SIMATIC NET 3 - Siemens AG · 2015-01-24 · advertencia; las informaciones para evitar únicamente...

Principios básicos y aplicación

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

SIMATIC NET

Industrial Ethernet Security Principios básicos y aplicación

Manual de configuración

09/2013 C79000-G8978-C286-02

Prólogo

Introducción y fundamentos 1

Configuración con Security Configuration Tool

2

Crear módulos y ajustar parámetros de red

3

Configurar el cortafuegos 4

Configuración de otras propiedades de los módulos

5

Comunicación segura en la VPN a través de túnel IPsec

6

Redundancia de router y cortafuegos

7

SOFTNET Security Client 8

Funciones online - Test, Diagnóstico y Logging

9

Anexo A

Bibliografía B

Siemens AG Industry Sector Postfach 48 48 90026 NÜRNBERG ALEMANIA

Referencia del documento: C79000-G8978-C286-02 Ⓟ 09/2013 Sujeto a cambios sin previo aviso

Copyright © Siemens AG 2012 - 2013. Reservados todos los derechos

Notas jurídicas Filosofía en la señalización de advertencias y peligros

Este manual contiene las informaciones necesarias para la seguridad personal así como para la prevención de daños materiales. Las informaciones para su seguridad personal están resaltadas con un triángulo de advertencia; las informaciones para evitar únicamente daños materiales no llevan dicho triángulo. De acuerdo al grado de peligro las consignas se representan, de mayor a menor peligro, como sigue.

PELIGRO Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones corporales graves.

ADVERTENCIA Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones corporales graves.

PRECAUCIÓN Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse lesiones corporales.

ATENCIÓN Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse daños materiales.

Si se dan varios niveles de peligro se usa siempre la consigna de seguridad más estricta en cada caso. Si en una consigna de seguridad con triángulo de advertencia se alarma de posibles daños personales, la misma consigna puede contener también una advertencia sobre posibles daños materiales.

Personal cualificado El producto/sistema tratado en esta documentación sólo deberá ser manejado o manipulado por personal cualificado para la tarea encomendada y observando lo indicado en la documentación correspondiente a la misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formación y experiencia, el personal cualificado está en condiciones de reconocer riesgos resultantes del manejo o manipulación de dichos productos/sistemas y de evitar posibles peligros.

Uso previsto o de los productos de Siemens Considere lo siguiente:

ADVERTENCIA Los productos de Siemens sólo deberán usarse para los casos de aplicación previstos en el catálogo y la documentación técnica asociada. De usarse productos y componentes de terceros, éstos deberán haber sido recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su transporte, almacenamiento, instalación, montaje, manejo y mantenimiento hayan sido realizados de forma correcta. Es preciso respetar las condiciones ambientales permitidas. También deberán seguirse las indicaciones y advertencias que figuran en la documentación asociada.

Marcas registradas Todos los nombres marcados con ® son marcas registradas de Siemens AG. Los restantes nombres y designaciones contenidos en el presente documento pueden ser marcas registradas cuya utilización por terceros para sus propios fines puede violar los derechos de sus titulares.

Exención de responsabilidad Hemos comprobado la concordancia del contenido de esta publicación con el hardware y el software descritos. Sin embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena concordancia. El contenido de esta publicación se revisa periódicamente; si es necesario, las posibles las correcciones se incluyen en la siguiente edición.

Principios básicos y aplicación Manual de configuración, 09/2013, C79000-G8978-C286-02 3

Prólogo

Prólogo

Este manual... …le ayudará a configurar las funciones de seguridad de los siguientes productos de "Security Integrated":

● SCALANCE S: S602 / S612 / S623 / S627-2M

● SOFTNET Security Client

● CPs S7: CP 343-1 Advanced, CP 443-1 Advanced

● PC-CP: CP 1628

● Router de telefonía móvil: SCALANCE M875 y SCALANCE M874-x

Denominación genérica "módulo de seguridad" En la presente documentación los siguientes productos se denominan genéricamente "módulo de seguridad": SCALANCE S602 / SCALANCE S612 / SCALANCE S623 / SCALANCE S627-2M, CP 343-1 Advanced, CP 443-1 Advanced, CP 1628.

Las diferencias en el funcionamiento se marcan con símbolos (véase el apartado "Descripción de los símbolos"). Las descripciones de hardware y las indicaciones relativas a la instalación se encuentran en la documentación correspondiente a cada módulo.

Uso de las denominaciones "interfaz" y "puerto" En la presente documentación se utilizan las siguientes denominaciones para los puertos de los módulos SCALANCE S:

● "Interfaz externa": el puerto externo del SCALANCE S602 / S612 / S623 o bien un puerto externo del SCALANCE S627-2M (marca roja)

● "Interfaz interna": el puerto interno del SCALANCE S602 / S612 / S623 o bien un puerto interno del SCALANCE S627-2M (marca verde)

● "Interfaz DMZ": el puerto DMZ del SCALANCE S623 / S627-2M (marca amarilla)

La denominación "puerto" se utilizará cuando se quiera destacar un puerto en particular de una interfaz.

Prólogo

Principios básicos y aplicación 4 Manual de configuración, 09/2013, C79000-G8978-C286-02

Denominación general "STEP 7" La configuración de las funciones de seguridad de los CP es posible a partir de STEP 7 V5.5 SP2 HF1. Por tanto, en la presente documentación, la denominación "STEP 7" representa a todas las versiones de STEP 7 posteriores a V5.5 SP2 HF1 y anteriores a STEP 7 V10. Consulte cómo configurar las funciones de seguridad de todos los módulos de seguridad en STEP 7 a partir de V12 en el sistema de información de STEP 7 a partir de V12, apartado "Industrial Ethernet Security".

Denominación genérica "CP x43-1 Adv." En la presente documentación los siguientes productos se denominan genéricamente "CP x43-1 Adv.": CP 343-1 Advanced / CP 443-1 Advanced.

Security Configuration Tool V4.0: nuevas funciones La Security Configuration Tool V4.0 incluye las siguientes funciones nuevas:

● SCALANCE S627-2M con dos slots para módulos de medio

SCALANCE S627-2M está equipado, además de con los puertos fijos, con dos slots para módulos de medio, en los que se puede insertar respectivamente un módulo de medio eléctrico u óptico de 2 puertos. Las interfaces externa e interna del SCALANCE S627-2M se amplían de esta forma con dos puertos cada una. Los puertos de los módulos de medio se pueden utilizar para la integración del SCALANCE S627-2M en topologías de anillo.

● Soporte de redundancia de medios mediante SCALANCE S627-2M

El SCALANCE S627-2M soporta los métodos de redundancia de medios MRP y HRP como cliente en ambos casos. Como dispositivo de un anillo MRP/HRP, un SCALANCE S627-2M puede proteger una célula de automatización o un anillo subordinados. Esta protección también puede realizarse de forma redundante. Un fallo en los cables será detectado por un gestor de anillo aparte, por ejemplo, un SCALANCE X308, y se compensará mediante una desviación en la vía de comunicación.

● Soporte de la detección de topología con LLDP mediante módulos SCALANCE S V4

Los módulos de seguridad SCALANCE S602 V4 / S612 V4 / S623 V4 / S627-2M V4 soportan el protocolo de detección de topología LLDP. Los sistemas de gestión de redes pueden incluir de este modo los denominados módulos de seguridad en la emulación de topologías de red.

● Redundancia de router y cortafuegos con SCALANCE S623 V4 / SCALANCE S627-2M V4

Gracias a la redundancia de router y cortafuegos es posible compensar automáticamente los fallos de los módulos de seguridad SCALANCE S623 V4 y SCALANCE S627-2M V4 durante el funcionamiento. Para ello se define uno de los dos módulos de seguridad como módulo primario, el cual estará activo durante el funcionamiento normal. Si falla el módulo de seguridad activo, el módulo de seguridad pasivo asumirá automáticamente su función como cortafuegos y router (NAT/NAPT). Para garantizar una configuración idéntica de los dos módulos de seguridad, estos se conectarán entre sí mediante sus interfaces DMZ, y su configuración se sincronizará durante el funcionamiento.

Prólogo


● Conversión de direcciones con NAT/NAPT en túneles VPN

La conversión de direcciones con NAT/NAPT se puede realizar para relaciones de comunicación establecidas a través de túneles VPN. Esto se soporta para SCALANCE S612 V4 / S623 V4 / S627-2M V4.

● Autenticación de usuario mediante servidor RADIUS

Los usuarios pueden autenticarse mediante un servidor RADIUS, en el que se pueden almacenar los datos de todos los usuarios de forma centralizada. La autenticación mediante un servidor RADIUS es posible al activar un conjunto de reglas de IP específico de un usuario.

● Sincronización horaria "NTP (seguro)" para módulos SCALANCE S V4

El modo de sincronización horaria "NTP (seguro)" puede utilizarse para módulos SCALANCE S V4.

● Ampliación de la funcionalidad DNS

Se soporta el establecimiento activo de conexión VPN de un SCALANCE S V4 (S612 / S623 / S627-2M) en un módulo de seguridad a través de su FQDN.

Para la configuración de routers, servidores Syslog, direcciones IP WAN, servidores NTP y servidores RADIUS se soportan FQDN para módulos SCALANCE S V4, además de direcciones IP.

Ámbito de validez de este manual Este manual es válido para los siguientes módulos SIMATIC NET:

Módulo Referencia Versión de firmware SCALANCE S602 6GK5 602-0BA10-2AA3 A partir de V4 SCALANCE S612 6GK5 612-0BA10-2AA3 A partir de V4 SCALANCE S623 6GK5 623-0BA10-2AA3 A partir de V4 SCALANCE S627-2M 6GK5 627-2BA10-2AA3 A partir de V4 CP 343-1 Advanced 6GK7 343-1GX31-0XE0 A partir de V3 CP 443-1 Advanced 6GK7 443-1GX30-0XE0 A partir de V3 CP 1628 6GK1162-8AA00 A partir de V8.2.2

Este manual es válido para las siguientes herramientas de configuración SIMATIC NET:

Herramienta de configuración Referencia Versión SOFTNET Security Client 6GK1 704-1VW04-0AA0 V4.0 Hotfix 1 Security Configuration Tool (SCT) - V4.0

Destinatarios Este manual está dirigido a las personas encargadas de las funciones Industrial Ethernet Security de una red.

Prólogo


SIMATIC NET Manual Collection (referencia A5E00069051) Los módulos SCALANCE S, el CP S7 y el PC-CP 1628 llevan adjunta la Manual Collection de SIMATIC NET. Esta Manual Collection se actualiza periódicamente; contiene los manuales de producto y las descripciones actuales en el momento de su creación.

Símbolos utilizados en estas instrucciones

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S a partir de V3.0.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S a partir de V4.0.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S.

El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto SCALANCE S602.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S602 a partir de V3.1.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S627-2M.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623 y SCALANCE S627-2M.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623 a partir de V4.0 y SCALANCE S627-2M a partir de V4.0.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para CP S7.

Prólogo


El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CP S7.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para CP PC.

El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los PC-CP.

El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los CP S7 y CP PC.

El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CP.

Con este símbolo se hace referencia a consejos especiales en estas instrucciones.

El símbolo hace referencia a bibliografía especialmente recomendada.

Este símbolo indica que se puede obtener una ayuda contextual detallada. Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión.

Referencias bibliográficas /.../ Las referencias a documentación adicional se indican a través de índices bibliográficos escritos entre barras /.../. Por medio de estos números se puede localizar el título de la documentación en la lista de bibliografía que aparece al final del manual.

Prólogo


Consulte también Páginas del Customer Support (http://support.automation.siemens.com/WW/view/sp/18701555/130000)

Glosario de SIMATIC NET Las explicaciones de los términos utilizados en esta documentación están recogidas en el glosario de SIMATIC NET.

Encontrará el glosario de SIMATIC NET aquí:

● SIMATIC NET Manual Collection

Este DVD se adjunta a algunos productos SIMATIC NET.

● En Internet, bajo el siguiente ID de artículo:

50305045 (http://support.automation.siemens.com/WW/view/es/50305045)

http://support.automation.siemens.com/WW/view/sp/18701555/130000

http://support.automation.siemens.com/WW/view/es/50305045


Índice

Prólogo ................................................................................................................................................... 3

1 Introducción y fundamentos .................................................................................................................. 15

1.1 Información importante ................................................................................................................ 15

1.2 Introducción y fundamentos ......................................................................................................... 18

1.3 Características del producto ........................................................................................................ 18 1.3.1 Sinopsis de funciones .................................................................................................................. 18 1.3.2 Capacidades ................................................................................................................................ 20 1.3.3 Cambiar un módulo ...................................................................................................................... 22

1.4 Uso del SOFTNET Security Client ............................................................................................... 24

1.5 Uso de SCALANCE S602 ............................................................................................................ 25

1.6 Uso de SCALANCE S612, S623 y S627-2M ............................................................................... 28

1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M ...................................... 31

1.8 Uso del puerto de módulo de medios de SCALANCE S627-2M ................................................. 34

1.9 Uso de CP 343-1 Advanced y CP 443-1 Advanced .................................................................... 35

1.10 Uso de CP 1628 ........................................................................................................................... 38

1.11 Configuración y administración .................................................................................................... 40

2 Configuración con Security Configuration Tool ...................................................................................... 41

2.1 Vista general - Prestaciones y funcionamiento ............................................................................ 41

2.2 Instalación de Security Configuration Tool .................................................................................. 43 2.2.1 Sistemas operativos soportados .................................................................................................. 43

2.3 Interfaz de usuario y comandos de menú .................................................................................... 45

2.4 Crear y administrar proyectos ...................................................................................................... 51 2.4.1 Security Configuration Tool Standalone (versión autónoma) ...................................................... 51 2.4.2 Security Configuration Tool en STEP 7 ....................................................................................... 51 2.4.3 Migrar datos de STEP 7 ............................................................................................................... 55 2.4.4 Resumen ...................................................................................................................................... 57 2.4.5 Definición de valores de inicialización estándar para un proyecto .............................................. 61 2.4.6 Check Consistency ...................................................................................................................... 61 2.4.7 Asignación de nombre simbólicos para direcciones IP o MAC ................................................... 62

2.5 Datos de configuración para módulos SCALANCE M ................................................................. 66

2.6 Datos de configuración para dispositivos VPN ............................................................................ 69

2.7 Datos de configuración para clientes NCP VPN (Android) .......................................................... 71

2.8 Administrar usuarios .................................................................................................................... 73 2.8.1 Sinopsis de la administración de usuarios ................................................................................... 73 2.8.2 Crear usuarios.............................................................................................................................. 75 2.8.3 Crear roles ................................................................................................................................... 76

Índice


2.8.4 Administrar derechos .................................................................................................................. 79 2.8.5 Configuración de normas para las contraseñas ......................................................................... 83 2.8.6 Autenticación mediante servidor RADIUS .................................................................................. 84 2.8.6.1 Resumen ..................................................................................................................................... 84 2.8.6.2 Definición de servidores RADIUS ............................................................................................... 87 2.8.6.3 Asignación de servidor RADIUS a un módulo de seguridad ...................................................... 88

2.9 Administrar certificados ............................................................................................................... 89 2.9.1 Sinopsis ....................................................................................................................................... 89 2.9.2 Renovar certificados ................................................................................................................... 91 2.9.3 Reemplazar certificados .............................................................................................................. 93

3 Crear módulos y ajustar parámetros de red ........................................................................................... 95

3.1 Parámetros del área de contenido .............................................................................................. 98

3.2 Configurar interfaces (SCALANCE S) ...................................................................................... 100 3.2.1 Resumen de posibilidades de conexión ................................................................................... 100 3.2.2 Interfaces................................................................................................................................... 104 3.2.3 Conexión a Internet ................................................................................................................... 108 3.2.4 DNS dinámico (DDNS) .............................................................................................................. 110 3.2.5 LLDP ......................................................................................................................................... 112 3.2.6 Redundancia de medios en topologías de anillo ...................................................................... 112 3.2.6.1 Redundancia de medios con MRP/HRP ................................................................................... 112 3.2.6.2 Configuración de MRP/HRP para el módulo de seguridad ...................................................... 114 3.2.7 Particularidades del modo Ghost .............................................................................................. 115

4 Configurar el cortafuegos ..................................................................................................................... 121

4.1 CPs en el modo normal ............................................................................................................. 123 4.1.1 CP x43-1-Adv. ........................................................................................................................... 124 4.1.1.1 Ajuste predeterminado del cortafuegos .................................................................................... 124 4.1.1.2 Configurar el cortafuegos .......................................................................................................... 126 4.1.1.3 Configurar una lista de acceso.................................................................................................. 127 4.1.1.4 Agregar una entrada a la lista de acceso ................................................................................. 129 4.1.2 CP 1628 .................................................................................................................................... 130 4.1.2.1 Ajuste predeterminado del cortafuegos .................................................................................... 130 4.1.2.2 Configurar el cortafuegos .......................................................................................................... 132

4.2 SCALANCE S en el modo normal ............................................................................................ 134 4.2.1 Preajuste del firewall ................................................................................................................. 134 4.2.2 Configurar el cortafuegos para SCALANCE S ≥ V3.0 .............................................................. 139 4.2.3 Configurar el cortafuegos para SCALANCE S < V3.0 .............................................................. 142

4.3 Cortafuegos en modo avanzado ............................................................................................... 144 4.3.1 Configuración del cortafuegos en modo avanzado .................................................................. 144 4.3.2 Conjuntos de reglas de cortafuegos globales ........................................................................... 145 4.3.2.1 Conjuntos de reglas de cortafuegos globales - Convenios ...................................................... 147 4.3.2.2 Crear y asignar conjuntos de reglas de cortafuegos globales .................................................. 147 4.3.3 Conjuntos de reglas IP específicos de usuario ......................................................................... 148 4.3.3.1 Crear y asignar conjuntos de reglas IP específicos del usuario ............................................... 149 4.3.4 Reglas de cortafuegos automáticas referidas a conexiones .................................................... 151 4.3.5 Ajuste de reglas de filtros de paquetes IP locales .................................................................... 154 4.3.6 Reglas de filtrado de paquetes IP ............................................................................................. 155 4.3.7 Definir servicios IP .................................................................................................................... 162 4.3.8 Definir servicios ICMP ............................................................................................................... 163

Índice


4.3.9 Ajustar reglas para filtrado de paquetes MAC ........................................................................... 164 4.3.10 Reglas para filtrado de paquetes MAC ...................................................................................... 165 4.3.11 Definir servicios MAC ................................................................................................................. 168 4.3.12 Configurar grupos de servicios .................................................................................................. 171 4.3.13 Adaptar reglas estándar para servicios IP ................................................................................. 172

5 Configuración de otras propiedades de los módulos ............................................................................ 175

5.1 Módulo de seguridad como router ............................................................................................. 175 5.1.1 Sinopsis ...................................................................................................................................... 175 5.1.2 Definir un router predeterminado y rutas ................................................................................... 176 5.1.3 Enrutamiento NAT/NAPT ........................................................................................................... 177 5.1.4 Conversión de direcciones con NAT/NAPT ............................................................................... 180 5.1.5 Conversión de direcciones con NAT/NAPT en túneles VPN ..................................................... 186 5.1.6 Relación entre router NAT/NAPT y cortafuegos ........................................................................ 188 5.1.7 Relación entre router NAT/NAPT y cortafuegos específico del usuario .................................... 189

5.2 Módulo de seguridad como servidor DHCP .............................................................................. 191 5.2.1 Sinopsis ...................................................................................................................................... 191 5.2.2 Configurar un servidor DHCP .................................................................................................... 192

5.3 Sincronización horaria ............................................................................................................... 196 5.3.1 Sinopsis ...................................................................................................................................... 196 5.3.2 Configurar el control de la hora .................................................................................................. 197 5.3.3 Definir un servidor NTP .............................................................................................................. 198

5.4 SNMP ......................................................................................................................................... 199 5.4.1 Sinopsis ...................................................................................................................................... 199 5.4.2 Activar SNMP ............................................................................................................................. 200

5.5 Proxy ARP .................................................................................................................................. 201

6 Comunicación segura en la VPN a través de túnel IPsec .................................................................... 203

6.1 VPN con módulos de seguridad ................................................................................................ 203

6.2 Método de autenticación ............................................................................................................ 206

6.3 Grupos VPN ............................................................................................................................... 207 6.3.1 Reglas para la creación de grupos VPN .................................................................................... 207 6.3.2 Relaciones de comunicación tunelada soportadas ................................................................... 208 6.3.3 Crear grupos VPN y asignar módulos ....................................................................................... 210

6.4 Configuración de túnel en modo normal .................................................................................... 211

6.5 Configuración de túneles en el modo avanzado ........................................................................ 212 6.5.1 Configuración de propiedades del grupo VPN .......................................................................... 212 6.5.2 Incluir un módulo de seguridad en un grupo VPN configurado ................................................. 216 6.5.3 Configuración de propiedades VPN específicas del módulo ..................................................... 218 6.5.4 Configuración de propiedades VPN conexión a conexión ........................................................ 221

6.6 Configuración de nodos de red internos .................................................................................... 223 6.6.1 Configuración de otros dispositivos y subredes para el túnel VPN ........................................... 223 6.6.2 Funcionamiento del modo de aprendizaje ................................................................................. 225 6.6.3 Visualización de los nodos de red internos encontrados .......................................................... 228

7 Redundancia de router y cortafuegos .................................................................................................. 229

7.1 Resumen .................................................................................................................................... 229

Índice


7.2 Crear relaciones de redundancia y asignar módulos de seguridad ......................................... 230

7.3 Configuración de relaciones de redundancia ............................................................................ 231

8 SOFTNET Security Client .................................................................................................................... 233

8.1 Uso de SOFTNET Security Client ............................................................................................. 233

8.2 Instalación y puesta en servicio del SOFTNET Security Client ................................................ 236 8.2.1 Instalación e inicio de SOFTNET Security Client...................................................................... 236 8.2.2 Desinstalación de SOFTNET Security Client ............................................................................ 237

8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool ..................................................................................................................... 237

8.4 Operación de SOFTNET Security Client .................................................................................. 240

8.5 Configuración y edición de túneles ........................................................................................... 242

9 Funciones online - Test, Diagnóstico y Logging .................................................................................... 253

9.1 Panorámica de funciones del cuadro de diálogo online ........................................................... 255

9.2 Registro de eventos (Logging) .................................................................................................. 257 9.2.1 Registro local - ajustes en la configuración .............................................................................. 259 9.2.2 Network Syslog - Ajustes en la configuración ........................................................................... 262 9.2.3 Configuración del registro de paquetes .................................................................................... 265

A Anexo .................................................................................................................................................. 267

A.1 Conformidad DNS ..................................................................................................................... 267

A.2 Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red ..... 267

A.3 Dirección MAC .......................................................................................................................... 269

B Bibliografía ........................................................................................................................................... 271

B.1 Introducción - sin CD/DVD ........................................................................................................ 271

B.2 CP S7 / para la configuración, puesta en servicio y utilización del CP .................................... 272

B.3 Para la configuración con STEP 7 / NCM S7 ........................................................................... 272

B.4 CP S7 para el montaje y la puesta en servicio del CP ............................................................. 273

B.5 Para el montaje y la operación de una red Industrial Ethernet ................................................. 274

B.6 Principios básicos de SIMATIC y STEP 7 ................................................................................ 274

B.7 Comunicación industrial Tomo 2 ............................................................................................... 275

B.8 Para la configuración de equipos PC / PG ............................................................................... 275

B.9 Para la configuración de CP PC ............................................................................................... 275

B.10 SIMATIC NET Industrial Ethernet Security ............................................................................... 276

Índice alfabético ................................................................................................................................... 277

Índice



Introducción y fundamentos 1

Indicaciones de seguridad

Nota

Siemens ofrece para su portfolio de productos de automatización y accionamientos mecanismos de seguridad con objetivo de hacer más seguro el funcionamiento de la instalación o máquina. Nuestros productos también se desarrollan continuamente en el aspecto de la seguridad industrial. Por ello, se recomienda que se informe periódicamente sobre las actualizaciones de nuestros productos y que solo utilice las versiones actuales en cada caso. Encontrará más información al respecto en: (http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo2&aktprim=99&lang=es)

Aquí puede registrarse para recibir un newsletter específico de producto.

