possono essere eseguite solo impostazioni per il traffico di dati non
codificato.
Nota
Modalità Routing
Se per il modulo SCALANCE S è stata attivata la modalità Routing, le regole MAC non
vengono utilizzate.
Finestra di dialogo
il firewall:
Edit ▶ Properties…, scheda "Firewall"
138
Area di selezione "Configuration" - Regole predefinite
ATTENZIONE
Osservare che il potenziale di pericolo aumenta più si abilitano opzioni.
La modalità Standard comprende per il firewall le seguenti regole predefinite che possono
essere selezionate nell'area di immissione "Configuration":
Tabella 5- 2
Regole predefinite del firewall semplice
Regola/opzione
Funzionamento
Impostazione di
default
Solo comunicazione via tunnel
(S612/S613)
Rappresenta l'impostazione standard.
On
Tunnel Communication only
Con questa impostazione viene autorizzato solo il traffico di
dati IPsec codificato; possono comunicare tra loro solo nodi
in reti interne di SCALANCE S.
Questa opzione può essere selezionata solo se il modulo si
trova in un gruppo.
Se questa opzione è disattivata, è autorizzata la
comunicazione via tunnel e inoltre il tipo di comunicazione
selezionato nelle altre caselle delle opzioni.
Consenti traffico IP dalla rete interna
alla rete esterna
Allow outgoing IP traffic
I nodi interni possono inizializzare un collegamento di
off
comunicazione con nodi in una rete esterna. Solo i
telegrammi di risposta vengono inoltrati dalla rete esterna alla
rete interna.
Dalla rete esterna non può essere inizializzato nessun
collegamento di comunicazione con nodi nella rete interna.
Consenti traffico IP con protocollo S7
dalla rete interna alla rete esterna.
Allow outgoing S7 protocol
comunicazione S7 (protocollo S7 - TCP/Port 102) con nodi in
una rete esterna. Solo i telegrammi di risposta vengono
inoltrati dalla rete esterna alla rete interna.
off
Consenti accesso al server DHCP
dalla rete interna alla rete esterna.
Allow access to external DHCP
server
off
comunicazione con un server DHCP in una rete esterna. Solo
i telegrammi di risposta del server DHCP vengono inoltrati
nella rete interna.
Consenti accesso al server NTP dalla I nodi interni possono inizializzare un collegamento di
rete interna alla rete esterna.
comunicazione con un server NTP (Network Time Protocol)
in una rete esterna. Solo i telegrammi di risposta del server
Allow access to external NTP server
NTP vengono inoltrati nella rete interna.
off
Consenti telegrammi dell'ora SiClock
dalla rete esterna alla rete interna.
Con questa opzione vengono abilitati i telegrammi dell'ora
SiClock da una rete esterna in una interna.
Allow access to external SiClock
server
off
(L'opzione non può
essere utilizzata in
modalità Routing.)
139
Regola/opzione
Funzionamento
Impostazione di
default
Consenti accesso al server DNS dalla I nodi interni possono inizializzare un collegamento di
rete interna alla rete esterna.
comunicazione con un server DNS in una rete esterna. Solo i
Allow access to external DNS server telegrammi di risposta del server DNS vengono inoltrati nella
rete interna.
off
Consenti la configurazione dei nodi di
rete interni tramite DCP dalla rete
esterna alla rete interna.
Il protocollo DCP viene utilizzato dal tool PST, per eseguire
nei componenti di rete SIMATIC Net la denominazione dei
nodi (impostazione dei parametri IP).
Allow access from external or internal
nodes via DCP server
Con questa regola viene consentito ai nodi nella rete esterna
di accedere ai nodi nella rete interna tramite protocollo DCP.
off
(L'opzione non può
essere utilizzata in
modalità Routing.)
Area di selezione "Log" - Impostazione di registrazioni
È possibile consentire una compilazione del protocollo sul traffico di dati in ingresso e in
uscita.
5.3.2
Preimpostazione del firewall
Comportamento con preimpostazione
La preimpostazione per il firewall è selezionata in modo da non consentire un traffico di dati
IP. La comunicazione tra i nodi nelle reti interne dei moduli SCALANCE S è autorizzata solo
tramite tunnel IPsec configurati.
I seguenti diagrammi illustrano le impostazioni standard in dettaglio rispettivamente per il
filtro pacchetto IP e il filtro pacchetto MAC.
140
Impostazione standard per filtro pacchetto IP
1RGLLQWHUQL
6&$/$1&(6
1RGLHVWHUQL
1
6&$/$1&(6HVWHUQR
3
2
4
5
7XQQHO,3VHF
)LUHZDOO
①
②
③
④
⑤
⑥
Tutti i tipi di telegramma dall'interno all'esterno sono bloccati.
Tutti i telegrammi dall'interno a SCALANCE S sono autorizzati (sensato solo HTTPS).
Tutti i telegrammi dall'esterno all'interno e a SCALANCE S sono bloccati (anche ICMP Echo Request).
Sono autorizzati telegrammi dall'esterno (nodi esterni e SCALANCE S esterni) a SCALANCE S del seguente tipo:

HTTPS (SSL)

Protocollo ESP (codifica)

IKE (protocollo per la realizzazione del tunnel IPsec)

NAT-Traversal (protocollo per la realizzazione del tunnel IPsec)
È autorizzata la comunicazione IP tramite tunnel IPsec.
I telegrammi del tipo Syslog e NTP sono autorizzati da SCALANCE S verso l'esterno.
141
5.4 Firewall - Proprietà del modulo in modalità Advanced
Impostazione standard per filtro pacchetto MAC
1RGLLQWHUQL
6&$/$1&(6
1RGLHVWHUQL
6&$/$1&(6HVWHUQR
1
2
3
5
6
7
7XQQHO,3VHF
l
)LUHZDOO
①
②
③
④
⑤
Tutti i tipi di telegramma dall'interno all'esterno sono bloccati.
Tutti i telegrammi dall'interno a SCALANCE S sono autorizzati.
Sono autorizzati i telegrammi ARP dall'interno all'esterno.
Tutti i telegrammi dall'esterno all'interno e a SCALANCE S sono bloccati.
Sono autorizzati telegrammi dall'esterno all'interno del seguente tipo:

⑥
⑦
5.4
ARP con limitazione banda larga
Sono autorizzati telegrammi dall'esterno a SCALANCE S del seguente tipo:

ARP con limitazione banda larga

DCP
Sono autorizzati i protocolli MAC che vengono inviati attraverso il tunnel IPsec.
Firewall - Proprietà del modulo in modalità Advanced
Nella modalità ampliata esistono possibilità di impostazione ampliate che consentono
l'impostazione individuale delle regole del firmware e della funzionalità di sicurezza.
Commutazione nella modalità Advanced
Commutare il modo operativo per tutte le funzioni descritte in questo capitolo con la
142
View ▶ Advanced Mode...
Nota
Non è più possibile annullare una commutazione nella modalità Advanced per il progetto
attuale non appena sono state eseguite modifiche.
Sono supportati i nomi simbolici
Nelle funzioni descritte di seguito è possibile inserire indirizzi IP o indirizzi MAC anche come
nomi simbolici.
5.4.1
Rispetto alla progettazione di regole del filtro pacchetto preimpostate in modo fisso nella
modalità standard, nella modalità Advanced Mode è possibile progettare regole del filtro
pacchetto individuali di Security Configuration Tool.
Le regole del filtro pacchetto si impostato nelle schede selezionabili per i seguenti protocolli:
● Protocollo IP (livello/layer 3)
● Protocollo MAC (livello/layer 2)
Se nelle finestre di dialogo descritte di seguito non si inseriscono regole, valgono le
impostazioni standard in base alla descrizione nel capitolo "Preimpostazione del firewall".
Nota
Modalità Routing
vengono utilizzate (le finestre non sono attive).
Definizione globale e locale possibili
● Regole firewall globali
Una regola globale del firewall può essere assegnata contemporaneamente a diversi
moduli. Questa possibilità semplifica in molti casi la progettazione.
● Regole firewall locali
Una regola firewall locale è assegnata rispettivamente ad un modulo. Essa viene
progettata nella finestra di dialogo delle proprietà del modulo.
Ad un modulo possono essere assegnate diverse regole firewall locali e diverse regole
firewall globali.
La definizione delle regole globali e locali viene eseguita allo stesso modo. La segeuente
descrizione vale quindi per entrambi e metodi indicati.
143
5.4.2
Regole firewall globali
Impiego
Le regole Firewall globali vengono progettate sul livello del progetto fuori dal modulo. Come i
moduli, esse sono visibili nell'area di navigazione del Security Configuration Tool.
Selezionando un modulo progettato e trascinandolo sulla regola firewall globale (Drag and
Drop), si assegna al modulo questa regola firewall. Questa regola firewall globale viene
quindi visualizzata automaticamente nell'elenco specifico del modulo delle regole firewall.
Le regole firewall globali possono essere definite per:
● Blocchi di regole IP
● Blocchi di regole MAC
La seguente rappresentazione descrive la relazione tra blocchi di regole definiti globalmente
e blocchi di regole utilizzati localmente.
144
3URJHWWR
5HFRUGGLUHJROD]LRQHJOREDOHQ
%ORFFRGLUHJROHJOREDOH
5HJRODJ
0RGXOR
%ORFFRGLUHJROHORFDOH
5HJRODORFDOHO
5HJRODJ
5HJRODORFDOHO
5HJRODJ
Quando vanno utilizzate le regole firewall globali?
Le regole firewall globali vanno utilizzate se per diverse sotto-reti protette da moduli
SCALANCE S si possono definire criteri di filtraggio identici per la comunicazione con la rete
esterna.
È tuttavia necessario fare attenzione che questa progettazione semplificata può comportare
risultati indesiderati in caso assegnazione errata del modulo. Di conseguenza è necessario
verificare sempre nel risultato le regole firewall locali specifiche per il modulo.
Un'assegnazione della regola eseguita inavvertitamente può non essere riconosciuta
nell'ambito del controllo automatico della coerenza!
Le regole firewall globali vengono utilizzate localmente - Accordi
Per la creazione di un blocco di regole firewall globale e per l'assegnazione ad un modulo
valgono i seguenti accordi:
● Visualizzazione nel Security Configuration Tool
Le regole firewall globali possono essere create solo nell'impostazione della modalità
Advanced.
● Priorità
Le regole definite localmente hanno come standard priorità superiore rispetto alle regole
globali; per questo motivo le regole globali assegnate vengono inserire nell'elenco dopo
le regole locali.
La priorità può essere modificata cambiando la posizione nell'elenco delle regole.
145
● Granularità
Le regole firewall globali possono essere assegnate ad un modulo solo come blocco di
regole intero.
● Inserimento, modifica o cancellazione delle regole
Le regole firewall globali non possono essere editate nell'elenco delle regole locali nelle
proprietà del modulo. Esse possono essere solo visualizzate e posizionate in base alla
priorità desiderata.
Da un blocco di regole assegnato non può essere cancellata una singola regola.
Dall'elenco di regole locali può essere ripreso solo un blocco di regole intero; in questo
modo la definizione nell'elenco di regole globali non viene modificata.
Creazione e assegnazione di regole globali del filtro pacchetto
Se si si vuole definire e assegnare un blocco di regole firewall procedere nel modo
seguente:
1. Selezionare nell'area di navigazione una delle seguenti cartelle:
– Blocchi di regole firewall globali / blocchi di regole IP firewall.
– Blocchi di regole firewall globali / blocchi di regole MAC firewall.
2. Per la configurazione di un blocco di regole globali selezionare la seguente voce di menu:
Insert ▶ Firewall rule set
146
3. Inserire in sequenza le regole del firewall nell'elenco; osservare la descrizione dei
parametri e l'analisi nel seguente capitolo o nella guida in linea.
4. Assegnare la regola firewall globale ai moduli nei quali deve essere utilizzata questa
regola. Selezionare quindi nell'area di navigazione un modulo e trascinarlo sul blocco di
regole globale adatto nell'area di navigazione (Drag and Drop).
Risultato:
Il modulo assegnato utilizza il blocco di regole globali come blocco di regole locali.
5.4.3
Impostazione delle regole del filtro pacchetto IP locali
Tramite le regole del filtro pacchetto IP è possibile filtrare sui telegrammi IP come per
esempio telegrammi UDP, TCP, ICMP.
All'interno di una regola del filtro pacchetto IP è possibile accedere alle definizioni del
servizio e mantenere quindi la limitazione dei criteri di filtraggio. Se non si indicano servizi, la
regola del filtro pacchetto IP vale per tutti i servizi.
Si apre la finestra di dialogo delle regole locali del filtro pacchetto IP.
il firewall:
Edit ▶ Properties...
147
Inserire le regole del filtro pacchetto IP
Inserire in sequenza le regole del firewall nell'elenco; osservare la descrizione dei parametri
e gli esempi nel seguente capitolo o nella guida in linea.
Utilizzo di blocchi di regole globali
I blocchi di regole globali assegnati al modulo vengono registrati automaticamente nel blocco
di regole locali. Essi si trovano dapprima alla fine dell'elenco delle regole e vengono quindi
elaborati con priorità più bassa. La priorità può essere modificata modificando la posizione di
un blocco di regole locali o globali nell'elenco delle regole.
La guida in linea descrive il significato dei singoli pulsanti.
F1
148
5.4.4
Regole del filtro pacchetto IP
L'elaborazione delle regole del filtro pacchetto IP avviene in base alle seguenti analisi:
● parametri inseriti nella regola;
● sequenza e priorità della regola ad essa collegata all'interno del blocco di regole.
Parametri
La progettazione di una regola IP comprende i seguenti parametri:
Denominazione
Significato / Commento
Possibilità di selezione / campi
dei valori
Action
Definizione delle autorizzazioni (abilitazione/disabilitazione)

Allow
Autorizzazione di
telegrammi in base alla
definizione.

Drop
Disabilitazione di
definizione.
Direction
Indica la direzione del traffico di dati

Internal → External
("Tunnel / Any" solo per S612 / S613)

Internal ← External

Tunnel → Internal

Tunnel ← Internal

Internal → any

Internal ← any
Source IP
Indirizzo IP sorgente
Destination IP
Indirizzo IP di destinazione
Consultare la sezione "Indirizzi
IP nelle regole filtro pacchetto
IP" in questo capitolo.
In alternativa è possibile
inserire nomi simbolici.
Service
Nome del servizio IP/ICMP o del gruppo di servizi utilizzato.
Con l'aiuto delle definizioni del servizio è possibile definire in
modo chiaro e compatto le regole del filtro pacchetto
Qui si seleziona un servizio definito nella finestra di dialogo dei
servizi IP:

o
Servizi IP
La casella di riepilogo a
discesa offre per la selezione i
servizi progettati e i gruppi dei
servizi.
Nessuna indicazione significa:
non viene controllato nessun
servizio, la regola vale per tutti i
servizi.
 Servizi ICMP
Se non si è ancora definito un servizio o se non si intende
definire altri servizi, azionare il pulsante "IP/MAC Services
Definitions..".
149
Denominazione
dei valori
Larghezza di banda
(Mbit/s)
Possibilità di impostazione per una limitazione banda larga.
Campo dei valori:
0.001...100 Mbit/s
Un pacchetto passa dal firewall, quando la regola di pass è
giusta e la larghezza di banda ammessa per questa regola non è
ancora stata superata.
Logging
Attivazione e disattivazione del logging per questa regola
Commento
Spazio per la spiegazione della regola
Indirizzi IP nelle regole del filtro pacchetto IP
L'indirizzo IP è composto da 4 numeri decimali dell'area di valori da 0 a 255, divisi tra loro da
un punto; esempio: 141.80.0.16
Nella regola del filtro pacchetto esistono le seguenti possibilità per indicare gli indirizzi IP:
● nessuna indicazione
Non viene eseguito nessun controllo, la regola vale per tutti gli indirizzi IP.
● un indirizzo IP
La regola vale esattamente per l'indirizzo indicato.
● Banda indirizzo
La regola vale per tutti indirizzi IP che si trovano nella banda di indirizzi.
Una banda di indirizzi viene definita indicando il numero di posizioni di bit valide
nell'indirizzo IP nella seguente forma:
[Indirizzo IP]/[Numero dei bit da considerare]
– [Indirizzo IP]/24 significa quindi che vengono considerati nella regola del filtro solo i 24
bit con valore maggiore dell'indirizzo IP; sono le prime tre posizioni dell'indirizzo IP.
– [Indirizzo IP]/25 significa che vengono considerati nella regola del filtro solo le prime
tre posizioni e il bit con valore maggiore della quarta posizione dell'indirizzo IP.
Tabella 5- 3
Esempi per la banda di indirizzi per indirizzi IP
IP sorgente e IP di
destinazione
Banda indirizzo
Numero
indirizzi *)
da
a
192.168.0.0/16
192.168.0.0
192.168.255.255
65.536
192.168.10.0/24
192.168.10.0
192.168.10.255
256
192.168.10.0/25
192.168.10.0
192.168.10.127
128
192.168.10.0/26
192.168.10.0
192.168.10.63
64
192.168.10.0/27
192.168.10.0
192.168.10.31
32
192.168.10.0/28
192.168.10.0
192.168.10.15
16
192.168.10.0/29
192.168.10.0
192.168.10.7
8
150
IP sorgente e IP di
destinazione
192.168.10.0/30
Banda indirizzo
Numero
indirizzi *)
da
a
192.168.10.0
192.168.10.3
4
*) Nota: Fare attenzione che i valori di indirizzo 0 e 255 nell'indirizzo IP hanno funzioni speciali (0
rappresenta un indirizzo della rete, 255 rappresenta un indirizzo broadcast). Di conseguenza il
numero degli indirizzi realmente disponibili si riduce.
Sequenza per l'analisi delle regole con SCALANCE S
SCALANCE S analizza le regole del filtro pacchetto nel modo seguente:
● La lista viene analizzata dall'alto verso il basso; in caso di regole contrastanti vale sempre
la voce più in alto.
● Per le regole per la comunicazione tra rete interna ed esterna valgono le seguenti regole:
tutti i telegrammi, eccetto i telegrammi autorizzati in modo esplicito nella lista, sono
disabilitati.
● Per le regole per la comunicazione tra rete interna ed esterna e IPsec Tunnel valgono le
seguenti regole: tutti i telegrammi, eccetto i telegrammi disabilitati in modo esplicito nella
lista, sono autorizzati.
151
Esempio
Le regole del filtro pacchetto rappresentate come esempio nella finestra di dialogo riportata
sopra provocano il seguente comportamento:
152
1RGLLQWHUQL
1RGLHVWHUQL
1
6&$/$1&(6HVWHUQR
2
5HJRODGLILOWUDJJLR
SDFFKHWWL
3
5HJRODGLILOWUDJJLR
SDFFKHWWL
4
5HJRODGLILOWUDJJLR
SDFFKHWWL
5
6
7XQQHO,3VHF
)LUHZDOO
①
②
③
④
⑤
⑥
5.4.5
Tutti i tipi di telegramma dall'interno all'esterno sono bloccati come standard, eccetto quelli autorizzati in modo
esplicito.
Tutti i tipi di telegramma dall'esterno all'interno sono bloccati come standard, eccetto quelli autorizzati in modo
esplicito.
La regola del filtro pacchetto IP 1 consente i telegrammi con la definizione di servizio "Service X1" dall'interno
all'esterno.
La regola del filtro pacchetto IP 2 consente i telegrammi dall'esterno all'interno se viene soddisfatta la seguente
condizione:

Indirizzo IP del mittente: 196.65.254.2

Indirizzo IP del destinatario: 197.54.199.4

Definizione del servizio: "Service X2"
La regola del filtro pacchetto IP 3 blocca i telegrammi con la definizione di servizio "Service X2" nella VPN (IPsec
Tunnel).
Come standard la comunicazione IPsec Tunnel è autorizzata, eccetto i tipi di telegrammi bloccati in modo esplicito.
definizione dei servizi IP
Con l'aiuto delle definizioni del servizio IP è possibile definire in modo chiaro e compatto le
regole del firewall che vengono utilizzate su determinati servizi. Per questo si assegna un
nome e si assegnano al nome i parametri del servizio.
153
Inoltre è possibile riunire in gruppi i servizi definiti in un sottogruppo.
Per la progettazione delle regole del filtro pacchetto globali o locali utilizzare semplicemente
questo nome.
Finestra di dialogo / scheda
La finestra di dialogo si apre nel modo seguente:
● Con la voce di menu Options ▶ IP Service Definitions...
o
● Dalla scheda "Firewall/IP Rules" con il pulsante "IP Services Definitions."
154
Parametri per servizi IP
La definizione dei servizi IP viene eseguita con i seguenti parametri:
Tabella 5- 4
Servizi IP: Parametri
Denominazione
Possibilità di selezione / campi dei
valori
Name
Nome definibile liberamente per il servizio che viene utilizzato
per l'identificazione nella definizione della regola o nel
raggruppamento.
Immissione libera
Protocollo
Nome del tipo di protocollo:
TCP
UDP
Any (TCP e UDP)
Porta sorgente
Porta di
destinazione
Viene eseguito un filtraggio in base al numero di porta qui
indicato; esso definisce l'accesso al servizio nel mittente del
telegramma.
Esempi:
*: La porta non viene controllata
20 o 21: FTP Service
Viene eseguito un filtraggio in base al numero di porta qui
Esempi:
indicato; esso definisce l'accesso al servizio nel destinatario del *: La porta non viene controllata
telegramma.
80: Web-HTTP-Service
102: Protocollo S7 - TCP/Port
5.4.6
definizione dei servizi ICMP
Con l'aiuto delle definizioni del servizio ICMP è possibile definire in modo chiaro e compatto
le regole del firewall che vengono utilizzate su determinati servizi. Per questo si assegna un
Per la progettazione delle regola del filtro pacchetto utilizzare semplicemente questo nome.
155
● Tramite la voce di menu
Options ▶ IP Service Definitions...
o
● Dalla scheda "Firewall" con il pulsante "IP Services Definitions."
Parametri per servizi ICMP
La definizione dei servizi ICMP viene eseguita con i seguenti parametri:
Tabella 5- 5
Servizi ICMP: Parametri
Denominazione
Possibilità di selezione / campi dei
valori
Name
Nome definibile liberamente per il servizio che viene utilizzato
per l'identificazione nella definizione della regola o nel
raggruppamento.
Immissione libera
Typ
Tipo del messaggio ICMP

Code
Codice del tipo ICMP
I valori sono in base al tipo selezionato.
vedere la visualizzazione della
finestra di dialogo
156
5.4.7
Impostazione di regole del filtro pacchetto MAC
Con le regole del filtro pacchetto MAC è possibile filtrare i telegrammi MAC.
Nota
Modalità Routing
vengono utilizzate (le finestre non sono attive).
il firewall:
Edit ▶ Properties.., scheda "Firewall", tab "MAC Rules"
Figura 5-2
Finestra di dialogo "MAC Rules" nell'esempio per SCALANCE S602
157
Inserimento delle regole del filtro pacchetto
Inserire in sequenza le regole del firewall nell'elenco; osservare la descrizione dei parametri
e gli esempi nel seguente capitolo o nella guida in linea.
Utilizzo di blocchi di regole globali
I blocchi di regole globali assegnati al modulo vengono registrati automaticamente nel blocco
di regole locali. Essi si trovano dapprima alla fine dell'elenco delle regole e vengono quindi
elaborati con priorità più bassa. La priorità può essere modificata modificando la posizione di
un blocco di regole locali o globali nell'elenco delle regole.
La guida in linea descrive il significato dei singoli pulsanti.
5.4.8
F1
Regole del filtro pacchetto MAC
L'elaborazione delle regole del filtro pacchetto MAC avviene in base alle seguenti analisi:
● Parametri inseriti nella regola;
● Priorità della regola all'interno del blocco di regole.
Regole del filtro pacchetto MAC
La progettazione di una regola MAC comprende i seguenti parametri:
Tabella 5- 6
Regole MAC: Parametri
Denominazione
dei valori
Aktion
Definizione delle autorizzazioni (abilitazione/disabilitazione)

Allow
Autorizzazione di
definizione.

Drop
Disabilitazione di
definizione.
Direzione
Indica la direzione e il tipo del traffico di dati

("Tunnel / Any" solo per S612 / S613)

Internal ← External

Tunnel → Internal

Tunnel ← Internal

Internal → any

Internal ← any
Quelle MAC
Indirizzo MAC sorgente
MAC di destinazione
Indirizzo MAC di destinazione
In alternativa all'indicazione
dell'indirizzo MAC è possibile
158
Denominazione
dei valori
Servizio
Nome del servizio MAC o del gruppo di servizi utilizzato.
La casella di riepilogo a
discesa offre per la selezione i
servizi progettati e i gruppi dei
servizi.
Nessuna indicazione significa:
non viene controllato nessun
servizio, la regola vale per tutti i
servizi.
Larghezza di banda
(Mbit/s)
Possibilità di impostazione per una limitazione banda larga.
Un pacchetto passa dal firewall, quando la regola di pass è
giusta e la larghezza di banda ammessa per questa regola non è
ancora stata superata.
Log
Attivazione e disattivazione del logging per questa regola
Commento
Spazio per la spiegazione della regola
Campo dei valori:
0.001...100 Mbit/s
Analisi della regola con SCALANCE S
SCALANCE S analizza le regole del filtro pacchetto nel modo seguente:
● La lista viene analizzata dall'alto verso il basso; in caso di regole contrastanti vale sempre
la voce più in alto.
● Nelle regole per la comunicazione in direzione interno->esterno e interno<-esterno, per
tutti i telegrammi rilevati in modo non esplicito vale: tutti i telegrammi sono disabilitati,
eccetto i telegrammi autorizzati in modo esplicito nella lista.
● Nelle regole per la comunicazione in direzione interno-> IPsec Tunnel e interno<- IPsec
Tunnel, per tutti i telegrammi rilevati in modo non esplicito vale: tutti i telegrammi sono
autorizzati, eccetto i telegrammi disabilitati in modo esplicito nella lista.
ATTENZIONE
Nella modalità Bridge: Regole IP applicate ai pacchetti IP, regole MAC applicate ai
pacchetti Layer 2
Se un modulo si trova nella modalità Bridge, per il firewall possono essere definite sia
regole IP, sia regole MAC. La modifica nel firewall è regolato in base al tipo Ethertype
del pacchetto.
I pacchetti IP vengono inoltrato o bloccati in base alle regole IP mentre i pacchetti Layer
2 in base alle regole MAC.
Non è possibile filtrare un pacchetto IP utilizzando una regola firewall MAC, ad es.
basato su un indirizzo MAC.
Esempi
L'esempio per il filtro pacchetto IP nel capitolo 5.4.3 può essere logicamente utilizzato sulle
regole del filtro pacchetto MAC.
159
5.4.9
definizione dei servizi MAC
Con l'aiuto delle definizioni del servizio MAC è possibile definire in modo chiaro e compatto
le regole del firewall che vengono utilizzate su determinati servizi. Per questo si assegna un
Per la progettazione delle regole del filtro pacchetto globali o locali utilizzare semplicemente
questo nome.
Finestra di dialogo
● Tramite la seguente voce di menu:
Options ▶ MAC Service Definitions...
o
● Dalla scheda "Firewall/MACRules" con il pulsante "MAC Services Definitions."
160
Parametri per servizi MAC
Una definizione di servizio MAC contiene una categoria di parametri MAC specifici per il
protocollo:
Tabella 5- 7
Parametri dei servizi MAC
Denominazione
Possibilità di selezione / campi dei valori
Name
Nome definibile liberamente per il servizio che viene
utilizzato per l'identificazione nella definizione della
regola o nel raggruppamento.
Immissione libera
Protocollo
Nome del tipo di protocollo:

ISO
ISO

SNAP
ISO contrassegna i telegrammi con le seguenti
proprietà:

0x (immissione codice)

Lengthfield <= 05DC (hex),
DSAP= userdefined
SSAP= userdefined
CTRL= userdefined

SNAP
SNAP contrassegna i telegrammi con le seguenti
proprietà:
Lengthfield <= 05DC (hex),
DSAP=AA (hex),
SSAP=AA (hex),
CTRL=03 (hex),
OUI=userdefined,
OUI-Type=userdefined
DSAP
Destination Service Access Point: Indirizzo destinatario
LLC
SSAP
Source Service Access Point: Indirizzo mittente LLC
CTRL
LLC Control Field
OUI
Organizationally Unique Identifier (i primi 3 byte
dell'indirizzo MAC = identificazione costruttore)
OUI-Type
Tipo di protocollo/identificazione
*) Le indicazioni del protocollo 0800 (hex) e 0806 (hex) non vengono accettate in quanto questi valori valgono per i
telegrammi IP e ICMP. Questi telegrammi vengono filtrati con le regole IP.
Impostazioni specifiche per servizi SIMATIC NET
Per il filtraggio di servizi SIMATIC NET specifici utilizzare le seguenti impostazioni SNAP:
● DCP (Primary Setup Tool) :
PROFINET
● SiClock :
OUI= 08 00 06 (hex) , OUI-Type= 01 00 (hex)
161
5.4.10
configurazione di gruppi di servizi
Formazioni di gruppi di servizi
È possibile riunire diversi servizi formando gruppi di servizi. In questo modo è possibile
realizzare servizi complessi che possono essere utilizzati nelle regole del filtro pacchetti
selezionando semplicemente il nome.
Finestre di dialogo / scheda
● Tramite la seguente voce di menu:
Options ▶ IP/MAC Service Definitions...
o
● Dalla scheda "Firewall/IP Rules" e "Firewall/MACRules" con il pulsante "IP/MAC Services
Definitions.."
162
5.5 Sincronizzazione dell'ora
5.5
Sincronizzazione dell'ora
Significato
Per il controllo della validità dell'ora di un certificato e per il timbro dell'ora di registrazioni log,
sul modulo SCALANCE S viene indicata la data e l'ora.
Nota
La sincronizzazione dell'ora si riferisce solo al modulo SCALANCE S e non può essere
utilizzata per la sincronizzazione di apparecchi nella rete interna di SCALANCE S.
In alternativa all'indicazione dell'ora
Sono progettabili le seguenti alternative:
● Ora locale del PC
Posizioni automatiche dell'ora del modulo con l'ora del PC durante il caricamento di una
configurazione.
● NTP Server
Posizioni automatiche e sincronizzazione periodica dell'ora tramite un server NTP
(Network Time Protocol).
Apertura della finestra di dialogo per la configurazione della sincronizzazione dell'ora
Selezionare il modulo da modificare e selezionare la seguente voce di menu:
Edit ▶ Properties.., scheda "Time synchronization"
163
5.5 Sincronizzazione dell'ora
Sincronizzazione con un server dell'ora NTP
Per la sincronizzazione con un server dell'ora NTP è necessario indicare i seguenti
parametri durante la configurazione:
● Indirizzo IP del server NTP
● l'intervallo di update in secondi
ATTENZIONE
Se il server NTP di Scalance S non è raggiungibile tramite un collegamento via tunnel
IPsec, è necessario abilitare in modo esplicito i telegrammi del server NTP nel firewall
(UDP, Port 123).
Telegrammi dell'ora esterni
I telegrammi dell'ora esterni non sono protetti e possono essere falsificati nella rete esterna.
Questo può per esempio compromettere l'ora locale nella rete interna nei moduli
SCALANCE S.
Di conseguenza i server NTP dovrebbero essere posizionati possibilmente nelle reti interne.
164
5.6 Creazione di certificati SSL
5.6
Creazione di certificati SSL
Significato
Per l'autentificazione della comunicazione tra un apparecchio e SCALANCE S è necessario
includere i certificati SSL nella comunicazione online.
Apertura della finestra di dialogo per la gestione dei certificati SSL
Edit ▶ Properties.., scheda "SSL certificates"
165
5.7 Modalità Routing
5.7
Modalità Routing
5.7.1
Routing
Significato
Se si è attivata la modalità Routing vengono inoltrati telegrammi destinati ad un indirizzo IP
esistente nelle relative sotto-reti (interne o esterne). Di conseguenza valgono le regole
firewall interessate dalla relativa direzione di trasmissione.
Per il modo operativo è necessario progettare nella finestra indicata qui di seguito un
indirizzo IP interno e una maschera di sotto-rete interna per l'indirizzamento del router sulla
sotto-rete interna.
Visualizzazione di comando
Questa funzione può essere progettata in modo identico nella modalità Standard e nella
modalità Advanced.
Attivazione del funzionamento router
1. Selezionare il modulo da modificare e selezionare la seguente voce di menu:
166
Edit ▶ Properties..., scheda "Routing Mode"
2. Selezionare l'opzione routing "active".
3. Inserire un indirizzo IP interno e una maschera di sotto-rete interna per l'indirizzamento
del router sulla sotto-rete interna nelle caselle di immissione ora attive.
5.7.2
NAT/NAPT Routing
Significato
Progettando nella finestra di dialogo "Routing Mode" una conversione di indirizzo, si
comanda SCALANCE S come router NAT/NAPT. Grazie a questa tecnica gli indirizzi dei
nodi nella rete interna non vengono resi noti all'esterno nella rete esterna; i nodi interni sono
visibili nella rete esterna solo tramite gli indirizzi IP esterni definiti nella tabella di conversione
indirizzi (tabella NAT e tabella NAPT) e quindi protetti da accesso diretto.
● NAT: Network Adress Translation
● NAPT: Network Address Port Translation
167
Visualizzazione di comando
Questa funzione è disponibile nella modalità Advanced.
Il modo operativo qui descritto comprende il funzionamento come router standard.
Osservare quindi le indicazioni nel capitolo "Routing".
Relazione tra router NAT/NAPT e firewall
Per entrambe le direzioni vale che i telegrammi attraversano dapprima la conversione di
indirizzo nel router NAT/NAPT e successivamente il firewall. Le impostazioni per il router
NAT/NAPT e le regole firewall devono essere concordi in modo che i telegrammi possano
attraversare il firewall con l'indirizzo convertito.
Firewall e router NAT/NAPT supportano il dispositivo "Stateful Packet Inspection". Di
conseguenza i telegrammi di risposta possono attraversare il router NAT/NAPT e il firewall,
senza che i relativi indirizzi debbano essere ulteriormente acquisiti nella regola firewall e
nella conversione di indirizzo NAT/NAPT.
UHWHHVWHUQD
7HOHJUDPPD,3
HVWHUQR!LQWHUQR
SCALANCE S
5RXWHU1$71$37
UHWHLQWHUQD
7HOHJUDPPD,3
LQWHUQR!HVWHUQR
&RQYHUVLRQHGHOO
LQGLUL]]R
)LUHZDOO
FRQIURQWDUHJROHILUHZDOO
FRQO
LQGLUL]]R,3FRQYHUWL
WR
Osservare gli esempi nei seguenti capitoli.
Limitazioni
Nell'elenco qui descritto viene eseguita una conversione di indirizzo definita in modo statico
per i nodi sulla rete interna (sotto-rete).
168
Modificare la finestra di dialogo per l'attivazione del funzionamento router NAT/NAPT
1. Selezionare il modulo da modificare e selezionare la seguente voce di menu:
Edit ▶ Properties..,, scheda "Routing Mode"
2. A seconda dell'esigenza, attivare una conversione di indirizzo in base a NAT(Network
Adress Translation) o NAPT (Network Address Port Translation).
3. Progettare la conversione di indirizzo in base alle seguenti indicazioni.
Campo di immissione "NAT" (Network Adress Translation)
In questo caso vale: Indirizzo = indirizzo IP
Tabella 5- 8
Opzioni NAT
Casella opzione
NAT active
Significato
Il campo di immissione per NAT viene attivato.
Le conversioni di indirizzo NAT vengono attivate solo con l'opzione e le
registrazioni descritte di seguito nell'elenco di conversione di indirizzi.
Inoltre è necessario configurare adeguatamente il firewall (vedere esempi).
Allow Internal>External for all user
Selezionando questa opzione, per tutti i telegrammi dall'interno all'esterno
viene eseguita una conversione dell'indirizzo IP interno su un indirizzo IP
modulo esterno e una anche conversione del numero di porta indicato dal
modulo.
Questo comportamento è visibile nella riga evidenziata in basso nella
tabella NAT. Qui con un simbolo "*" nella colonna "Internal IP address"
viene visualizzato che vengono convertiti tutti i telegrammi direzionati
dall'interno all'esterno.
Osservazione: A causa di questo effetto sull'elenco delle conversioni di
indirizzo, questa opzione è assegnata al campo di immissione NAT
nonostante l'assegnazione supplementare di un numero di porta.
169
Tabella 5- 9
Tabella NAT
Parametri
external IP address

Per la direzione di telegramma "Interno →
esterno":
nuovo indirizzo IP assegnato

Per la direzione di telegramma "Esterno →
interno":
indirizzo IP conosciuto

Per la direzione di telegramma "Esterno →
interno":
nuovo indirizzo IP assegnato

Per la direzione di telegramma "Interno →
esterno":
indirizzo IP conosciuto
Internal IP address
Direzione
Possibilità di selezione /
campi dei valori
Consultare la sezione
"Indirizzi IP nelle regole
filtro pacchetto IP" in
questo capitolo.
Assegnare qui la direzione del telegramma.

Effetto nell'esempio "Interno → esterno":
Nei telegrammi provenienti dalla sotto-rete
interna viene controllato l'indirizzo IP interno
indicato e i telegrammi vengono inoltrati alla
rete esterna con l'indirizzo IP esterno indicato.

Esterno → interno

Bidirezionale
Campo di immissione "NAPT" (Network Address Port Translation)
In questo caso vale: Indirizzo = indirizzo IP + numero di porta
Tabella 5- 10 Opzioni NAPT
Casella opzione
Significato
NAPT active
Il campo di immissione per NAPT viene attivato.
Le conversioni di indirizzo NAPT diventano efficaci solo con le registrazioni
nell'elenco di conversione di indirizzi.
Inoltre è necessario configurare adeguatamente il firewall (vedere esempi).
external IP address
Visualizzazione dell'indirizzo IP del modulo SCALANCE S che viene
utilizzato dai nodi sulla rete esterna come indirizzo router.
170
Tabella 5- 11 Tabella NAPT
Parametri
Possibilità di selezione /
campi dei valori
Porta esterna
Un nodo nella rete esterna può rispondere ad
un nodo nella sotto-rete interna o inviare un
telegramma utilizzando questo numero di
porta.
Porta o aree della porta.
Internal IP address
Esempio per l'inserimento
di un'area della porta:

78:99
Indirizzo IP del nodo interrogato sulla sotto-rete Consultare la sezione
interna.
"Indirizzi IP nelle regole
filtro pacchetto IP" in
questo capitolo.
Porta interna
Il numero di porta di un servizio nel nodo
interrogato sulla sotto-rete interna.
Porta (nessuna area di
porta)
Per l'assegnazione di indirizzo osservare le seguenti regole per ottenere registrazioni
coerenti:
Controllo / Regola
Controllo eseguito
locale
in tutto il progetto
L'ID della sotto-rete interna deve essere diversa dall'ID della sotto-rete esterna.
x
Gli indirizzi IP interni non devono essere identici agli indirizzi IP del modulo.
x
Riprendere la parte definita per l'ID di rete dalla maschera della sotto-rete.
x

Nell'indirizzo IP esterno deve essere ripresa la parte di indirizzo determinata
dalla maschera di sotto-rete esterna dall'indirizzo IP SCALANCE S esterno.