Para el funcionamiento seguro de una instalación o máquina es necesario además integrar los componentes de automatización en un concepto de seguridad industrial unitario para toda la instalación o máquina que corresponda a los últimos avances tecnológicos. Encontrará la información necesaria en: (http://www.siemens.com/industrialsecurity)

También hay que tener en cuenta los productos de otros fabricantes que se estén utilizando.

1.1 Información importante

General

Nota Protección contra el acceso no autorizado

Asegúrese de que el equipo de configuración (PC o PG) y, dado el caso, el proyecto, estén protegidos contra el acceso no autorizado.

Nota Desactivar la cuenta de invitado

Asegúrese de que la cuenta de invitado está desactivada en el equipo de configuración.

http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo2&aktprim=99&lang=es

http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo2&aktprim=99&lang=es

http://www.siemens.com/industrialsecurity

Introducción y fundamentos 1.1 Información importante


Nota Fecha y hora actuales en los módulos de seguridad

Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados utilizados se considerarán no válidos y la comunicación segura no funcionará.

Nota Software antivirus actualizado

Se recomienda tener instalado y activado siempre un antivirus actualizado en todos los equipos de configuración.

Nota FTPS

Cuando en la presente documentación se utiliza la designación "FTPS", esta hace referencia a FTPS en el modo explícito (FTPES).

Nota No es posible regresar al modo normal

Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede regresar al normal.

Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.

Nota Medidas de seguridad adicionales al utilizar el SOFTNET Security Client

El SOFTNET Security Client ofrece una solución para la comunicación segura con células de automatización a través de VPN. Para la protección intrínseca del PC/la PG y de la célula de automatización conectada al mismo o a la misma, se recomienda emplear medidas adicionales como, p. ej., escáners de virus y el cortafuegos de Windows.

En Windows 7 debe estar activado el cortafuegos del sistema operativo para que se establezca correctamente el túnel VPN.

Introducción y fundamentos 1.1 Información importante


CP x43-1 Adv.

Nota Ajustes de seguridad adicionales

Para evitar que en el CP puedan cargarse datos de configuración no autorizados, hay que realizar ajustes de seguridad adicionales en el cortafuegos del CP (p. ej., bloquear la comunicación S7 o permitir solo comunicación tunelada) o aplicar medidas de seguridad externas.

STEP 7

Nota "Guardar y compilar" tras realizar cambios

Para que los ajustes de seguridad se apliquen en los correspondientes bloques de sistema (offline), tras realizar los cambios elija el menú "Estación" > "Guardar y compilar" en HW Config o bien "Red" > "Guardar y compilar" en NetPro.

Nota Abrir una estación con la Security Configuration Tool abierta

Cierre la Security Configuration Tool antes de abrir otra estación a través del SIMATIC Manager o NetPro.

Nota No hay multiproyectos de STEP 7 referentes a la seguridad

Para cada proyecto de STEP 7 se crea una configuración de seguridad unívoca en el momento de activar la seguridad. Por este motivo no se soportan multiproyectos de STEP 7 relacionados con la seguridad.

Introducción y fundamentos 1.2 Introducción y fundamentos


1.2 Introducción y fundamentos Con los módulos de seguridad SIMATIC NET y SIMATIC NET SOFTNET Security Client se ha decidido por el concepto de seguridad SIEMENS, que satisface los altos requisitos exigidos a la seguridad de la comunicación en la técnica de automatización industrial.

Nota Software antivirus actual

Recomendamos tener siempre instalado un software antivirus actual en todos los equipos de configuración.

Este capítulo le proporciona una visión de conjunto de las funciones de seguridad propias de los equipos y los componentes:

● SCALANCE S

● CP x43-1 Adv.

● CP 1628

● SOFTNET Security Client

Sugerencia:

Encontrará una descripción del acceso rápido a los módulos de seguridad en el documento "SIMATIC NET Security - Getting Started (primeros pasos)".

1.3 Características del producto

1.3.1 Sinopsis de funciones

Sinopsis de funciones de los tipos de módulo Consulte en la tabla siguiente qué funciones soportan los diferentes módulos de seguridad.

Nota

En este manual se describen todas las funciones. Observe en la tabla siguiente qué funciones son aplicables al módulo de seguridad utilizado.

Preste también atención a los datos adicionales indicados en los títulos de capítulo.

Introducción y fundamentos 1.3 Características del producto


Tabla 1- 1 Sinopsis de funciones

Función CP x43-1 Adv. CP 1628 SCALANCE S ≥ V4.0 Configuración mediante Security Configuration Tool - - x Security Configuration Tool integrada en STEP 7

x x x

Compatibilidad con listas IP Access Control (ACL)

x - -

General Router NAT/NAPT x - x Enrutamiento NAT/NAPT en conexiones VPN

- - x

Servidor DHCP - - x Cortafuegos Reglas de cortafuegos locales x x x Conjuntos de reglas de cortafuegos globales

x x x

Conjuntos de reglas IP específicos de usuario

- - x

IPsec Estructura de túneles IPsec x x x

Administración de usuarios Administración de usuarios x x x Migración de la administración de usuarios actual

x - x

Autenticación de usuario mediante servidor RADIUS

- - x

Protocolos soportados SNMPv3 x x x Servidor HTTPS x - x Servidor FTP x - - Cliente FTPS x - - Cliente NTP x x x Cliente NTP (seguro) x x x Cliente PPPoE - - x Cliente DDNS/cliente DNS - - x LLDP x - x Cliente MRP/HRP - - x

Registro Registro de eventos de sistema x x x Registro de eventos de auditoría x x x



Función CP x43-1 Adv. CP 1628 SCALANCE S ≥ V4.0 Registro de eventos de filtrado de paquetes

x x x

Mensajes de auditoría en los búfers de diagnóstico del módulo de seguridad

x x -

Acceso vía Security Configuration Tool a búfer de registro del módulo de seguridad

x x x

Diagnóstico mediante la Security Configuration Tool

x x x

Envío de los mensajes a un servidor Syslog

x x x

Diagnóstico web x - - Modo Ghost Determinación de la dirección IP del dispositivo interno en el tiempo de ejecución y aplicación de la dirección IP para el puerto externo del módulo de seguridad

- - x

Zona desmilitarizada (DMZ) Creación de una DMZ para desacoplar la red segura de la red no segura

- - x

Redundancia de router y cortafuegos Ejecución redundante de los módulos de seguridad para conservar la funcionalidad de router y de cortafuegos en caso de fallo de un módulo de seguridad

- - x

Se soporta la función x - No se soporta la función

1.3.2 Capacidades

Nota

Encontrará una vista general de las capacidades admisibles en la siguiente dirección de Internet: (http://support.automation.siemens.com/WW/view/es/58217657).




Capacidades Función CP x43-1 Adv. CP 1628 SCALANCE S ≥ V4.0 Túneles VPN por cada módulo de seguridad Máx. 32 Máx. 64 Máx. 128

Reglas de cortafuegos por cada módulo de seguridad

Máx. 256

Servidores NTP que pueden crearse para todo el proyecto (servidores NTP asignables por cada módulo de seguridad)

32 (4)

¿Qué reglas son aplicables para nombres de usuario, nombres de rol y contraseñas? Al crear o modificar un usuario, un rol o una contraseña, observe las siguientes reglas:

Caracteres permitidos Se admiten los siguientes caracteres del juego US-ASCII:

0123456789 A...Z a...z

!#$%&()*+,-./:;<=>?@ [\]_{|}~¦^` Caracteres no permitidos " ' Longitud del nombre de usuario (método de autenticación "Contraseña")

1 ... 32 caracteres

Longitud del nombre de usuario (método de autenticación "RADIUS")

1 ... 255 caracteres

Longitud de la contraseña 8 ... 32 caracteres Longitud del nombre de rol 1 ... 32 caracteres Número máximo de usuarios por proyecto

128

Número máximo de usuarios en un módulo de seguridad

32 + 1 administrador al crear el proyecto

Número máximo de roles por proyecto

128 (122 definidos por el usuario + 6 definidos por el sistema)

Número máximo de roles en un módulo de seguridad

37 (31 definidos por el usuario + 6 definidos por el sistema)

Nota Nombres de usuario y contraseñas

Una medida importante para incrementar la seguridad consiste en asignar nombres de usuario y contraseñas lo más largos posible y que contengan caracteres especiales, mayúsculas, minúsculas y cifras.



Con ayuda de las normas para las contraseñas podrá limitar aún más las restricciones antes mencionadas para las contraseñas. Consulte en el capítulo Configuración de normas para las contraseñas (Página 83) cómo definir las normas para las contraseñas.

Seguridad de la contraseña Al introducir una nueva contraseña se comprobará su nivel de seguridad. Se distinguen los siguientes niveles de seguridad de la contraseña:

● Muy débil

● Débil

● Media

● Buena

● Fuerte

● Muy fuerte

Nota Comprobación de la seguridad de la contraseña de usuarios existentes

Compruebe la seguridad de la contraseña • de usuarios ya existentes en el proyecto, • del primer usuario creado en STEP 7, • de usuarios migrados,

seleccionando el respectivo usuario en la pestaña "Usuarios" de la Administración de usuarios y pulsando el botón "Editar...".

1.3.3 Cambiar un módulo

Cómo se accede a esa función 1. Marque el módulo de seguridad o el SOFTNET Security Client que desee editar.

2. Elija el comando de menú "Edición" > "Sustituir módulo…".

3. Dependiendo del tipo de producto y de la versión de firmware del módulo seleccionado, en el cuadro de diálogo se puede adaptar el tipo de módulo y/o la versión de firmware.



Consulte en la tabla siguiente qué módulos pueden sustituirse sin una posible pérdida de datos.

Nota Sustitución de CPs

Encontrará información sobre la sustitución de CPs en el manual de producto correspondiente.

Módulo inicial Posible sustitución de módulo

S602 V2

S602 V3

S602 V4

S612 V1

S612 V2

S612 V3

S612 V4

S613 V1

S613 V2

S623 V3

S623 V4

S627-2M V4

S602 V2 - x x ! x x x ! x x x x S602 V3 ! - x ! ! ! ! ! ! ! ! ! S602 V4 ! ! - ! ! ! ! ! ! ! ! ! S612 V1 ! ! ! - x x x x x x x x S612 V2 ! ! ! ! - x x ! x x x x S612 V3 ! ! ! ! ! - x ! ! x x x S612 V4 ! ! ! ! ! ! - ! ! x x x S613 V1 ! ! ! ! ! x x - x x x x S613 V2 ! ! ! ! ! x x ! - x x x S623 V3 ! ! ! ! ! ! ! ! ! - x x S623 V4 ! ! ! ! ! ! ! ! ! ! - x S627-2M V4 ! ! ! ! ! ! ! ! ! ! ! - x Sin pérdidas

! Con posibles pérdidas - El tipo de módulo no cambia

Configuración inicial Posible sustitución



SOFTNET Security Client V3.0



- x x x


x* - x x


x* ** x** - x


x* ** x** x -

* Cuando el SOFTNET Security Client no se encuentra en un grupo de enrutamiento. ** Cuando el SOFTNET Security Client no se encuentra en un grupo VPN con un módulo SCALANCE M.

Introducción y fundamentos 1.4 Uso del SOFTNET Security Client


Consulte también Interfaz de usuario y comandos de menú (Página 45)

/2/ (Página 272)

1.4 Uso del SOFTNET Security Client

Comunicación de PG/PC en la VPN - Función del SOFTNET Security Client El software para PC SOFTNET Security Client permite acceder remotamente desde la PG o el PC a autómatas programables protegidos por módulos de seguridad, más allá de los límites de redes públicas.

Mediante el SOFTNET Security Client se configura automáticamente una PG o un PC de manera que pueda establecer con uno o varios módulos de seguridad una comunicación tunelada IPsec protegida en la VPN (Virtual Private Network).

Las aplicaciones de PG/PC, como por ejemplo Diagnóstico NCM o STEP 7, pueden acceder así a través de una conexión por túnel protegida a dispositivos o redes que se encuentren en una red interna protegida por módulos de seguridad.

El software para PC SOFTNET Security Client también se configura con la herramienta de configuración Security Configuration Tool, lo que garantiza una configuración global.

Introducción y fundamentos 1.5 Uso de SCALANCE S602


1.5 Uso de SCALANCE S602

Cortafuegos y Router - misión de SCALANCE S602 Por combinación de diversas medidas de seguridad, como son cortafuegos y router NAT/NAPT, el módulo de seguridad SCALANCE S602 protege dispositivos concretos o también células de automatización completas de:

● Espionaje de datos

● Accesos no deseados

SCALANCE S602 hace posible esta protección de forma flexible y con un manejo sin complicaciones.

SCALANCE S602 se configura con la herramienta de configuración Security Configuration Tool.

Figura 1-1 Configuración de red con SCALANCE S602



Funciones de seguridad ● Cortafuegos

– Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4)

– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3

(telegramas de nivel 2; no rige para S602 si se utiliza el modo Router);

– Limitación del ancho de banda

– Conjuntos de reglas de cortafuegos globales

– Conjuntos de reglas IP específicos de usuario

Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su cortafuegos.

● Modo Router

Utilizando SCALANCE S como router se desacopla la red interna de la red externa. La red interna conectada por el SCALANCE S se convierte así en una subred propia; el SCALANCE S se tiene que direccionar como Router explícitamente a través de su dirección IP.

● Protección para dispositivos y segmentos de red

La función de protección de cortafuegos se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros.

● Ausencia de retroacciones en caso de instalación en redes planas (modo de puente)

Por lo tanto, al montar un SCALANCE S602 en una infraestructura de red ya existente no se necesita ajustar de nuevo los equipos terminales.

● Módulo de seguridad y dispositivo interno como una sola unidad (modo Ghost)

El módulo de seguridad sale al exterior con la dirección IP del dispositivo interno y la dirección MAC del módulo de seguridad.

● NTP (seguro)

Para la sincronización y transferencia horaria seguras.



Nodos de red internos y externos SCALANCE S602 divide las redes en dos áreas:

● Red interna: áreas protegidas con los "nodos internos"

Los nodos internos son todos aquellos nodos protegidos por un SCALANCE S.

● Red externa: áreas no protegidas con los "nodos externos"

Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas.

Nota

Las redes internas se consideran seguras (fiables).

Conecte un segmento de red interno con los segmentos de red externos solo a través de SCALANCE S.

¡No deben existir otras vías de conexión entre la red interna y la externa!

Introducción y fundamentos 1.6 Uso de SCALANCE S612, S623 y S627-2M


1.6 Uso de SCALANCE S612, S623 y S627-2M

Protección completa - Función de SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M Combinando diversas medidas de seguridad, como cortafuegos, routers NAT/NAPT y VPN (Virtual Private Network) a través de túneles IPsec, los módulos de seguridad SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M protegen dispositivos concretos o células de automatización completas de:


● Manipulación de datos


SCALANCE S hace posible una protección flexible, exenta de repercusiones inversas, independiente de protocolos (a partir de capa 2 según IEEE 802.3) y con un manejo sin complicaciones.

SCALANCE S y SOFTNET Security Client se configuran con la herramienta Security Configuration Tool.

Figura 1-2 Configuración de red con SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M





– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3

(Telegramas de capa 2; no está disponible si se utiliza el modo de router)



– Conjuntos de reglas IP específicos de usuario

Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su cortafuegos.

● Comunicación protegida por túnel IPsec

SCALANCE S puede agruparse con otros módulos de seguridad mediante configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec (VPN, Virtual Private Network). Todos los nodos internos de estos módulos de seguridad se pueden comunicar entre sí por estos túneles de forma protegida.

● Independencia de protocolo

El establecimiento de túneles comprende también telegramas Ethernet según IEEE 802.3 (telegramas Layer 2; no es válido si se usa el modo de router)

A través de los túneles IPsec se transmiten tanto telegramas IP como también No-IP.

● PPPoE

Point to Point Protocol over Ethernet (RFC 2516) para la adquisición automática de direcciones IP del proveedor, con lo que se prescinde del uso de un router DSL aparte.

● Cliente para DNS dinámico (cliente DDNS)

Domain Name Service dinámico para el uso de direcciones IP dinámicas si se utiliza un SCALANCE S como servidor VPN para telemantenimiento en combinación con el SOFTNET Security Client, módulos SCALANCE M, módulos SCALANCE S u otros clientes VPN.

● SNMPv3

Para la transferencia antiescucha de información de análisis de la red.

● Modo Router

Utilizando SCALANCE S como router conecta la red interna con la red externa. La red interna conectada a través de SCALANCE S se convierte así en una subred propia.


La función de protección de cortafuegos y VPN se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros.



● Interfaz DMZ adicional

En una zona desmilitarizada (DMZ) es posible colocar servidores para los que pueda controlarse y restringirse el acceso desde otras redes (red externa no segura, red interna segura). Esto permite poner a disposición de ambas redes servicios y datos de forma segura sin dejar que las dos redes se comuniquen directamente entre sí.

● Ausencia de retroacciones en caso de instalación en redes planas (modo de puente)

Nodos de red internos se pueden localizar sin configuración. Por lo tanto, al montar un SCALANCE S en una infraestructura de red ya existente no es necesario configurar de nuevo los dispositivos terminales.

El módulo de seguridad intenta encontrar dispositivos internos; sin embargo, se tienen que configurar los dispositivos internos que no se localicen por este procedimiento.

● Autenticación de usuario mediante servidor RADIUS

En un servidor RADIUS pueden almacenarse de forma centralizada nombres de usuario, contraseñas y roles de usuario. La autenticación de estos usuarios se realiza entonces a través del servidor RADIUS.

● NTP (seguro)


Nodos de red internos, externos y DMZ SCALANCE S divide las redes en varias áreas:


Los nodos internos son todos aquellos nodos protegidos por un SCALANCE S.



● Red DMZ: áreas protegidas con los "nodos DMZ"

Los nodos DMZ son todos aquellos nodos que están en la DMZ y están protegidos por un SCALANCE S.

Nota

Las redes conectadas a la interfaz interna se consideran seguras (fiables).

Conecte un segmento de red interno con segmentos de red de otro nivel de seguridad (red externa, red DMZ) solo a través de SCALANCE S.

No deben existir otras vías de conexión entre la red interna y una red con otro nivel de seguridad.

Introducción y fundamentos 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M


1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M

Escenarios de aplicación de la interfaz DMZ Además de las funciones del SCALANCE S612, el SCALANCE S623 y el SCALANCE S627-2M están equipados con una tercera interfaz (DMZ) a la que se puede conectar una red adicional. La interfaz puede cumplir diferentes funciones (no simultáneamente) dependiendo del entorno de uso:

● Instalación de una DMZ

● Punto final de una conexión por túnel VPN

● Interfaz de sincronización para redundancia de router y cortafuegos

● ...

Instalación de una DMZ Con SCALANCE S623 y SCALANCE S627-2M puede instalarse una DMZ (zona desmilitarizada) en la interfaz adicional. Una DMZ suele utilizarse para poner servicios a disposición de una red insegura, pero la red segura que proporciona los datos debe permanecer desacoplada de la red insegura.

Así, por ejemplo, en la red DMZ puede haber servidores terminales con software de mantenimiento y diagnóstico instalado para que lo utilicen usuarios autorizados de la red externa.

En los casos de aplicación típicos de DMZ, el usuario debe configurar las reglas de cortafuegos de tal forma que se permitan accesos desde Internet (externos) a los servidores de la DMZ (dado el caso, protegidos además con un túnel VPN), pero no a dispositivos del área segura (interna).



Figura 1-3 Instalación de una DMZ

En el capítulo "4.2 SCALANCE S como cortafuegos entre red externa y DMZ" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza para instalar una DMZ.

Punto final de una conexión por túnel VPN La interfaz DMZ puede utilizarse como punto final de un túnel VPN. En este escenario, la interfaz DMZ está conectada a Internet a través de un módem DSL y se opera mediante PPPoE. El túnel VPN permite la comunicación segura, por ejemplo, con una unidad de automatización conectada a la interfaz interna de otro módulo de seguridad.

Figura 1-4 Punto final de una conexión por túnel VPN



En el capítulo "5.2 Túnel VPN entre SCALANCE S623 y SCALANCE S612" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza como punto final de un túnel VPN.

Interfaz de sincronización para redundancia de router y cortafuegos Con el uso de dos módulos de seguridad del tipo SCALANCE S623 o SCALANCE S627-2M se puede compensar el fallo de un módulo de seguridad mediante la redundancia de router y de cortafuegos. A tal efecto, ambos módulos de seguridad funcionan en modo de enrutamiento y se conectan respectivamente con la red externa y la interna, estando activo siempre un único módulo de seguridad. Si falla el módulo de seguridad activo, el módulo de seguridad pasivo asumirá su función de router o cortafuegos. Para garantizar un comportamiento funcionalmente idéntico de los dos módulos de seguridad, los dos se conectarán entre sí mediante sus interfaces DMZ, y su configuración se sincronizará durante el funcionamiento.

Figura 1-5 Redundancia de router y cortafuegos

Introducción y fundamentos 1.8 Uso del puerto de módulo de medios de SCALANCE S627-2M


1.8 Uso del puerto de módulo de medios de SCALANCE S627-2M

Integración en topologías de anillo Además de las funciones de SCALANCE S623, el SCALANCE S627-2M posee dos slots de módulo de medio, en los que se puede usar respectivamente un módulo de medio eléctrico u óptico de dos puertos. Las interfaces externa e interna se amplían de esta forma con dos puertos cada una. En el modo de enrutamiento se pueden utilizar los puertos adicionales del módulo de seguridad para la conexión de las interfaces externa e interna a topologías de anillo.

Redundancia en anillo con MRP o HRP El SCALANCE S627-2M soporta los protocolos MRP y HRP en los puertos de módulo de medios de las interfaces externa e interna como cliente. Como dispositivo de un anillo MRP/HRP, un SCALANCE S627-2M puede proteger una célula de automatización o un anillo subordinados. Esta protección también puede realizarse de forma redundante. Los fallos en los cables serán detectados por un gestor de anillo aparte, por ejemplo, un SCALANCE X308, y se compensarán mediante una desviación en la vía de comunicación.

Introducción y fundamentos 1.9 Uso de CP 343-1 Advanced y CP 443-1 Advanced


1.9 Uso de CP 343-1 Advanced y CP 443-1 Advanced

Concepto de protección de celda - Función de CP x43-1 Adv. Industrial Ethernet Security permite proteger diferentes dispositivos, células de automatización o segmentos de una red Ethernet. Adicionalmente, es posible proteger la transferencia de datos mediante la combinación de diferentes medidas de seguridad, como cortafuegos, routers NAT/NAPT y VPN (Virtual Private Network) utilizando un túnel IPsec, concretamente de:




Las funciones de seguridad del CP x43-1 Adv. se configuran con la herramienta de configuración Security Configuration Tool integrada en STEP 7.

Figura 1-6 Configuración de red con CP x43-1 Adv.





– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3 (capa 2)



Todos los nodos de red que se encuentran en el segmento de red interno de un CP x43-1 Adv. están protegidos por su cortafuegos.


El CP x43-1 Adv. puede agruparse con otros módulos de seguridad por medio de la configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec (VPN). Todos los nodos internos de estos módulos de seguridad se pueden comunicar entre sí por estos túneles de forma protegida.

● Registro

Para fines de vigilancia es posible guardar eventos en archivos de registro que se leen utilizando la herramienta de configuración o se envían automáticamente a un servidor Syslog.

● HTTPS

Para la transmisión cifrada de páginas web, p. ej. en el control de procesos.

● FTPS

Para la transferencia cifrada de archivos.

● NTP (seguro)


● SNMPv3



La función de protección de cortafuegos y VPN se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros.