Nell'indirizzo IP interno deve essere ripresa la parte di indirizzo determinata
dalla maschera di sotto-rete interna dall'indirizzo IP SCALANCE S interno.
Un indirizzo IP, che viene utilizzato nell'elenco di conversione di indirizzi
NAT/NAPT, non deve essere un indirizzo Multicast e un indirizzo Broadcast.
x
Il router di default deve trovarsi in una delle sotto-reti di SCALANCE S, cioè deve
essere corrispondere all'indirizzo IP esterno o a quello interno.
x
Le porte esterne assegnate per la conversione NAPT si trova nel campo > 0 e
<= 65535.
x
Port123 (NTP), 443 (HTTPS), 514 (Syslog) e 500+4500 (IPsec; solo per S612 e
S613) sono escluse.
L'indirizzo IP esterno di SCALANCE S deve essere utilizzato nella tabella NAT
solo per la direzione "interno → esterno".
x
L'indirizzo IP interno di SCALANCE S non deve essere utilizzato nella tabella NAT
e nella tabella NAPT.
Controllo duplicato nella tabella NAT
x
x
Un indirizzo IP esterno, che viene utilizzato con direzione "esterno → interno" o
"bidirezionale" deve comparire una sola volta nella tabella NAT.
171
Controllo / Regola
Controllo eseguito
locale
Controllo duplicato nella tabella NAPT
in tutto il progetto
x

Un numero di porta esterno deve essere inserito una sola volta. Poiché viene
sempre utilizzato l'indirizzo IP di SCALANCE S come indirizzo IP esterno, in
caso di impiego multiplo non sarebbe garantita l'univocità.

I numeri o le aree delle porte esterne non devono sovrapporsi.
Non appena è stata attivata la modalità Routing, a SCALANCE S devono essere
assegnati i secondi indirizzi (IP/sotto-rete).
x
Le porte NAPT interne possono trovarsi nel campo > 0 e <= 65535.
x
Dopo la conclusione delle immissioni eseguire un controllo della coerenza.
Selezionare quindi la seguente voce di menu:
5.7.3
NAT/NAPT Routing - Esempi per la configurazione parte 1
In questo capitolo si trovano i seguenti esempi per la configurazione del router NAT/NAPT:
● Esempio 1: Conversione di indirizzi NAT "esterno → interno"
● Esempio 2: Conversione di indirizzi NAT "interno → esterno"
● Esempio 3: Conversione di indirizzi NAT "bidirezionale"
● Esempio 4: Conversione di indirizzi NAPT
172
Progettazione
Nella seguente progettazione di routing si trovano assegnazioni di indirizzi secondo la
conversione di indirizzi NAT e NAPT:
Descrizione
173
● Esempio 1: Conversione di indirizzi NAT "esterno → interno"
Un nodo nella rete esterna può inviare al nodo con l'indirizzo IP interno 192.168.12.3 un
telegramma nella sotto-rete interna utilizzando l'indirizzo IP esterno 192.168.10.123 come
indirizzo di destinazione.
● Esempio 2: Conversione di indirizzi NAT "interno → esterno"
I telegrammi di un nodo interno con l'indirizzo IP interno 192.168.12.3 vengono inoltrati
alla sotto-rete esterna con l'indirizzo IP esterno 192.168.10.124 come indirizzo sorgente.
Nell'esempio il firewall viene impostato in modo che i telegrammi con l'indirizzo IP
sorgente 192.168.10.124 vengano autorizzati dall'interno all'esterno e che i nodi con
indirizzo IP 192.168.10.11 vengano raggiunti.
● Esempio 3: Conversione di indirizzi NAT "bidirezionale"
In questo esempio la conversione di indirizzo viene eseguita nel modo seguente per
telegrammi in arrivo sia internamente, sia esternamente:
– Un nodo nella rete esterna può inviare al nodo con l'indirizzo IP interno 192.168.12.4
un telegramma nella sotto-rete interna utilizzando l'indirizzo IP esterno
192.168.10.101 come indirizzo di destinazione.
– I telegrammi di un nodo interno con l'indirizzo IP interno 192.168.12.4 vengono
inoltrati alla sotto-rete esterna con l'indirizzo IP esterno 192.168.10.101 come indirizzo
sorgente. Il firewall è impostato in modo che i telegrammi con indirizzo IP sorgente
192.168.10.101 siano ammessi dall'interno all'esterno.
● Esempio 4: Conversione di indirizzi NAPT
Le conversioni di indirizzo vengono eseguite secondo NAPT in modo che vengano
assegnati rispettivamente altri numeri di porta. Vengono controllati tutti gli indirizzi IP di
destinazione e i numeri di porta di destinazione di tutti i telegrammi TCP UDP inviati alla
rete esterna.
– Un nodo nella rete esterna può inviare al nodo con l'indirizzo IP interno 192.168.12.4
e numero di porta 345 un telegramma nella sotto-rete interna utilizzando come
indirizzo di destinazione l'indirizzo IP esterno del modulo 192.168.10.1 e il numero di
porta esterno 8000.
5.7.4
NAT/NAPT Routing - Esempi per la configurazione parte 2
In questo capitolo si trovano i seguenti esempi per la configurazione del router NAT/NAPT:
● Esempio 1: Autorizza tutti i nodi interni alla comunicazione esterna
● Esempio 2: Autorizza anche telegrammi indirizzati dall'esterno all'interno.
174
Progettazione
Nella seguente progettazione di routing si trovano assegnazioni di indirizzi secondo la
conversione di indirizzi NAT:
175
5.8 Server DHCP
Descrizione
Esempio 1 - Autorizza tutti i nodi interni alla comunicazione esterna
Nel campo della finestra di dialogo "NAT" è attivata la casella opzione "Allow Internal>External for all user".
In questo modo è possibile la comunicazione dall'interno verso l'esterno. La conversione di
indirizzi viene qui eseguita in modo che tutti gli indirizzi interni vengano convertiti
nell'indirizzo IP esterno di SCALANCE S e rispettivamente di un numero di porta assegnato
dinamicamente.
In questo modo non è più rilevante un'indicazione di direzione nell'elenco di conversione di
indirizzi NAT. Tutte le altre indicazioni si riferiscono alla direzione di comunicazione
dall'esterno all'interno.
Inoltre il firewall è impostato in modo che i telegrammi possano transitare dall'interno
all'esterno.
Esempio 2 - Autorizza anche telegrammi indirizzati dall'esterno all'interno.
Per consentire la comunicazione dall'esterno all'interno oltre all'esempio 1, vanno inserite le
indicazioni nell'elenco di conversione di indirizzi NAT o NAPT. L'inserimento nell'esempio
indica che i telegrammi sul nodo con l'indirizzo IP 192.168.10.102 vengono convertiti
nell'indirizzo IP interno 192.168.12.3.
Il firewall deve essere rispettivamente impostato. Poiché dapprima viene eseguita la
conversione NAT/NAPT e solo nella successiva operazione viene controllato l'indirizzo
convertito nel firewall, nell'esempio è inserito l'indirizzo IP interno come indirizzo IP di
destinazione nel firewall.
5.8
Server DHCP
interna.
Gli indirizzi IP vengono assegnati dinamicamente da una banda di indirizzi indicata oppure
viene assegnato un determinato indirizzo IP di un determinato apparecchio.
La configurazione come server DHCP presuppone la visualizzazione "Advanced Mode" nel
Security Configuration Tool. Commutare il modo operativo con la seguente voce di menu:
176
5.8 Server DHCP
Requisito richiesto
Sulla rete interna l'apparecchio deve essere configurato in modo che esso rilevi l'indirizzo IP
da un server DHCP.
A seconda del modo operativo, SCALANCE S trasmette ai nodi nella sotto-rete un indirizzo
IP router oppure è necessario comunicare ai nodi nella sotto-rete un indirizzo IP router.
● L'indirizzo IP del router viene trasmesso
Nei seguenti casi dal protocollo DHCP di SCALANCE S viene trasmesso ai nodi un
indirizzo IP del router:
– SCALANCE S è configurato per la modalità router;
SCALANCE S trasmette in questo caso il proprio indirizzo IP come indirizzo IP del
router
– SCALANCE S non è configurato per la modalità Router, ma nella configurazione di
SCALANCE S è indicato un router di default;
SCALANCE S trasmette in questo caso l'indirizzo IP router di default come indirizzo IP
del router
● L'indirizzo IP del router non viene trasmesso
Nei seguenti casi inserire manualmente l'indirizzo IP router nel nodo:
– SCALANCE S non è configurato per la modalità router;
– Nella configurazione di SCALANCE S non è indicato nessun router di default.
177
5.8 Server DHCP
Varianti
Per la configurazione esistono le due seguenti possibilità:
● Assegnazione statica dell'indirizzo
Agli apparecchi con un determinato indirizzo MAC o ID client vengono assegnati
rispettivamente indirizzi IP preimpostati. Inserire quindi questi apparecchi nell'elenco di
indirizzi nel campo di immissione "Indirizzi IP statici".
● Assegnazione dinamica dell'indirizzo
Gli apparecchi il cui indirizzo MAC o ID client non sono stati indicati in modo esplicito
ottengono un indirizzo IP qualsiasi da una banda di indirizzi indicata. Questa banda di
indirizzi si imposta nel campo di immissione "indirizzi IP dinamici".
ATTENZIONE
Assegnazione dinamica dell'indirizzo - Comportamento dopo l'interruzione della
tensione di alimentazione
Fare attenzione che gli indirizzi IP assegnati dinamicamente non vengono salvati se la
tensione di alimentazione viene interrotta. Al ripristino della tensione di alimentazione i
nodi devono richiedere di nuovo un indirizzo IP.
Di conseguenza è necessario prevedere l'assegnazione dinamica di indirizzo solo per i
seguenti nodi:
 nodi che vengono usati temporalmente nella sotto-rete (come per esempio
apparecchi di service);
 nodi che trasmettono al server DHCP un indirizzo IP assegnato una volta come
"indirizzo primario" ad una nuova richiesta (come per esempio stazioni PC).
Per i nodi in esercizio permanente l'assegnazione statica dell'indirizzo deve essere
eseguita tramite indicazione di un'ID client (raccomandata per CP S7 a causa della
sostituzione semplice dell'unità) o dell'indirizzo MAC
Sono supportati i nomi simbolici
Nella funzione qui descritta è possibile inserire indirizzi IP o indirizzi MAC anche come nomi
simbolici.
Per l'inserimento rispettare le regole riportate qui di seguito.
Controllo / Regola
locale
In tutto il
progetto/modulo
Gli indirizzi IP assegnati nell'elenco di indirizzi nel campo di immissione "Static IP
adresses" non devono trovarsi nel campo degli indirizzi IP dinamici.
x
I nomi simbolici devono disporre di un'assegnazione di indirizzo numerica. Se si
reinserisce un nome simbolico è necessario eseguire l'assegnazione di indirizzo
nella finestra di dialogo "Symbolic Names".
x
178
5.8 Server DHCP
Controllo / Regola
locale
Gli indirizzi IP, gli indirizzi MAC e gli ID client devono esistere una sola volta nella
tabella "Static IP adresses" (riferiti al modulo SCALANCE S).
In tutto il
progetto/modulo
x
Per gli indirizzi IP assegnati staticamente è necessario inserire l'indirizzo MAC o
l'ID client (nome computer).
x
L'ID client è una stringa di caratteri con max. 63 caratteri. Posso essere utilizzati
solo i seguenti caratteri: a-z, A-Z, 0-9 e - (trattino).
x
Avvertenza:
In SIMATIC S7 è possibile assegnare un'ID client agli apparecchi sull'interfaccia
Ethernet per ottenere un indirizzo IP tramite DHCP.
Per i PC il procedimento dipende dal sistema operativo utilizzato; in questo caso si
raccomanda di utilizzare per l'assegnazione l'indirizzo MAC.
Per gli indirizzi IP assegnati staticamente è necessario indicare l'indirizzo IP.
x
I seguenti indirizzi IP non devono trovarsi nel campo della banda di indirizzo IP
libera (indirizzi IP dinamici):

tutti gli indirizzo Router nella scheda "Network"

NTP server

Syslog server

Default router

SCALANCE S adress(es)
x
SCALANCE S supporta DHCP sull'interfaccia verso la sotto-rete interna. Da
questo comportamento di esercizio dello SCALANCE S risultano inoltre i seguenti
requisiti per gli indirizzi IP nel campo della banda di indirizzi IP libera (indirizzi IP
dinamici):

x
Funzionamento in reti piatte
Il campo della banda di indirizzi IP libera deve trovarsi nella rete definita da
SCALANCE S.

Router operation
Il campo della banda di indirizzi IP libera deve trovarsi nella sotto-rete interna
definita da SCALANCE S.
La banda di indirizzi IP libera deve essere indicata completamente inserendo
l'indirizzi IP iniziale e l'indirizzo IP finale. L'indirizzo IP finale deve essere maggiore
dell'indirizzo IP iniziale.
Gli indirizzi IP che si inseriscono nel campo di immissione "Static IP adresses"
devono trovarsi nel campo di indirizzo della sotto-rete interna del modulo
SCALANCE S.
x
x
Legenda:
1)
Osservare le descrizioni nel capitolo "Controlli delle coerenze".
179
5.8 Server DHCP
180
Comunicazione protetta nella VPN tramite tunnel
IPsec (S612/S613)
6
Questo capitolo tratta il collegamento di sotto-reti IP protette da SCALANCE S con una
Virtual Private Network tramite Drag and Drop.
Come già descritto nel capitolo 5 per le proprietà del modulo, anche in questo caso è
possibile consentire impostazioni standard per utilizzare una comunicazione sicura nelle reti
interne.
Altre informazioni
nella guida in linea.
F1
di dialogo.
Vedere anche
Funzioni online - Test, diagnostica e logging (Pagina 223)
6.1
VPN con SCALANCE S
Collegamento protetto tramite rete non protetta
Per le reti interne protette da SCALANCE S, i tunnel IPsec mettono a disposizione un
collegamento di dati protetto attraverso la rete esterna non sicura.
Lo scambio dei dati degli apparecchi tramite tunnel IPsec nella VPN ha quindi le seguenti
proprietà:
● Riservatezza
I dati scambiati sono protetti dall'ascolto;
● Integrità
I dati scambiati sono protetti dalla falsificazione;
● Autenticità
Il tunnel può essere realizzato solo da chi ha l'autorizzazione.
Per la realizzazione dei tunnel SCALANCE S utilizza il protocollo IPsec (modalità tunnel di
IPsec).
181
Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613)
6.1 VPN con SCALANCE S
6HUYLFH&RPSXWHU
FRQ62)71(7
6HFXULW\&OLHQW
External
931WUDPLWH
7XQQHO,3VHF
Internal
&RPSXWHUGLJHVWLRQH
SURGX]LRQH
UHWHHVWHUQD
SCALANCE S
)LUHZDOO
SCALANCE S
SCALANCE S
External
External
External
Internal
Internal
Internal
IE/PB
Link
ET
200X
HMI
0
1
S7-400
OP 270
LQWHUQR&RQWUROOR6XSHUYLVLRQH
S7-300
Collegamenti tramite tunnel in atto tra moduli dello stesso gruppo (VPN)
In SCALANCE S le proprietà di una VPN vengono riunite in un gruppo per tutti i tunnel
IPsec.
I tunnel IPsec vengono realizzati automaticamente tra tutti i moduli SCALANCE S e moduli
SOFTNET Security Client appartenenti allo stesso gruppo.
182
6.1 VPN con SCALANCE S
I moduli SCALANCE S in un progetto possono appartenere parallelamente a diversi gruppi.
ATTENZIONE
Se viene modificato il nome di un modulo SCALANCE S, è necessario riconfigurare tutti i
moduli SCALANCE S dei gruppi dei quali fa parte il modulo SCALANCE S modificato (voce
di menu Transfer ▶ To All Modules...).
Se viene modificato il nome di un gruppo, è necessario riconfigurare tutti i moduli
SCALANCE S di questo gruppo (voce di menu Transfer ▶ To All Modules...).
ATTENZIONE
I telegrammi layer 2 vengono trasmessi via tunnel se tra due moduli SCALANCE S non si
trovano router.
In generale vale quanto segue: i telegrammi non-IP vengono trasmessi attraverso il tunnel
solo se gli apparecchi, che inviano e ricevono telegrammi, potevano comunicare già prima
senza l'impiego di SCALANCE S.
La possibilità o meno da parte dei nodi della rete di comunicare prima dell'impiego di
SCALANCE S viene definita in base alla rete IP nella quale si trovano gli apparecchi
SCALANCE S. Se gli SCALANCE S sono nella stessa sotto-rete IP, si parte dal
presupposto che gli apparecchi terminali nelle reti protette di SCALANCE S potessero
comunicare anche prima dell'impiego di SCALANCE S con telegrammi non-IP. I
telegrammi non-IP vengono quindi trasmessi via tunnel.
Metodo di autentificazione
Il metodo di autentificazione viene definito all'interno di un gruppo (di una VPN) e determina
il tipo di autentificazione utilizzato.
Vengono supportati metodi di autentificazione basati su codifica o basati su certificato:
183
6.2 Gruppi
● Preshared Keys
La Preshared Key viene ripartita a tutti i moduli che si trovano in un gruppo.
Per questa operazione inserire dapprima una password nella finestra di dialogo "Group
Proprerties" nella casella "Preshared Key".
● Certificato
L'autorizzazione basata sul certificato "Certificate" è l'impostazione di default, attivata
anche nel Standard Mode. Il comportamento è il seguente:
– Durante la creazione di un gruppo viene generato automaticamente un certificato del
gruppo (certificato del gruppo = certificato CA).
– Ogni SCALANCE S, che si trova nel gruppo, riceve un certificato contrassegnato con
il codice del CA del gruppo.
Tutti i certificati sono basati sullo standard ITU X.509v3 (ITU, International
Telecommunications Union).
I certificati vengono generati da una posizione di certificazione contenuta in un Security
Configuration Tool.
ATTENZIONE
Limitazioni in caso di funzionamento VLAN
All'interno di un tunnel VPN realizzato con SCALANCE S non viene trasmesso nessun
VLAN.
Motivo: le contrassegnature VLAN contenute nei telegrammi (VLAN Tags) vengono
perse nei telegrammi Unicast durante il passaggio di SCALANCE S, in quanto per la
trasmissione dei telegrammi IP viene utilizzato IPsec. In un tunnel IPSec vengono
trasmessi solo telegrammi IP (nessun pacchetto Ethernet), di conseguenza viene perso
il VLAN Tagging.
Come standard, con IPsec non è possibile trasmettere telegrammi Broadcast o
Mulitcast. In SCALANCE S gli IP Broadcast vengono trasmessi "impacchettati"
esattamente come pacchetti MAC nell'UDP, completi di Ethernet. Di conseguenza in
questi pacchetti viene mantenuto anche il VLAN Tagging.
6.2
Gruppi
6.2.1
Creazione di gruppi e assegnazione di moduli
Per configurare una VPN procedere nel modo seguente
Creare con la voce di menu
Insert ▶ Group
un gruppo.
184
6.2 Gruppi
Assegnare al gruppo i moduli SCALANCE S e i moduli SOFTNET Security Client che
devono appartenere ad una rete interna. Tirare quindi con il mouse il modulo sul gruppo
desiderato (Drag and Drop).
Progettazione delle proprietà
Come per la configurazione dei moduli, anche per la configurazione dei gruppi le due
visualizzazioni di comando selezionabili hanno effetto nel Security Configuration Tool:
(voce di menu View ▶ Advanced Mode)
Nello Standard Mode lasciare le preimpostazioni eseguite dal sistema. Anche come non
esperti IT è possibile configurare tunnel IPsec e utilizzare una comunicazione di dati
sicura nelle proprie reti interne.
● Advanced Mode
L'Advanced Mode offre le possibilità di impostazioni per la configurazione specifica della
comunicazione via tunnel.
Nota
Parametrizzazione di MD 740 / MD 741 e di altri client VPN
Per la parametrizzazione di MD 740 / MD 741 o altri client VPN è necessario configurare
le proprietà VPN specifiche del modulo nella modalità Advanced.
185
6.2 Gruppi
Visualizzazione di tutti i gruppi progettati con relative proprietà
Selezionare nell'area di navigazione "All Modules"
Le seguenti proprietà dei gruppi vengono visualizzate per colonne:
Tabella 6- 1
Proprietà dei gruppi
Proprietà/colonna
Significato
Commento/selezione
Group name
Nome del gruppo
Authentification
Tipo di autentificazione
• Preshared Key
• Certificato
Group membership until...
Durata dei certificati
vedere in basso
Comment
Commento
Creazione della durata dei certificati
Aprire la finestra di dialogo, nella quale è possibile inserire la data di scadenza del
certificato, nel modo seguente:
● facendo doppio clic su un modulo della finestra delle proprietà o con il tasto destro del
mouse tramite la voce di menu Properties.
ATTENZIONE
Dopo la scadenza del certificato la comunicazione via tunnel viene conclusa.
6.2.2
Tipi di moduli all'interno di un gruppo
Tipi di modulo
I seguenti tipi di modulo possono essere progettati in gruppi con il Security Configuration
Tool:
● SCALANCE S612
● SCALANCE S613
186
6.3 Configurazione del tunnel nella modalità Standard
● SOFTNET Security Client
● MD 74x (sta per MD740-1 o MD741-1)
Regole per la formazione di gruppi
Osservare le seguenti regole se si vogliono formare gruppi VPN:
● Il primo modulo assegnato in un gruppo VPN determina i moduli aggiuntivi che possono
essere inseriti.
Se il primo apparecchio aggiunto è in modalità Routing, possono essere aggiunti solo
moduli con Routing attivato. Se il primo apparecchio è in modalità Bridge, possono
essere aggiunti solo moduli in modalità Bridge. Se deve essere modificata la "Modalità" di
un gruppo VPN è necessario rimuovere e riaggiungere tutti i moduli contenuti nel gruppo.
● Non è possibile aggiungere un modulo MD 740-1/MD 741-1 ad un gruppo VPN che
contiene un modulo in modalità Bridge.
Rilevare dalla seguente tabella quali modulo possono essere racchiusi insieme in un gruppo
VPN:
Modulo
S612 V1
S612 V2
*)
S613 V1
S613 V2
6.3
Modo operativo modulo ...
... in modalità Bridge
... in modalità Routing
x
-
x
x
x
-
x
x
x
-
x
x
SOFTNET Security Client V3.0
x
x
MD 74x
-
x
*)
Configurazione del tunnel nella modalità Standard
Proprietà del gruppo
Nella modalità Standard valgono le seguenti proprietà:
● Tutti i parametri del tunnel IPsec e il metodo di autentificazione sono impostati in modo
fisso.
Nella finestra di dialogo delle proprietà per i gruppi è possibile visualizzare i valori
standard impostati.
● La modalità di programmazione è attivata per tutti i moduli.
187
6.4 Configurazione del tunnel in modalità Advanced
Apertura della finestra di dialogo per la visualizzazione dei valori standard
Con il gruppo evidenziato, selezionare la seguente voce di menu:
La visualizzazione è identica alla finestra di dialogo nell'Advanced Mode; i valori non
possono tuttavia essere modificati.
6.4
Configurazione del tunnel in modalità Advanced
L'Advanced Mode offre le possibilità di impostazioni per la configurazione specifica della
comunicazione via tunnel.
Nota
Non è più possibile annullare una commutazione nella modalità Advanced per il progetto
attuale,
oppure si esce dal progetto senza salvare e lo si riapre.
6.4.1
Progettazione delle proprietà dei gruppi
Proprietà del gruppo
Nella visualizzazione di comando "Advanced Mode" possono essere impostate le seguenti
proprietà dei gruppi:
● Metodo di autentificazione
● Impostazioni IKE (campo finestra di dialogo: Advanced Settings Phase 1)
● Impostazioni IPsec (campo finestra di dialogo: Advanced Settings Phase 2)
ATTENZIONE
Per poter impostare questi parametri è necessario conoscere IPsec.
Se non si eseguono o modificano impostazioni, valgono le impostazioni predefinite della
modalità Standard.
188
Apertura della finestra di dialogo per l'inserimento delle proprietà dei gruppi
● Con il gruppo evidenziato, selezionare la seguente voce di menu:
Parametri per impostazioni ampliate Phase 1 - Impostazioni IKE
Phase 1: Scambio delle codifiche (IKE, Internet Key Exchange):
Qui è possibile impostare i parametri per il protocollo del management delle codifiche IPsec.
Lo scambio delle codifiche viene eseguito con il metodo standartizzato IKE.
È possibile impostare i seguenti parametri di protocollo IKE,
189
Tabella 6- 2
Parametri di protocollo IKE (gruppo di parametri "Advanced Settings Phase 1'" nella finestra di dialogo)
Parametri
Valori/selezione
IKE Mode