Nodos de red internos y externos: CP x43-1 Adv. divide las redes en dos áreas:


Los nodos internos son todos aquellos nodos protegidos por un CP x43-1 Adv.



Nota

Las redes internas se consideran seguras (fiables).

Para conectar un segmento de red interno con los segmentos de red externos utilice solo CP x43-1 Adv.

¡No deben existir otras vías de conexión entre la red interna y la externa!

Información sobre las funciones generales del CP x43-1 Adv. El presente manual contiene información sobre las funciones de seguridad del CP x43-1 Adv. Para conocer las descripciones de las funciones generales, véase:

● /1/ (Página 272)

● /2/ (Página 272)

Introducción y fundamentos 1.10 Uso de CP 1628


1.10 Uso de CP 1628

Concepto de protección de celda - Función de CP 1628 Los mecanismos de seguridad integrados en el CP 1628 permiten proteger sistemas informáticos, incluida la comunicación de datos dentro de una red de automatización o el acceso remoto seguro a través de Internet. El CP 1628 permite acceder a dispositivos de forma individualizada o a células de automatización completas protegidas con módulos de seguridad, y permite conexiones seguras a través de estructuras de red no seguras.

Mediante la combinación de diferentes medidas de seguridad, como cortafuegos y VPN (Virtual Private Network) a través de túneles IPsec el CP 1628 protege de:




Las funciones de seguridad del CP 1628 se configuran con la herramienta de configuración Security Configuration Tool integrada en STEP 7.

Figura 1-7 Configuración de red con CP 1628

Introducción y fundamentos 1.11 Configuración y administración




– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3 (capa 2)


– Reglas de cortafuegos globales


El CP 1628 puede agruparse con otros módulos de seguridad mediante configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec (VPN, Virtual Private Network).

● Registro

Para fines de vigilancia es posible guardar eventos en archivos de registro que se leen utilizando la herramienta de configuración o se envían automáticamente a un servidor Syslog.

● NTP (seguro)


● SNMPv3


Información sobre las funciones generales del CP 1628 El presente manual contiene información sobre las funciones de seguridad del CP 1628. Para conocer las descripciones de las funciones generales, véase

● /11/ (Página 275)

Introducción y fundamentos 1.11 Configuración y administración


1.11 Configuración y administración

Lo más importante, en resumen Con la herramienta de configuración Security Configuration Tool se logra una aplicación sencilla y segura de los módulos de seguridad:

● Configuración sin conocimientos de experto en materia de IT con la Security Configuration Tool

Con la Security Configuration Tool pueden configurar un módulo de seguridad incluso personas que no sean expertas en materia de TI. En el modo avanzado se pueden realizar ajustes más complejos, si es necesario.

● Comunicación administrativa segura

La transferencia de los ajustes está firmada y cifrada y solo puede ser realizada por personal autorizado.

● Protección de acceso en la Security Configuration Tool

La administración de usuarios de la Security Configuration Tool garantiza una protección de acceso para los módulos de seguridad y los datos de configuración.

● Medio intercambiable C-PLUG utilizable

El C-PLUG es un medio intercambiable, enchufable, en el que están almacenados datos de configuración en forma codificada. Al sustituir un módulo de seguridad, permite realizar la configuración sin PG o PC siempre que el módulo de seguridad soporte la administración de datos en C-PLUG.


Configuración con Security Configuration Tool 2

Security Configuration Tool es la herramienta de configuración suministrada junto con los módulos de seguridad.

El presente capítulo le familiariza con la interfaz de operación y el funcionamiento de la herramienta de configuración.

En él se describen la instalación, el manejo y la administración de proyectos de seguridad.

Otras informaciones En los capítulos sucesivos de este manual se explica con detalle la configuración de módulos de seguridad y de túneles IPsec.

La ayuda en pantalla le proporcionará también información detallada sobre los diálogos y los parámetros ajustables. Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión.

2.1 Vista general - Prestaciones y funcionamiento

Prestaciones La herramienta de configuración Security Configuration Tool se utiliza para las siguientes tareas:

● Configuración de los módulos de seguridad

● Configuración de SOFTNET Security Client

● Creación de datos de configuración VPN para SCALANCE M

● Creación de archivos de configuración VPN para dispositivos VPN de otros fabricantes

● Funciones de test y diagnóstico, indicaciones de estado

Configuración con Security Configuration Tool 2.1 Vista general - Prestaciones y funcionamiento


Dos modos de operación de la Security Configuration Tool La Security Configuration Tool puede iniciarse en los siguientes modos de operación:

● Security Configuration Tool Standalone (en versión autónoma):

– Se puede iniciar independientemente de STEP 7

– La configuración de seguridad de CP no es posible

● Security Configuration Tool integrada en STEP 7:

– Solo se puede iniciar desde STEP 7

– En el proyecto debe haber al menos un CP con función de seguridad activada

– El alcance de Security Configuration Tool Standalone (versión autónoma) se amplía con la posibilidad de configurar funciones de seguridad para CP

Vista de configuración offline y vista de diagnóstico online La Security Configuration Tool dispone de una vista de configuración offline y una vista de diagnóstico online:

● Vista de configuración offline

En el modo offline se ajustan los datos de configuración para el módulo correspondiente. Antes de la carga no es necesario establecer para esto una conexión con este módulo.

● Online

El modo online sirve para comprobar y diagnosticar un módulo de seguridad.

Dos modos de operación En la vista de configuración offline, la Security Configuration Tool proporciona dos modos de operación:

● Modo normal

El modo normal está preajustado en la Security Configuration Tool. Este modo permite una configuración rápida y sin complicaciones para el uso de los módulos de seguridad.

● Modo avanzado

En el modo avanzado existen otras posibilidades de ajuste que permiten configurar de forma personalizada, entre otros, las reglas de cortafuegos, los ajustes de registro, las reglas NAT/NATP, los nodos VPN y funcionalidades avanzadas de seguridad.

Configuración con Security Configuration Tool 2.2 Instalación de Security Configuration Tool


Funcionamiento - Seguridad y coherencia ● Acceso solo para usuarios autorizados

Cada proyecto está protegido contra accesos no autorizados mediante nombres de usuario y contraseñas. Con ayuda de las normas para las contraseñas es posible definir reglas específicas del proyecto para la asignación de contraseñas.

● Datos de proyecto coherentes

Ya durante la entrada en los distintos cuadros de diálogo se realizan comprobaciones de la coherencia. Además puede realizar en todo momento una prueba de coherencia a nivel de proyecto, en la que se incluyen todos los cuadros de diálogo.

En los módulos de seguridad solo se pueden cargar datos de proyecto coherentes.

● Protección de datos de proyecto por cifrado

Los datos de proyecto y configuración están protegidos por cifrado tanto en el archivo de proyecto como en el C-PLUG, si existe (no es válido para el CP 1628).

2.2 Instalación de Security Configuration Tool

2.2.1 Sistemas operativos soportados

Sistemas operativos soportados Se soportan los siguientes sistemas operativos:

● Microsoft Windows XP 32 bits + Service Pack 3

● Microsoft Windows 7 Professional 32/64 bits

● Microsoft Windows 7 Professional 32/64 bits + Service Pack 1

● Microsoft Windows 7 Ultimate 32/64 bits

● Microsoft Windows 7 Ultimate 32/64 bits + Service Pack 1

● Windows Server 2008 R2 64 bits

● Windows Server 2008 R2 64 bits + Service Pack 1

Nota

Antes de proceder a la instalación de la Security Configuration Tool, lea el archivo "README.htm" del DVD que viene adjunto. En este archivo encontrará informaciones importantes así como referencias a las últimas modificaciones.

Configuración con Security Configuration Tool 2.2 Instalación de Security Configuration Tool


SCALANCE S - Procedimiento La herramienta de configuración Security Configuration Tool se instala desde el DVD de producto que viene adjunto.

● Introduzca el DVD de producto en la unidad de DVD-ROM. Si está activada la función Autorun, se iniciará automáticamente la interfaz desde la que puede realizar la instalación.

o

● Inicie la aplicación "start.exe" existente en el DVD de producto que viene adjunto.

CP x43-1 Adv. - Proceda del siguiente modo La herramienta de configuración Security Configuration Tool se instala desde el soporte de datos de STEP 7. Encontrará el archivo de instalación en el soporte de datos de STEP 7, en el directorio de componentes de software opcionales.

CP 1628 - Proceda del siguiente modo La herramienta de configuración Security Configuration Tool se instala desde el soporte de datos suministrado que contiene los datos de drivers del CP 1628.

● Introduzca el soporte de datos en la unidad de DVD-ROM. Si está activada la función Autorun, se iniciará automáticamente la interfaz desde la que puede realizar la instalación.

o bien

● Inicie la aplicación "setup.exe" existente en el soporte de datos que viene adjunto.

Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú


2.3 Interfaz de usuario y comandos de menú

Estructura de la interfaz de usuario en el modo avanzado

① Área de navegación:

• Conjuntos de reglas de cortafuegos globales

El objeto contiene los conjuntos de reglas globales de cortafuegos configurados. Otras carpetas se distinguen en: – Conjuntos de reglas IP de cortafuegos – Conjuntos de reglas MAC de cortafuegos

• Conjuntos de reglas IP personalizados • Todos los módulos

El objeto contiene todos los módulos configurados y configuraciones SOFTNET del proyecto.

• Grupos VPN

El objeto contiene todos los grupos VPN generados.

• Relaciones de redundancia

El objeto contiene todas las relaciones de redundancia generadas del proyecto. ② Índice:

Si selecciona un objeto en el área de navegación obtendrá en el área de contenido informaciones detalladas sobre ese objeto. Para algunos módulos de seguridad es posible visualizar en esta área extractos de las configuraciones de interfaz para adaptarlas. Haciendo doble clic en los módulos de seguridad es posible abrir diálogos de propiedades para introducir más parámetros, siempre que las correspondientes posibilidades de configuración lo ofrezcan.



③ Ventana de detalles: La ventana de detalles contiene información adicional sobre el objeto seleccionado y permite configurar propiedades de VPN conexión a conexión en los diferentes contextos de un grupo VPN. La ventana de detalles puede mostrarse y ocultarse a través del menú "Vista".

④ Barra de estado: La barra de estado muestra los estados de manejo y mensajes de estado actuales: Aquí se incluyen: • Los usuarios actuales y el tipo de usuario • La vista de manejo - Modo normal / modo avanzado • El tipo de operación - Online / Offline

Barra de herramientas A continuación se muestra una vista general de los botones disponibles en la barra de herramientas y su significado.

Icono Significado / observaciones

Crear un proyecto.

Abrir un proyecto ya existente.

Guardar un proyecto abierto en la ruta y con el nombre de proyecto actuales.

Copiar el objeto seleccionado.

Insertar un objeto del portapapeles.

Borrar el objeto seleccionado.

Crear un módulo. El símbolo solo está activo si el usuario está en la carpeta "Todos los módulos" del área de navegación.

Crear un grupo VPN. El símbolo solo está activo si el usuario está en la carpeta "Grupos VPN" del área de navegación.

Crear un nuevo conjunto de reglas IP o MAC de validez global o bien un conjunto de reglas IP específico del usuario. El símbolo solo está activo si el usuario está en una subcarpeta de "Conjuntos de reglas de cortafuegos globales" en el área de navegación o en la carpeta "Conjuntos de reglas IP específicos de usuario".

Crear una relación de redundancia. El símbolo solo está activo si el usuario está en la carpeta "Relaciones de redundancia" del área de navegación.



Icono Significado / observaciones

Cargar una configuración en los módulos de seguridad seleccionados o crear datos de configuración para SOFTNET Security Client / SCALANCE M / dispositivo VPN / cliente NCP VPN (Android).

Cambiar al modo offline.

Cambiar al modo online.



Barra de menús A continuación se ofrece un cuadro general de los comandos de menú seleccionables y su significado.

Comando de menú Significado / observaciones Combinación de teclas Project ▶… Funciones para ajustes específicos del proyecto, así

como la carga y el almacenamiento del archivo del proyecto.

Nuevo... Crear un proyecto.

Para CP: Los proyectos se crean mediante configuración con STEP 7.

Abrir... Abrir un proyecto ya existente.

Para CP: Los proyectos existentes solo pueden abrirse a través de proyectos STEP 7.

Guardar Guardar un proyecto abierto en la ruta y con el nombre de proyecto actuales.

Ctrl + S

Guardar como... Guardar un proyecto abierto en una ruta y con un

nombre de proyecto seleccionables. Para CP: El proyecto es parte del proyecto STEP 7. La ruta no puede cambiarse.

Propiedades... Abrir un cuadro de diálogo para propiedades del proyecto.

Recent Projects Posibilidad de seleccionar directamente los proyectos

procesados hasta el momento Para CP: Los proyectos existentes solo pueden abrirse a través de STEP 7.

Quit Cerrar proyecto. Edit ▶… Comandos de menú solo en el modo offline

Nota Con el objeto seleccionado, algunas de las funciones también pueden elegirse a través del menú contextual.

Copy Copiar el objeto seleccionado. Ctrl + C Paste Traer el objeto del portapapeles e insertarlo

("pegarlo"). Ctrl + V

Eliminar Borrar el objeto seleccionado. Supr Rename Cambiar de nombre el objeto seleccionado. F2 Nuevo certificado... Crear nuevo certificado de grupo para el módulo

seleccionado tras elegir el correspondiente grupo VPN en el área de contenidos.

Sustituir módulo... Sustituir el módulo de seguridad seleccionado. Propiedades ... Abrir el cuadro de diálogo de propiedades del objeto

seleccionado. F4

Diagnóstico online ... Acceder a las funciones de test y diagnóstico.



Comando de menú Significado / observaciones Combinación de teclas Insert ▶… Comandos de menú solo en el modo offline Módulo Crear un módulo de seguridad.

Este comando de menú solo está activo si está seleccionado un módulo de seguridad o un grupo VPN en el área de navegación.

Ctrl + M

Group Crear un grupo VPN. Este comando solo está activo si está seleccionado un objeto Grupos en el área de navegación.

Ctrl + G

Conjunto de reglas de cortafuegos

Crear un nuevo conjunto de reglas IP de cortafuegos o MAC de validez global o bien un conjunto de reglas IP específico del usuario. Este comando solo está activo si está seleccionado un objeto Firewall en el área de navegación. Este comando de menú solo está visible en el modo avanzado.

Ctrl + F

Relación de redundancia Crear una relación de redundancia. El comando de menú solo está activo si el usuario está en la carpeta "Relaciones de redundancia" del área de navegación.

Ctrl + R

Transfer ▶…

A módulo(s)... Cargar una configuración en los módulos de

seguridad seleccionados o crear datos de configuración para SOFTNET Security Client / SCALANCE M / dispositivos VPN / clientes NCP VPN (Android). Observación: Solo se pueden cargar datos de proyecto coherentes. Para CPs: Los datos del proyecto solo pueden cargarse a través de STEP 7.

A todos los módulos... Cargar una configuración en todos los módulos de seguridad. Observación: Solo se pueden cargar datos de proyecto coherentes.

Estado de la configuración…

Mostrar en una lista el estado de configuración de los módulos de seguridad configurados.

Transferir firmware ... Cargar firmware nuevo en el módulo de seguridad seleccionado. Para CPs S7: El firmware se carga en el CP a través del centro de actualización del diagnóstico web.

View ▶… Modo avanzado Cambiar del modo normal (predeterminado) al modo

avanzado. Atención Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede regresar al normal.

Ctrl + E



Comando de menú Significado / observaciones Combinación de teclas Mostrar ventana de

detalles Mostrar y ocultar los detalles adicionales del objeto seleccionado.

Ctrl + Alt + D

Offline Ajuste predeterminado. Cambiar a la vista de configuración offline.

Ctrl + Mayús + D

Online Cambiar a la vista de diagnóstico online. Ctrl + D Options ▶… Servicios IP... Abrir cuadro de diálogo para definiciones de los

servicios para las reglas IP Firewall. Este comando de menú solo está visible en el modo avanzado.

Servicios MAC... Abrir cuadro de diálogo para definiciones de los servicios para las reglas MAC Firewall. Este comando de menú solo está visible en el modo avanzado.

Adaptador de red… A través del adaptador de red seleccionado se

asigna una dirección IP al SCALANCE S.

Idioma... Seleccionar un idioma para la visualización de la interfaz SCT. Para SCT en STEP 7, el idioma de la interfaz SCT se define seleccionando el idioma en STEP 7.

Archivos de registros... Visualización de archivos de registro guardados. Symbolic Names... Asignar nombres simbólicos para direcciones IP o

MAC.

Configuración del servidor NTP...

Crear y editar servidores NTP

Configuración del servidor RADIUS...

Crear y editar servidores RADIUS.

Verificaciones de consistencia...

Comprobación de la coherencia de todo el proyecto. Al finalizar se muestra una lista de resultados.

Administración de usuarios...

Crear y editar usuarios y roles, asignar derechos y definir normas para las contraseñas.

Administrador de certificados...

Mostrar, importar o exportar certificados.

Help ▶… Temas de ayuda... Ayuda para las funciones y los parámetros que

encontrará en la SCT. F1

Acerca de... Información sobre la versión de SCT.

Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos


2.4 Crear y administrar proyectos

2.4.1 Security Configuration Tool Standalone (versión autónoma)

Configuración con la Security Configuration Tool en versión autónoma La Security Configuration Tool en versión autónoma se utiliza para crear proyectos de seguridad en los que no se configuren módulos de seguridad que deban que crearse y configurarse en STEP 7.

Un proyecto nuevo se crea con el comando de menú "Proyecto" > "Nuevo…". Este abarca todas las informaciones de configuración y administración para uno o varios SCALANCE S, SOFTNET Security Clients, equipos SCALANCE M, dispositivos VPN, así como clientes NCP VPN (Android). Para cada dispositivo o configuración se crea un módulo en el proyecto.

2.4.2 Security Configuration Tool en STEP 7

Configuración La Security Configuration Tool integrada en STEP 7 se utiliza para elaborar proyectos de seguridad en los que se configuran módulos de seguridad que deban crearse y configurarse en STEP 7. Además se soportan todos los módulos de seguridad de la variante Standalone.

En cuanto en STEP 7 se activa la función de seguridad para un módulo de seguridad, automáticamente se crea un proyecto de SCT, en el que se guardan y gestionan los datos de la configuración de seguridad. Todos los datos de la configuración de seguridad se procesan internamente en la SCT y el resultado se devuelve a STEP 7.



Interacción entre STEP 7 y SCT La interacción entre STEP 7 y SCT se describe a partir de la siguiente representación:

① Al realizar ajustes de seguridad a través de STEP 7, se abre la SCT, ya que en ella se actualizan y administran los datos para seguridad. Si en NetPro hay configuradas conexiones especificadas, tras guardar y compilar se crean para ellas automáticamente reglas de cortafuegos en SCT.

② En SCT se realizan los ajustes de seguridad necesarios. SCT procesa los datos internamente y devuelve el resultado a STEP 7.

③ Las acciones como "Guardar como" y "Compilar" se desarrollan dentro de STEP 7. Los datos de seguridad se guardan automáticamente como proyecto SCT con un nombre asignado automáticamente en una subcarpeta del proyecto STEP 7. El nombre y la ruta de almacenamiento no pueden cambiarse. Para un proyecto STEP 7 se puede crear exactamente un proyecto SCT. Un proyecto SCT creado con la Security Configuration Tool en STEP 7 no puede abrirse con la Security Configuration Tool en versión standalone.

④ Los datos de seguridad del CP configurados se cargan en el módulo a través de STEP 7.

¿Qué datos se migran de STEP 7 a SCT y se muestran en el área de contenido? Los siguientes datos de configuración creados en STEP 7 se aplican automáticamente en SCT, pero no pueden modificarse:

● Nombre del dispositivo

● Dirección IP PROFINET IO



● Dirección IP GBit

● Máscara de subred PROFINET IO

● Máscara de subred GBit

● Dirección MAC de la interfaz GBit

● Router estándar

● Dirección MAC PROFINET IO

¿Qué datos pueden migrarse a SCT y modificarse allí? Las siguientes funciones utilizadas en STEP 7 pueden migrarse a SCT y editarse allí:

● Listas Access Control (Página 127)

● Usuario (Página 73)

● Servidores NTP (Página 196)

Encontrará información detallada al respecto en la Ayuda en pantalla de SCT:

Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión de la SCT.

Reglas de cortafuegos automáticas para conexiones configuradas Para conexiones especificadas configuradas en STEP 7 se crean automáticamente reglas de cortafuegos en SCT, que habilitan el establecimiento de la conexión. Encontrará más información al respecto en el capítulo siguiente:

● Reglas de cortafuegos automáticas referidas a conexiones (Página 151).

Para conexiones no especificadas deben crearse manualmente reglas de cortafuegos en SCT, que habiliten el establecimiento de la conexión. Encontrará más información al respecto en el capítulo siguiente:

● Cortafuegos en modo avanzado (Página 144).

Realizar ajustes de seguridad en STEP 7 Los ajustes de seguridad se realizan como sigue:

● A través de las distintas fichas de las propiedades de objeto

En las diferentes fichas se pueden activar y ejecutar funciones de seguridad específicas de CP. Durante la ejecución se abre el cuadro de diálogo SCT correspondiente, en el que pueden realizarse los ajustes de seguridad. Los ajustes de seguridad se pueden realizar en las siguientes fichas:



Ficha Función Descripción Seguridad Activar seguridad • Las funciones de seguridad se activan en

las diferentes fichas. • Se activa el menú "Editar" > "Security

Configuration Tool", a través del cual se abre la Security Configuration Tool. En ella se pueden realizar otros ajustes comunes para varios módulos de seguridad, como crear grupos VPN o agregar módulos de seguridad que no pueden configurarse en STEP 7.

• Si ha configurado en STEP 7 usuarios para el módulo de seguridad, se abre la ventana "Migración de datos del proyecto relevantes para la seguridad", a través de la cual se pueden migrar los usuarios de STEP 7 a la Security Configuration Tool.

Inicio de la configuración de seguridad

SCT se abre en una vista general, en la que se pueden configurar propiedades específicas para este módulo de seguridad.

Carga posterior online de reglas de cortafuegos

Los ajustes de cortafuegos adaptados se generan y se cargan en el CP sin provocar una parada del CP.

Cargar a posteriori reglas de cortafuegos online (CP 1628)

Se generan los ajustes de cortafuegos adaptados y se cargan en el CP.

Usuario Inicio de la administración de usuarios

Se abre la administración de usuarios de SCT, en la que se crean usuarios y roles y se asignan derechos.

Protección de acceso IP Inicio de la configuración de cortafuegos

Al activar la seguridad se migra a la Security Configuration Tool una lista de acceso IP ya disponible convertida en reglas de cortafuegos.

FTP Permitir acceso solo vía FTPS

Se abre la administración de usuarios SCT, en la que se pueden asignar derechos FTP a un rol. Inicio de la

administración de usuarios

Web Permitir acceso solo vía HTTPS

Se abre la administración de usuarios de SCT, en la que se pueden asignar derechos web a un rol. Inicio de la

administración de usuarios

Sincronización horaria Configuración NTP avanzada

Abre la SCT en el modo de configuración NTP.

SNMP Inicio de la configuración de SNMP

Abre la SCT en el modo de configuración SNMP. Se puede elegir entre SNMPv1 y SNMPv3.



Ficha Función Descripción Inicio de la administración de usuarios

Se abre la administración de usuarios de SCT, en la que se pueden asignar derechos SNMP a un rol.

● Directamente en SCT

Para abrir SCT en STEP 7, elija el comando de menú "Edición" > "Security Configuration Tool". Además de los ajustes realizados en las fichas de las propiedades de objeto, aquí se crean p. ej. grupos VPN o se agregan módulos SCALANCE S. Los módulos SCALANCE S se pueden configurar y cargar en SCT, pero los datos no se devuelven a STEP 7. Además, los módulos no se muestran en STEP 7 tras cerrar la SCT.

Nota

Encontrará información más detallada en la ayuda en pantalla de STEP 7 y de SCT.