Main Mode
Metodo di scambio codifiche

Aggressive Mode
La differenza tra Main Mode e Aggressive Mode è la
"identity protection" che viene utilizzata nel Main Mode.
L'identità viene trasmessa codificata nel Main Mode, mentre
nell'Aggressive Mode non viene trasmessa.
Fase 1 gruppo DH

Group 1
Accordo di codifica Diffie-Hellman
Phase 1 DH Group

Group 2

Group 5
Gruppi Diffie-Hellman (algoritmi crittografici selezionabili nel
protocollo di scambio codifiche Oakley)

Time
Tipo di durata SA
SA Lifetype
Commento
Phase 1 Security Association (SA)

Limitazione di tempo (min., default: 2500000)
La durata utile per il materiale attuale codificato viene
limitata a tempo. Allo scadere del tempo il materiale
codificato viene di nuovo concordato.
Durata SA
Valore numerico
SA Life
("Time"→Min., )
Campo di valori: 1440...2 500 000
Fase 1 codifica

DES
Algoritmo codifica
Phase 1 Encryption

3DES-168


AES-128
Data Encryption Standard (lunghezza codice 56 bit,
modalità CBC)

AES-192

DES triplo (lunghezza codice 168 bit, modalità CBC)

AES-256

Advanced Encryption Standard (lunghezza codice 128
bit, 192 bit o 256 bit, modalità CBC)
Fase 1 autentificazione

MD5
Algoritmo di autentificazione
Phase 1 Authentication

SHA1

Message Digest Version 5

Secure Hash Algorithm 1
Parametri per impostazioni ampliate fase 2 - Impostazioni IPsec
Fase 2: Scambio dei dati (ESP, Encapsulating Security Payload)
Qui è possibile impostare i parametri per il protocollo del management dei dati IPsec. Lo
scambio dei dati viene eseguito con il protocollo di sicurezza ESP.
È possibile impostare i seguenti parametri di protocollo ESP:
190
Tabella 6- 3
Parametri di protocollo IPsec (gruppo di parametri "Advanced Settings Phase 2'" nella finestra di dialogo)
Parametri
Valori/selezione
Tipo di durata SA

Time
SA Lifetype
Commento
Phase 2 Security Association (SA)

Limitazione di tempo (min., default: 2880)
La durata utile per il materiale attuale codificato viene
limitata a tempo. Allo scadere del tempo il materiale
codificato viene di nuovo concordato.

Durata SA
Limit
Valore numerico
SA Life

Volume di dati limitato
(mByte, default 4000)
("Time"→Min., "Limit" → mByte)
Campo di valori (Time): 1440...16 666 666
Campo di valori (Limit): 2000...500 000
Fase 2 codifica

3DES-168
Algoritmo codifica
Phase 2 Encryption

DES


AES-128
DES triplo specifico (lunghezza codice 168 bit, modalità
CBC)

Data Encryption Standard (lunghezza codice 56 bit,
modalità CBC)

Advanced Encrypting Standard (lunghezza codice 128
bit, modalità CBC)