Encontrará información general sobre STEP 7 en /9/ (Página 274).

2.4.3 Migrar datos de STEP 7

Migrar usuarios de dispositivo de STEP 7 a la administración de usuarios de SCT En el cuadro de diálogo de migración, seleccione cómo desea migrar a la administración de usuarios de SCT los usuarios creados en STEP 7. Para ello se puede elegir entre las diferentes acciones:

Acción Descripción Aceptar como... El usuario se migra a la administración de usuarios de SCT con

otro nombre. Introduzca el nombre en la columna "Nombre de usuario migrado". En SCT al usuario migrado se le asigna automáticamente un rol generado.

Juntar Si en el proyecto SCT ya se ha creado un usuario con el mismo nombre, ambos usuarios se juntan. El rol del usuario de SCT se amplía con los derechos seleccionados del usuario migrado.

Rechazar El usuario del módulo de seguridad no se migra a la administración de usuarios de SCT. La migración a posteriori no es posible.



Nota

Los siguientes datos no se migran • Contraseñas de usuarios ya creados en STEP 7. Por ello, para cada usuario hay que

seleccionar el modo en que debe migrarse y asignar una nueva contraseña con el botón "Asignar contraseña".

• El usuario disponible en STEP 7 definido por el sistema "everybody". Tampoco se aplican sus derechos para usuarios migrados.

Nota

Los usuarios y sus roles se pueden adaptar tras la migración en la administración de usuarios de la Security Configuration Tool.

Migrar derechos de dispositivo de STEP 7 a la administración de usuarios de SCT Se migran los siguientes derechos:

Derecho en STEP 7 Derecho tras la migración a SCT Servicio Acceder a los símbolos configurados

Applet: Leer variables de símbolos configurados

PLC

Applet: Escribir variables de símbolos configurados

Leer variables de direcciones absolutas

Applet: Leer variables de direcciones absolutas

Escribir variables de direcciones absolutas

Applet: Escribir variables de direcciones absolutas

Acceder a archivos de la estación S7 con FTP

FTP: Leer archivos (DB) de la CPU S7 FTP: Escribir archivos (DB) de la CPU S7 FTP: Leer archivos del sistema de archivos del CP

Sistema de archivos

FTP: Escribir archivos del sistema de archivos del CP Web: Formatear el sistema de archivos de CP

Enviar un mail de prueba a través de la página del sistema

Web: Acceder a diagnóstico web y al sistema de archivos de CP

Web

Web: Enviar mail de prueba Consultar el estado de módulos Applet: Leer estado de los módulos en el

bastidor PLC

Consultar el número de referencia de módulos

Applet: Leer referencia de los módulos en el bastidor



Consulte también Sincronización horaria (Página 196)

Configurar una lista de acceso (Página 127)

2.4.4 Resumen

Contenidos generales Tanto en la versión independiente de la Security Configuration Tool como en la versión integrada en STEP 7, al crear un proyecto nuevo se pide la asignación de un nombre de usuario y una contraseña. El usuario aquí creado es del tipo "administrator". Una vez introducidos, se pueden realizar configuraciones en el proyecto.

En general, las configuraciones de un proyecto contienen:

● Ajustes válidos para todo el proyecto

● Ajustes específicos de módulo

● Asignaciones a grupos para túneles IPsec

Además, una administración de usuarios regula los derechos de acceso a los datos del proyecto y a los módulos de seguridad.

Ajustes válidos para todo el proyecto ● Propiedades del proyecto

Estas comprenden, además de informaciones generales sobre direcciones y nombres, especificaciones predeterminadas para valores de inicialización.

● Conjuntos de reglas de cortafuegos globales

Un conjunto de reglas globales para cortafuegos se puede asignar a varios módulos de seguridad a un tiempo. Esta posibilidad simplifica en muchos casos la configuración, a diferencia de la configuración de reglas de cortafuegos locales en los ajustes específicos de los módulos.

● Conjuntos de reglas IP personalizados

Un conjunto de reglas IP específico del usuario se asigna a un usuario y a un módulo de seguridad. A un módulo SCALANCE S V4 también se le puede asignar un conjunto de reglas IP específico del usuario que tenga a su vez un rol asignado.

Los conjuntos de reglas IP específicos del usuario permiten definir derechos de acceso personalizados y concretos.

● Relaciones de redundancia

Una relación de redundancia se crea para dos módulos de seguridad. Si falla uno de los dos módulos de seguridad durante el funcionamiento, el otro módulo de seguridad asumirá su función como cortafuegos y router (NAT/NATP).



● Dominio MRP

Con ayuda de los dominios MRP se definen las estaciones de un anillo MRP. Para las interfaces de todos los módulos que deban estar conectados a un anillo MRP, debe estar seleccionado el mismo dominio MRP.

● Definiciones de servicios

Definiendo servicios IP o MAC se pueden definir reglas de cortafuegos de forma compacta y clara.

● Servidores NTP

Los servidores NTP se crean para todo el proyecto, por lo que pueden asignarse a varios módulos de seguridad en la SCT.

● Servidor RADIUS

Los servidores RADIUS se crean para todo el proyecto, por lo que pueden asignarse a varios módulos de seguridad en la SCT.

● Administrador de certificados

En el administrador de certificados se gestionan todos los certificados del proyecto y de los módulos de seguridad incluidos.

● Administración de usuarios

En la administración de usuarios se pueden gestionar todos los usuarios del proyecto y sus derechos, y también definir reglas para las contraseñas.

● Nombres simbólicos

En un proyecto se pueden asignar nombres simbólicos en una tabla en lugar de direcciones IP y MAC.



Ajustes específicos de módulo La mayoría de las funciones se configuran en las fichas del diálogo de propiedades, que se puede abrir para un módulo de seguridad seleccionado a través del comando de menú "Editar" > "Propiedades...". En el diálogo de propiedades se pueden organizar las diferentes fichas a voluntad mediante Arrastrar y soltar. En la tabla siguiente se describen las funciones de las diferentes fichas.

Función / ficha en el diálogo de propiedades se ofrece en el modo …

Standard Avanzado Interfaces

Vista general de los diferentes ajustes de interfaces y puertos. Para CPs: Los ajustes se adoptan desde STEP 7 y no pueden cambiarse.

X X

Cortafuegos Aquí se activa en el modo normal el cortafuegos con reglas estándar sencillas. Además, aquí se pueden activar ajustes de registro. En el modo avanzado se pueden definir reglas detalladas para el filtrado de paquetes. También se pueden definir ajustes de registro explícitos para cada regla de filtrado de paquetes. Para CPs: Si se ha migrado una lista Access Control, esta se muestra aquí y puede editarse.

X X

Conexión a Internet Si se ha ajustado una conexión a través de PPPoE, realice aquí los ajustes para el Internet Service Provider.

X X

DNS Ajustes del DNS dinámico que permiten el acceso a direcciones IP siempre cambiantes utilizando un nombre fijo (FQDN). DNS dinámico está permitido en la interfaz externa y en la interfaz DMZ.

- X

Enrutamiento Indique aquí los datos del router estándar y/o especifique una ruta específica de la subred. Para CPs: La especificación de un router estándar se aplica desde STEP 7, y solo puede cambiarse en STEP 7. La indicación aparece en el área de contenido de SCT. Por eso, la ficha no está incluida en las propiedades del módulo.

X X

NAT/NAPT Active la funcionalidad NAT/NAPT y defina la conversión de direcciones en una lista.

- X

Sincronización horaria Defina aquí el tipo de sincronización para fecha y hora. Para CPs: la sincronización horaria solo puede configurarse en SCT si se ha activado la configuración NTP avanzada en STEP 7.

X X



Función / ficha en el diálogo de propiedades se ofrece en el modo …

Standard Avanzado Ajustes de registro

Aquí se pueden realizar indicaciones precisas sobre el modo de registro y de almacenamiento de eventos de registro y configurar la transferencia a un servidor Syslog.

- X

VPN Si el módulo de seguridad se encuentra en un grupo VPN, aquí se puede configurar la Dead-Peer-Detection, la forma de establecimiento de la conexión y, dado el caso, el punto de acceso para WAN (dirección IP o FQDN). En el área de diálogo "Nodos VPN" podrá realizar además, dependiendo del módulo de seguridad, ajustes para las subredes, nodos IP/MAC y nodos NDIS a los que deba accederse adicionalmente a través del túnel VPN. Para SCALANCE S: El aprendizaje de nodos internos puede activarse y desactivarse. El área de diálogo "Nodos VPN" solo se muestra si el proyecto está en el modo avanzado.

X X

Servidor DHCP Para la red interna y para la red DMZ (solo SCALANCE S623/S627-2M) podrá utilizar el módulo de seguridad como servidor DHCP.

- X

SNMP Ajuste en esta ficha la versión de protocolo SNMP y el método de autenticación y codificado.

X X

Proxy ARP Ajuste en esta ficha entradas estáticas para Proxy ARP en la interfaz externa.

- X

MRP/HRP Ajuste en esta ficha los parámetros para la conexión del módulo de seguridad a anillos MRP/HRP.

X X

RADIUS Asigne al módulo de seguridad en esta ficha un servidor RADIUS que realice la autenticación del usuario en lugar del módulo de seguridad en caso de activarse conjuntos de reglas IP específicos del usuario.

X X

Asignaciones a grupos para túneles VPN

Los grupos VPN determinan qué módulos de seguridad, SOFTNET Security Clients, módulos SCALANCE M, dispositivos VPN y clientes NCP VPN (Android) deben comunicarse entre sí a través de túneles IPsec.

Al asignar estos dispositivos de red a un grupo VPN, estos podrán establecer túneles de comunicación a través de una VPN (Virtual Private Network).



Solo los módulos del mismo grupo VPN pueden comunicarse entre sí de forma segura a través de túneles, pudiendo pertenecer los módulos a varios grupos VPN simultáneamente.

Consulte también Configuración de otras propiedades de los módulos (Página 175)

2.4.5 Definición de valores de inicialización estándar para un proyecto

Definición de valores de inicialización estándar para un proyecto Con los valores de inicialización estándar se definen propiedades que se adoptan automáticamente al crear módulos nuevos. Además, mediante la casilla de verificación "Guardar selección" se determina si al crear un módulo nuevo debe abrirse una ventana para ajustar las propiedades o si el módulo debe insertarse directamente.

Elija el comando de menú "Proyecto" > "Propiedades...", ficha "Valores de inicialización predeterminados".

Protección de datos de proyecto mediante codificación Los datos de proyecto y configuración almacenados están protegidos por codificación tanto en el archivo de proyecto como en el C-PLUG (no para CP 1628).

2.4.6 Check Consistency

Resumen Security Configuration Tool distingue:

● Pruebas de coherencia locales

● Pruebas de coherencia a nivel de proyecto

Para más información sobre las reglas comprobadas que debe tener en cuenta al realizar entradas, consulte las descripciones de los cuadros de diálogos correspondientes bajo el término clave "Check Consistency" (prueba de coherencia).



Pruebas de coherencia locales Una prueba de coherencia se considera local si se puede realizar directamente dentro de un cuadro de diálogo. Se pueden producir comprobaciones con motivo de las siguientes acciones:

● al salir de un campo

● al salir de una fila de una tabla

● al salir del cuadro de diálogo con "OK" ("Aceptar").

Pruebas de coherencia a nivel de proyecto Las pruebas de coherencia a nivel de proyecto informan sobre la configuración correcta de los módulos. Para las acciones siguientes se comprueba automáticamente la coherencia en todo el proyecto:

● al guardar el proyecto

● al abrir el proyecto

● antes de cargar una configuración

Nota

Solo se pueden cargar datos de proyecto si el proyecto es coherente en su conjunto.

Cómo lanzar una prueba de coherencia a nivel de proyecto Para realizar una prueba de coherencia para un proyecto abierto, proceda del siguiente modo:

Comando de menú: "Opciones" > "Verificaciones de consistencia...".

El resultado de la comprobación se emite en una lista que se puede filtrar por tipos de aviso "Errores" o "Advertencias". Si el proyecto contiene datos incoherentes, el estado se visualiza en la barra de estado de la ventana SCT. Haga clic en la barra de estado para visualizar la lista de pruebas.

2.4.7 Asignación de nombre simbólicos para direcciones IP o MAC

Cómo se accede a esa función Comando de menú: "Opciones" > "Nombres simbólicos ...".

Significado y ventaja En un proyecto de seguridad se pueden asignar nombres simbólicos en una tabla en lugar de direcciones IP y MAC.



La configuración de los distintos servicios se puede realizar así de manera sencilla y segura.

Para las siguientes funciones y su configuración se tienen en cuenta nombres simbólicos dentro del proyecto:

● Cortafuegos

● Router NAT/NAPT

● Syslog

● DHCP

● NTP

Formación de nombres simbólicos Los nombres simbólicos deben llevar antepuesto el carácter de almohadilla (#) tanto en la definición como en su utilización. Los nombres simbólicos han de ser conformes con DNS.

Validez y carácter inequívoco La validez de los nombres simbólicos indicados en la tabla está limitada a la configuración dentro de un proyecto de seguridad.

Dentro del proyecto, cada nombre simbólico ha de estar asignado de forma inequívoca a una única dirección IP y/o MAC.

Cuadro de diálogo para definición de nombres simbólicos Para evitar una incoherencia en una correspondencia "Dirección IP - Nombre simbólico" así como "Dirección MAC - Nombre simbólico", los nombres simbólicos se administran en una sola tabla.



Definición de nombres simbólicos 1. Pulse el botón "Agregar" para añadir un nuevo nombre simbólico en la siguiente línea

libre de la tabla.

2. Introduzca un carácter de almohadilla (#) seguido del nombre simbólico deseado conforme a las normas de DNS.

3. Complete la entrada con la dirección IP y/o MAC.

Utilización de nombres simbólicos no definidos En el marco de la configuración de los módulos de seguridad, también pueden utilizarse nombres simbólicos que aún no estén definidos. Tras la introducción de un nombre simbólico aún no definido y la confirmación del correspondiente cuadro de diálogo, el nombre simbólico elegido se adopta en la tabla de nombres simbólicos. A continuación, en este diálogo se puede definir la correspondiente dirección IP y/o MAC para el nombre simbólico.

Si borra una entrada de la tabla de, los nombres simbólicos utilizados en los servicios siguen existiendo en los mismos. En tales casos, la prueba de coherencia reconoce nombres simbólicos no definidos. Esto no depende de si el nombre simbólico ha sido definido a posteriori o no.

Un consejo:

Para la tabla aquí descrita es particularmente conveniente la aplicación de una verificación de consistencia para todo el proyecto. A partir de la lista se pueden detectar y corregir irregularidades.

Inicie la prueba de coherencia para un proyecto abierto con el comando de menú "Opciones" > "Verificaciones de consistencia...".



Reglas que deben considerarse en la comprobación de coherencia Al realizar sus entradas debe tener en cuenta las reglas indicadas a continuación:

● Los nombres simbólicos deben llevar antepuesto un carácter de almohadilla (#).

● La asignación de un nombre simbólico a una dirección IP o MAC tiene que ser unívoca. El nombre simbólico y la dirección solo pueden asignarse una vez y no pueden utilizarse en otra entrada de la lista.

● Los nombres simbólicos han de ser conformes con DNS.

● Cada nombre simbólico debe tener asignada una dirección IP, una dirección MAC o ambas.

● No se deben asignar nombres simbólicos a las direcciones IP de los módulos de seguridad.

● Los nombres simbólicos utilizados en el proyecto para direcciones IP o MAC tienen que estar incluidos en la tabla.

Se pueden producir incoherencias si se borran entradas de la tabla y no se eliminan o corrigen correspondientemente en los cuadros de diálogo del proyecto.

Consulte también Check Consistency (Página 61)

Conformidad DNS (Página 267)

Configuración con Security Configuration Tool 2.5 Datos de configuración para módulos SCALANCE M


2.5 Datos de configuración para módulos SCALANCE M

Significado Se pueden generar informaciones de VPN para la parametrización de un SCALANCE M con la Security Configuration Tool. Con los archivos creados se puede configurar el SCALANCE M.

Se generan los siguientes tipos de archivos:

● Archivo de exportación con los datos de configuración

– Tipo de archivo: archivo *.txt en formato ASCII

– Contiene la información de configuración exportada para el SCALANCE M, incluida una información sobre los certificados generados adicionalmente.

– Archivo de exportación para módulos SCALANCE M875:



– Archivo de exportación para módulos SCALANCE M874-x:

● Certificados de grupos VPN del módulo

– Tipo de archivo de la clave privada: archivo *.p12

– El archivo contiene el certificado de grupos VPN del módulo y el correspondiente material de codificación.

– El acceso está protegido por contraseña.

● Certificados CA de grupos VPN

– Tipo de archivo: Archivo *.cer

Nota

Los archivos de configuración no se transfieren al módulo. Se genera un archivo ASCII con el que se puede configurar el SCALANCE M. Para ello es necesario que el módulo esté como mínimo en un grupo VPN con un módulo de seguridad o un SOFTNET Security Client a partir de V3.0.

Creación de archivos de configuración 1. Seleccione el módulo que desea editar.

2. Elija el comando de menú "Transferir" > "A módulo(s)...".



3. En el siguiente cuadro de diálogo de almacenamiento, introduzca la ruta y el nombre del archivo de configuración y haga clic en el botón "Guardar".

4. En el siguiente cuadro de diálogo, indique si para ambos archivos de certificado debe crearse una contraseña propia.

Si responde "No", se asigna como contraseña el nombre del proyecto (p. ej. SCALANCE_M_Configuracion1), y no la contraseña del proyecto.

Si responde "Sí" (recomendado), tendrá que introducir una contraseña en el cuadro de diálogo siguiente.

Resultado: los archivos (y certificados) se guardan en el directorio que ha indicado.

Nota

Para más información sobre la configuración, consulte las instrucciones de servicio de SCALANCE M875 o M874-x.

Configuración con Security Configuration Tool 2.6 Datos de configuración para dispositivos VPN


2.6 Datos de configuración para dispositivos VPN

Significado Se pueden generar informaciones de VPN para la parametrización de un dispositivo VPN con la Security Configuration Tool. Con los archivos creados es posible configurar a continuación el dispositivo VPN.

Se generan los siguientes archivos:


– Tipo de archivo: Archivo *.txt en formato ASCII

– Contiene la información de configuración exportada para el dispositivo VPN, incluida una información sobre los certificados generados adicionalmente.

Figura 2-1 Archivo de exportación para un dispositivo VPN

● Certificados de grupos VPN del dispositivo VPN

● Certificados de grupos VPN de módulos interlocutores

● Clave privada

● Certificados CA de grupos VPN

Configuración de tipos de archivo Para dispositivos VPN se pueden determinar los tipos de archivo bajo los que se guardarán los datos generados.

Seleccione para ello el dispositivo VPN que desee editar y elija el comando de menú "Editar" > "Propiedades...".

Configuración con Security Configuration Tool 2.6 Datos de configuración para dispositivos VPN


● Certificados de grupos VPN del dispositivo VPN

– Archivo *.crt: certificado codificado en base 64

– Archivo *.pem: certificado codificado en base 64

– Archivo *.pem: certificado codificado en binario

● Certificados de grupos VPN de módulos interlocutores:




● Clave privada:

– Archivo *.p12: archivo PKCS12 con clave privada protegido por contraseña

– Archivo *.key: clave privada no protegida codificada en base 64

● Certificados CA de grupos VPN:




Nota

Los archivos de configuración no se transfieren al dispositivo VPN. Se genera un archivo ASCII con el que se puede configurar el dispositivo VPN. Para ello es necesario que el dispositivo VPN esté como mínimo en un grupo VPN con un módulo de seguridad o un SOFTNET Security Client a partir de V3.0.

Creación de archivos de configuración 1. Seleccione el dispositivo VPN que desee editar.




Si responde "No", se asigna como contraseña el nombre del proyecto (p. ej. ProyectoVPN_02), y no la contraseña del proyecto.


Resultado: los archivos (y certificados) se guardan en el directorio que ha indicado.

Configuración con Security Configuration Tool 2.7 Datos de configuración para clientes NCP VPN (Android)


2.7 Datos de configuración para clientes NCP VPN (Android)

NCP Secure VPN Client for Android El NCP Secure Android Client permite una conexión VPN de alta seguridad con redes de datos centrales de empresas y organizaciones. Es posible acceder a varias redes de datos diferentes con un perfil de VPN propio en cada caso.

Sobre la base del estándar IPsec, los tablets y smartphones pueden establecer conexiones de datos codificadas a pasarelas VPN de todos los proveedores relevantes.

El cliente se puede obtener en dos variantes a través de Google Play Store:

● NCP Secure VPN Client for Android (autenticación con Preshared Key)

● NCP Secure VPN Client Premium for Android (autenticación con Preshared Key o certificado)

Encontrará más información sobre los NCP Secure Android Clients en:

NCP Secure VPN Client for Android (http://www.ncp-e.com/es/productos/cliente-vpn-ipsec-para-android.html)

Significado Se pueden generar informaciones de VPN para la parametrización de un cliente NCP VPN (Android) con la Security Configuration Tool. Con los archivos generados se puede configurar a continuación el software de cliente NCP VPN.

Se generan los siguientes tipos de archivos:


– Tipo de archivo: archivo *.ini en formato UTF-8

– Contiene la información de configuración exportada para el cliente NCP VPN (Android), incluida una información sobre los certificados generados adicionalmente.

● Certificados de grupos VPN del módulo

– Tipo de archivo de la clave privada: archivo *.p12

– El archivo contiene el certificado de grupos VPN del módulo y el material de codificación.

– El acceso está protegido por contraseña.

● Certificados CA de grupos VPN:

– Tipo de archivo: archivo *.crt

http://www.ncp-e.com/es/productos/cliente-vpn-ipsec-para-android.html

http://www.ncp-e.com/es/productos/cliente-vpn-ipsec-para-android.html

Configuración con Security Configuration Tool 2.7 Datos de configuración para clientes NCP VPN (Android)


Figura 2-2 Archivo de exportación para un cliente NCP VPN (Android)

Nota

Los archivos de configuración no se transfieren al cliente NCP VPN (Android). Se genera un archivo ASCII con el que se puede configurar el cliente NCP VPN (Android). Para ello, el cliente NCP VPN (Android) debe encontrarse al menos en un grupo VPN con un módulo de seguridad.

Creación de archivos de configuración 1. Marque en el área de contenidos el cliente NCP VPN que desee editar (Android).




Si responde "No", se asigna como contraseña el nombre del proyecto (p. ej. ProyectoNCP_02), y no la contraseña del proyecto.


Resultado: los archivos se guardarán en el directorio que ha indicado.

Configuración con Security Configuration Tool 2.8 Administrar usuarios


2.8 Administrar usuarios

2.8.1 Sinopsis de la administración de usuarios

¿Cómo está estructurada la administración de usuarios? El acceso a la configuración de seguridad se gestiona mediante ajustes de usuario configurables. Configure usuarios con las contraseñas correspondientes para la autenticación. Asigne al usuario un rol definido por el sistema o por usuario. Los roles tienen asignados derechos de configuración y específicos de módulo. Observe las capacidades (Página 20) indicadas al crear los usuarios.

Los usuarios ya existentes se migran de STEP 7 a SCT

Los usuarios ya creados en STEP 7 pueden migrarse a SCT. En ese caso, las contraseñas deben volver a asignarse. Encontrará información detallada al respecto en la Ayuda en pantalla.


Orden de entrada al crear usuarios y roles Elija una de las siguientes secuencias de introducción:

● Cree primero un usuario, a continuación defina un rol y, en el último paso, asigne el rol al usuario.

● Defina primero un rol nuevo, a continuación cree un usuario y, en el último paso, asigne el rol al usuario.

Nota

Guarde las contraseñas de usuario de forma segura.

Si olvida las contraseñas de usuario, ya no podrá acceder al proyecto en cuestión ni al módulo de seguridad en cuestión.