MD5
Algoritmo di autentificazione

SHA1


Perfect Forward Secrecy
6.4.2

On

Off
Prima di ogni nuovo accordo di un IPsec-SA avviene un
nuovo accordo delle codifiche con l'aiuto del metodo DiffieHellman.
Assunzione di SCALANCE S nel gruppo configurato
Le proprietà dei gruppi progettate, per gli SCALANCE S nuovi, inseriti in un gruppo
esistente, vengono riprese.
Procedimento
Indipendentemente dal fatto che si siano modificate o meno le proprietà dei gruppi, è
necessario procedere nel modo seguente:
● Caso a: se non si sono modificare le proprietà del gruppo
1. Aggiungere i nuovi SCALANCE S del gruppo.
2. Caricare la configurazione nel nuovo modulo.
● Caso b:se si sono modificate le proprietà del gruppo
1. Aggiungere i nuovi SCALANCE S del gruppo.
2. Caricare la configurazione in tutti i moduli che appartengono al gruppo.
191
Vantaggio
Gli SCALANCE S già esistenti e messi in servizio non devono essere riprogettati e caricati.
Non risulta nessun influsso o interruzione della comunicazione in atto.
6.4.3
Impostazioni compatibili per SOFTNET Security Client
Se si includono nel gruppo progettato moduli del tipo SOFTNET Security Client, osservare le
seguenti particolarità:
Parametri
Impostazione / particolarità
Fase 1 gruppo DH
Phase 1 DH Group
DH Group1 e 5 può essere utilizzato solo per la
comunicazione tra i moduli SCALANCE S.
Fase 1 codifica
Nessun DES, AES-128 e AES-192 possibile.
Phase 1 Encryption
Nessun MD5 possibile.
Fase 1 durata SA
Fase 1 lifetime SA
Tipo di durata SA
Campo di valori: 1440...2879 (solo SOFTNET
Security Client V3.0)
SA Lifetype
Deve essere selezionato identico per entrambe le
fasi.
Fase 2 codifica
nessun AES-128 possibile.
Phase 2 Encryption
Fase 2 durata SA
Fase 2 lifetime SA
Campo di valori: 1440...2879 (solo SOFTNET
Security Client V3.0)
Nessun MD5 possibile.
192
ATTENZIONE
Le impostazioni dei parametri per una configurazione SOFTNET Security Client devono
corrispondere ai suggerimenti predefiniti dei moduli SCALANCE S. Poiché un SOFTNET
Security Client si trova principalmente in impiego mobile e rileva il suo indirizzo IP
dinamicamente, SCALANCE S può consentire un collegamento solo tramite questi
suggerimenti predefiniti.
Assicurarsi che la propria fase 1 corrisponda alle impostazione di una delle due seguenti
proposte per poter realizzare un tunnel con uno SCALANCE S.
Se nel Security Configuration Tool si utilizzano altre impostazioni, tentando di esportare la
configurazione il controllo della coerenza riconosce un errore di coerenza. La
configurazione per il SOFTNET Security Client non può quindi essere esportata fino a
quando le impostazioni non sono state adattate in modo corrispondente.
6.4.4
Authentification
Modalità
IKE
Gruppo DH
Codifica
Hash
Durata (min)
Certificato
Mainmode
Gruppo DH 2
3DES-168
SHA1
1440…2879
Preshared Key
Mainmode
Gruppo DH 2
3DES-168
SHA1
1440…2879
Certificato
Mainmode
Gruppo DH 2
AES256
SHA1
1440…2879
Configurazione delle proprietà VPN specifiche per il modulo
Per lo scambio dei dati tramite IPsec-Tunnel nella VPN è possibile configurare le seguenti
proprietà specifiche per il modulo:
● Dead Peer Detection
● Autorizzazione per l'inizializzazione della realizzazione del collegamento
● Indirizzo IP pubblico per la comunicazione tramite Internet Gateway
Apertura della finestra di dialogo per la configurazione delle proprietà del modulo VPN
Selezionare il modulo da modificare e selezionare la seguente voce di menu nella modalità
Advanced:
Edit ▶ Properties..., scheda "VPN"
Nota
La scheda "VPN" può essere selezionata solo se il modulo da configurare si trova in un
gruppo VPN.
193
Dead Peer Detection (DPD)
Con il DPD attivato i modulo scambiano messaggi supplementari ad intervalli di tempo
impostabili. In questo modo è possibile riconoscere se sussiste ancora un collegamento in
VPN. Se il collegamento non sussiste più, la "Security Associations" (SA) viene terminata
prima. Con DPD disattivato, la "Security Association" (SA) viene conclusa allo scadere della
durata dell'SA (impostazione della durata SA: vedere la configurazione delle proprietà dei
gruppi).
Come standard DPD è disattivato.
Autorizzazione per l'inizializzazione della realizzazione del collegamento
L'autorizzazione per l'inizializzazione di realizzazione del collegamento VPN può essere
limitato a determinati moduli nella VPN.
Per l'impostazione del parametro qui descritto è indicativa l'assegnazione dell'indirizzo IP per
il Gateway del modulo da progettare. Con un indirizzo IP statico, il modulo può essere
trovato dal punto opposto. Con un indirizzo IP dinamico, e quindi sempre diverso, il punto
opposto non può realizzare un collegamento.
194
Modalità
Significato
Avvio del collegamento senza punto opposto
(standard)
Con questa opzione il modulo è "attivo", cioè tenta di realizzare un
collegamento con il punto opposto.
Questa opzione è raccomandata se viene assegnato un indirizzo IP
dinamico dal proprio provider per il gateway del modulo SCALANCE S
da progettare.
L'indirizzamento del punto opposto viene eseguito tramite il relativo
indirizzo IP WAN progettato o il relativo indirizzo IP modulo esterno.
Attesa del punto opposto
Con questa opzione il modulo è "passivo", cioè attende fino alla
realizzazione del collegamento del punto opposto.
Questa opzione è raccomandata se viene assegnato un indirizzo IP
statico dal proprio provider per il gateway del modulo da progettare. In
questo modo si ottiene che i tentativi di realizzazione del collegamento
vengano eseguito solo dal punto opposto.
ATTENZIONE
Non impostare tutti i moduli di un gruppo VPN su "Attesa del punto opposto", in quanto
altrimenti non viene realizzato nessun collegamento.
Indirizzo IP WAN - Indirizzi IP dei moduli e Gateway in una VPN tramite Internet
Nel funzionamento di una VPN con IPsec Tunnel tramite Internet sono normalmente
necessari indirizzi IP supplementari per gli Internet Gateway come per esempio il DSL
Router. I singoli moduli SCALANCE S o i moduli MD 740-1 / MD 741-1 devono conoscere gli
indirizzi IP esterni dei moduli partner nella VPN.
Nota
Se si utilizza un router DSL come Internet Gateway, su questo devono essere abilitate
almeno le seguenti porte:
 Porta 500 (ISAKMP)
 Porta 4500 (NAT-T)
Nei download di configurazione (tramite WAN senza tunnel attivo) deve inoltre essere
abilitata la porta 443 (HTTPS).
Per questo esiste la possibilità di assegnare questo indirizzo IP come "Indirizzo IP WAN"
nella configurazione nel modulo. Durante il caricamento della configurazione del modulo
vengono trasmessi ai moduli questi indirizzi IP WAN dei moduli partner.
Se non viene assegnato nessun indirizzo WAN IP, viene utilizzato l'indirizzo IP esterno del
modulo.
La seguente rappresentazione illustra la relazione degli indirizzi IP.
195
6.5 Configurazione di nodi di rete interni
External
External
:$1
Internal
Internal
,QWHUQHW*DWHZD\
,QWHUQHW*DWHZD\
/$1
/$1
*356,QWHUQHW*DWHZD\
6&$/$1&(66
6&$/$1&(66
0'
/$1
①
②
③
④
Indirizzo IP interno - di un modulo
Indirizzo IP esterno - di un modulo
Indirizzo IP interno - di un Internet Gateway (p. es. GPRS-Gateway)
Indirizzo IP esterno (indirizzo IP WAN) - di un Internet Gateway (p. es. DSL-Router)
6.5
Configurazione di nodi di rete interni
Per poter comunicare al partner del tunnel i propri nodi interni, uno SCALANCE S deve
conoscere i propri nodi interni. Inoltre esso deve conosce anche i nodi interni dello
SCALANCE S con il quale è in un gruppo. Questa informazione viene impiegata su uno
SCALANCE S per determinare quale pacchetto dati deve essere trasmesso in quale tunnel.
SCALANCE S offre la possibilità di programmare automaticamente o configurare
staticamente i nodi della rete nelle reti piatte.
Nella modalità Routing viene eseguito un tunnel con sotto-reti complete, qui non è
necessaria la programmazione e la configurazione statica dei nodi di rete.
6.5.1
Tipo di funzionamento della modalità di programmazione
Ricerca automatica dei nodi per la comunicazione via tunnel (solo modalità Bridge)
Un grande vantaggio per la comunicazione e il funzionamento della comunicazione via
tunnel consiste nel fatto che SCALANCE S può trovare autonomamente i nodi nelle reti
interne.
196
I nuovi nodi vengono riconosciuti da SCALANCE S durante il funzionamento. I nodi
riconosciuti vengono segnalati ai moduli SCALANCE S, appartenenti allo stesso gruppo. In
questo modo lo scambio dei dati all'interno di un tunnel di un gruppo viene garantito in
qualsiasi momento in entrambe le direzioni.
Requisiti richiesti
Vengono riconosciuti i seguenti nodi:
● Nodi di rete con funzione IP
I nodi di rete con funzione IP vengono trovati se trasmettono una risposta ICMP al ICMPSubnet-Broadcast.
I nodi IP a valle dei router possono essere trovati se il router inoltra ICMP Broadcast.
● Nodi di rete ISO
Anche i nodi di rete che non hanno funzione IP, ma che sono interrogabili tramite
protocolli ISO, possono essere programmati.
Il presupposto è che essi rispondano a telegrammi XID o TEST. TEST e XID (Exchange
Identification) sono protocolli ausiliari per lo scambio di informazioni sul livello layer 2.
Inviando questi telegrammi con un indirizzo Broadcast, questi nodi di rete possono
essere trovati.
● Nodi PROFINET
DCP (Discovery and basic Configuration Protocol) consente di trovare nodi PROFINET.
I nodi di rete che non soddisfano queste condizioni devono essere configurati.
Sotto-reti
Devono essere configurate anche le sotto-reti che si trovano a valle di router interni.
Attivazione/disattivazione della modalità di programmazione
Come standard la funzione di programmazione è attivata nella configurazione con il software
di progettazione Security Configuration Tool per ogni modulo SCALANCE S.
La programmazione può essere anche completamente disattivata. In questo caso tutti i nodi
interni che devono partecipare alla comunicazione via tunnel devono essere configurati
manualmente.
La finestra di dialogo, nella quale è possibile selezionare questa opzione, si apre nel modo
seguente:
197
● Con il modulo selezionato tramite la voce di menu
Edit ▶ Properties..,, scheda "Nodes"
Quando è consigliabile disattivare la modalità di programmazione automatica?
Le impostazioni standard per SCALANCE S presuppongono che le reti interne siano già
"sicure"; vale a dire che anche normalmente nella rete interna non vengono attivati nodi di
rete che non sono riservati.
La disattivazione della modalità di programmazione può essere sensata se la rete interna è
statica, vale a dire se il numero di nodi interni e i relativi indirizzi non si modificano.
Disattivano la modalità di programmazione, nella rete viene eliminato il carico del mezzo e
dei nodi dovuto ai telegrammi di programmazione. Anche le prestazioni di SCALANCE S
aumentano in quanto esso non viene caricato con l'elaborazione dei telegrammi di
programmazione.
198
Osservazione: nella modalità Learning tutti i nodi vengono registrati nella rete interna. Le
indicazioni per la configurazione di VPN si riferiscono solo ai nodi che comunicano nella rete
interna tramite VPN.
ATTENZIONE
Se nella rete interna vengono elaborati più di 64 (in SCALANCE S613) o 32 (in
SCALANCE S612) nodi interni, viene superata la configurazione ammessa e creato uno
stato di funzionamento non consentito. A causa della dinamica nel traffico di rete si verifica
inoltre che i nodi interni già programmati vengano sostituiti con nuovi nodi interni finora
sconosciuti.
6.5.2
Visualizzazione dei nodi di rete interni trovati
Tutti i nodi di rete trovati possono essere visualizzati nel Security Configuration Tool, nel
modo operativo "Online", scheda "Internal Nodes".
Richiamare la seguente voce di menu:
Edit ▶ Online Diagnostics..
199
6.5.3
Configurazione manuale dei nodi di rete
Nodi di rete non programmabili
Nella rete interna esistono nodi che non possono essere programmati. Questi nodi devono
essere configurati. Per configurare i moduli è necessario attivare la modalità Advanced nel
Security Configuration Tool.
È anche necessario configurare sotto-reti che si trovano nella rete interna di SCALANCE S.
200
La finestra di dialogo, nella quale è possibile configurare i nodi di rete, si apre nel modo
seguente:
● Con il modulo selezionato tramite la voce di menu
Edit ▶ Properties..,, scheda "Nodes"
Inserire nelle schede qui selezionabili i relativi parametri di indirizzamento necessari per tutti
i nodi di rete che devono essere protetti dal modulo SCALANCE S selezionato.
Scheda "Nodi IP interni" (solo in modalità Bridge)
Parametri progettabili: l'indirizzo IP e opzionalmente l'indirizzo MAC;
Scheda "Nodi MAC interni" (solo in modalità Bridge)
Parametri progettabili: MAC adress
201
Scheda "Internal Subnets"
In caso di una sotto-rete interna (un router nella rete interna) è necessario indicare il
seguente parametro di indirizzo:
Parametri
Funzionamento
Valore di esempio
ID rete
ID di rete della sotto-rete: in base all'ID di rete il router riconosce se
un indirizzo di destinazione si trova nella sotto-rete o fuori dalla
sotto-rete.
196.80.96.0
Finestra della sotto-rete: La finestra della sotto-rete struttura la rete
e serve per la formazione dell'ID della sotto-rete.
255.255.255.0
Router IP
Indirizzo IP del router:
196.80.96.1
Effetto durante l'impiego del SOFTNET Security Client
Se durante l'impiego di SCALANCE S612 / S613 si devono configurare staticamente nodi
come descritto sopra, è necessario ricaricare anche la configurazione per un SOFTNET
Security Client utilizzato nel gruppo VPN.
202
SOFTNET Security Client (S612/S613)
7
Con il software PC SOFTNET Security Client sono possibili accessi remoti sicuri dal PC/PG
agli apparecchi di automazione protetti da SCALANCE S, in tutte le reti pubbliche.
Questo capitolo descrive come eseguire la progettazione del SOFTNET Security Client nel
Security Configuration Tool e successiva messa in servizio sul PC/PG.
Altre informazioni
nella guida in linea del SOFTNET Security Client.
F1
di dialogo.
Vedere anche
Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) (Pagina 181)
7.1
Impiego del SOFTNET Security Client
Campo d'impiego - Accesso tramite VPN
Con il SOFTNET Security Client un PC/PG viene configurato automaticamente in modo che
esso possa realizzare una comunicazione sicura tramite tunnel IPsec nella VPN (Virtual
Private Network) con uno o diversi SCALANCE S.
Le applicazioni PG/PC come diagnostica NCM o STEP7 possono in questo modo accedere
con un collegamento sicuro tramite tunnel ad apparecchi o reti che si trovano in una rete
interna protetta con SCALANCE S.
203
7.1 Impiego del SOFTNET Security Client
&RPSXWHUGL
JHVWLRQHGHOOD
SURGX]LRQH
:RUNVWDWLRQ
&RPSXWHU
(VSRUWD]LRQHGHOODFRQILJXUD]LRQHSHU
62)71(76HFXULW\&OLHQWWUDPLWH
VXSSRUWRGDWL
62)71(7
6HFXULW\&OLHQW
External
External
External
Internal
Internal
Internal
6&$/$1&(6
6&$/$1&(6
,(3%/LQN
6&$/$1&(6
6
6
(7;
23
+0,
&HOODGLDXWRPDWL]]D]LRQH
&HOODGLDXWRPDWL]]D]LRQH
Comunicazione automatica tramite VPN
Per la propria applicazione è importante che il SOFTNET Security Client riconosca
autonomamente se avviene l'accesso agli indirizzi IP di un nodo VPN. I nodi si indirizzano
semplicemente tramite un indirizzo IP come se si trovassero nella sotto-rete locale alla quale
è collegato anche il PC/PG con applicazioni.
ATTENZIONE
Fare attenzione che tramite il tunnel IPsec può essere eseguita solo la comunicazione
basata su IP tra SOFTNET Security Client e SCALANCE S.
Comando
Il software per PC SOFTNET Security Client dispone di una superficie operativa facilmente
comandabile per la configurazione delle proprietà Security, necessarie per la comunicazione
con apparecchi protetti da SCALANCE S. Dopo la configurazione il SOFTNET Security
Client funziona sullo sfondo, visibile da un'icona nel SYSTRAY sul proprio PG/PC.
Dettagli nella guida in linea
Le informazioni dettagliate sulle finestre di dialogo e le caselle di immissione si trovano
anche nella guida in linea della superficie operativa del SOFTNET Security Client.
F1
204
7.1 Impiego del SOFTNET Security Client
La guida in linea si richiama con il pulsante "Help" o premendo il tasto F1.
Come funziona il SOFTNET Security Client?
Il SOFTNET Security Client legge la configurazione creata dallo strumento di progettazione
Security Configuration Tool e trasmette dai file i certificati da importare.
Il certificato Root e le Private Keys vengono importati e memorizzati nel PG/PC locale.
Successivamente con i dati della configurazione vengono eseguite le impostazioni Security
in modo che le applicazioni possano accedere agli indirizzi IP a valle dei moduli
SCALANCE-S.
Se la modalità di programmazione è attivata per i nodi o gli apparecchi di automazione
interni, il modulo di configurazione imposta dapprima una direttiva di sicurezza per l'accesso
protetto ai moduli SCALANCE S. Successivamente il SOFTNET Security Client interroga i
moduli SCALANCE S per determinare gli indirizzi IP dei relativi nodi interni.
SOFTNET Security Client inserisce questi indirizzi IP nelle liste di filtri specifiche di questa
direttiva di sicurezza. Successivamente le applicazioni come, p. es. STEP 7, possono
comunicare con gli apparecchi di automazione tramite VPN.
ATTENZIONE
Su un sistema Windows sono definite in modo specifico per l'utente le direttive di sicurezza
IP. In un utente può essere valida rispettivamente solo una direttiva di sicurezza IP.
Se una direttiva di sicurezza IP esistente non deve essere sovrascritta con l'installazione
del SOFTNET Security Client, l'installazione e l'utilizzo del SOFTNET Security Client
devono essere eseguiti da un utente configurato in modo specifico.
Ambiente di impiego
Il SOFTNET Security Client è previsto per l'impiego nei sistemi operativi Windows XP SP2 e
SP3 (non "Home-Edition") e Windows 7 (non "Home-Edition") .
Comportamento in caso di disturbi
Al verificarsi di disturbi sul proprio PG/PC, il SOFTNET Security Client presenta il seguente
comportamento:
● Le direttive di sicurezza configurate vengono mantenute tramite disinserimento e
inserimento del proprio PG/PC;
● In caso di configurazione errata vengono emessi messaggi.
205
7.2 Installazione e messa in servizio del SOFTNET Security Client
7.2
Installazione e messa in servizio del SOFTNET Security Client
7.2.1
Installazione e avvio del SOFTNET Security Client
Il software PC SOFTNET Security Client si installa da SCALANCE S CD.
1. Leggere dapprima le indicazioni riportate nel file README del CD SCALANCE S e
osservare eventuali istruzioni di installazione supplementari.
2. Eseguire il programma di setup;
Aprire quindi il sommario del contenuto sul CD SCALANCE S CD → viene avviato
automaticamente inserendo il CD o può essere aperto con il file start.exe. Selezionare
direttamente la voce "Installation SOFTNET Security Client"
Dopo l'installazione e l'avvio del SOFTNET Security Client compare l'icona per il SOFTNET
Security Client nella barra delle applicazioni di Windows:
Configurazione del SOFTNET Security Client
Una volta attivate, le funzioni più importanti funzionano in background nel proprio PG/PC.
La progettazione del SOFTNET Security Client viene eseguita in 2 passi:
● Esportare una configurazione Security dallo strumento di progettazione SCALANCE S
● Importare la configurazione Security nella propria superficie operativa, come descritto nel
sotto-capitolo successivo.
Comportamento all'avvio
Per una progettazione massima il SOFTNET Security Client necessita, in base al sistema, di
max. 15 minuti per il caricamento delle regole di sicurezza. In questo tempo la CPU del
proprio PG/PC viene caricata fino al 100%.
Uscire dal SOFTNET Security Client - Effetti
Se si esce dal SOFTNET Security Client viene disattivata anche la direttiva di sicurezza.
206
7.3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool
È possibile uscire dal SOFTNET Security Client nel modo seguente:
● con la voce di menu nello SYSTRAY di Windows; selezionare con il tasto destro del
mouse l'icona del SOFTNET Security Client e selezionare l'opzione "Shut Down
SOFTNET SEcurity Client".
● con la superficie operativa aperta tramite il pulsante "Quit".
7.2.2
Disinstallazione del SOFTNET Security Client
Durante la disinstallazione vengono ripristinate le proprietà Security impostate dal SOFTNET
Security Client.
7.3
Impostazione dei file di configurazione con lo strumento di
progettazione Security Configuration Tool
Configurazione del modulo SOFTNET Security Client nel progetto
Il SOFTNET Security Client viene creato nel progetto come modulo. Rispetto ai moduli
SCALANCE S non vanno progettate altre proprietà.
Si assegna il modulo SOFTNET Security Client solo al o ai gruppi di moduli nei quali deve
essere configurato il tunnel IPsec verso il PC/PG.
Sono quindi indicative le proprietà dei gruppi per i gruppi che sono stati progettati.
ATTENZIONE
Osservare le indicazioni dei parametri descritti nella sezione "Impostazioni compatibili per
SOFTNET Security Client" del capitolo 6.4.
Nota
Se si creano più SOFTNET Security Client all'interno di un gruppo non vengono realizzati
tunnel tra questi client, ma solo dal relativo client ai moduli SCALANCE S!
207
File di configurazione per il SOFTNET Security Client
L'interfaccia tra lo strumento di progettazione Security Configuration Tool e il SOFTNET
Security Client viene comandata con i file di configurazione.
:RUNVWDWLRQ
&RPSXWHU
([SRUWLHUHQGHU.RQILJXUDWLRQI¾U
62)71(76HFXULW\&OLHQWPLWWHOV
'DWHQWU¦JHU
62)71(7
6HFXULW\&OLHQW
La configurazione viene memorizzata nei 3 seguenti tipi di file:
● *.dat
● *.p12
● *.cer
Procedimento
Eseguire nello strumento di progettazione Security Configuration Tool i seguenti passi per
generare i file di configurazione:
1. Creare dapprima nel proprio progetto un modulo del tipo SOFTNET Security Client.
208
2. Assegnare il modulo ai gruppi di moduli nei quali il PC/PG deve comunicare tramite
tunnel IPsec.
3. Selezionare il SOFTNET Security Client desiderato con il tasto destro del mouse e
successivamente la seguente voce di menu:
4. Selezionare nella finestra di dialogo visualizzata la posizione di memorizzazione per i file
di configurazione.
5. Se come metodo di autentificazione è stato selezionato certificato, al passo successivo
viene richiesto di indicare una password per il certificato della configurazione VPN. Qui
esiste la possibilità di assegnare una password. Se non si assegna nessuna password,
come password viene applicato il nome del progetto.
L'inserimento della password viene eseguito come di consueto con ripetizione.
In questo modo l'esportazione dei file di configurazione è conclusa.
6. Riprendere i file del tipo *.dat, *.p12, *.cer sul PC/PG sul quale si intende utilizzare il
SOFTNET Security Client.
209
7.4 Comando del SOFTNET Security Client
7.4
Comando del SOFTNET Security Client
Proprietà configurabili
In particolare si possono utilizzare i seguenti servizi:
● Configurazione di comunicazione sicura tramite tunnel IPsec (VPN) tra il PC/PG e tutti i
moduli SCALANCES di un progetto o di singoli moduli SCALANCE S. Tramite questo
tunnel IPsec il PC/PG può accedere ai nodi interni della VPN.
● Disattivazione e attivazione di collegamenti sicuri già configurati;
● Configurazione di collegamenti per apparecchi terminali aggiunti successivamente; (per
questa operazione deve essere attivata la modalità di programmazione)
● Controllo di una configurazione, vale a dire quali collegamenti sono configurati o possibili.
Per la configurazione il SOFTNET Security Client si richiama nel modo seguente
Aprire la superficie operativa del SOFTNET Security Client facendo doppio clic sull'icona nel
SYSTRAY o selezionare con il tasto destro del mouse la voce di menu "Open SOFTNET
Security Client":
210
Con i pulsanti si accede alle seguenti funzioni:
Pulsante
Significato
Load Configuration Data
Importazione della configurazione
In questo modo si apre una finestra di dialogo per la selezione di un file di configurazione.
Dopo la chiusura della finestra di dialogo viene letta la configurazione e richiesta una
password per ogni file di configurazione.
Nella finestra di dialogo viene richiesto se il tunnel deve essere configurato
immediatamente per tutti gli SCALANCE S. Se nella configurazione sono inseriti indirizzi IP
di SCALANCE S o se è attiva la modalità di programmazione, vengono configurati i tunnel
per tutti gli indirizzi configurati o rilevati.
Il procedimento è particolarmente rapido ed efficiente per piccole configurazioni.
Nella finestra di dialogo "Tunnel Overview" possono inoltre essere configurati tutti i tunnel.
Osservazione: è possibile importare in successione i file di configurazione da diversi
progetti creati nel Security Configuration Tool (vedere anche la seguente descrizione del
procedimento).
Panoramica del tunnel
Finestra di dialogo per la configurazione e la modifica del tunnel.
Con questa finestra di dialogo si esegue la configurazione vera e propria del SOFTNET
Security Client.
In questa finestra di dialogo si trova una lista per i tunnel protetti configurati.
Qui è possibile visualizzare/controllare gli indirizzi IP per i moduli SCALANCE S.
Se sul proprio PG/PC esistono diversi adattatori di rete, il SOFTNET Security Client ne
seleziona automaticamente uno con il quale viene eseguito un tentativo di realizzazione del
tunnel. Se eventualmente il SOFTNET Security Client non trova un adattatore adatto al
proprio nodo, ne inserisce uno qualsiasi. In questo caso è necessario adattare
manualmente l'impostazione dell'adattatore di rete tramite la finestra di dialogo "Network
Adapters" nel menu contestuale del nodo e del modulo SCALANCE S
Disable
Disattiva tutti i tunnel protetti.
Caso di impiego:
Se viene modificata e ricaricata la configurazione di un modulo SCALANCE S612 / S613, è
necessario disattivare il tunnel verso il SOFTNET Security Client. In questo modo viene
accelerata la nuova realizzazione del tunnel.
Minimize
La superficie operativa del SOFTNET Security Client viene chiusa.
L'icona per il SOFTNET Security Client si trova inoltre nella barra delle applicazioni di
Windows.
Quit
Annulla configurazione; SOFTNET Security Client viene chiuso; tutti i tunnel vengono
disattivati.
211
Pulsante
Significato
Help ..
Richiama la guida in linea.
Informazione
Informazioni sulla versione del SOFTNET Security Client
Dettagli: Elenco di tutti i file necessari per il funzionamento del SOFTNET Security Client
con messaggi di risposta se questi file sono stati trovati nel sistema
212
7.5 Configurazione e modifica del tunnel
7.5
Configurazione e modifica del tunnel
Configurazione di collegamenti protetti con tutti i SCALANCE S
Nella finestra di dialogo per l'importazione della configurazione è possibile selezionare se il
tunnel deve essere configurato immediatamente per tutti gli SCALANCE S. Di conseguenza
risultano le seguenti possibilità:
● Attivazione automatica del tunnel
Se nella configurazione sono inseriti indirizzi IP di SCALANCE S o se è attiva la modalità
di programmazione, vengono configurati i tunnel per tutti gli indirizzi configurati o rilevati.
● Solo lettura della configurazione del tunnel
Opzionalmente i tunnel configurati possono essere solo letti e successivamente attivati
singolarmente nella finestra di dialogo per la configurazione del tunnel.
Configurazione dei collegamenti tramite tunnel
213
1. Aprire con il pulsante "Load Configuration Data" la finestra di dialogo per l'importazione
dei file di configurazione.
2. Selezionare il file di configurazione creato con il Security Configuration Tool.
3. Se nel SOFTNET Security Client esistono già dati di configurazione viene richiesto di
decidere il trattamento dei file di configurazione nuovi da assumere. Selezionare dalle
opzioni proposte:
Avvertenze relative a questa finestra di dialogo:
In linea di principio i dati di configurazione possono essere letti da diversi progetti. Questa
finestra di dialogo tiene in considerazione le condizioni marginali di diversi progetti. Di
conseguenza le opzioni hanno il seguente effetto:
– In "deleted" sono presenti solo i dati di configurazione caricati per ultimi.
– Il secondo punto di selezione "imported ad replaced" ha senso in caso di dati di
configurazione modificati, ad esempio è modificata solo la configurazione nel progetto
a, il progetto b e c vengono mantenuti.
– Il terzo punto di selezione "not imported" ha senso se in un progetto è stato aggiunto
uno Scalance S, senza che vengano persi i nodi interni già programmati.
4. Se durante la configurazione nel Security Configuration Tool come metodi di
autentificazione è stato selezionato Certificato, viene richiesto di inserire la password.
214
5. Selezionare se per i nodi progettati nella configurazione (nodi configurati staticamente)
devono essere attivati collegamenti tramite tunnel.
Se non si avvia ancora l'attivazione, quest'ultima può essere eseguita in qualsiasi
momento nella finestra di dialogo descritta di seguito.
Dopo aver selezionato l'attivazione dei collegamenti tramite tunnel, vengono realizzati i
collegamenti tramite tunnel tra il SOFTNET Security Client e i moduli SCALANCE S.
Questa operazione può durare alcuni secondi.
215
6. Aprire quindi la finestra di dialogo "Tunnel Overview".
Nella tabella visualizzata si possono vedere i moduli e i nodi con le informazioni di stato
sui collegamenti tramite tunnel.
216
7. Se si constata che i nodi desiderati non vengono visualizzati nella tabella, procedere nel
modo seguente:
Trasferire nella riga di comando un comando PING sul nodo desiderato.
In questo modo si consente che il nodo venga programmato da SCALANCE S e inoltrato
al SOFTNET Security Client.
Osservazione:
Se la finestra di dialogo non è aperta essa si apre automaticamente registrando un nodo.
Nota
Nodi e sotto-reti configurati staticamente
Se durante l'impiego di SCALANCE S612 / S613 si devono configurare staticamente nodi
o sotto-reti, è necessario ricaricare anche la configurazione per un SOFTNET Security
Client utilizzato nel gruppo VPN.
8. Attivare i nodi per i quali viene visualizzata l'indicazione di stato di collegamento tramite
tunnel non ancora realizzato.
Dopo la realizzazione del collegamento è possibile avviare solo la propria applicazione p. es. STEP 7 - e realizzare un collegamento di comunicazione con un nodo.
ATTENZIONE
Se sul proprio PG/PC esistono diversi adattatori di rete, il SOFTNET Security Client ne
seleziona automaticamente uno con il quale viene eseguito un tentativo di realizzazione
del tunnel. Se eventualmente il SOFTNET Security Client non trova un adattatore adatto
al proprio progetto, ne inserisce uno qualsiasi. In questo caso è necessario adattare
manualmente l'impostazione dell'adattatore di rete tramite il menu contestuale del nodo
e del modulo SCALANCE S.
Significato dei parametri
Tabella 7- 1
Parametri nella finestra di dialogo "Tunnel Overview"
Parametri
Significato / Campo dei valori
Status
Nella tabella 7–2 si trovano gli indicatori di stato possibili
Name
Nome del modulo o del nodo ripreso dalla configurazione con
IP int. nodo / sotto-rete
Indirizzo IP del nodo interno, o ID rete della sotto-rete interna se
sono presenti nodi interni / sotto-reti
IP punto terminale del tunnel
Indirizzo IP del modulo SCALANCE S assegnato o del modulo
MD741-1
Tunnel over..
Se nel PC si utilizzano diverse schede di rete, qui viene
visualizzato l'indirizzo IP assegnato.
217
Tabella 7- 2
Icona
Indicatori di stato
Significato
Non esiste nessun collegamento con il modulo o il nodo.
Esistono altri nodi che non vengono visualizzati. Fare doppio clic sull'icona per
visualizzare altri nodi.
Il nodo non è attivato.
Il nodo è attivato.
Modulo SCALANCE S disattivato.
Modulo SCALANCE S attivato.
Modulo MD741-1 disattivato.
Modulo MD741-1 attivato.
Il modulo / nodo non è raggiungibile.
Il modulo / nodo è raggiungibile.
Casella opzione "enable active learning"
Se nella configurazione dei moduli SCALANCE S è attivata la modalità di programmazione,
è possibile utilizzare questa modalità anche per il SOFTNET Security Client; si ottengono
quindi automaticamente le informazioni dei moduli SCALANCES.
In caso contrario la casella di selezione "Activate learing mode" viene disattivata e
rappresentata in grigio.
218
Selezione e comando della voce tunnel
Nella finestra di dialogo "Tunnel" è possibile selezionare una voce e aprire altre voci di menu
con il tasto destro del mouse.
ATTENZIONE
Se per un adattatore di rete vengono utilizzati diversi indirizzi IP, è eventualmente
necessario assegnare per ogni singola voce gli indirizzi IP da utilizzare nella finestra di
dialogo "Tunnel".
Pulsante "Delete All"
In questo modo si cancellano completamente le direttive di sicurezza IP - comprese le voci
supplementari non configurate da SOFTNET Security Client.
219
Disattivazione e attivazione di collegamenti sicuri già configurati
I collegamenti protetti configurati possono essere disattivati con il pulsante "Disable". Se è
stato selezionato il pulsante, il testo nel pulsante diventa "Activate" e l'icona nella barra di
stato viene sostituita.
Ora sul PC è disattivata la Security Policy.
Facendo di nuovo clic sul pulsante è possibile annullare le modifiche eseguite
precedentemente, riattivando così il tunnel configurato.
Consolle logging
La consolle logging si trova nella parte inferiore della finestra di dialogo "Tunnel Overview" e
fornisce informazioni di diagnostica sulla realizzazione del collegamento con i moduli
SCALANCE S / MD741-1 configurati e i nodi interni /sotto-reti.
Con il timbro di data e ora è possibile registrare i momenti dei relativi eventi.
Viene visualizzata una realizzazione e un'interruzione di una Security Association. Allo
stesso tempo viene visualizzato l'evento di un ping di test (test di raggiungibilità) per il nodo
configurato se questo è negativo.
Nella finestra di dialogo "Settings" è possibile configurare le indicazioni che devono essere
visualizzate.
Pulsante "Clear"
Azionando questo tasto si cancellano le voci dalla consolle logging della panoramica del
tunnel.
Impostazioni globali per il SOFTNET Security Client
Nella finestra principale del SOFTNET Security Client aprire la voce di menu:
Options ▶ Settings
Qui è possibile effettuare le impostazioni globali che devono essere mantenute dopo la
chiusura e l'apertura del SOFTNET Security Client.
Le funzioni sono riportate nella seguente tabella.
Funzionamento
Descrizione / Opzioni
Dimensione file Log (consolle logging)
La dimensione del file Log sorgente, che contiene
i messaggi che vengono visualizzati filtrati e che
vengono limitati ad un determinato numero nella
consolle logging
Numero di messaggi da visualizzare nella
consolle logging della panoramica del tunnel
Numero di messaggi che vengono estratti dal file
Log del file sorgente e visualizzati nella consolle
logging
220
Visualizzazione dei seguenti messaggi Log nella
consolle logging della panoramica del tunnel:

Visualizzazione del test di raggiungibilità
negativo (ping)

Creazione / cancellazione di Security
Associations (modalità Quick)

Creazione / cancellazione di modalità Main

Caricamento di file di configurazione

Apprendimento di nodi interni
I messaggi, che possono essere visualizzati
opzionalmente nella consolle logging, possono
essere attivati e disattivati
Dimensione file Log (file log di debug)
Dimensione del file Log dei file sorgente per
messaggio di debug del SOFTNET Security
Client (possono essere richiesti dal Customer
Support per semplificare l'analisi)
Test di raggiungibilità, tempo di attesa di una
risposta
Tempo di attesa impostabile per il ping che deve
indicare la raggiungibilità di un partner del tunnel.
È importante impostarlo soprattutto nei tunnel su
percorsi di trasmissione lenti (UMTS, GPRS,
ecc.) per i quali il tempo di esecuzione dei
pacchetti di dati è decisamente superiore.
Influisce quindi direttamente la visualizzazione
della raggiungibilità nella panoramica del tunnel.
Avvertenza
Nelle reti mobili selezionare un tempo di attesa di
almeno 1500 ms.
Disattivazione globale del test di raggiungibilità
Se si attiva questa funzione, viene disattivato il
test di raggiungibilità globale per tutte le
configurazioni contenute nel SOFTNET Security
Client. Il vantaggio consiste nel fatto che nessun
pacchetto supplementare crei volumi di dati,
mentre lo svantaggio è che nella panoramica del
tunnel non si ottiene più nessun messaggio di
risposta se un partner del tunnel è raggiungibile o
meno.
Diagnostica del modulo estesa
Nella finestra principale del SOFTNET Security Client aprire la voce di menu:
Options ▶ Advanced Module Diagnostics
Qui è possibile rilevare lo stato attuale del proprio sistema in relazione ad un modulo
configurato. Questa panoramica serve solo alla diagnostica dello stato del sistema e può
essere d'aiuto in caso di richieste da parte del Customer Support.
● SCALANCE S / modulo MD741-1
Selezionare qui il modulo per il quale si vuole diagnosticare lo stato attuale del sistema.
● Impostazioni routing (parametri specifici per il modulo)
Qui vengono visualizzate le impostazioni del modulo rilevate dalla configurazione,
riguardanti le interfacce e i nodi interni / sotto-reti.
221
● Modalità Main attiva / modalità Quick attiva
Qui vengono visualizzate dettagliatamente le modalità Main o le modalità Quick attive,
non appena queste sono state configurate nel PG/PC per il modulo selezionato.
Inoltre viene visualizzato quante modalità Main e modalità Quick relative al modulo
selezionato sono state trovate nel sistema.
● Impostazioni routing (impostazioni di rete del computer)
Qui vengono visualizzate le impostazioni attuali di routing del computer.
Per motivi di chiarezza, con l'opzione "Show all routing settings" è possibile mostrare le
impostazioni routing nascoste.
● Indirizzi IP assegnati
Qui è disponibile un elenco sulle interfacce di rete conosciute sul computer in
combinazione con gli indirizzi IP configurati e assegnati.
222
Funzioni online - Test, diagnostica e logging
8
Per scopi di test e di sorveglianza SCALANCE S dispone di funzioni di diagnostica e di
logging.
● Funzioni di diagnostica
Sono intese diverse funzioni di sistema e di stato che possono essere utilizzate nella
modalità online.
● Funzioni di logging
Si tratta della registrazione degli eventi di sistema e di sicurezza.
La registrazione degli eventi viene eseguita nelle aree di buffer dello SCALANCE S o di un
server. La parametrizzazione e l'analisi di queste funzioni presuppone un collegamento di
rete sul modulo SCALANCE S selezionato.
Registrazione di eventi con funzioni Logging
Gli eventi che devono essere registrati si definiscono con le impostazioni Log per il relativo
modulo SCALANCE S.
Per la registrazione è possibile configurare le seguenti varianti:
● Local log
In questa variante si registrano gli eventi nel buffer locale del modulo SCALANCE S.
Nella finestra di dialogo Online del Security Configuration Tool è possibile quindi
accedere a queste registrazioni, visualizzarle o archiviarle nella stazione di service.
● Syslog rete
Con Network Syslog si utilizza un server Syslog esistente nella rete. Esso registra gli
eventi in base alla configurazione nelle impostazioni Log del relativo modulo SCALANCE
S.
Altre informazioni
Per informazioni dettagliate sulle finestre di dialogo e sui parametri contrassegnati nella
diagnostica e nel logging consultare la guida in linea del Security Configuration Tool.
F1
di dialogo.
Vedere anche
Panoramica delle funzioni della finestra di dialogo online (Pagina 224)
223
8.1 Panoramica delle funzioni della finestra di dialogo online
8.1
Panoramica delle funzioni della finestra di dialogo online
SCALANCE S offre le seguenti funzioni nella finestra di dialogo online del Security
Configuration Tool:
Tabella 8- 1
Funzioni e logging nella diagnostica online
Funzione / scheda nella
finestra di dialogo online
Significato
Funzioni di sistema e di stato
Status
Visualizzazione dello stato dell'apparecchio del modulo SCALANCE S
selezionato nel progetto.
Comunication status
(S612/S613)
Visualizzazione dello stato della comunicazione e nei nodi di rete interni
verso altri moduli SCALANCE S appartenenti al gruppo VPN.
Date and time
Impostazione di data e ora
Internal nodes
(S612/S613)
Visualizzazione dei nodi di rete interni del modulo SCALANCE S.
Funzioni di logging
System Log
Visualizzazione di eventi di sistema registrati.
Audit Log
Visualizzazione di eventi di sicurezza registrati.
Paket Filter Log
Visualizzazione del pacchetti di dati logging, avvio e arresto del logging
pacchetto.
Osservazione: Osservare le avvertenze sui tipi di apparecchi.
Requisiti per l'accesso
Per poter eseguire le funzione online su un modulo SCALANCE S devono essere soddisfatti
i seguenti requisiti:
● il modo operativo Online è attivato nel Security Configuration Tool;
● è in atto un collegamento di rete con il modulo selezionato
● il relativo progetto, con il quale è stato configurato il modulo, è aperto
Apertura della finestra di dialogo online
Commutare con la seguente voce di menu il modo operativo del Security Configuration Tool:
View ▶ Online
Selezionare il modulo da modificare e selezionare la seguente voce di menu per aprire la
finestra di dialogo online:
224
8.1 Panoramica delle funzioni della finestra di dialogo online
Messaggio di avvertimento in caso di configurazione non attuale o di un altro progetto
Se si richiama la finestra di dialogo online si controlla se la configurazione attuale sul modulo
SCALANCE S e la configurazione del progetto caricato corrispondono. Se le configurazioni
sono diverse, viene visualizzato un messaggio di avvertimento. In questo modo viene
segnalato che la configurazione non è (ancora) stata aggiornata o che si utilizza il progetto
errato.
Le impostazioni online non vengono memorizzate nella configurazione
Le impostazioni che si eseguono nel modo operativo online non vengono memorizzate nella
configurazione sul modulo SCALANCE S. Per questo motivo dopo un nuovo avvio del
modulo diventano sempre attive le impostazioni nella configurazione.
225
8.2 Registrazione di eventi (logging)
8.2
Registrazione di eventi (logging)
Gli eventi sullo SCALANCE S possono essere registrati. La registrazione viene eseguita
nelle aree del buffer volatili o permanenti, a seconda del tipo di evento. In alternativa una
registrazione può essere eseguita in un server di rete.
Configurazione nella modalità standard e nella modalità Advanced
Anche nel logging le possibilità di selezione nel Security Configuration Tool dipendono dalla
visualizzazione selezionata:
Nella modalità standard il Log è attivato come standard; gli eventi del filtro pacchetto
possono essere attivati globalmente nella scheda "Firewall". In questa visualizzazione
non è possibile il Network Syslog.
● Advanced Mode
Tutte le funzione di logging possono essere attivate o disattivate in modo mirato; gli
eventi del filtro pacchetto devono essere attivati in modo selettivo nella scheda "Firewall"
(regole locali o globali).
Metodi di registrazione e classi di evento
Nella configurazione è possibile definire i dati che devono essere registrati. In questo modo
la registrazione si attiva già durante il caricamento della configurazione nel modulo
SCALANCE S.
Inoltre selezionare nella configurazione uno o entrambi i metodi di registrazione possibili:
● Log locale
● Network Syslog
Per entrambi i metodi di registrazione SCALANCE S conosce rispettivamente i tre seguenti
tipi di eventi:
226
Tabella 8- 2
Logging - Panoramica degli eventi selezionabili
Funzione / scheda nella finestra
di dialogo online
Tipo di funzione
Eventi filtro pacchetto (firewall) /
Log filtro pacchetto
Il Log filtro pacchetto registra determinati pacchetti del traffico di dati. Vengono
registrati solo pacchetti di dati interessati da una regola filtro pacchetto progettata
(firewall) o sui quali reagisce la protezione di base (pacchetti corrotti o non validi).
Come presupposto la registrazione per la regola del filtro pacchetto deve essere
attivata.
Eventi Audit / Audit Log
L'Audit Log registra automaticamente eventi sequenziali rilevanti per la sicurezza. Per
esempio azioni dell'utente come l'attivazione o la disattivazione del logging pacchetto
o azioni nelle quali un utente non si è autentificato tramite password corretta.
Eventi di sistema / Log sistema
Il System Log registra automaticamente eventi di sistema progressivi come, ad es.
l'avvio di un processo. La registrazione è scalabile in base alle classi di evento.
Inoltre è progettabile una diagnostica del cavo. La diagnostica del cavo fornisce
messaggi non appena il numero di pacchetti di telegramma errati ha superato il valore
limite impostabile.
Metodo di memorizzazione per la registrazione dei dati nel logging locale
La memorizzazione per la registrazione dei dati viene eseguita in base a due metodi
selezionabili:
● Ring Buffer
Al raggiungimento della fine del buffer la registrazione all'inizio del buffer viene proseguita
sovrascrivendo le voci meno recenti.
● One Shot Buffer
La registrazione di arresta quando il buffer è pieno.
Attivazione e disattivazione del logging
Con le impostazioni Log, nel modo operativo Offline è possibile attivare il logging locale per
le classi di evento e definire il metodo di memorizzazione. Queste impostazioni Log vengono
caricate nel modulo con la configurazione e attivate all'avvio di SCALANCE S.
In caso di necessità, nelle funzioni online è possibile attivare o disattivare il logging locale
per gli eventi del filtro pacchetto e gli eventi del sistema. Durante questa operazione le
impostazioni nella configurazione del progetto non vengono modificate.
8.2.1
Impostazioni Log locale nella configurazione
Con le impostazioni Log, nel modo operativo Offline è possibile attivare le classi di evento e
definire il metodo di memorizzazione. Queste impostazioni Log vengono caricate nel modulo
con la configurazione e attivate all'avvio di SCALANCE S.
In caso di necessità, le impostazioni Log progettate possono essere modificate nelle funzioni
online. Durante questa operazione le impostazioni nella configurazione del progetto non
vengono modificate.
227
Impostazioni Log nello Standard Mode
Le impostazioni Log nello Standard Mode corrispondono alle preimpostazioni nell'Advanced
Mode. Nello Standard Mode non è tuttavia possibile modificare le impostazioni.
Impostazioni Log nello Advanced Mode
Project ▶ Properties…, scheda "Log Settings".
La seguente finestra di dialogo illustra le impostazioni Standard per SCALANCE S; inoltre è
aperta la finestra di dialogo per la configurazione della registrazione degli eventi di sistema:
228
Configurazione delle classi di evento
Tabella 8- 3
Log locale - Panoramica delle funzioni
Progettazione
finestra di dialogo
online
Packet filter events
(firewall) / packet filter
log
(progettabile)
L'attivazione avviene tramite casella opzionale.
Audit events / Audit log
(sempre attivato)
Il Logging è sempre attivato.
System event / System
log
(progettabile)
Osservazioni

La selezione del metodo di memorizzazione
avviene tramite campi opzione.
I dati vengono depositati in una memoria
volatile di SCALANCE S, per questo
motivo essi non sono più disponibili dopo
un disinserimento della tensione di
alimentazione.

La memorizzazione avviene sempre nel buffer
circolare.

I dati System Log non sono ritentivi
I dati System Log vengono depositati in
una memoria volatile di SCALANCE S.
Per questo motivo, questi dati non sono
più disponibili dopo un disinserimento
della tensione di alimentazione.
Per la configurazione del filtro evento e della
diagnostica del cavo aprire un'altra finestra di
dialogo con il pulsante "Configure...".
La diagnostica del cavo crea un evento di
sistema specifico. Viene generato un evento di
sistema in una percentuale di telegrammi errati
impostabile dall'utente. A questo evento di
sistema viene assegnata una priorità e un
significato (Facility) impostabili in questa sottofinestra di dialogo.
I dati Audit Log sono ritentivi
I dati Audit Log vengono depositati in una
memoria ritentiva di SCALANCE S. Per
questo motivo, questi dati Audit Log sono
disponibili anche dopo un disinserimento
della tensione di alimentazione.
La selezione del metodo di memorizzazione
avviene tramite campi opzione.
In questa sotto-finestra si imposta un livello di
filtro per gli eventi di sistema. Come standard è
impostato il livello più alto, in modo che vengano
registrati solo eventi critici.
I dati Log non sono ritentivi

Filtraggio degli eventi di sistema
Selezionare come livello del filtro "Error"
o un valore superiore per escludere la
registrazione di eventi generali non critici.