En este caso deberá crear un proyecto nuevo y ejecutar el comando "Restablecer configuración de fábrica". En ese caso perderá la configuración.



Nota

Si se modifican los ajustes de la autenticación, se tienen que cargar de nuevo los módulos de seguridad para que se activen estos ajustes (p. ej. nuevos usuarios, cambios de contraseña) en los módulos de seguridad.

Autenticación del usuario al activar conjuntos de reglas IP específicos del usuario La autenticación de usuarios que inician sesión en la página web del módulo de seguridad para activar un conjunto de reglas IP específico del usuario se puede llevar a cabo desde el módulo de seguridad o bien desde un servidor RADIUS.

En el siguiente capítulo aprenderá cómo definir el método de autenticación "RADIUS" para un usuario:

● Crear usuarios (Página 75)

Encontrará información detallada sobre la autenticación de usuarios mediante servidor RADIUS en el siguiente capítulo:

● Autenticación mediante servidor RADIUS (Página 84)



2.8.2 Crear usuarios

Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios...", ficha "Usuario", botón "Agregar...".

Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón "Ejecutar". La administración de usuarios se puede abrir además desde diferentes fichas.

Parámetro Significado Nombre de usuario Nombre de usuario de libre elección. Método de autenticación • Contraseña: utilice este método de autenticación para usuarios que

deban editar y cargar el proyecto SCT y diagnosticar el módulo de seguridad. La autenticación del usuario se realizará a través del módulo de seguridad en caso de activarse conjuntos de reglas IP específicos del usuario.

• RADIUS : la autenticación del usuario se realizará a través de un servidor RADIUS en caso de activarse conjuntos de reglas IP específicos del usuario. En este método de autenticación, la contraseña del usuario no se configura en SCT, sino que debe guardarse en el servidor RADIUS. Utilice este método de autenticación exclusivamente para usuarios que deban iniciar sesión únicamente en la página web de un módulo de seguridad. Un usuario con el método de autenticación "RADIUS" no puede iniciar sesión en proyectos SCT.

Contraseña (solo para el método de autenticación "Contraseña")

Introducción de la contraseña para el usuario. Al introducirse la contraseña se comprobará su nivel de seguridad. Encontrará más información sobre el nivel de seguridad de la contraseña en el capítulo siguiente: Capacidades (Página 20)

Repetir la contraseña (solo para el método de autenticación "Contraseña")

Repetición de la contraseña introducida.

Comentario Introducción de un comentario adicional. Duración máxima de la sesión

Introducción de la duración tras la cual se cierra automáticamente la sesión de un usuario que ha iniciado sesión en la página web para conjuntos de reglas IP específicos del usuario de módulos SCALANCE S. La duración aquí indicada comienza tras el inicio de sesión y tras renovarse esta en la página web del módulo de seguridad. • Ajuste estándar: 30 minutos • Valor mínimo: 5 minutos • Valor máximo: 480 minutos

Rol asignado Según la asignación realizada.



Tabla 2- 1 Botones de la ficha "Usuario"

Denominación Significado / repercusión Editar... Seleccione una entrada y haga clic en el botón. En el diálogo que se

abre se pueden modificar los ajustes antes mencionados. Agregar... Agregue un nuevo usuario con el botón. Eliminar Elimine la entrada seleccionada con el botón.

Nota En el proyecto siempre debe haber como mínimo un usuario en el rol "administrator". El "administrator", que se crea automáticamente al generar el proyecto, solo puede borrarse mientras exista como mínimo un usuario con plenos derechos de configuración.

2.8.3 Crear roles

¿Qué roles existen? A cada usuario se le puede asignar un rol definido por el sistema o por el usuario. Los derechos de módulos de un rol definido por el usuario se definen para cada módulo de seguridad.

Roles definidos por el sistema Están predefinidos los siguientes roles definidos por el sistema. Los roles tienen asignados determinados derechos, que son iguales en todos los módulos y que el administrador no puede cambiar ni borrar.

Administrar derechos (Página 79)

● administrator

Rol predeterminado al crear un proyecto SCT.

Derechos de acceso ilimitados a todos los datos de configuración.

● standard

Rol con derechos de acceso restringidos.

● diagnostics

Rol predeterminado al crear un usuario.

Solo acceso de lectura.

● remote access

Ningún derecho, salvo inicio de sesión en la página web para conjuntos de reglas IP específicos del usuario.



● radius

Rol que se puede utilizar para activar conjuntos de reglas IP específicos del usuario con autenticación a través de servidor RADIUS.

Solo acceso de lectura.

● administrator (radius)

Rol que se puede utilizar para activar conjuntos de reglas IP específicos del usuario con autenticación a través de servidor RADIUS.

Derechos de acceso a todos los datos de configuración excepto a SNMP MIB.

Nota

Encontrará más información sobre los conjuntos de reglas IP específicos del usuario en el siguiente capítulo:

Conjuntos de reglas IP específicos de usuario (Página 148)

Nota

Encontrará más información sobre la autenticación mediante servidor RADIUS en el siguiente capítulo:

Autenticación mediante servidor RADIUS (Página 84)

Rol definido por el usuario Además de los roles definidos por el sistema, se pueden crear roles definidos por el usuario. Para un rol definido por el usuario se seleccionan los derechos de configuración o de módulo, y se crean los derechos correspondientes para cada módulo de seguridad utilizado en el proyecto. Los roles definidos por usuario se asignan manualmente al usuario en cuestión.

Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios", ficha "Roles".




Tabla 2- 2 Datos de la ficha "Roles"

Parámetro Significado Nombre del rol Nombre de rol de libre elección. Comentario Introducción de un comentario adicional.

Duración máxima de la sesión

Introducción de la duración tras la cual se cierra automáticamente la sesión para un usuario con el rol asignado en la página web para conjuntos de reglas IP específicos del usuario de módulos SCALANCE S. La duración aquí indicada comienza tras el inicio de sesión y tras renovarse esta en la página web del módulo de seguridad. • Ajuste estándar: 30 minutos • Valor mínimo: 5 minutos • Valor máximo: 480 minutos

Tabla 2- 3 Botones de la ficha "Roles"

Denominación Significado / repercusión Propiedades... / Editar... Seleccione un rol definido por usuario de la lista y haga clic en el botón.

En el cuadro de diálogo que se abre, modifique las propiedades del rol, como el nombre del rol, los derechos que tiene asignados y la duración máxima de la sesión. Los roles definidos por el sistema no se pueden editar.

Agregar... Agregue un nuevo rol definido por el usuario con el botón. En el cuadro de diálogo que aparece, introduzca el nombre del rol y asigne al rol los derechos que desee de la lista de derechos. Se muestran los derechos del rol definido por el sistema seleccionado en la asignación de derechos (asignación estándar: "diagnostics").

Eliminar Elimine la entrada seleccionada con el botón. Nota • Un rol definido por el usuario ya creado solo puede borrarse si no

está asignado a ningún usuario. Dado el caso, asigne un rol diferente al usuario.

• Los roles definidos por el sistema no se pueden borrar.



2.8.4 Administrar derechos

Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios...", ficha "Roles", botón "Propiedades…" o "Agregar…".


Crear y asignar un rol definido por usuario 1. Introduzca un nombre de rol.

2. Seleccione un rol definido por el sistema en la asignación de derechos (asignación estándar: "diagnostics"). Los roles definidos por usuario no se muestran en la selección.

Resultado: Según el rol seleccionado, se muestran para cada módulo de seguridad utilizado en el proyecto los derechos correspondientes en la lista de derechos. Los derechos de los módulos de seguridad no utilizados en el proyecto se muestran en gris.

3. Active o desactive para cada módulo de seguridad los derechos que deben asignarse al rol definido por usuario.

4. Si lo desea, introduzca un comentario, así como la duración máxima de la sesión para el rol que se va a crear.

5. Haga clic en el botón "Aplicar" para guardar la selección o en "Aceptar" para guardar y cerrar la ventana.

6. Asigne el rol a un usuario.

Copia de permisos de rol de un módulo de seguridad En el menú contextual de un módulo de seguridad, elija en la lista de objetos el comando "Copiar permisos..." y asigne los permisos a otro módulo de seguridad con el comando "Insertar permisos...".

Derechos de configuración Dependiendo del tipo de rol, por cada proyecto de seguridad dispone de los siguientes derechos de configuración:

Tabla 2- 4 Derechos de configuración para accesos al proyecto de seguridad

Derecho de configuración administrator standard diagnostics Diagnosticar seguridad x x x Configurar seguridad x x - Administrar usuarios y roles x - - x El derecho está activado

- El derecho está desactivado



Derechos de módulos En la columna "Servicio" se muestra el sistema al que afecta el derecho en cuestión.

Dependiendo del tipo de rol, por cada proyecto de seguridad se dispone de los siguientes derechos de módulo:

Tabla 2- 5 Derechos de módulo CP x43-1 Adv.

Derecho dentro del servicio administrator standard diagnostics Servicio Web: Formatear el sistema de archivos del CP * x - - Sistema de archivos FTP: Leer archivos del sistema de archivos del CP x x x FTP: Escribir archivos del sistema de archivos del CP

x x -

FTP: Leer archivos (DB) de la CPU S7 ** x x x PLC FTP: Escribir archivos (DB) de la CPU S7 *** x x - Applet: Leer variables de símbolos configurados * x x x Applet: Escribir variables de símbolos configurados * Applet: Leer variables de direcciones absolutas * x x x Applet: Escribir variables de direcciones absolutas *

x x -

Applet: Leer estado de los módulos en el bastidor * x x x Applet: Leer referencia de los módulos en el bastidor *

x x x

SNMP: Leer MIB-II x x x SNMP SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer LLDP MIB x x x SNMP: Leer SNMPv2 MIB x x x SNMP: Leer MRP MIB x x x SNMP: Escribir MRP MIB x x - SCT: Ejecutar diagnóstico del módulo de seguridad ****

x x x Seguridad

Web: Ampliar lista de control de acceso IP * x - - Web: Acceder a diagnóstico web y al sistema de archivos de CP

x x x Web

Web: Enviar mail de prueba * x x x Web: Actualizar el firmware * x x - Mantenimiento Web: Cargar textos de diagnóstico * x x - x El derecho está activado




* Para utilizar la función, también debe estar activado el derecho de módulos "Web:

Acceder al diagnóstico web y al sistema de archivos de CP". ** Para utilizar la función, también debe estar activado el derecho de módulos "FTP: Leer

archivos del sistema de archivos del CP". *** Para utilizar la función, también debe estar activado el derecho de módulos "FTP:

Escribir archivos del sistema de archivos del CP". **** Para utilizar la función también debe estar activado el derecho de configuración

"Diagnosticar seguridad".

Tabla 2- 6 Derechos de módulo CP 1628

Derecho dentro del servicio administrator standard diagnostics Servicio SNMP: Leer MIB-II x x x SNMP SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer SNMPv2 MIB x x x SCT: Ejecutar diagnóstico del módulo de seguridad x x x Seguridad x El derecho está activado


Tabla 2- 7 Derechos de módulo SCALANCE S ≥ V3.0

Derecho dentro del servicio administrator standard diagnostics Servicio SNMP: Leer MIB-II x x x SNMP SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer SNMPv2 MIB x x x

SNMP: Leer MRP MIB x x x

SNMP: Escribir MRP MIB x x -

SCT: Ejecutar diagnóstico del módulo de seguridad x x x Seguridad Carga de los archivos de configuración x x - Web: Actualizar el firmware x x - Mantenimie

nto x El derecho está activado




Tabla 2- 8 Derechos de módulo SCALANCE S < V3.0

Derecho dentro del servicio administrator standard diagnostics Servicio Carga de los archivos de configuración x x - Seguridad SCT: Ejecutar diagnóstico del módulo de seguridad x x x x El derecho está activado


Ajuste de derechos de módulos antes y después de crear módulos de seguridad Dentro de un rol definido por el usuario, los derechos de módulo se definen por separado para cada módulo de seguridad. Si un módulo de seguridad para el que deban definirse los derechos de módulo dentro de un rol se ha creado antes de agregar los roles, los derechos de este módulo de seguridad se ajustarán automáticamente según la asignación de derechos elegida y podrán adaptarse en caso necesario. Si un módulo de seguridad se ha añadido tras haber creado un rol, la SCT no definirá derecho alguno. En este caso, deberá ajustar por sí mismo todos los derechos para el módulo de seguridad.

Los derechos de módulo ya existentes también pueden aplicarse a otro módulo de seguridad copiándolos y adaptándolos en él si fuera necesario. Para ello, elija el comando "Copiar permisos..." e "Insertar permisos..." del menú contextual de un módulo de seguridad, en los derechos de módulo.



2.8.5 Configuración de normas para las contraseñas

Significado Mediante las normas para contraseñas pueden definirse unas reglas que deberán tenerse en cuenta a la hora de asignar contraseñas a los nuevos usuarios.

Cómo se accede a esa función Elija el comando de menú "Opciones" > "Administración de usuarios...", ficha "Normas de contraseña". Al activar una casilla de verificación, la norma correspondiente se activa y se puede adaptar, si es necesario, a través del correspondiente campo de entrada.

Parámetros Significado Longitud mínima de contraseña Número de caracteres que deben contener las contraseñas

como mínimo. La correspondiente casilla de verificación está activada de forma predeterminada y no se puede desactivar. • Valor mínimo: 8 caracteres • Valor máximo: 32 caracteres

Número mínimo de cifras Número de cifras que deben contener las contraseñas como mínimo. • Valor mínimo: 1 cifra • Valor máximo: 32 cifras

Número mínimo de caracteres especiales Número de caracteres especiales que deben contener las contraseñas como mínimo. Un carácter especial es todo aquel que no sea una letra ni una cifra. • Valor mínimo: 1 carácter especial • Valor máximo: 32 caracteres especiales

Número de contraseñas bloqueadas para la reutilización Número de contraseñas ya utilizadas que no están disponibles como nueva contraseña en caso de cambiar la contraseña. • Valor mínimo: 1 contraseña • Valor máximo: 10 contraseñas

Al menos una letra mayúscula y otra minúscula Si activa esta casilla de verificación, las contraseñas deben contener como mínimo una letra minúscula y otra mayúscula.



2.8.6 Autenticación mediante servidor RADIUS

2.8.6.1 Resumen

Significado RADIUS (Remote Authentication Dial-In User Service) es un protocolo de autenticación de usuarios mediante servidores en los que se pueden almacenar los datos de usuario de forma centralizada. El uso de servidores RADIUS permite aumentar la protección de nombres de usuario, roles asignados y contraseñas.

Entorno de uso de los servidores RADIUS La autenticación mediante servidor RADIUS se puede realizar en el marco de la activación de conjuntos de reglas IP específicos del usuario.



1 Introducción de los datos de usuario en la página web del módulo de seguridad 2 Autenticación mediante servidor RADIUS y activación del conjunto de reglas IP específico del

usuario 3 Acceso a célula de automatización

La estructura de red representada arriba constituye un ejemplo. El servidor RADIUS también puede encontrarse en la red interna o en la red DMZ del módulo de seguridad.

Para las posibilidades de configuración descritas a continuación se presupone siempre que se ha configurado un servidor RADIUS en la SCT y que se ha asignado al correspondiente módulo de seguridad. Además, debe haberse configurado un usuario o un rol con el método de autenticación "RADIUS". Encontrará información al respecto en los capítulos siguientes:

● Definición de servidores RADIUS (Página 87)

● Asignación de servidor RADIUS a un módulo de seguridad (Página 88)

● Crear usuarios (Página 75)

● Crear roles (Página 76)

Encontrará información general sobre los conjuntos de reglas IP específicos del usuario en el siguiente capítulo:

● Conjuntos de reglas IP específicos de usuario (Página 148)

Configuraciones posibles Para la autenticación del usuario mediante un servidor RADIUS se dispone de dos posibilidades de configuración:

● El módulo de seguridad conoce el usuario y su rol, a través del servidor RADIUS solamente se realiza la gestión de la contraseña para el usuario. En el servidor RADIUS está configurado el usuario con la contraseña correspondiente.

– Se configura un usuario con el método de autenticación "RADIUS".

– El usuario se asigna al conjunto de reglas IP específico del usuario.

Resultado:

– Cuando un usuario inicia sesión en la página web del módulo de seguridad, la consulta de autenticación se transmite al servidor RADIUS.

– El servidor RADIUS comprueba la contraseña y devuelve el resultado al módulo de seguridad.

– Si se ha superado la comprobación de la contraseña, se activa el conjunto de reglas IP específico del usuario.



● El módulo de seguridad conoce el rol, y la gestión de usuarios se realiza a través del servidor RADIUS. En el servidor RADIUS está configurado el usuario con la contraseña correspondiente.

– Al conjunto de reglas IP específico del usuario se le asigna un rol definido por el usuario o bien un rol definido por el sistema.

– En la pestaña "RADIUS" del módulo de seguridad se activan las casillas de verificación "Permitir autenticación de RADIUS para usuarios no configurados" y "La ID de filtro es necesaria para la autenticación".

Resultado:

– Cuando un usuario inicia sesión en la página web del módulo de seguridad, las consultas de autenticación y de autorización se transmiten al servidor RADIUS.

– El servidor RADIUS comprueba la contraseña y devuelve el resultado al módulo de seguridad.

– Caso a: si el nombre del rol está configurado adicionalmente en el servidor RADIUS:

El servidor RADIUS devuelve al módulo de seguridad el nombre del rol asignado al usuario.

– Caso b: si el nombre del rol no está configurado en el servidor RADIUS:

El módulo de seguridad asigna al usuario un rol definido por el sistema, "radius".

– Si se ha superado la comprobación de la contraseña, se activa el conjunto de reglas IP específico del usuario.

Convenios para servidores RADIUS ● Los servidores RADIUS se pueden encontrar en cualquier red conectada con el módulo

de seguridad.

● Se pueden configurar como máximo dos servidores RADIUS por módulo de seguridad. Durante el funcionamiento está entonces activo uno solo de los servidores RADIUS.

● En la definición de servidores RADIUS se pueden configurar también FQDN en lugar de direcciones IP.



2.8.6.2 Definición de servidores RADIUS

Significado Antes de que pueda tener lugar la autenticación mediante un servidor RADIUS, este deberá guardarse en un proyecto de SCT. A continuación, el servidor RADIUS definido debe asignarse al módulo de seguridad para el cual dicho servidor debe asumir la autenticación de usuario.

Procedimiento 1. Elija el comando de menú "Opciones" > "Configuración del servidor RADIUS...".

2. Haga clic en el botón "Agregar...".

3. Introduzca los parámetros necesarios según la tabla siguiente.

Parámetros Significado Nombre Nombre de libre elección para el servidor

RADIUS. Dirección IP / FQDN Dirección IP o FQDN del servidor RADIUS. Puerto Puerto UDP bajo el que es accesible el servidor

RADIUS. De forma predefinida se reciben datos de autenticación en el puerto 1812.

Shared Secret Introducción de la contraseña utilizada para el cifrado al transferir los datos de inicio de sesión entre servidores RADIUS y módulos de seguridad.

Repetir Shared Secret Confirmación de la contraseña. Método de autenticación Indicación del método utilizado para comprobar

los datos de usuario. Se soporta exclusivamente el método "PAP" (Password Authentication Protocol).

Comentario Introducción opcional de comentarios.

Resultado Ha definido un servidor RADIUS y ahora lo puede asignar a los módulos de seguridad deseados.



2.8.6.3 Asignación de servidor RADIUS a un módulo de seguridad

Requisito Ha definido un servidor RADIUS.

Procedimiento 1. Seleccione el módulo de seguridad que desee asignar a un servidor RADIUS.

2. Elija el comando de menú "Editar" > "Propiedades...".

3. Elija la ficha "RADIUS".

4. Active la casilla de verificación "Activar autenticación de RADIUS".

Nota

Cambio del método de autenticación con servidor web en módulo de seguridad

Cuando se activa la autenticación RADIUS en el módulo de seguridad, cambia el método de autenticación con el servidor web de "Digest Access Authentication" a "Basic Access Authentication".

5. Indique en el campo de entrada "Timeout de RADIUS" el tiempo en segundos que el módulo de seguridad debe esperar como máximo una respuesta del servidor RADIUS.

6. Indique en el campo de entrada "Repeticiones de RADIUS" el número de intentos de conexión con el servidor RADIUS.

7. Active la casilla de verificación "Permitir autenticación de RADIUS para usuarios no configurados" cuando se haya asignado un rol en lugar de un usuario al conjunto de reglas IP específico del usuario que se desea activar.

8. Active la casilla de verificación "La ID de filtro es necesaria para la autenticación" cuando el rol asignado sea un rol definido por el usuario.

9. Haga clic en el botón "Agregar".

Resultado: el servidor RADIUS configurado en primer lugar se asigna al módulo de seguridad.

10.En caso necesario, elija en la lista desplegable "Nombre" el servidor RADIUS que desee asignar al módulo de seguridad.

Encontrará información general sobre la autenticación mediante servidor RADIUS en el siguiente capítulo: Autenticación mediante servidor RADIUS (Página 84)

Consulte también Crear usuarios (Página 75)

Configuración con Security Configuration Tool 2.9 Administrar certificados


2.9 Administrar certificados

2.9.1 Sinopsis

¿Cómo se administran los certificados? En el administrador de certificados se puede obtener una vista general de todos los certificados y certificados CA utilizados en el proyecto, con la información correspondiente al solicitante, al emisor, a la validez, al uso en SCT y a la existencia de una clave privada.

El certificado CA es un certificado emitido por una entidad emisora, llamada "Certificate Authority", y de él se derivan los certificados de dispositivo. Entre los certificados de dispositivo se encuentran los certificados SSL, necesarios para la autenticación en la comunicación online entre un módulo de seguridad y otro dispositivo de red. Otros certificados de dispositivos son los certificados de grupos VPN de módulos de seguridad que se encuentran en grupos VPN. Las posibles entidades emisoras pueden ser:

● La propia SCT. Si el solicitante y el emisor son iguales, se trata de un certificado autofirmado, es decir, emitido por SCT.

● Una entidad emisora superior. Los certificados externos al proyecto de otros emisores se importan y se guardan en la memoria de certificados de la SCT.

Los certificados creados por una de las dos entidades emisoras, siempre cuentan con una clave privada, que permite derivar los certificados de dispositivo.

El administrador de certificados incluye, además, las siguientes funciones:

● Modificación de certificados ya existentes (p. ej. periodo de validez).

● Importación de certificados y entidades emisoras nuevas.

● Importación de certificados FTPS cuando el CP se utiliza como cliente FTP.

● Exportar los certificados y entidades emisoras utilizados en el proyecto.

● Renovación de certificados y entidades emisoras caducados.

● Sustitución de entidades emisoras ya existentes por otras.

Nota Cargar el proyecto

Tras sustituir o renovar certificados es necesario cargar el proyecto en el módulo de seguridad correspondiente.

Tras sustituir o renovar certificados CA es necesario cargar el proyecto en todos los módulos de seguridad.





Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administrador de certificados...".

En las diferentes fichas se dispone de los siguientes botones:

Botón Descripción Importar.../Exportar... Importar y exportar certificados de dispositivo o CA que no se

crearon en la SCT. Los certificados se transmiten al módulo de seguridad. Son posibles los siguientes formatos: *.pem (solo certificado) *.crt (solo certificado) *.p12 (certificado con las claves privadas correspondientes) Nota • Los usuarios con el rol "diagnostics" definido por el sistema no

pueden realizar exportaciones.

Mostrar... Abre el cuadro de diálogo de certificados de Windows, en el que se muestra una vista general de todos los datos de certificado.

Ficha "Entidades emisoras" Los certificados que se muestran aquí son generados por una entidad emisora.

● Entidad emisora de un proyecto: Al crear un proyecto SCT nuevo, se genera un certificado CA para el proyecto. A partir de este certificado se derivan los certificados SSL para los diferentes módulos de seguridad.

● Entidad emisora de un grupo VPN: Al crear un grupo VPN nuevo, se genera un certificado CA para el grupo VPN. A partir de este certificado se derivan los certificados de grupos VPN de módulos de seguridad que se encuentren en el correspondiente grupo VPN.