Priorità dell'evento di sistema della
diagnostica del cavo
Fare attenzione a non assegnare agli
eventi di sistema della diagnostica del
cavo una priorità più bassa di quella
impostata per il filtro. Con una priorità
inferiore questi eventi non verrebbero
filtrati e registrati.
229
8.2.2
Network Syslog - Impostazioni nella configurazione
SCALANCE S può essere configurato in modo che invii come Client Syslog informazioni ad
un Syslog Server. Il Syslog Server può trovarsi in una sotto-rete interna o esterna.
L'implementazione corrisponde a RFC 3164.
Nota
Firewall - Syslog Server non attivo nella rete esterna
Se il Syslog Server non è attivo sul computer indirizzato, questo computer restituisce
telegrammi di risposta ICMP "port not reachable". Se a causa della configurazione firewall
questi telegrammi di risposta vengono registrati come eventi di sistema e inviati al server
Syslog, questa operazione può proseguire all'infinito (valanga di eventi).
Rimedi:
 Avviare il Syslog server;
 Modificare le regole del firewall;
 Togliere dalla rete il computer con il server Syslog disattivato;
La configurazione del server Syslog presuppone la visualizzazione "Advanced Mode" nel
Security Configuration Tool. Commutare il modo operativo con la seguente voce di menu:
Eseguire le impostazioni Log
Project ▶ Properties…, scheda "Log Settings".
La seguente finestra di dialogo illustra le impostazioni standard per SCALANCE S con
Logging attivato per la rete Syslog:
230
Realizzazione del collegamento al server Syslog
SCALANCE S utilizza il nome di modulo progettato come nome host rispetto al server
Syslog. L'indirizzo IP del server Syslog deve essere indicato. L'indirizzo IP può essere
inserito in alternativa come nome simbolico o numerico.
SCALANCE S deve accedere al server Syslog tramite l'indirizzo IP indicato o eventualmente
tramite la progettazione del router nella scheda "Network". Se il server Syslog non viene
raggiunto, l'invio delle informazioni Syslog viene disattivata. Questo stato operativo può
essere riconosciuto dai relativi messaggi del sistema. Per riattivare l'invio delle informazioni
Syslog è eventualmente necessario aggiornare le informazioni di routing e riavviare
SCALANCE S.
Utilizzo del nome simbolico nel Logging
Le indicazioni di indirizzo nei telegrammi Log trasmessi al server Syslog possono essere
sostituite con nomi simbolici. Con l'opzione attivata, SCALANCE S verifica la progettazione
dei relativi nomi simbolici e li inserisce nel telegramma Log. Fare attenzione che questo non
comporti un aumento del tempo di elaborazione nel modulo SCALANCE S.
Per gli indirizzi IP del modulo SCALANCE S vengono utilizzati automaticamente i nomi dei
moduli come nomi simbolici. Nella modalità Routing questi nomi vengono ampliati con una
sigla di porta nel modo seguente: "Modulename-P1", "Modulename-P2" ecc.
231
Configurazione delle classi di evento
Tabella 8- 4
Network Syslog - Panoramica delle funzioni
finestra di dialogo
online
Packet filter events
(firewall) / packet filter
log
(progettabile)
Progettazione
L'assegnazione della priorità e il significato
(Facility) avviene tramite elenco a discesa. A
ciascun evento viene assegnata la priorità e il
significato (Facility) qui impostato.
Osservazioni
Il valore da selezionare per la priorità e il
significato (Facility) dipende dall'analisi nel
server Syslog. Questo consente un
adattamento ai requisiti nel server Syslog.
Impostazioni predefinite:
Facility: 10 (security/auth)
Prio: 5 (Notice)
Audit events / Audit log
(sempre attivato)
L'assegnazione della priorità e il significato
(Facility) avviene tramite elenco a discesa. A
ciascun evento viene assegnata la priorità e il
significato (Facility) qui impostato.
Il valore da selezionare per la priorità e il
significato (Facility) dipende dall'analisi nel
server Syslog. Questo consente un
adattamento ai requisiti nel server Syslog.
Impostazioni predefinite:
Facility: 13 (log audit)
Prio: 6 (Informational)
System event / System
log
(progettabile)
In questa sotto-finestra si imposta un livello di
filtro per gli eventi di sistema. Come standard è
impostato il livello più alto, in modo che vengano
registrati solo eventi critici.
La diagnostica del cavo crea un evento di
sistema specifico. Viene generato un evento di
sistema in una percentuale di telegrammi errati
impostabile dall'utente. A questo evento di
sistema viene assegnata una priorità e un
significato (Facility) impostabili in questa sottofinestra di dialogo.
8.2.3

Per la configurazione del filtro evento e della
diagnostica del cavo aprire un'altra finestra di
dialogo con il pulsante "Configure...".
Filtraggio degli eventi di sistema
Selezionare come livello del filtro "Error"
o un valore superiore per escludere la
registrazione di eventi generali non critici.