Ficha "Certificados de dispositivos" Visualización de los certificados específicos de dispositivo que genera la SCT para un módulo de seguridad. Aquí se incluyen:

● Certificado SSL de un módulo de seguridad: para cada módulo de seguridad creado se genera un certificado SSL derivado del certificado CA del proyecto. Se recurre a los certificados SSL para autenticar la comunicación entre PG o PC y el módulo de seguridad al cargar la configuración (no en el caso de CP) y durante el registro.

● Certificado de grupo VPN de un módulo de seguridad: además se genera un certificado de grupo VPN para cada módulo de seguridad por cada grupo VPN en el que se encuentra.

Ficha "Certificados de confianza y entidades emisoras de certificados de origen" Visualización de los certificados externos importados a SCT. Se pueden importar p. ej. certificados de servidor de servidores FTP externos o certificados de proyecto de otros proyectos SCT.

El certificado externo importado se transmite a todos los CPs administrados en el proyecto SCT. El módulo de seguridad se identifica entonces con ese certificado, p. ej., al acceder a un servidor FTPS. La configuración SCT en sí no utiliza el certificado importado.

Visualización de las entidades emisoras necesarias para la verificación de servicios externos como proveedores de dyn. DNS mediante módulos de seguridad.

2.9.2 Renovar certificados

Significado En este cuadro de diálogo se renuevan certificados CA y certificados de dispositivos. De ser necesario, por ejemplo en caso de un certificado comprometido, es posible importar un certificado o bien crear un certificado nuevo mediante la Security Configuration Tool.



Cómo se accede a esa función 1. Haga clic con la tecla derecha del ratón en una entrada de la lista en el administrador de

certificados.

2. Elija la entrada "Renovar certificado ...".

3. Seleccione si el nuevo certificado debe ser firmado por el usuario o por una entidad

emisora.

4. Si el certificado debe ser firmado por una entidad emisora, seleccione con el botón "Seleccionar..." la entidad emisora que debe utilizarse. Para tal fin solo están disponibles las entidades emisoras que están guardadas en la memoria de certificados del proyecto SCT actual.

5. Elija un período de validez para el certificado. Por defecto, se introduce en los campos "Válido desde:" y "Válido hasta:" el valor del certificado actual.

6. Introduzca los valores siguientes en función del certificado:

Certificado a renovar Parámetros

Solicitante Nombre alternativo del solicitante Certificado CA del proyecto Nombre del certificado CA - Certificado CA de grupo VPN

Nombre del certificado CA -

Certificado SSL para CP S7 Nombre del módulo de seguridad

Direcciones IP de las interfaces Gigabit y PROFINET, separadas por una coma.

Certificado SSL para CP PC Nombre del módulo de seguridad

Dirección IP del módulo de seguridad.



Certificado a renovar Parámetros

Solicitante Nombre alternativo del solicitante Certificado SSL para SCALANCE S, SCALANCE M y SOFTNET Security Client

Nombre del módulo de seguridad

-

Certificado de grupo VPN de un módulo de seguridad

Nombre del certificado del grupo VPN

Derivado del CA.

2.9.3 Reemplazar certificados

Significado En este cuadro de diálogo se reemplaza el certificado CA existente en el proyecto o el certificado CA de un grupo VPN por uno nuevo.

Cómo se accede a esa función 1. Haga clic con la tecla derecha del ratón en una entrada de la lista en la ficha "Entidades

emisoras".

2. Elija la entrada "Reemplazar certificado...".

3. Aparece el cuadro de diálogo "Cambiar entidad emisora".

Todos los certificados que aparecen en el campo "Certificados afectados" se vuelven a derivar. De este modo es posible reemplazar el certificado CA de un grupo VPN configurado previamente dentro del proyecto SCT por el certificado CA de un grupo VPN de otro proyecto SCT. Los certificados de grupos VPN para los dispositivos del grupo VPN se derivan por tanto en ambos proyectos del mismo certificado CA.

Si al cerrar el administrador de certificados aparece un cuadro de diálogo de advertencia, vuelva a cargar la configuración modificada en el módulo de seguridad.

¿Qué formato puede tener el certificado? Del certificado CA importado se derivan otros certificados en SCT. Por lo tanto solo se pueden seleccionar certificados con clave privada:

● *.p12


Crear módulos y ajustar parámetros de red 3

El presente capítulo le familiariza con la creación de módulos y con los ajustes que se pueden efectuar en un proyecto para los distintos módulos.

Otras informaciones La ayuda en pantalla le proporcionará también información detallada sobre los diálogos y los parámetros ajustables.


Nota Prestaciones y tipos de equipos

Tenga en cuenta cuáles son las funciones asistidas por el tipo de equipo que utilice.

Consulte también Funciones online - Test, Diagnóstico y Logging (Página 253)

Cómo se accede a esa función 1. En el área de navegación, seleccione el objeto "Todos los módulos".

2. Elija el comando de menú "Insertar" > "Módulo".

3. Realice los siguientes ajustes.



Parámetro Significado Tipo de producto Tipo de producto utilizado al crear un módulo.

SCALANCE S SOFTNET Configuration (SOFTNET Security Client, SCALANCE M87x/MD74x, cliente NCP VPN, dispositivo VPN)

Módulo Dependiendo de la selección del tipo de producto, aquí se puede indicar el tipo de módulo que se utilizará al crear un módulo nuevo. Elija la opción "Cliente NCP VPN para Android" para agregar un dispositivo cliente VPN que represente a un dispositivo que tenga instalado el software NCP Secure VPN Client for Android. Elija la opción "Dispositivo VPN" para agregar un dispositivo cliente VPN que represente a un dispositivo de otro fabricante. Nota El archivo de configuración derivado solamente representa una ayuda para la configuración de la conexión VPN, pero no garantiza la compatibilidad con productos de otros fabricantes.

Versión del firmware Para los módulos SCALANCE S, el SOFTNET Security Client y los clientes NCP VPN (Android), se pueden indicar aquí las versiones de firmware/software. Para los módulos SCALANCE M se puede elegir aquí entre SCALANCE M875/MD74x y SCALANCE M874-x.

Nombre del módulo Nombre del módulo de libre elección. Dirección MAC Introducción de la dirección MAC del módulo. Dirección IP (ext.) Dirección IP de la interfaz externa.

La dirección IP consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto, p. ej. 141.80.0.16

Máscara de subred (ext.) Rango de valores de la máscara de subred. Se propone acorde con la dirección IP indicada. La máscara de subred consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej. 255.255.0.0

Enrutamiento por interfaz externo/interno

Selección del modo de operación para el módulo de seguridad. Para SCALANCE S están disponibles los modos de operación siguientes: • Modo de puente • Modo de enrutamiento Si se selecciona el modo de enrutamiento, hay que configurar una dirección IP y una máscara de subred para la interfaz interna del módulo de seguridad.

Dirección IP (int.) Solo debe indicarse si está activado el modo de enrutamiento

Dirección IP de la interfaz interna. La dirección IP consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej., 141.90.10.10



Parámetro Significado Máscara de subred (int.) Solo debe indicarse si está activado el modo de enrutamiento

Rango de valores de la máscara de subred. La máscara de subred se propone acorde con la dirección IP indicada. La máscara de subred consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej. 255.255.0.0

Guardar selección Si activa esta función, la configuración ajustada en ese momento se aplicará en los valores de inicialización estándar. Al insertar módulos nuevos ya no se abrirá el cuadro de diálogo "Selección de un módulo o configuración de software", sino que en el proyecto se insertará directamente un módulo acorde con los ajustes definidos. Para cancelar de nuevo esta función y seleccionar otro tipo de módulo, desactive la función en la siguiente ruta de menú: "Proyecto" > "Propiedades..." > "Valores de inicialización predeterminados"

Nota Ajustes adicionales

Realice otros ajustes de interfaz en la pestaña "Interfaces" de las propiedades de módulo. Encontrará información al respecto en el capítulo: • Configurar interfaces (SCALANCE S) (Página 100)

Crear CPs en STEP 7 Los CPs solo se crean en STEP 7. Aparecen en la lista de módulos configurados en SCT después de crear el módulo y definirlo como módulo de seguridad en las propiedades de módulo de STEP 7. Los datos de dirección se adoptan desde STEP 7 y no pueden modificarse en SCT.

Consulte también Parámetros del área de contenido (Página 98)

Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 267)

Dirección MAC (Página 269)

Crear módulos y ajustar parámetros de red 3.1 Parámetros del área de contenido


3.1 Parámetros del área de contenido

Cómo abrir la vista En el área de navegación, seleccione el objeto "Todos los módulos".

Para los CP solamente se pueden editar los contenidos de la columna "Comentario".

Se visualizan por columnas las siguientes propiedades de los módulos:

Propiedad/columna Significado Comentario/selección N.º Número de módulo correlativo se asigna automáticamente Nombre Denominación unívoca del módulo de libre elección Tipo Tipo de dispositivo Nota

Para dispositivos del tipo "SOFTNET Security Client" y "Cliente NCP VPN para Android" no existe diálogo de propiedades. Para módulos SCALANCE M se pueden configurar ajustes para las interfaces externa e interna en las propiedades de módulo. Para dispositivos VPN se pueden adaptar los tipos de archivo de los archivos de configuración que se van a exportar en las propiedades de módulo.

Dirección IP ext. Dirección IP a través de la cual se puede acceder al dispositivo en la red externa, p. ej. para cargar la configuración

Asignación adecuada para la red.

Máscara de subred ext. Máscara de subred para la dirección IP externa

Asignación adecuada para la red.

Dirección IP int. Dirección IP a través de la cual se puede acceder al dispositivo en la red interna si está configurado como router

Asignación adecuada para la red. El campo de entrada solo puede editarse si está activado el modo de enrutamiento.

Máscara de subred int. Máscara de subred para la dirección IP interna

Asignación adecuada para la red. El campo de entrada solo puede editarse si está activado el modo de enrutamiento.

Router estándar Dirección IP del router estándar Asignación adecuada para la red. Dirección MAC Dirección de hardware del módulo La dirección MAC está impresa en

la carcasa del módulo. Comentario Información sobre el módulo y la

subred protegida por el módulo de libre elección

Crear módulos y ajustar parámetros de red 3.1 Parámetros del área de contenido


Modificar los parámetros de dirección para SCALANCE S Para SCALANCE S es posible introducir y modificar algunos parámetros de dirección en el área de contenido.

Significado de los parámetros de dirección para CPs

Para los CPs se muestran las siguientes direcciones de STEP 7:

Campo en SCT CP x43-1 Adv. CP 1628 Dirección IP ext. Dirección IP Gigabit Dirección IP IE (Industrial Ethernet) Dirección IP int. Dirección IP PROFINET No se muestra Máscara de subred ext

Máscara de subred Gigabit Máscara de subred IE

Máscara de subred int.

Máscara de subred PROFINET No se muestra

Router estándar Router estándar configurado en STEP 7

Router estándar configurado en STEP 7

Dirección MAC Dirección MAC Gigabit (si está configurada)

Dirección MAC IE (si está configurada)

También se muestran los datos de dirección en la ficha "Interfaces".

Dirección IP asignada dinámicamente

Si en STEP 7 se ha configurado que la dirección IP se asigne dinámicamente, dependiendo de los ajustes en SCT se indicará lo siguiente:

Tabla 3- 1 Interfaz Gigabit

Modo de operación en STEP 7 Dirección IP ext. / máscara de subred ext. (campos en SCT) Obtener la dirección IP de un servidor DHCP

dinámica

Tabla 3- 2 Interfaz PROFINET

Modo de operación en STEP 7 Dirección IP int. / máscara de subred int. (campos en SCT) Obtener la dirección IP de un servidor DHCP

dinámica

Ajustar la dirección IP en el programa de usuario Ajustar la dirección IP por otra vía

Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces (SCALANCE S)


3.2 Configurar interfaces (SCALANCE S)

3.2.1 Resumen de posibilidades de conexión

Posibilidades de conexión admisibles Cada módulo de seguridad dispone de un número concreto de puertos a los que se conectan los dispositivos de red. En función de la interfaz correspondiente, los dispositivos de red reciben un tratamiento distinto.

Módulo de seguridad

Interfaz Dirección MAC de la interfaz*

Puerto de la interfaz

Tipo de puerto Dirección MAC del puerto*

SCALANCE S602 / S612 / S613

Externa Dirección MAC (ver impresión)

P1 Conector hembra RJ45 fijo (cobre)

Dirección MAC + 2

Interna Dirección MAC + 1


Dirección MAC + 3

SCALANCE S623



Dirección MAC + 3



Dirección MAC + 4

DMZ Dirección MAC + 2


Dirección MAC + 5

SCALANCE S627-2M



Dirección MAC + 3

P4 Puerto para módulo de medios (cobre/FO)

Dirección MAC + 4


Dirección MAC + 5



Dirección MAC + 6


Dirección MAC + 7


Dirección MAC + 8

DMZ Dirección MAC + 2


Dirección MAC + 9

* Durante el funcionamiento en el modo de puente, la dirección MAC impresa es válida siempre tanto en la interfaz externa como en la interna.

Las direcciones MAC de las interfaces se utilizan para todos los servicios excepto LLDP.



Las direcciones MAC de los puertos se utilizan para detectar la topología con LLDP (solo para módulos en el modo de enrutamiento).

Nota

Las interfaces Ethernet no deben intercambiarse a la hora de conectarlas a la red de comunicación: • Interfaz X1 - externa

Marca roja = área de red no protegida; • Interfaz X2 - interna

Marca verde = red protegida por SCALANCE S; • Interfaz X3 - DMZ (interfaz de red universal)

Marca amarilla = área de red no protegida o área de red protegida mediante SCALANCE S.

Si se intercambian las interfaces, el dispositivo pierde su función de protección.

Funciones de la interfaz DMZ La zona desmilitarizada (DMZ) se utiliza para poner servicios a disposición de una red externa, pero la red interna que proporciona los datos debe permanecer desacoplada de la red externa. En el DMZ puede haber p. ej. servidores de terminal con programas de mantenimiento y diagnóstico instalados que permitan accesos definidos a sistemas determinados en la red segura. Solo tienen acceso usuarios autorizados o clientes de la red no segura o clientes conectados vía VPN. Las reglas de cortafuegos pueden configurarse de tal forma que sea posible acceder desde Internet a dispositivos en la DMZ, pero no a la red interna. Para una mayor protección, los accesos permitidos solo pueden limitarse al tráfico de datos por VPN. En el capítulo "4.2 SCALANCE S como cortafuegos entre red externa y DMZ" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza para instalar una DMZ. Para poder asignar una dirección IP dinámica también a dispositivos de la DMZ, se puede activar en la interfaz DMZ un servidor DHCP. No obstante, en ese caso hay que garantizar que los dispositivos de la DMZ reciban por DHCP siempre la misma dirección IP, ya que esas son las direcciones IP que deben utilizarse en la configuración de cortafuegos. Así, en la configuración DHCP no se puede utilizar la asignación dinámica de direcciones, sino solo la estática a partir de la dirección MAC o de la ID de cliente.

La interfaz DMZ puede utilizarse como punto final VPN. En combinación con un módem DSL, la interfaz DMZ funciona entonces en modo PPPoE o bien en combinación con un router DSL previo con dirección IP estática. En el capítulo "5.2 Túnel VPN entre SCALANCE S623 y SCALANCE S612" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza para el acceso remoto a través de un túnel VPN.



Puertos para módulo de medios de las interfaces externa e interna Además de las funciones de SCALANCE S623, el SCALANCE S627-2M posee dos slots de módulo de medio, en los que se puede usar respectivamente un módulo de medio eléctrico u óptico de 2 puertos. Las interfaces externa e interna se amplían de esta forma con dos puertos cada una. Si para una interfaz se utiliza el módulo de medio "MM992-2SFP", en el módulo de medio de esta interfaz se pueden utilizar hasta dos transceptores SFP (Small Form-factor Pluggable Transceiver) eléctricos u ópticos. Los puertos adicionales se pueden utilizar para la conexión de las interfaces externa e interna del SCALANCE S627-2M a anillos MRP/HRP.

Los puertos para módulos de medios están conectados al puerto fijo de la interfaz correspondiente a través de un bloque switch. Entre los puertos conectados a través de un bloque switch no existe funcionalidad de cortafuegos (nivel 2/nivel 3). A todos los puertos conectados a través de un bloque switch se accede por la misma dirección IP.



Funciones de las diferentes interfaces Las siguientes funciones pueden utilizarse en las distintas interfaces:

Función Verde (interno) Rojo (externo) Amarillo (DMZ)

Dirección IP estática x x x Acceso WAN con router DSL

- x x

Acceso WAN con router DSL (PPPoE, dirección IP dinámica del ISP)

- x (si no es en la interfaz

amarilla)

x (si no es en la interfaz

roja)

Modo de puente x - Modo de enrutamiento x x x Modo Ghost

- x

-

Servidor DHCP x - x Punto final de una conexión por túnel VPN (con módem DSL y router DSL)

- x x

Cliente MRP/HRP (en modo de enrutamiento, puertos en anillo en los módulos de medio)

x x -

LLDP (en modo de enrutamiento)

x x x

Passive Listening (en modo de enrutamiento, si hay módulos de medio insertados)

x x -

x se soporta

- no se soporta

Modo dúplex/semidúplex Para un puerto existe la posibilidad de seleccionar un modo dúplex o semidúplex:

● Semidúplex: el módulo de seguridad solo puede o recibir o enviar datos en un momento determinado.

● Dúplex: el módulo de seguridad puede recibir y enviar datos simultáneamente en un momento determinado.



Nota Modo dúplex y velocidad de transferencia en puertos ópticos

Para puertos del tipo "Óptico", el modo de puerto está predeterminado por el módulo de medio o el SFP utilizados y no se puede adaptar.

3.2.2 Interfaces

Cómo se accede a esa función: 1. Seleccione el módulo que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Interfaces".

Enrutamiento de interfaz - Posibilidades de elección Si el módulo de seguridad no se encuentra ni en un grupo VPN ni en una relación de redundancia, es posible modificar el enrutamiento por interfaz en este campo. La selección es válida para el enrutamiento de interfaces entre la interfaz externa y la interna. La interfaz DMZ (solo SCALANCE S623 y SCALANCE S627-2M) siempre está conectada en el modo de enrutamiento.

Modo de puente Para el uso en redes planas Las interfaces externa e interna

están en la misma subred IP. Para S623 / S627-2M: las interfaces externa e interna están en la misma subred IP, la interfaz DMZ está en otra subred IP o está desactivada.

Modo de enrutamiento Todas las interfaces están en diferentes subredes IP. Nota Si ha activado el modo de enrutamiento para el módulo SCALANCE S, no podrán definirse reglas para cortafuegos MAC.

Modo Ghost Durante el funcionamiento, el módulo de seguridad adopta para la interfaz externa la dirección IP del dispositivo que está conectado a la interfaz interna del módulo de seguridad. Los datos de dirección IP que deben indicarse para la interfaz externa sirven únicamente para cargar la configuración. Nota El modo Ghost solo puede seleccionarse en la ficha "Interfaces" si el proyecto está en modo avanzado.



Configuración de las interfaces Si debe configurarse la interfaz externa o la interfaz DMZ (solo SCALANCE S623 / S627-2M) de un módulo de seguridad, deben estar activadas a través de la casilla de verificación "Activar interfaz". Defina las direcciones IP de cada interfaz y los ajustes de los puertos individuales. Para asignar una dirección IP están disponibles los modos de asignación siguientes para la interfaz externa y la interfaz DMZ (solo SCALANCE S623 / S627-2M):

● Dirección IP estática con máscara de subred

● Asignación de dirección mediante PPPoE

La interfaz interna solo puede configurarse utilizando una dirección IP estática.

Si se han registrado direcciones IP alias en una interfaz mediante la configuración de una regla NAT/NATP, se mostrarán en el campo "Direcciones IP alias".

Nota Interfaz externa e interfaz DMZ como acceso a Internet

No es posible el funcionamiento simultáneo de PPPoE en la interfaz externa y en la interfaz DMZ (Dual-ISP).

Significado de la dirección IP de túnel Si utiliza la función "NAT/NAPT en túnel VPN", debe asignar una dirección IP alias de túnel para los módulos de seguridad. Con ello se garantiza la accesibilidad de los módulos de seguridad a través del túnel VPN, así como la posibilidad de configuración y diagnóstico. La dirección IP configurada es la primera dirección IP alias de túnel del módulo de seguridad en el túnel VPN y se puede completar con direcciones IP alias de túnel con ayuda de las correspondientes reglas NAT/NAPT. La máscara de subred está predefinida de forma fija con 32 bits para la dirección IP alias de túnel y no se puede modificar. La dirección IP alias de túnel solo se puede configurar si se cumplen los siguientes requisitos:

● El módulo de seguridad se encuentra en un grupo VPN.

● El proyecto se encuentra en el modo avanzado.

Encontrará más información sobre la conversión de direcciones con NAT/NAPT en túneles VPN en el siguiente capítulo: Conversión de direcciones con NAT/NAPT en túneles VPN (Página 186)

Point to Point Protocol over Ethernet (PPPoE) Para permitir una conexión Internet/WAN directamente a través de un módem DSL, la asignación de la dirección IP se realiza en la interfaz externa o en la interfaz DMZ mediante PPPoE. PPPoE es un protocolo de llamada para la obtención de direcciones IP desde un Internet Service Provider (ISP). SCALANCE S funciona en ese caso en modo de enrutamiento.



Para utilizar este método de asignación de dirección IP, introduzca los datos del ISP en la ficha "Conexión a Internet". La dirección IP, la máscara de subred, el router estándar y el servidor DNS de la interfaz son entonces predefinidos por el ISP.

Nota

Si hay configurado un router predeterminado, este no se tiene en cuenta si se utiliza PPPoE. Será preasignado dinámicamente al módulo por el ISP.

Nota Ningún componente de red entre SCALANCE S y el módem DSL

Si la interfaz de un módulo SCALANCE S funciona mediante PPPoE, no debe haber ningún otro componente de red entre dicha interfaz y el módem DSL conectado, ya que los datos de marcación del Internet Service Provider se transfieren sin codificar en este tramo debido a necesidades de protocolo.



Ajustes de puertos Columna Significado ID de puerto ID asignada automáticamente para el puerto de la interfaz. Tipo de puerto Propiedad física del puerto (cobre/fibra óptica) Modo de puerto Autonegotiation La velocidad de transferencia y el modo dúplex/semidúplex

se seleccionan automáticamente. Nota Solo si Autonegotiation está seleccionada se soportan una velocidad de transferencia de 1000 Mbits/s y la función Autocrossing.

10 Mbits/s, dúplex y semidúplex Velocidad de transferencia de 10 Mbits/s. 100 Mbits/s, dúplex y semidúplex Velocidad de transferencia de 100 Mbits/s. Desactivado (solo puerto externo o puerto DMZ con SCALANCE S623 y SCALANCE S627-2M)

El puerto se desactiva.

Nota Los puertos para módulos de medios que utilizan cables de fibra óptica como medio de transmisión siempre funcionan en modo dúplex a la máxima velocidad de transmisión. Por tanto, el modo de los puertos de los módulos de medios ópticos no se puede configurar.