Priorità dell'evento di sistema della
diagnostica del cavo
Con la priorità si valutano gli eventi di
sistema della diagnostica del cavo in
relazione alla priorità degli altri eventi di
sistema.
Fare attenzione a non assegnare agli
eventi di sistema della diagnostica del
cavo una priorità più bassa di quella
impostata per il filtro. Con una priorità
inferiore questi eventi non verrebbero
filtrati e trasferiti al server Syslog.
Progettazione del loggig pacchetti
Il log filtro pacchetti registra i pacchetti di dati per i quali è stato attivato il logging in una
regola del filtro pacchetti (firewall) nella configurazione. L'attivazione deve quindi essere
progettata.
La progettazione si differenzia a seconda del livello di comando impostato. Mentre nello
Standard Mode il Logging può essere impostato in modo approssimativo per alcuni blocchi
di regole predefiniti, nell'Advanced Mode esso può essere attivato per ogni singola regola
del filtro pacchetti.
232
Progettazione nello Standard Mode
Nello Standard Mode esistono i seguenti blocchi di regole per impostazioni IP Log e MAC
Log, per le quali può essere attivato il logging:
Tabella 8- 5
Impostazioni IP e MAC Log
Blocco regola
Operazione durante l'attivazione
Log passed packet
Tutti i pacchetti MAC che sono stati inoltrati vengono registrati.
Log dropped incoming packet
Tutti i pacchetti IP / MAC che sono pervenuti vengono registrati.
Log dropped outgoing packet
Tutti i pacchetti IP / MAC in uscita che sono stati cancellati
vengono registrati.
Registrazione di pacchetti
tramite tunnel
Tutti i pacchetti IP che sono stati inoltrati tramite tunnel vengono
registrati.
Progettazione nello Advanced Mode
L'attivazione del logging è identica per entrambi i tipi di regole (IP o MAC) e tutte le regole.
Per registrare i pacchetti di dati di determinate regole del filtro pacchetti, impostare nella
colonna "Log" della scheda "Firewall" un segno di spunta.
233
A.1
A
Il modulo SCALANCE S non si avvia correttamente
Se l'indicatore di errore del modulo SCALANCE S si accende con luce rossa dopo l'avvio del
modulo, è necessario dapprima ripristinare completamente il modulo. Premere il tasto di
reset fino a quando l'indicatore di errore inizia a lampeggiare con luce gialla-rossa. A questo
punto il modulo è stato riportato alle impostazioni di fabbrica. Per l'esercizio produttivo è
successivamente necessario caricare di nuovo la configurazione nel modulo.
Se l'indicatore di errore del modulo SCALANCE S dovesse tuttavia riaccendersi con luce
rossa, il modulo può essere riparato solo in fabbrica.
A.2
Il modulo SCALANCE S non è raggiungibile
Se il modulo SCALANCE S non è raggiungibile, verificare o osservare i seguenti punti:
● Il computer si trova nella stessa sotto-rete dell'unità?
● Il Reset di un'unità può durare alcuni minuti.
A.3
Sostituzione di un modulo SCALANCE S
La sostituzione di un modulo SCALANCE S può essere eseguita senza PC (senza dover
caricare la configurazione sul nuovo modulo). Il C-PLUG del modulo da sostituire viene
semplicemente innestato sul nuovo modulo che deve essere messo in servizio.
ATTENZIONE
Il C-PLUG deve essere innestato o sfilato solo in assenza di tensione!
A.4
Il modulo SCALANCE S è compromesso
Un modulo SCALANCE S è compromesso se è stato comunicato quanto segue:
● il codice privato appartenente al certificato del server,
● il codice privato della CA o
● la password di un utente.
235
A.5 Codice dai dati di progettazione compromesso o perso
Codice privato noto del certificato del server
Se il codice privato appartenente al certificato del server è stato comunicato, il certificato del
server sul modulo SCALANCE S deve essere sostituito. I nomi utente memorizzati nel
modulo SCALANCE S non devono essere modificati.
Procedimento:
1. Selezionare il modulo da modificare e selezionare la voce di menu:
Edit ▶ Properties.., scheda "Certificati"
2. Creare di un nuovo certificato.
3. Caricare la configurazione nel modulo SCALANCE S.
Il codice privato della CA è noto
Se il codice privato della CA è stato comunicato, il certificato della CA sul modulo
SCALANCE S deve essere sostituito. I nomi utente possono restare invariati. Tuttavia gli
utenti necessitano di nuovi certificati creati dalla nuova CA.
Procedimento:
1. Selezionare il gruppo da modificare e selezionare la voce di menu:
Edit ▶ Properties....
2. Creazione di un nuovo certificato.
3. Caricare la configurazione in tutti gli SCALANCE S appartenenti al gruppo.
Password di un utente noto dal gruppo di User
Se è stata comunicata la password di un utente da un gruppo User, la password di questo
utente deve essere modificata.
Password di un utente nota dal gruppo Administrator
Se si tratta di un utente del gruppo di amministratori, è necessario modificare anche il
certificato del server del modulo SCALANCE S.
A.5
Codice dai dati di progettazione compromesso o perso
Codice compromesso
Se un codice privato, proveniente dai dati di progettazione del modulo SCALANCE S, è stato
compromesso, esso deve essere modificato con lo strumento di progettazione del modulo
SCALANCE S.
236
A.6 Comportamento di esercizio generale
Perdita del codice
Se un codice privato, che autorizza l'accesso ai dati di progettazione, è stato perso, con lo
strumento di progettazione non è più possibile accedere al modulo SCALANCE S. L'unica
possibilità di ottenere di nuovo l'accesso consiste nel cancellare i dati di progettazione e di
conseguenza anche il codice. La cancellazione può essere attivata premendo il tasto reset.
Successivamente il modulo SCALANCE S deve essere rimesso in servizio.
A.6
Comportamento di esercizio generale
Adattamento della MTU (Maximum Transmission Unit)
La MTU definisce la grandezza ammessa di un pacchetto di dati per la trasmissione nella
rete. Se questi pacchetti di dati vengono trasmessi da SCALANCE S tramite il tunnel IPsec,
il pacchetto di dati iniziale diventa più grande a causa delle informazioni supplementari
dell'intestazione e deve eventualmente essere segmentato per l'ulteriore trasmissione.
Questo dipende dalle indicazioni della MTU nella rete collegata. Una segmentazione
necessaria può tuttavia comportare notevoli perdite di performance o l'interruzione del
trasferimento dei dati.
Questo può essere evitato adattando il formato della MTU, vale a dire ridurlo in modo che i
pacchetti di dati in arrivo in SCALANCE possano essere completati con le informazioni
supplementari necessarie, senza che ci sia bisogno di una segmentazione finale. Una
grandezza adeguata è compresa tra 1000 e 1400 byte.
237
A.6 Comportamento di esercizio generale
238
B
Avvertenze relative al marchio CE
Denominazione del prodotto
SIMATIC NET
SCALANCE S602
6GK5602-0BA00-2AA3
SIMATIC NET
SCALANCE S612
6GK5612-0BA00-2AA3
SIMATIC NET
SCALANCE S613
6GK5613-0BA00-2AA3
Direttiva EMC
Direttiva 89/336/EWG "Compatibilità elettromagnetica"
Campo di impiego
Il prodotto è progettato per l'impiego nel settore industriale:
Campo di impiego
Funzionamento industriale
Requisiti richiesti relativi a
Emissione di disturbi
Resistenza a disturbi
EN 61000-6-4 : 2001
EN 61000-6-2 : 2001
Osservanza delle direttive di montaggio
Il prodotto soddisfa le richieste se in fase di installazione e durante il funzionamento si
rispettano le direttive di montaggio e le avvertenze di sicurezza contenute in questa
descrizione e nel manuale "SIMATIC NET Reti Industrial Ethernet TP e Fiber Optic " /1/.
Dichiarazione di conformità
La dichiarazione di conformità CE è tenuta a disposizione delle autorità competenti,
conformemente alle direttive CE indicate sopra:
Siemens Aktiengesellschaft
Bereich Automatisierungs- und Antriebstechnik
Industrielle Kommunikation (A&D SC IC)
Postfach 4848
D-90327 Nürnberg
239
Avvertenze relative al marchio CE
Avvertenze per i costruttori di macchine
Ai sensi della direttiva macchine CE, il prodotto non è una macchina. Per questo motivo, per
questo prodotto non esiste una dichiarazione di conformità riferita alla direttiva CE macchine
89/392/CEE.
Se il prodotto fa parte dell'equipaggiamento di una macchina, il costruttore della macchina
deve includerlo nella dichiarazione di conformità.
240
Bibliografia
C
/1/
SIMATIC NET Reti Industrial Twisted Pair e Fiber Optic, edizione 05/2001
Numeri di ordinazione:
6GK1970-1BA10-0AA0 tedesco
6GK1970-1BA10-0AA1 inglese
6GK1970-1BA10-0AA2 francese
6GK1970-1BA10-0AA4 italiano
/2/
Il modem GPRS/GSM SINAUT MD740-1 Manuale di sistema è disponibile in:
http://support.automation.siemens.com/WW/view/de/23940893
241
Bibliografia
242
D
Disegno quotato
Figura D-1
Dima di fori
243
Disegno quotato
244
E.1
E
Nell'edizione 02 di questo manuale era nuovo
● nuovo modulo SCALANCE S602
Con SCALANCE S602 è disponibile un ulteriore modulo nella serie della funzionalità di
sicurezza scalabile. SCALANCE S602 protegge con Stateful Inspection Firewall,
NAT/NAPT Routing, DHCP Server e Syslog.
● Modalità Routing in SCALANCE S612 / S613
I moduli SCALANCE S S612 e S613 sono disponibili con funzionalità ampliata; ora
vengono supportati anche NAT/NAPT Routing, DHCP Server e Syslog.
Con la nuova versione dello strumento di progettazione è possibile progettare i moduli
S612 / S613 con le relative nuove funzioni.
● Dati di configurazione per MD 740-1
Per configurare un MD 740-1 esterno, è possibile creare i dati di configurazione con la
nuova versione del Security Configuration Tool.
- L'edizione non è stata pubblicata -
245
E.1 Cronologia documento
In questa edizione sono inoltre incluse le seguenti nuove funzioni:
Un SOFTNET Security Client può essere configurato insieme ad uno SCALANCE S in
modalità Routing. (GETTING STARTED Esempio – accesso remoto)
Oltre alla sotto-rete interna diretta, che si trova in SCALANCE S, nella modalità Routing è
possibile configurare e accedere ad altre sotto-reti.
Nella panoramica del tunnel è stata aggiunta una casella di testo con informazioni di
diagnostica per la realizzazione del collegamento.
L'impostazione dell'adattatore di rete è stato semplificato grazie ad un automatismo. Il
SOFTNET Security Client tenta di trovare automaticamente un'impostazione
dell'adattatore di rete idonea durante l'avvio.
● Dati di configurazione per modulo MD 741-1
Per configurare un MD 741-1 esterno, è possibile creare i dati di configurazione con la
nuova versione del Security Configuration Tool.
246
Glossario / indice delle abbreviazioni
AAA
AAA riassume un concetto di sicurezza in cui sono integrati Authentication, Authorization e
Accounting.
Accordo di codifica Diffie-Hellmann
Metodo per lo scambio sicuro di codifiche tramite un cavo non sicuro.
AES
Advanced Encryption Standard
Una cifra simmetrica codificata in blocco. In SCALANCE S può essere selezionata per
codificare i dati.
ARP
Address Resolution Protocol
Un protocollo che serve per la risoluzione dell'indirizzo. Esso svolge il compito di trovare
l'indirizzo hardware della rete (indirizzo MAC) corrispondente all'indirizzo di protocollo
esistente. Sugli host, sui quali viene utilizzata la famiglia di protocollo Internet, va spesso
trovata anche un'implementazione del protocollo ARP. Con l'IP viene formata una rete
virtuale con l'aiuto di indirizzi IP. Durante il trasporto dei dati questi IP devono essere
riprodotti sugli indirizzi hardware esistenti. Per eseguire questa riproduzione, viene spesso
utilizzato il protocollo ARP.
BDC
Backup Domain Controller
I Backup Domain Controller contengono una copia di sicurezza dei dati utente e di
registrazione che viene aggiornata ad intervalli regolari.
BRI
Basic Rate Interface
Collegamento di rete standard a ISDN.
CA
Certification Authority
247
Posizione di certificazione che serve per l'autentificazione, la codifica e la decodifica di dati
riservati diffusi tramite Internet e altre reti, nella quale vengono ad esempio emessi e firmati
certificati digitali.
Certificato CA
Un punto di certificazione (english Certificate Authority, abbreviato CA) è un'organizzazione
che emette certificati digitali. Nella comunicazione in reti di computer un certificato digitale è
l'equivalente di una carta d'identità. Un punto di certificazione assegna certificati ai nodi della
rete e li autentifica.
In SCALANCE S viene generato rispettivamente un certificato CA per ogni gruppo. Il gruppo
assegna certificati ai membri del gruppo e li autentifica con il certificato del gruppo
(certificato del gruppo = certificato CA).
Certificato SSL
I certificati SSL inclusi per l'autentificazione e la comunicazione tra
PG/PC e SCALANCE S durante la configurazione e il logging.
CHAP
Challenge Handshake Authentication Protocol
Protocollo di autentificazione che viene impiegato nell'ambito del Point-to-Point Protocol
(PPP). PPP è integrato nel livello di sicurezza della famiglia di protocolli Internet.
Client
Per Client si intende un apparecchio, o un oggetto in generale, che richiede ad un -> server
di eseguire un servizio.
Collegamento SSL
Il protocollo SSL si trova tra il TCP (OSI-Layer 4) e i servizi di trasmissione (come p. es.
HTTP, FTP, IMAP ecc.) e serve per una transazione protetta. SSL garantisce che l'utente sia
collegato in modo univoco al server desiderato (autentificazione) e che i dati sensibili
vengano trasmessi tramite un collegamento protetto (codificato).
CTRL
La casella di controllo (CTRL) contiene informazioni di controllo per il protocollo LLC .Logical
Link Control (LLC) è la denominazione di un protocollo di rete standardizzato da IEEE. Se un
protocollo, il cui scopo principale è la sicurezza dei dati nel livello del collegamento e fa
quindi parte del livello 2 del modello OSI.
Data Encryption Standard
Metodo per la codifica di dati (codifica a 56 bit)
248
DCP
Discovery and basic Configuration Protocol
Un protocollo adatto per rilevare i parametri di indirizzi dai componenti PROFINET.
Definizione servizio IP/MAC
Grazie alle definizioni di servizio IP è possibile definire in modo compatto e chiaro le regole
firewall. Per questo si assegna un nome e si assegnano al nome i parametri del servizio.
Inoltre è possibile riunire in gruppi i servizi definiti in un sottogruppo. Per la progettazione
della regola del filtro pacchetto utilizzare semplicemente questo nome.
DES
Un algoritmo di codifica simmetrico
DES3
Un metodo di codifica simmetrico, vale a dire per la codifica e la decodifica di dati viene
utilizzata la stessa chiave. DES3 significa che l’algoritmo viene indicato tre volte per
aumentare la sicurezza.
DHCP
Dynamic Host Configuration Protocol
interna. Gli indirizzi IP vengono assegnati dinamicamente da una banda di indirizzi indicata
oppure viene assegnato un determinato indirizzo IP di un determinato apparecchio.
DMZ
Demilitarized Zone
Rete di computer con possibilità di accesso controllate con tecnica di sicurezza al server ad
essa collegato.
Encapsulating Security Payload
Protocollo per la trasmissione sicura di dati
ESP
Encapsulating Security Payload
249
Il protocollo ESP assicura che i dati trasmessi siano autentici, integri e riservati. ESP
consente anche che venga controllata solo l'autenticità dei dati oppure che vengano
codificati solo i dati. In SCALANCE S l'ESP viene sempre utilizzato per il controllo
dell'autenticità o per la codifica.
Formato PKCS#12
Questo standard definisce un formato PKCS adatto per lo scambio del codice pubblico e di
altri codici provati protetti da password.
Funzione MDI/MDI-X Autocrossing
La funzione MDI/MDI-X Autocrossing offre il vantaggio di un cablaggio continuo, senza che
sia necessario un cavo Ethernet esterno incrociato. In questo modo vengono evitati
funzionamenti errati in caso scambio dei cavi di trasmissione e ricezione. L'installazione
viene quindi notevolmente semplificata per l'utente.
Gruppi Diffie-Hellman
algoritmi crittografici selezionabili nel protocollo di scambio codifiche Oakley
HTTPS
Secure Hypertext Transfer Protocol o HyperText Transfer Protocol Secured Socket Layer
(SSL)
Protocollo per la trasmissione di dati codificati. Ampliamento di HTTP per la trasmissione
protetta di dati riservati con l'aiuto di SSL.
ICMP
Internet Control Message Protocol
è un protocollo ausiliario della famiglia di protocolli IP ed è basato sul protocollo IP. Serve
per la sostituzione di messaggio informativi e di errore.
ICMP sotto-rete Broadcast
Per trovare i nodi IP nella rete interna SCALANCE S trasmette una ICMP Echo Request con
l'indirizzo IP sotto-rete Broadcast, vale a dire un indirizzo rivolto a tutti i nodi IP nella sottorete interna di SCALANCE S.
ICMP-Echo-Request
Pacchetto ping in uscita per controllare la raggiungibilità di un nodo di rete.
250
Identity Protection
La differenza tra Main Mode e Aggressive Mode è la "identity protection" che viene utilizzata
nel Main Mode. L'identità viene trasmessa codificata nel Main Mode, mentre nell'Aggressive
Mode non viene trasmessa.
IKE
Internet Key Exchange
Protocollo per la gestione automatica delle codifiche per IPsec. IKE funziona in due fasi.
Nella prima fase si autentificano i due nodi che comunicano tra loro in modo sicuro.
L'autentificazione può essere eseguita tramite certificati o tramite codifiche scambiate
precedentemente (Pre Shared Keys). Nella seconda fase vengono scambiate le codifiche
per la comunicazione dei dati e selezionati gli algoritmi di codifica.
Internet Key Exchange (IKE)
Protocollo per la realizzazione del tunnel IPsec. Qui è possibile impostare i parametri per il
protocollo del management dei codici IPsec. Lo scambio delle codifiche viene eseguito con il
metodo standardizzato IKE. (Impostazioni IKE)
IP Subnet ID
ID di rete della sotto-rete: in base all'ID di rete il router riconosce se un indirizzo di
destinazione si trova nella sotto-rete o fuori dalla sotto-rete.
ISAKMP
Internet Security Association and Key Management Protocol
Protocollo per la realizzazione di Security Associations (SA) e lo scambio di codici
crittografici in Internet.
ISP
Internet Service Provider
Fornitori di servizi Internet
L2F
Layer 2 Forwarding
Protocollo di rete (simile a PPTP) che supporta diversi protocolli e diversi tunnel
indipendenti.
L2TP
Layer 2 Tunneling Protocol
251
Protocollo di rete che effettua un tunnel per il frame di protocolli del livello di sicurezza (livello
2) del modello OSI tra due reti tramite Internet per realizzare una rete privata virtuale (VPN).
Larghezza di banda
Media massima di un cavo di collegamento (indicazione normalmente in bps).
Logging
Possono essere registrati eventi. La registrazione viene eseguita nei cosiddetti file Log
(abbreviati con Log). Già nella configurazione è possibile definire i dati che devono essere
registrati e se la registrazione deve essere attivata già al caricamento della configurazione.
Marchio VLAN
Un pacchetto Ethernet dispone del marchio VLAN se il campo EtherType nell'intestazione
del pacchetto Ethernet presenta un determinato valore. L'intestazione del pacchetto Ethernet
contiene in questo caso le informazioni sulla LAN virtuale ed eventualmente anche una
priorità di pacchetto.
Maximum Transmission Unit
MTU
Definisce la grandezza ammessa di un pacchetto di dati per la trasmissione nella rete.
MD
Message Digest
Indica un gruppo di un protocollo crittografico.
MD5
Una funzione di hash criptografica largamente diffusa. MD5 viene impiegata in
numerosissime applicazioni di sicurezza per verificare l'integrità dei dati. In SCALANCE S
l'MD5 può essere selezionata per il controllo di integrità dei dati che vengono trasmessi in un
tunnel.
Metodo Public Key
Il senso del metodo di codifica con codifica pubblica consiste nel fatto che il rischio di
sicurezza viene notevolmente ridotto in caso di scambio reciproco della codifica. Ciascuno
dispone di una coppia di codifiche con una codifica pubblica e una privata. Per codificare un
messaggio si utilizza la codifica pubblica del destinatario, e solo questo può decodificare il
messaggio con la propria codifica.
252
NAPT
Network Address Port Translation
un metodo nel quale in un router un indirizzo IP viene sostituito con un altro indirizzo IP e
inoltre il numero di porta viene sostituito con un altro numero di porta in un telegramma.
NAT
Network Address Translation
un metodo nel quale in un router un indirizzo IP in un telegramma viene sostituito con un
altro.
NAT Traversal
È un procedimento che consente di attraversare apparecchi NAT con dati IPsec.
Nodi di rete ISO
Nodi di rete che non hanno funzione IP, ma che sono interrogabili tramite protocolli ISO.
One Shot Buffer
La registrazione si arresta quando il buffer è pieno.
Organizationally Unique Identifier
Indica i primi 3 byte dell'indirizzo MAC = identificazione produttore.
OUI
Organizationally Unique Identifier
numero a 24 bit che viene assegnato a ditte dall'IEEE Registration Authority. Le ditte
utilizzano l'OUI per diversi prodotti hardware, anche come i primi 24 bit dell'indirizzo MAC.
PAP
Password Authentication Protocol
Protocollo di autentificazione password
PEM
Privacy Enhanced Mail; Privacy Enhanced Mail
uno standard per la codifica di e-mail in Internet
253
assicura che le nuove negoziazioni di codifica non siano collegate alle codifiche precedenti.
La disattivazione di questa opzione consente una codifica più rapida ma meno sicura.
PGP
Pretty Good Privacy
è un programma per la codifica e la firma elettronica di dati.
Ping
Contrassegna un protocollo di test della famiglia di protocolli IP. Questo protocollo si trova su
ogni computer MS-Windows con lo stesso nome come applicazione di consolle (livello righe
di comando). Con "Ping" è possibile richiedere una risposta (segno di attività) ad un nodo IP
all'interno di un insieme di reti, a condizione che se ne conosca l'indirizzo IP. In questo modo
è possibile determinare se questo nodo di rete è raggiungibile sul livello IP e controllare
l'efficacia della funzionalità SCALANCE S configurata.
PKCS
Public Key Cryptography Standards
sono specifiche per codici crittografici sviluppate da RSA Security e altri. Un certificato
collega dati di un codice crittografico (o coppia di codici, costituita da codici pubblici e
provati) a dati del proprietario e di un punto di certificazione.
PKI
Public Key Infrastructure
indica la crittografia di un sistema che consente di creare, distribuire e controllare certificati
digitali. I certificati creati all'interno di una PKI vengono utilizzati per proteggere la
comunicazione supportata dal computer.
PoP
Point of Presence
Nodi di selezione di un Internet Provider
PPP
Point-to-Point Protocol - Protocollo punto-a-punto
PPTP
Point-to-Point Tunneling Protocol
254
è un protocollo per la realizzazione di una Virtual Private Network (VPN). Consente la
realizzazione del tunnel del PPP attraverso una rete IP.
Preshared Keys
Contrassegna un metodo di codifica simmetrico. La codifica deve essere nota ai due lati
prima della comunicazione. Anche questa codifica viene generata automaticamente alla
creazione di un gruppo. Tuttavia, nella finestra di dialogo Security Configuration Tool "Group
Properties", casella "Key" è necessario aver immesso precedentemente una password dalla
quale viene generata questa codifica.
Protocollo di scambio di codifiche Oakley
Il protocollo OAKLEY Key Determination descrive la creazione di materiale di codifica
segreto. È una parte dell'Internet Key Exchange Protocol (IKE).
Protocollo MAC
Controllo di accesso ad un mezzo di trasmissione
PST (Tool)
Primary Setup Tool
Con il Primary Setup Tool (PST) è possibile assegnare un indirizzo (ad es. indirizzo IP) a
componenti di rete SIMATIC NET, CP Ethernet SIMATIC NET e ad accoppiamenti ad altre
reti.
PSTN
Public Switched Telephone Network
sistema di comunicazione pubblico per il traffico telefonico tra nodi remoti.
RAS
Remote Access Service
Con il Remote Access Service esiste la possibilità di collegare client ad una rete locale
tramite un collegamento modem, ISDN o X.25. Di conseguenza vengono supportati non solo
diversi client, ma è disponibile anche un'elevata flessibilità nella scelta e nella possibilità di
combinare i protocolli di rete utilizzati.
Regola filtro pacchetti
Con le regole filtro pacchetti si definisce se un pacchetto di dati attraversa il filtro pacchetti o
meno. Questa decisione viene presa in base ai campi del protocollo. Gli esempi per i campi
del protocollo sono gli indirizzi sorgente o di destinazione IP. In SCALANCE S è possibile
indicare regole filtro per protocolli MAC o protocolli IP.
255
Regola filtro pacchetti MAC
Con le regole filtro pacchetti MAC è possibile filtrare i telegrammi MAC.
Router NAT/NAPT
Questa tecnica consente di ottenere l'anonimato degli indirizzi dei nodi nella sotto-rete
interna verso l'esterno nella rete esterna; essi sono visibili nella rete esterna solo tramite gli
indirizzi IP esterni definiti nella lista di conversione.
RSA
Rivest, Shamir & Adleman Algorithm
è un sistema di crittografia asimmetrico che può essere utilizzato sia per codificare sia per la
firma digitale. Esso utilizza una coppia di codici composta da un codice privato, per
decodificare o firmare dati, e da un codice pubblico, con il quale si controllano le codifiche e
le firme. Il codice privato viene mantenuto segreto e non può essere calcolato oppure può
essere calcolato solo con una procedura estremamente complicata dal codice pubblico.
Algoritmo per verificare dati
Security Configuration Tool
SCT
Strumenti di progettazione per prodotti SCALANCE S.
Server
Un server è un apparecchio, o un oggetto in generale, che può eseguire determinati servizi;
il servizio viene eseguito in seguito a richiesta da parte di un -> client.
Servizi
Potenzialità offerta da un protocollo di comunicazione.
SHA1
Funzione di hash criptografica largamente diffusa. In SCALANCE S l'SHA1 può essere
selezionata per il controllo di integrità dei dati che vengono trasmessi in un tunnel.
SIMATIC NET
Siemens SIMATIC Network and Communication. Denominazione di prodotto per reti e
componenti di rete della Siemens. (fino ad ora SINEC)
256
SNAP
Subnetwork Access Protocol
Meccanismo per eseguire il multiplexing di protocolli nelle reti che utilizzano IEEE 802.2.
SOHO
Small Office, Home Office
SSN = DMZ
Secure Server Net = Demilitarized Zone
Stateful Packet Inspection
Stateful Inspection (anche Stateful Packet Filter o Dynamic Packet Filter) è una tecnologia
firewall che funziona sia sui livelli di rete, sia sui livelli di utenti. I pacchetti IP vengono
ricevuti sul livello di rete, ispezionati da un modulo di analisi e confrontati con una tabella di
stato. Per i partner di comunicazione si rappresenta un firewall con Stateful Inspection come
cavo diretto, che consente sol una comunicazione in base alle regole.
Syslog
Un servizio che riceve messaggi di sistema su un server (server Syslog) e li registra per
esempio in file Log.
TACACS
Terminal Access Controller Access Control System; il Terminal Access Controller Access
Control System (TACACS) è un protocollo AAA. Esso serve per la comunicazione clientserver tra server AAA e un Network Access Server (NAS). Il server TACACS mette a
disposizione un'istanza di autentificazione centrale per gli utenti remoti che intendono
realizzare un collegamento IP con un NAS.
Traffico IP
Indica la comunicazione in reti di computer che utilizza il protocollo IP come protocollo di
rete.
Tunnel
Tunnel o Tunneling indica l'utilizzo del protocollo di comunicazione di un servizio di rete
come mezzo di trasporto per dati che non fanno parte di questo servizio.
257
258
Indice analitico
A
Advanced Mode, 233
Alimentazione, 17
ampliato
campo di temperatura, 18
Apparecchio sostitutivo, 38
Applicazioni standard, 17
Assegnazioni ai gruppi, 115
Authentification
Utenti, 120
Autocrossing, 20
Autonegotation, 20
B
Barra dei menu, 113
Blocchi di regole firewall
globali, 116
Blocchi di regole IP, 144
Blocchi di regole MAC, 144
Broadcast, 184
C
Caricamento, 126
Caso di sostituzione, 38
CD, 19, 111
CD SCALANCE S, 111
Certicifati SSL, 165
Certificate, 184
Check Consistency, 178
in tutto il progetto ~, 122
locale ~, 122
Codifica, 111, 119
Codifica IPSec, 13, 15
Collegamenti, 25, 127
Collegamento a terra, 31
Compito del SOFTNET Security Client, 13
Configurazione
caricamento della configurazione progettata, 32
prima, 32
Configurazione software, 25
Contatto di segnalazione, 18, 21
Conversione dell'indirizzo, 167
Coperchio a vite M32, 36
C-PLUG, 16, 36
non scritto, 37
rimozione, 39
Ripristino, 38
D
Dati del progetto
coerenti, 111
Dati elettrici, 25
DCP (Primary Setup Tool), 161
Dead-Peer-Detection (DPD), 194
DHCP
Symbolic Names, 123
Diritti di amministratore, 39
Durata dei certificati, 186
F
Firewall, 13, 15, 137
Preimpostazione, 140
Regole firewall, 132
Regole predefinite, 139
Symbolic Names, 123
Firewall per telegrammi Ethernet-Non-IP
secondo IEEE 802.3, 132132
Fornitura, 18
Funzionalità di programmazione, 13, 15, 196
Funzionalità tunnel, 181
Funzionamento router, 15
Funzionamento VLAN, 184
Funzione MDI /MDIX autocrossing, 20
G
Gestione utenti, 116, 120
Grado di protezione, 17
Gruppi di servizi, 162
Gruppo, 184
Gruppo di servizi, 162
Guida ad U, 17, 28
Guida profilata, 28, 30
Guida profilata S7-300, 32
259
Indice analitico
H
Hardware, 17
HTTPS (SSL), 141
I
ICMP Services, 156
IEEE 802.3, 132
IKE, 141
Impostazione della fabbrica, 22
Impostazioni della fabbrica, 33
di un modulo, 135
Impostazioni IKE, 188, 189
Impostazioni IPSec, 188, 190
Impostazioni Security, 205
incrociato
cavo Ethernet, 20
Indicatore Fault (F), 24
Indicatore Power (L1, L2), 24
Indicatori, 24
Indicatore di errore, 2424
Indicatori dello stato delle porte, 24
Indipendenza dal protocollo, 13
Indirizzo MAC, 136
Interfacce TP, 19
IP Firewall con Stateful Packet Inspection, 132
L
Logging
Classi di evento, 232
Lunghezze cavi, 25
M
MAC address, 32, 38, 135
in modalità Routing, 136
stampigliato, 136
MAC Rules, 158
manipolazione dei dati, 11
Maschera della sotto-rete, 135
MD 740
Certificato gruppi, 128
Certificato modulo, 128
Creazione del file di configurazione, 128
Messa in servizio, 32
Metodo di autentificazione, 183, 188
Modalità ampliata, 110
Modalità di programmazione, 196
Modalità Routing, 133
Modalità standard, 110, 233
Modulo
creazione, 134
Montaggio, 27, 28
Montaggio
Tipi di montaggio, 2828
Montaggio
Montaggio su una guida ad U, 2828
Montaggio
Smontaggio, 2929
Montaggio
Montaggio su una guida profilata, 3030
Montaggio
Montaggio a parete, 31, 3231, 32
Montaggio
Montaggio a parete, 31, 3231, 32
Montaggio a parete, 31, 32
Morsettiera, 18
Multicast, 184
N
NAT/NAPT, 167
National Electrical Code,table 11 (b), 20
Network Address Port Translation, 170
Network Adress Translation, 169
Nodi di rete
non programmabili, 200
Nodi esterni, 14, 16
Nodi interni, 14, 16
Nomi del gruppo, 154, 160
Norme, omologazioni, 26
ATEX 95, 27
EN 50021, 27
EN61000-4-5, 27
IEC950/EN60950/ VDE0805, 20
NTP Server, 163
Numeri di ordinazione, 26
O
Offline, 110
Omologazioni, 17
Omologazioni norme marine, omologazioni, 26
Online, 110
Ora locale del PC, 163
P
Panoramica delle funzioni
Tipi di apparecchio, 18
260
Indice analitico
Parametri di indirizzo, 135
Possibilità di collegamento, 19
Posto connettore C-PLUG, 36
Prese RJ-45, 19
Preshared Keys, 184
progettata offline, 32
Progetto, 115
creazione, 117
Valori di inizializzazione, 117
Protezione contro l'accesso, 16
Protocollo ESP, 141
R
Regole del filtro pacchetto IP, 149
Regole del filtro pacchetto MAC, 157
Regole di base per il firewall, 33
Regole firewall globali, 132, 144
Regole firewall locali, 132
Ripartizione del carico, 21
Ripristino delle impostazioni della fabbrica, 23
Router, 133
Esterni, 136
Router NAT/NAPT, 133
Standard, 136
Router NAT/NAPT
Symbolic Names, 123
Router NAT/NAPT, 167
Router predefinito, 135
S
Security Configuration Tool, 16, 109
Barra dei menu, 113
Modi operativi, 110
Visualizzazioni di comando, 110
Security Module SCALANCE S, 11
Senza retroeffetto, 13, 15
Server DHCP, 133
Configurazione, 176
Servizi IP, 153
Servizi MAC, 160
SiClock, 161
SOFTNET Security Client, 13
Ambiente di impiego, 205
Base dati, 208
Comportamento all'avvio, 206
disinstallazione, 207
Load Configuration Data, 211
Programmazione dei nodi interni, 218
spionaggio dei dati, 11, 14
Stateful Packet Inspection, 132
Stato alla fornitura, 33
Supporto dati
C-PLUG, 16
Symbolic Names, 123
Syslog
Symbolic Names, 123
T
Tabella dei simboli, 123
Tasto Reset, 22
Telegrammi layer 2, 13, 15
Telegrammi non-IP, 183
Temperature ambiente/EMC, 26
Tensione alternata, 21
Tensione di alimentazione, 20
Timbro dell'ora
di registrazioni Log, 163
Tunnel, 181
Tunnel IPsec, 13, 181
U
Update del firmware, 39
Utenti
autorizzati, 111
configurazione, 120
V
VLAN tagging, 184
Voci di menu, 113
VPN, 13, 181
Proprietà specifiche per il modulo, 193
SOFTNET Security Client, 203
VPN Tunnel, 13, 15
W
Windows 2000, 111
Windows XP / SP1 o SP2, 111
261
Indice analitico
262

SCALANCE S e SOFTNET Security Client

Transcript

Documenti analoghi

allegato pdf

Configurazione Porte - eMule-Wiki

ABI_Basilea 2016_CV Diego Travaini

Leggi Articolo - Giancarlo Mariani

CONFIGURAZIONE NORTON INTERNET SECURITY 2005

G DATA CLIENT SECURITY BUSINESS

CONFIGURAZIONE ACCOUNT DI POSTA ELETTRONICA entecra

GlobalTrust RMS

Matteo Meucci