Modo LLDP (en modo de enrutamiento)

RxTx Enviar y recibir telegramas LLDP

Encontrará más información sobre LLDP en el capítulo siguiente: LLDP (Página 112)

Rx Recibir telegramas LLDP

Puerto MRP (en modo de enrutamiento para los puertos de módulo de medios de las interfaces externa e interna)

Se indica si los puertos de módulo de medios de la interfaz están conectados a un anillo MRP. Si es el caso, se muestran las cadenas de caracteres "RingportOne" y "RingportTwo" en las filas de las tablas de los puertos del módulo de medios. Para los puertos con la ID "X1 P1" y "X2 P1" se muestra de forma predeterminada la cadena de caracteres "None" (ninguno), pues estos puertos no pueden participar en un anillo MRP. Encontrará información general sobre la redundancia de medios con MRP en el siguiente capítulo: Redundancia de medios con MRP/HRP (Página 112) Encontrará información sobre la configuración de MRP para el módulo de seguridad en el siguiente capítulo: Configuración de MRP/HRP para el módulo de seguridad (Página 114)

Puerto HRP (en modo de enrutamiento para los puertos de módulo de medios de las interfaces externa e interna)

Se indica si los puertos de módulo de medios de la interfaz están conectados a un anillo HRP. Si es el caso, se muestran las cadenas de caracteres "RingportOne" y "RingportTwo" en las filas de las tablas de los puertos del módulo de medios. Para los puertos con la ID "X1 P1" y "X2 P1" se muestra de forma predeterminada la cadena de caracteres "None" (ninguno), pues no pueden participar en un anillo HRP. Encontrará información general sobre la redundancia de medios con HRP en el siguiente capítulo: Redundancia de medios con MRP/HRP (Página 112) Encontrará información sobre la configuración de HRP para el módulo de seguridad en el siguiente capítulo: Configuración de MRP/HRP para el módulo de seguridad (Página 114)

Comentario Comentario de libre elección



Configuración de módulos de medio Haga clic en el botón "Configurar módulo de medio..." para abrir el diálogo de configuración del módulo de medio para la correspondiente interfaz.

Los dos modos de configuración siguientes están disponibles:

● "Automático" (ajuste estándar): el módulo de medio utilizado se detecta automáticamente durante el funcionamiento. El modo de puerto se ajusta para los dos puertos a "Autonegotiation".

● "Manual": seleccione el tipo de módulo de medio utilizado en la lista desplegable "Tipo de módulo". Cuando selecciona el tipo de módulo de medio "MM992-2SFP", podrá elegir el transceptor enchufable SFP deseado a través de las dos listas desplegables "Tipo de SFP". Para puertos del tipo "Cobre", la velocidad de transferencia y el modo dúplex se pueden seleccionar manualmente a través del modo de puerto. Para puertos del tipo "Óptico", el modo de puerto está predeterminado por el módulo de medio o el SFP utilizados y no se puede adaptar.

Consulte también Particularidades del modo Ghost (Página 115)

Resumen de posibilidades de conexión (Página 100)

3.2.3 Conexión a Internet

Cómo se accede a esa función: 1. Seleccione el módulo de seguridad que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Conexión a Internet".

Significado Si se ha ajustado una conexión a través de PPPoE para una de las interfaces del módulo de seguridad, realice los ajustes para el Internet Service Provider (ISP) en esta ficha.

Tabla 3- 3 Ajustes de la cuenta ISP

Función Descripción Nombre de usuario Introduzca el nombre para el inicio de sesión en la cuenta ISP. Contraseña Introduzca la contraseña para el inicio de sesión en la cuenta

ISP.



Función Descripción Repetir contraseña Vuelva a introducir la contraseña para el inicio de sesión en la

cuenta ISP. Autenticación Seleccione uno de los siguientes protocolos de autenticación o

ninguno: • PAP (Password Authentication Protocol) • CHAP (Challenge Handshake Authentication Protocol) Nota Ambos interlocutores deben utilizar el mismo método de autenticación; de lo contrario no es posible establecer ninguna conexión.

Tabla 3- 4 Ajustes de la conexión

Función Descripción Conexión permanente Conexión continua a Internet. Si el proveedor deshace la

conexión, esta se vuelve a establecer automáticamente, aunque no haya que enviar ningún paquete en ese momento.

Conexión bajo demanda La conexión a Internet se establece automáticamente si hay que enviar paquetes a Internet. Con este ajuste son posibles retardos al enviar los paquetes.

Desconexión forzada (solo con el ajuste "Conexión permanente")

El proveedor deshace la conexión a Internet automáticamente tras un tiempo determinado. Si indica una hora en el campo "Desconexión forzada", el módulo de seguridad interrumpirá por sí mismo la conexión a Internet a esa hora. Esto permite, en determinadas circunstancias, aplazar una desconexión de Internet por parte del proveedor. Una desconexión forzada por iniciativa propia solo es posible si existe una conexión permanente. Entradas permitidas: 00:00 ... 23:59

Tiempo máx. de inactividad (solo con el ajuste "Conexión bajo demanda")

Si no se envía ningún paquete dentro de un tiempo determinado, la conexión a Internet se deshace automáticamente. En el campo "Tiempo máx. de inactividad", indique el tiempo en segundos pasado el cual debe interrumpirse la conexión. Valores permitidos: 10 … 3600.



3.2.4 DNS dinámico (DDNS)

Significado Con un DNS dinámico se puede acceder con un nombre determinado (FQDN) a una dirección IP siempre cambiante. Esto es necesario p. ej. para acceder a un servidor disponible a través de una dirección IP pública cambiante.

Funcionamiento El módulo de seguridad notifica a un proveedor de DNS dinámico (p. ej. DynDNS.org, no-ip.com) la dirección IP WAN actual a través de la cual se puede acceder al módulo de seguridad. El proveedor garantiza que las peticiones de DNS al FQDN del módulo de seguridad se respondan con la dirección IP WAN actual del módulo de seguridad.

El DNS dinámico está permitido en las siguientes interfaces:

● Interfaz externa

● Interfaz DMZ

Requisitos para configurar el DNS dinámico Requisitos:

● Se ha creado una cuenta para un proveedor de DNS dinámico y se ha registrado un FQDN.

Procedimiento para instalar el DNS dinámico: 1. En las propiedades del módulo de seguridad, elija la ficha "DNS".

2. Si el módulo de seguridad se encuentra tras un router DSL o módem DSL, indique la dirección de un servidor DNS válido. Para ello existen dos opciones:

Opción Significado Obtener automáticamente la dirección del servidor DNS

La dirección del servidor DNS puede obtenerse automáticamente mediante PPPoE, siempre que el módulo de seguridad esté conectado a Internet a través de un módem DSL. Solo puede ajustarse para la interfaz externa y la interfaz DMZ.

Utilizar la siguiente dirección de servidor DNS: Introduzca manualmente la dirección del servidor DNS preferido y del alternativo.



3. Active la casilla de verificación "Activar servicio" en el área "Servicio DynDNS primario" y realice los ajustes siguientes:

Ajuste Significado Proveedor Elija el proveedor en el que ha configurado una

cuenta para DNS dinámico. Cuenta de usuario en el proveedor Introduzca el nombre de usuario que definió al

crear la cuenta. Contraseña en el proveedor Introduzca la contraseña que definió al crear la

cuenta. FQDN Introduzca el nombre de host (p. ej.

mysecuritydevice) y el nombre de dominio (p. ej. dyndns.org) registrado en el proveedor separados por un punto. Si en la ficha "VPN" se ha introducido también un FQDN, ambos deben coincidir.

Vigilar el cambio de dirección IP en el router DSL

Si el módulo de seguridad está conectado a Internet a través de un router DSL, activando esta función se activa el servicio de comprobación de IP. El módulo de seguridad envía periódicamente peticiones para determinar la dirección IP actual del router DSL y para detectar un cambio de dirección IP en el router DSL. La dirección IP determinada de este modo se envía al proveedor cada vez que se detecta un cambio.

Periodo Indique en qué ciclo debe llamarse el servicio de comprobación de IP. Valores permitidos: 10 … 1440 minutos

4. Especifique un proveedor adicional para el caso de que fallase el primario en la ficha "Servicio DynDNS secundario" (ajuste opcional).

Procedimiento para instalar un proveedor personalizado: En la lista desplegable "Proveedor", seleccione la entrada "definido por el usuario" y realice además las entradas siguientes:

Ajuste Significado URL de actualización de proveedor

En el caso de los proveedores predefinidos (DynDNS.org y No-IP.com), la URL ya aparece indicada.

URL de servicio de comprobación de IP

En el caso de los proveedores predefinidos (DynDNS.org y No-IP.com), la URL ya aparece indicada.

Ignorar errores al verificar el certificado del servidor

Para que los datos de autenticación estén protegidos, el certificado del servidor de actualización se verifica de forma estándar. Si la verificación del certificado falla, la conexión HTTPS se termina y los datos de la cuenta no se transmiten. Si se activa la casilla de verificación, la función se desactiva, p. ej. si el certificado de servidor del servicio DNS dinámico no es válido (p. ej. porque ha caducado). Se recomienda no ignorar la comprobación y no activar la casilla de verificación.



3.2.5 LLDP

Significado LLDP (Link Layer Discovery Protocol) es un protocolo que se utiliza para detectar topologías de red. Un dispositivo apto para LLDP está en condiciones de enviar regularmente información sobre sí mismo a dispositivos vecinos y, al mismo tiempo, recibir información de ellos. La información recibida se almacena en cada dispositivo apto para LLDP en un archivo LLDP MIB. Los sistemas de gestión de redes pueden acceder a estos archivos LLDP MIB con ayuda de SNMP y así emular la topología de red existente.

Parámetros configurables El grado de actividad del módulo de seguridad en relación con LLDP se puede configurar en la pestaña "Interfaces" de las propiedades de módulo del siguiente modo:

● Enviar y recibir telegramas LLDP (ajuste predeterminado, "RxTx")

● Recibir telegramas LLDP ("Rx")

3.2.6 Redundancia de medios en topologías de anillo

3.2.6.1 Redundancia de medios con MRP/HRP

Significado Bajo el término "Redundancia de medios" se engloban distintos procedimientos para incrementar la disponibilidad de redes Industrial Ethernet en las que se puede acceder a dispositivos por diversas vías. Esto puede tener lugar por entrelazamiento de redes, conexión en paralelo de vías de transmisión o cerrando una topología lineal dándole forma de topología de anillo.

Métodos de redundancia de medios MRP y HRP Para los productos SIMATIC NET existe redundancia de medios dentro de una topología de anillo con los métodos MRP (Media Redundancy Protocol) y HRP (High Speed Redundancy Protocol).



En los dos métodos se configura uno de los dispositivos como gestor de redundancia. Los demás dispositivos son clientes de redundancia. Los módulos SCALANCE S627-2M pueden adoptar exclusivamente el rol de un cliente MRP o HRP. El gestor de redundancia comprueba con telegramas de prueba la ausencia de interrupciones en el anillo. Los clientes de redundancia reenvían los telegramas de prueba. Si los telegramas de prueba del gestor de redundancia dejan de llegar al puerto en anillo del gestor de redundancia debido a una interrupción del anillo, el gestor de redundancia conecta sus dos puertos en anillo e informa inmediatamente del cambio a los clientes de redundancia.

Los dos métodos de redundancia de medios MRP y HRP funcionan según el mismo principio. Se diferencian en el tiempo que necesitan los switches SCALANCE X para conectar sus puertos en anillo como gestor de redundancia:

● MRP: 200 ms

● HRP: 300 ms

Nota sobre el uso de MRP y HRP ● MRP y HRP son compatibles con topologías de anillo con un máximo de 50 dispositivos.

Una superación del número de dispositivos puede hacer que falle el tráfico de datos.

● Se recomienda ajustar los puertos en anillo en cuestión a dúplex y 100 Mbits/s. En otro caso puede fallar el tráfico de datos.

Posibilidades de uso de MRP/HRP en puertos para módulos de medios MRP/HRP se soporta exclusivamente en puertos para módulos de medios de SCALANCE S627-2M. La siguiente tabla muestra las posibilidades de uso de MRP/HRP en los puertos para módulos de medios de SCALANCE S627-2M:

Puertos en anillo Módulo de medio 1 Módulo de medio 2

P4 P5 P6 P7 Cliente MRP o cliente

HRP* - - - -

Anillo 1 Anillo 1 - - - - Anillo 2 Anillo 2

Anillo 1 Anillo 1 Anillo 2 Anillo 2

* La conexión simultánea del módulo de seguridad a un anillo interno y a un anillo externo solo es posible si se conecta al menos una de las interfaces como cliente MRP.

Si hay dos anillos subordinados por cada módulo SCALANCE S, es posible la comunicación en el nivel 3 entre los anillos.



3.2.6.2 Configuración de MRP/HRP para el módulo de seguridad

Requisito El módulo de seguridad está en modo de enrutamiento.

Así se llega a esa función 1. Seleccione el módulo de seguridad que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "MRP/HRP".

Parámetros configurables Parámetros Significado Posibilidades de selección Interfaces MRP/HRP Selección de la interfaz a la

que debe conectarse el anillo MRP/HRP.

• Externa • Interna

Rol de redundancia de medios Selección del protocolo de redundancia de medios o desactivación de la redundancia de medios para la interfaz seleccionada.

• No participante en el anillo • Cliente MRP (ajuste estándar) • Cliente HRP

Activar 'passive listening' Active esta casilla de verificación si desea que la interfaz seleccionada se acople a redes externas en las que se utilice STP/RSTP (Spanning-Tree-Protocol/Rapid-Spanning-Tree-Protocol).

• Activar "passive listening" (ajuste estándar)

• Desactivar "passive listening"

Dominio MRP (solo si se selecciona el rol de redundancia de medios "Cliente MRP")

Con ayuda de los dominios MRP se definen las estaciones de un anillo MRP. Para las interfaces de todos los módulos que deban estar conectados a un mismo anillo MRP, debe estar seleccionado el mismo dominio MRP.

De forma predeterminada, para la interfaz externa está seleccionado el dominio MRP predefinido "mrpdomain-1". A través de los botones "Agregar...", "Editar..." y "Eliminar" pueden agregarse dominios MRP, editar los nombres de dominios MRP existentes o borrar estos dominios.

Puerto en anillo 1 (solo si se selecciona el rol de redundancia de medios "Cliente MRP" o "Cliente HRP")

Nombre del primer puerto en anillo de la interfaz seleccionada en "Interfaz", si se ha seleccionado para ella el rol de redundancia de medios "Cliente MRP" o "Cliente HRP".

-



Parámetros Significado Posibilidades de selección Puerto en anillo 2 (solo si se selecciona el rol de redundancia de medios "Cliente MRP" o "Cliente HRP")

Nombre del segundo puerto en anillo de la interfaz seleccionada en "Interfaz", si se ha seleccionado para ella el rol de redundancia de medios "Cliente MRP" o "Cliente HRP".

-

Dispositivo MRP (solo si se selecciona el rol de redundancia de medios "Cliente MRP")

Visualización de información para todos los módulos de seguridad que pertenezcan al mismo dominio MRP que la interfaz seleccionada.

-

Resultado Ha conectado el módulo de seguridad al anillo MRP/HRP a través de la interfaz seleccionada. Los puertos para módulos de medios cuyas interfaces están conectadas a los anillos MRP/HRP se muestran adicionalmente en la ficha "Interfaces" de las propiedades de módulo.

Regla que debe considerarse en la prueba de coherencia Al realizar sus entradas debe tener en cuenta la regla indicada a continuación:

● Los nombres de los dominios MRP solo deben contener letras minúsculas, cifras y el carácter "-". Los nombres deben comenzar y terminar con una letra minúscula o una cifra.


3.2.7 Particularidades del modo Ghost

Significado En modo Ghost, el módulo de seguridad no tiene dirección IP propia ni en la interfaz interna ni en la externa. En su lugar, el módulo de seguridad obtiene en el tiempo de ejecución la dirección IP para su interfaz externa de un dispositivo que está conectado a la interfaz interna del módulo de seguridad y cuyos parámetros de dirección IP pueden ser desconocidos al realizar la configuración. Es posible modificar la dirección IP del dispositivo interno y, por consiguiente, la dirección IP de la interfaz externa. Puesto que el dispositivo interno se identifica por su dirección MAC, los cambios de direcciones IP solo se realizan para la dirección MAC aprendida. En la interfaz interna del módulo de seguridad no se configura ni obtiene ninguna dirección IP.



En lo que se refiere a direcciones MAC, el módulo de seguridad cambia la dirección MAC del dispositivo interno por la dirección MAC del módulo de seguridad en todos los paquetes de datos que salen por la interfaz externa (respuestas del dispositivo interno).

Activación del modo Ghost - procedimiento: Requisitos: el modo Ghost solo puede seleccionarse si el proyecto está en modo avanzado.

1. Seleccione el módulo de seguridad que desea editar.


3. Seleccione la entrada "Modo Ghost" en la lista desplegable "Enrutamiento por interfaz externo/interno" de la ficha "Interfaces".

Propiedades configurables de módulo En el modo Ghost se pueden configurar las propiedades de módulo en las siguientes fichas:

● Interfaces

● Cortafuegos

● Sincronización horaria

● Ajustes de registro

● SNMP

● RADIUS

Requisitos para detectar un dispositivo interno El módulo de seguridad solo puede determinar la dirección IP del dispositivo interno si este inicia por cuenta propia una comunicación de datos en el sentido del módulo de seguridad. El módulo de seguridad, además, no ofrece servicios de servidor durante la determinación de la dirección IP. El módulo de seguridad no puede responder consultas de externa hasta que el dispositivo interno le haya enviado paquetes de datos.

Asignación de puertos para conexiones de datos entrantes y salientes Puesto que la interfaz externa del módulo de seguridad y el dispositivo interno tienen la misma dirección IP, hay que llevar a cabo un direccionamiento selectivo de los componentes de red a través de los puertos TCP/UDP. Por este motivo, los puertos están asignados bien al módulo de seguridad bien al dispositivo interno. En las tablas siguientes se representan las asignaciones de los puertos a los diferentes dispositivos para conexiones de datos entrantes y salientes:



Tabla 3- 5 Asignación de puertos para conexiones entrantes (de externa a módulo de seguridad)

Servicio Puerto Protocolo Comentario Servicios web, acceso de configuración y diagnóstico

443 TCP El puerto HTTPS está activado siempre para el acceso de configuración y diagnóstico mediante la Security Configuration Tool y no puede modificarse.

SNMP 161 TCP Tras activar SNMP en la Security Configuration Tool se transfieren peticiones SNMP entrantes a través del puerto UDP 161. También es posible una transferencia a través del puerto TCP 161 para poder acceder al dispositivo interno, por ejemplo. Nota Tras activar SNMP, el puerto SNMP está asignado de forma fija al módulo de seguridad. Si SNMP no está activado, utilizando una regla del cortafuegos es posible acceder al dispositivo interno vía SNMP.

UDP

Tabla 3- 6 Asignación de puertos para conexiones salientes (de módulo de seguridad a externa)

Servicio Puerto Protocolo Comentario Syslog 514 UDP Si el servicio Syslog de la

Security Configuration Tool está activado, los avisos Syslog son transferidos por el módulo de seguridad a través del puerto UDP 514. Esta asignación de puerto no puede modificarse.

NTP 123 UDP Si el servidor NTP se utiliza para la sincronización horaria, las peticiones NTP se transfieren a través del puerto UDP 123. Esta asignación de puerto no puede modificarse.



Direcciones IP y máscaras de subred reconocibles El módulo de seguridad reconoce exclusivamente los dispositivos internos que disponen de direcciones IP en el rango de las clases de red A, B o C. La máscara de subred es determinada por el módulo de seguridad de acuerdo con la clase de red correspondiente (véase la tabla "Clases de red y máscaras de subred correspondientes"). Para que la máscara de subred se pueda determinar correctamente, debe haberse introducido un router estándar para el dispositivo interno.

Los dispositivos con direcciones IP de las clases de red D y E son rechazados por el módulo de seguridad.

Tabla 3- 7 Clases de red y máscaras de subred correspondientes

Clase de red Direcciones IP

Máscara de subred

Límite inferior Límite superior A 0.0.0.0 127.255.255.255 255.0.0.0 B 128.0.0.0 191.255.255.255 255.255.0.0 C 192.0.0.0 223.255.255.255 255.255.255.0 D 224.0.0.0 239.255.255.255 Es rechazado por el módulo de

seguridad E 240.0.0.0 255.255.255.255 Es rechazado por el módulo de

seguridad

Capacidad El módulo de seguridad detecta como máximo un dispositivo interno. El módulo de seguridad se comporta del siguiente modo en caso de haber varios dispositivos internos:

● El primer dispositivo detectado por el módulo de seguridad en la red interna obtiene acceso al segmento de red externo siempre que el cortafuegos esté configurado a tal efecto.

● El tráfico de datos de otros dispositivos que pueda haber en el área de red interna se bloquea de acuerdo con la dirección del remitente a partir del nivel 2 (capa MAC).

Cargar configuraciones y diagnóstico después de la puesta en servicio Tras obtener una dirección IP del dispositivo interno, el módulo de seguridad tiene en la interfaz externa una dirección IP que puede diferir de la dirección IP con la que se configuró inicialmente el módulo de seguridad. Para modificar la configuración o para fines de diagnóstico es necesario reemplazar la dirección IP configurada inicialmente para la interfaz externa en la Security Configuration Tool por la dirección IP que el módulo de seguridad ha obtenido del dispositivo interno en el tiempo de ejecución.



Información de enrutamiento para redes jerárquicas en el puerto externo Si en la interfaz externa del módulo de seguridad hay redes jerárquicas con transiciones de subred, el módulo de seguridad debe obtener la información de enrutamiento correspondiente del dispositivo interno. Para ello, el dispositivo interno tiene que responder conforme a consultas ICMP dirigidas a él. No son necesarias las respuestas al Broadcast ICMP.


Configurar el cortafuegos 4

Significado La función de cortafuegos de los módulos de seguridad protege redes y estaciones de influencias externas e interferencias. De ese modo, solo se permiten relaciones de comunicación determinadas, definidas previamente. Los telegramas no autorizados son rechazados por el cortafuegos sin enviar una respuesta.

Para filtrar el tráfico de datos pueden utilizarse, entre otros, direcciones IP, subredes IP, números de puerto o direcciones MAC.

Las funciones de Firewall se pueden configurar para los siguientes niveles de protocolo:

● Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4)

● Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3 (capa 2)

El cortafuegos puede utilizarse para el tráfico de datos cifrado (túneles IPsec) y no cifrado.

Reglas de cortafuegos Las reglas de cortafuego describen qué paquetes se permiten o prohíben en qué dirección.

Reglas de cortafuegos automáticas para conexiones STEP 7

Para las conexiones configuradas en STEP 7 se crean automáticamente reglas de cortafuegos en la SCT, que habilitan al interlocutor. Se tienen en cuenta las direcciones de establecimiento de las conexiones.

Las reglas solo pueden verse en el modo avanzado y solo pueden modificarse en él.

Configurar el cortafuegos


Configuración Se deben distinguir las dos vistas de operación:

● En el modo normal se recurre a reglas de cortafuegos sencillas y predefinidas. Solo pueden habilitarse reglas específicas de servicio. Los servicios habilitados están permitidos para todos los dispositivos y se autoriza el pleno acceso para el sentido indicado.

● En el modo avanzado se pueden definir ajustes de cortafuegos detallados. Se pueden habilitar servicios determinados para estaciones individuales o permitir para la estación todos los servicios para el acceso a ella o la red.

En el modo avanzado hay que distinguir las siguientes reglas o conjuntos de reglas de cortafuegos:

– Las reglas de cortafuegos locales están asignadas a un módulo de seguridad en cada caso. Se configuran en el cuadro de diálogo de propiedades de los módulos de seguridad.

– Los conjuntos de reglas de cortafuegos globales se pueden asignar a uno o varios módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado.

– Los conjuntos de reglas IP específicos del usuario se pueden asignar a uno o varios módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado. SCALANCE S V4 (RADIUS): además de uno o varios usuarios, a los conjuntos de reglas IP específicos del usuario es posible asignarles uno o varios roles.

Adicionalmente se tiene la posibilidad de definir reglas de firewall de forma compacta y clara con ayuda de definiciones de servicios. Las definiciones de servicios se pueden utilizar en todos los tipos de reglas antes mencionados.

Activar el cortafuegos El cortafuegos se controla en modo normal activando la casilla de verificación "Activar cortafuegos". Si se desactiva dicha casilla, los ajustes de cortafuegos registrados se siguen mostrando en la lista, pero no pueden modificarse. Si el módulo de seguridad está en un grupo VPN, la casilla de verificación está activada de forma predeterminada y no puede desactivarse.

Activar ajustes de registro En el modo estándar se puede activar el registro globalmente en la ficha "Cortafuegos". Sin embargo, de esta forma no se mostrarán todos los paquetes que pasan el cortafuegos.

En el modo avanzado se puede activar el registro para cada regla de cortafuegos concreta. De este modo desaparece la restricción respecto a los paquetes mostrados en el modo estándar.

Configurar el cortafuegos 4.1 CPs en el modo normal


Nota Cortafuegos de SCALANCE S627-2M

Los puertos para módulos de medios de SCALANCE S627-2M están conectados al puerto fijo de la interfaz correspondiente a través de un bloque switch. Por este motivo, entre los puertos de la interfaz externa y entre los puertos de la interfaz interna no existe la funcionalidad de cortafuegos (capa 2/capa 3).

4.1 CPs en el modo normal

Activar reglas de filtrado de paquetes Si activa la función de seguridad en STEP 7 para los CPs, primero estarán permitidos todos los accesos a y a través del CP. Para activar reglas de filtrado de paquetes individuales, haga clic en la casilla de verificación "Activar cortafuegos". A continuación autorice los servicios deseados. Las reglas de cortafuegos creadas automáticamente debido a una configuración de conexión tienen preferencia ante los servicios aquí ajustados. Todos los dispositivos tienen acceso a los servicios que haya habilitado.

Ajustes de cortafuegos detallados en el modo avanzado En el modo avanzado, las reglas de cortafuegos pueden limitarse a estaciones determinadas. Para cambiar al modo avanzado, haga clic en la casilla de verificación "Modo avanzado".



Configuración de cortafuegos con VPN Si el módulo de seguridad está en un grupo VPN, la casilla de verificación "Solo comunicación tunelada" está activada de forma predeterminada. Eso significa que a través de la interfaz externa no puede pasar el túnel ninguna comunicación y sólo está permitida la transferencia de datos IPsec. Se crea automáticamente la regla de cortafuegos "Drop" > "Any" > "Externa".

Si se desactiva esta casilla de verificación, se permitirá la comunicación tunelada y, adicionalmente, los tipos de comunicación seleccionados en las otras casillas de opción.



4.1.1 CP x43-1-Adv.

4.1.1.1 Ajuste predeterminado del cortafuegos

Comportamiento con ajuste predeterminado Los siguientes diagramas muestran los ajustes predeterminados al detalle, tanto para el filtrado de paquetes IP como para el filtrado de paquetes MAC si la casilla de verificación "Activar cortafuegos" está activada. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado.

Ajuste predeterminado para CP x43-1 Adv.

Figura 4-1 Ajuste predeterminado para filtrado de paquetes IP CP x43-1 Adv.

① Todos los tipos de telegramas de interna a externa están bloqueados.

② Todos los telegramas de interna al módulo de seguridad están permitidos.

③ Todos los telegramas de externa a interna y al módulo de seguridad están bloqueados (también ICMP-Echo-Request).

④ Se permiten telegramas de externa (nodos externos y módulos de seguridad externos) al módulo de seguridad del siguiente tipo: • Protocolo ESP (codificación) • IKE (protocolo para establecer el túnel IPsec) • NAT-Traversal (protocolo para establecer los túneles IPsec)

⑤ La comunicación IP por túneles IPsec está permitida.



⑥ Los telegramas del tipo Syslog se permiten del módulo de seguridad a externa y no se ven afectados por el cortafuegos. Nota Dado que Syslog es un protocolo no seguro, no es posible garantizar que los datos de registro se transmitan de forma segura.

⑦ Los telegramas del módulo de seguridad a interna y externa están permitidos.

⑧ Las respuestas a solicitudes de la red interna o del módulo de seguridad están permitidas.

Figura 4-2 Ajuste predeterminado para filtrado de paquetes MAC CP x43-1 Adv.

① Todos los telegramas de interna al módulo de seguridad están permitidos.

② Todos los telegramas de externa al módulo de seguridad están bloqueados.

③ Todos los telegramas de externa al módulo de seguridad del siguiente tipo están permitidos: • ARP con limitación de ancho de banda • DCP PROFINET con limitación de ancho de banda • LLDP

④ Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos: • ARP con limitación de ancho de banda • DCP PROFINET con limitación de ancho de banda

⑤ Se permiten los siguientes protocolos enviados por túnel IPsec: • ISO • LLDP



Nota Ninguna comunicación pasa de largo por el túnel VPN

Además, para todos los interlocutores VPN conocidos del proyecto se impide que cualquier comunicación entre los puntos finales VPN pueda pasar de largo por el túnel. El comportamiento tampoco puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado.

4.1.1.2 Configurar el cortafuegos

Cómo se accede a esa función 1. Seleccione el módulo de seguridad que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos".

Tabla 4- 1 Servicios y direcciones disponibles

Servicio Estación ⇒ externa Interna ⇒ externa

Externa ⇒

interna

Externa ⇒

estación

Externa ⇔ estación

Puertos permitidos

Significado

Comunicación IP permitida

x x x - - Se permite el tráfico IP para los sentidos de comunicación seleccionados.

Permitir protocolo S7

x x x - TCP puerto 102

Se permite la comunicación de los dispositivos de red a través del protocolo S7.

Permitir FTP/FTPS (modo explícito)

x x x - TCP puerto 20 TCP puerto 21

Para la administración de archivos y el acceso a ellos entre servidor y cliente.

Permitir HTTP

x x x - TCP puerto 80 Para la comunicación con un servidor web.

Permitir HTTPS

x x x - TCP puerto 443

Para la comunicación segura con un servidor web, p. ej. diagnóstico web.

Permitir DNS

x x - - TCP puerto 53 UDP puerto 53

Se permite la conexión con un servidor DNS.

Permitir SNMP

x x x - TCP puerto 161/162 UDP puerto 161/162

Para vigilar dispositivos de red con capacidad SNMP.

Permitir SMTP

x x - - TCP puerto 25 Para intercambiar e-mails entre usuarios autentificados a través de un servidor SMTP.

Permitir NTP

x x - - UDP puerto 123

Para la sincronización de la hora.



Servicio Estación ⇒ externa Interna ⇒ externa

Externa ⇒

interna

Externa ⇒

estación


Puertos permitidos

Significado

Permitir comunicación en nivel MAC

- - - x - Se permite el tráfico MAC de externa a la estación y viceversa.

Permitir comunicación ISO

- - - x - Se permite el tráfico ISO de externa a la estación y viceversa.

Tabla 4- 2 Registro para conjuntos de reglas IP y MAC

Conjunto de reglas Acción en caso de activación Regla creada Configuración de registros IP Acción De A Registro de paquetes tunelados Solo está activado si el módulo de

seguridad forma parte de un grupo VPN. Se registran todos los paquetes IP que se han transferido a través del túnel.

Allow Estación Túnel Allow Túnel Estación

Registro de paquetes entrantes bloqueados Se registran todos los paquetes IP entrantes que han sido rechazados.

Drop Externa Estación

Configuración de registros MAC Acción De A Registro de paquetes entrantes bloqueados a la estación

Se registran todos los paquetes MAC entrantes que han sido rechazados.


Registro de paquetes salientes bloqueados desde la estación

Se registran todos los paquetes MAC salientes que han sido rechazados.

Drop Estación Externa

Nota

El tráfico de datos a través de conexiones configuradas no se registra.

4.1.1.3 Configurar una lista de acceso

Modificar una lista de acceso IP/entradas ACL La lista aparece si en la ficha Protección de acceso IP de STEP 7 está activada la casilla de verificación "Activar protección de acceso IP para comunicación IP".

A través de las listas de acceso IP se define la protección de acceso para determinadas direcciones IP. Las entradas de la lista ya creadas en STEP 7 se muestran en SCT con los correspondientes permisos.



El derecho "Modificar la lista Access (M)" que puede seleccionarse en STEP 7 no se transfiere a SCT. Para poder determinar los derechos de acceso IP adicionales, hay que asignar al usuario correspondiente en SCT el derecho "Web: Ampliar lista de control de acceso IP".

Nota Comportamiento modificado tras la migración • Tras la migración, la protección de acceso solo afecta a la interfaz externa. Para que la

protección de acceso también afecte a la interfaz interna, configure las reglas de cortafuegos correspondientes en el modo avanzado de la SCT.

• El módulo de seguridad también responde a solicitudes ARP de direcciones IP no permitidas (capa 2).

• Si migra una lista IP Access Control sin entradas, el cortafuegos se activa y ya no es posible acceder al CP desde externa. Para que el CP sea accesible, configure las reglas de cortafuegos correspondientes en la SCT.

Cómo se accede a esa función Comando de menú SCT: Seleccione el módulo de seguridad que desea editar y elija el comando de menú "Editar" > "Propiedades…", ficha "Cortafuegos".

Comando de menú STEP 7: "Protección de acceso IP" > "Inicio de la configuración de cortafuegos", botón "Ejecutar...".

Tabla 4- 3 Datos

Parámetro Significado Dirección IP Dirección IP o rango de direcciones IP permitidos. Derechos Según la asignación realizada. Derechos habilitados para la dirección

IP. Comentario Introducción de un comentario adicional. Registro Si activa la casilla de verificación, se registran las reglas en el registro

de filtrado de paquetes. Activar el modo avanzado Si activa la casilla de verificación, las entradas se convertirán a las

siguientes reglas de cortafuegos.

Tabla 4- 4 Botones

Denominación Significado / repercusión Nuevo... Cree una dirección IP o un rango de direcciones IP con los derechos

correspondientes. Modificar... Seleccione una entrada y haga clic en este botón para editar la entrada

ya existente. Eliminar Con este botón se borra la entrada seleccionada.



4.1.1.4 Agregar una entrada a la lista de acceso

Realice los siguientes ajustes Campo Descripción Dirección IP (o inicio del rango de IP) Introduzca la dirección IP o el valor inicial de un rango

de direcciones IP. Fin del rango de IP (opcional) Introduzca el valor final de un rango de direcciones IP. Comentario Entrada de un comentario adicional; por ejemplo, para

describir el interlocutor o el área de direccionamiento. La dirección IP está autorizada para los siguientes accesos

Acceso a equipo (A=Access): Los interlocutores cuyas direcciones estén dentro del área indicada tienen acceso al equipo perteneciente al CP (CP / CPU). Esta autorización de acceso es implícita para direcciones IP indicadas en la configuración de enlaces (rige sólo para enlaces especificados). Enrutamiento IP a otra subred (R=Routing): Los interlocutores cuyas direcciones estén dentro del área indicada tienen acceso a otras subredes conectadas al CP. Esta autorización de acceso no se otorga automáticamente para direcciones IP indicadas en la configuración de enlaces. En caso necesario hay que ajustar aquí este derecho de acceso de forma explícita.

Otras reglas de entrada:

● Se comprueba si se repiten direcciones individuales (con esto se detecta: direcciones individuales introducidas de forma múltiple; solapamientos de áreas).

● Las direcciones IP indicadas individualmente pueden aparecer además dentro de un área; entonces rigen todas las autorizaciones de acceso asignadas a una dirección IP.

● No se comprueba si en un área se incluyen direcciones no válidas (por ejemplo, pueden indicarse aquí direcciones broadcast de subred aunque no pueden aparecer como dirección IP de un remitente).



4.1.2 CP 1628

4.1.2.1 Ajuste predeterminado del cortafuegos

Comportamiento con preajuste Los siguientes diagramas muestran los ajustes predeterminados al detalle, tanto para el filtrado de paquetes IP como para el filtrado de paquetes MAC si la casilla de verificación "Activar cortafuegos" está activada. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado.

Ajuste predeterminado para CP 1628

Figura 4-3 Ajuste predeterminado para filtrado de paquetes IP CP 1628

① Se permiten todos los telegramas de las interfaces NDIS e IE (Industrial Ethernet) a externa.

② Todos los telegramas de interna a externa están bloqueados.

③ Todos los telegramas de externa al módulo de seguridad y viceversa del siguiente tipo están permitidos: • Protocolo ESP (codificación) • IKE (protocolo para establecer el túnel IPsec) • NAT-Traversal (protocolo para establecer el túnel IPsec)



④ La comunicación IP por túneles IPsec está permitida.

⑤ Telegramas del tipo Syslog se permiten del módulo de seguridad a externa.

Figura 4-4 Ajuste predeterminado para filtrado de paquetes MAC CP 1628

① Todos los telegramas de interna a externa están bloqueados.

② Están permitidos todos los telegramas de externa del siguiente tipo: • ARP con limitación de ancho de banda • DCP PROFINET con limitación de ancho de banda

③ Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos: • DCP PROFINET con limitación de ancho de banda

④ Se permiten protocolos MAC enviados por túneles IPsec.

Nota Ninguna comunicación pasa de largo por el túnel VPN

Además, para todos los interlocutores VPN conocidos del proyecto se impide que cualquier comunicación entre los puntos finales VPN pueda pasar de largo por el túnel. El comportamiento tampoco puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado.



4.1.2.2 Configurar el cortafuegos




Servicio Externa ⇒ estación


Puertos permitidos Significado


x - - Se permite el tráfico IP para las direcciones de comunicación seleccionadas.

Protocolo S7 permitido x - TCP puerto 102 Se permite la comunicación de las estaciones de red a través del protocolo S7.


x - TCP puerto 20 TCP puerto 21


Permitir HTTP x - TCP puerto 80 Para la comunicación con un servidor web.

Permitir HTTPS x - TCP puerto 443 Para la comunicación segura con un servidor web, p. ej. diagnóstico web.

Permitir DNS x - TCP puerto 53 UDP puerto 53


Permitir SNMP x - TCP puerto 161/162 UDP puerto 161/162

Para vigilar estaciones de red con capacidad SNMP.

Permitir SMTP x - TCP puerto 25 Para intercambiar e-mails entre usuarios autentificados a través de un servidor SMTP.

Permitir NTP x - UDP puerto 123 Para la sincronización de la hora.


- x - Se permite el tráfico MAC de externa a la estación y vice versa.


- x - Se permite el tráfico ISO de externa a la estación y vice versa.

Permitir SiCLOCK - x - Se permiten telegramas de hora SiCLOCK de externa a la estación y viceversa.




Conjunto de reglas Acción en caso de activación

Regla creada

Configuración del archivo de registros IP Acción De A Registro de paquetes tunelados Solo está activado si el

módulo de seguridad forma parte de un grupo VPN. Se registran todos los paquetes IP que se han transferido a través del túnel.

Allow Estación

Túnel

Allow Túnel Estación

Registro de paquetes entrantes bloqueados

Se registran todos los paquetes IP entrantes que han sido rechazados.


Configuración del archivo de registros MAC Acción De A Registro de paquetes entrantes bloqueados



Registro de paquetes salientes bloqueados


Drop Estación

Externa

Nota

El tráfico de datos a través de conexiones configuradas no se registra.

Configurar el cortafuegos 4.2 SCALANCE S en el modo normal


4.2 SCALANCE S en el modo normal

4.2.1 Preajuste del firewall

Comportamiento con preajuste Los diagramas siguientes muestran en detalle los ajustes estándar para el filtro de paquetes IP y el filtro de paquetes MAC. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado.

Ajuste estándar para SCALANCE S602/S612 V3 o superior

Figura 4-5 Ajuste estándar para filtrado de paquetes IP SCALANCE S602/S612 V3 o superior

① Todos los tipos de telegramas de interna a externa están bloqueados.


③ Todos los telegramas de externa a interna y al módulo de seguridad están bloqueados.

④ Se permiten telegramas de externa (nodos externos y módulos de seguridad externos) al módulo de seguridad del siguiente tipo: • HTTPS (SSL) • Protocolo ESP (codificación) • IKE (protocolo para establecer el túnel IPsec) • NAT-Traversal (protocolo para establecer el túnel IPsec)



⑤ La comunicación IP por el túnel IPsec está permitida. ⑥ Los telegramas de interna a externa están permitidos.

⑦ Los telegramas de externa al túnel en la interfaz externa y viceversa están bloqueados.

Figura 4-6 Ajuste estándar para filtrado de paquetes MAC SCALANCE S602/612 V3 o superior

① Todos los tipos de telegramas de interna a externa, excepto los siguientes tipos, están bloqueados. • Telegramas ARP


③ Todos los telegramas de externa a interna, excepto los siguientes tipos, están bloqueados. • Telegramas ARP con limitación de ancho de banda

④ Los telegramas de externa al módulo de seguridad del siguiente tipo están permitidos: • ARP con limitación de ancho de banda • DCP PROFINET con limitación de ancho de banda

• En modo de enrutamiento: telegramas LLDP (Ethertype 0x88CC)

⑤ En el modo de puente: Se permiten protocolos MAC enviados por túnel IPsec.



⑥ Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos: • PROFINET

• En modo de enrutamiento: telegramas LLDP (Ethertype 0x88CC)

⑦ Los telegramas Multicast y Broadcast de externa al módulo de seguridad del siguiente tipo están permitidos: • PROFINET con limitación de ancho de banda

Nota Habilitación automática de tipos de Ethernet

Si PPPoE está activo, los tipos de Ethernet 0x8863 y 0x8864 se habilitan automáticamente (PPPoE Discovery y Session Stage).



Ajuste estándar para SCALANCE S623 a partir de V3 y S627-2M V4 Las reglas de cortafuegos predeterminadas para las interfaces externa e interna son las mismas que rigen para los módulos SCALANCE S del tipo S602 y S612. En los dos gráficos siguientes se han expuesto únicamente las reglas de filtrado de paquetes IP que afectan a la interfaz DMZ. Las reglas de filtrado de paquetes MAC no pueden definirse para la interfaz DMZ porque los telegramas se enrutan entre la red externa o interna y la interfaz DMZ.

Figura 4-7 Ajuste estándar para filtrado de paquetes IP SCALANCE S623/S627-2M (tráfico entre red DMZ y red interna

o red DMZ y módulo de seguridad)

① Todos los telegramas de interna a red DMZ están bloqueados.

② Todos los telegramas de interna al túnel en la interfaz DMZ y viceversa están permitidos.

③ Todos los telegramas de red DMZ a interna están bloqueados.



④ Todos los telegramas de red DMZ al túnel en la interfaz DMZ y viceversa están bloqueados.

⑤ Los telegramas de la red DMZ (nodos en la red DMZ y módulos de seguridad en la red DMZ) al módulo de seguridad del siguiente tipo están permitidos: • HTTPS (SSL) • Protocolo ESP (codificación) • IKE (protocolo para establecer el túnel IPSec) • NAT-Traversal (protocolo para establecer el túnel IPsec)

Figura 4-8 Ajuste estándar para filtrado de paquetes IP SCALANCE S623/S627-2M (tráfico entre red DMZ y red externa)



① Todos los telegramas de externa a red DMZ están bloqueados.

② Todos los telegramas de externa al túnel en la interfaz DMZ y viceversa están bloqueados.

③ Todos los telegramas de red DMZ al túnel en la interfaz externa y viceversa están bloqueados.

④ Todos los telegramas de red DMZ a externa están bloqueados.

Nota Habilitación automática de tipos de Ethernet

Si PPPoE está activo, los tipos de Ethernet 0x8863 y 0x8864 se habilitan automáticamente (PPPoE Discovery y Session Stage).

4.2.2 Configurar el cortafuegos para SCALANCE S ≥ V3.0



Cortafuegos activado de forma predeterminada La casilla de verificación "Activar cortafuegos" está activada de forma predeterminada. Así, el cortafuegos está activo automáticamente y todos los accesos de externa al módulo de seguridad están bloqueados. En el modo normal, habilite el cortafuegos para los distintos sentidos activando las casillas de verificación correspondientes.

Ajustes de cortafuegos detallados en el modo avanzado En el modo avanzado, las reglas de cortafuegos pueden limitarse a dispositivos determinados; consulte el capítulo siguiente:

● Cortafuegos en modo avanzado (Página 144)

Configuración de cortafuegos con VPN Si el módulo de seguridad está en un grupo VPN y, en el modo normal, la casilla de verificación "Solo comunicación tunelada" está activada, a través de la interfaz externa o la interfaz DMZ solo se permite la transferencia de datos por IPsec codificada.

Si se desactiva esta casilla de verificación, se permitirá la comunicación tunelada y, adicionalmente, los tipos de comunicación seleccionados en las otras casillas de opción.



Tabla 4- 7 Reglas de cortafuegos y sentidos disponibles (tráfico IP)

Servicio Interna ⇒ externa

Externa ⇒ interna

Interna => DMZ

DMZ => Interna

De interna

De externa

Puertos permitidos

Significado


x x x x - - - Se permite la comunicación IP para los sentidos de comunicación seleccionados.

Permitir protocolo S7

x x x x - - TCP puerto 102

Se permite la comunicación de los dispositivos de red a través del protocolo S7.


x x x x - - TCP puerto 20 TCP puerto 21


Permitir HTTP

x x x x - - TCP puerto 80 Para la comunicación con un servidor web.

Permitir HTTPS

x x x x - - TCP puerto 443

Para la comunicación segura con un servidor web, p. ej. diagnóstico web.

Permitir DNS

x x x x - - TCP puerto 53 UDP puerto 53


Permitir SNMP

x x x x - - TCP puerto 161/162 UDP puerto 161/162

Para vigilar dispositivos de red con capacidad SNMP.

Permitir SMTP

x x x x - - TCP puerto 25 Para intercambiar e-mails entre usuarios autentificados a través de un servidor SMTP.

Permitir NTP

x x x x - - UDP puerto 123

Para la sincronización de la hora.

Permitir DHCP

x x x x - - UDP puerto 67 y UDP puerto 68

Se permite la comunicación con un servidor DHCP.



Servicio Interna ⇒ externa

Externa ⇒ interna

Interna => DMZ

DMZ => Interna

De interna

De externa

Puertos permitidos

Significado


- - - - x x - Se permite el tráfico MAC de interna a externa y viceversa.


- - - - x x - Se permite el tráfico ISO de interna a externa y viceversa.

Permitir SiCLOCK

- - - - x x - Se permiten telegramas de hora SiClock de interna a externa y viceversa.

Permitir DCP

- - - - x x - El tráfico DCP para adjudicar direcciones IP se permite de interna a externa y viceversa.


Conjunto de reglas Acción en caso de activación Configuración de registros IP Registro de paquetes tunelados

Solo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran todos los paquetes IP que se han transferido a través del túnel.




Se registran todos los paquetes IP salientes que han sido rechazados.

Configuración de registros MAC Registro de paquetes tunelados

Solo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran todos los paquetes MAC que se han transferido a través del túnel.







4.2.3 Configurar el cortafuegos para SCALANCE S < V3.0



Nota Ajustes de cortafuegos detallados en el modo avanzado

En el modo avanzado, las reglas de cortafuegos pueden limitarse a estaciones determinadas.



Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.


Regla/opción Puertos permitidos Función Solo comunicación tunelada

- Este es el ajuste predeterminado. La opción solo se puede seleccionar si el módulo de seguridad se encuentra en un grupo VPN. Con este ajuste solo se permite la transferencia codificada de datos por IPsec; solo pueden comunicarse entre sí nodos protegidos mediante módulos de seguridad con mecanismos VPN. Si esta opción está desactivada, se permite la comunicación tunelada y adicionalmente el tipo de comunicación seleccionado en las otras casillas de opción.

Permitir comunicación IP de la red interna a la externa

- Los nodos internos pueden iniciar una comunicación con nodos de la red externa. Solo se transmiten a la red interna telegramas de respuesta procedentes de la red externa. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna.

Permitir comunicación IP con protocolo S7 de la red interna a la externa

TCP puerto 102 Los nodos internos pueden iniciar una conexión S7 con nodos de la red externa. Solo se transmiten a la red interna telegramas de respuesta procedentes de la red externa. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna.

Permitir acceso al servidor DHCP de la red interna a la externa

UDP puerto 67 UDP puerto 68

Los nodos internos pueden iniciar una comunicación con un servidor DHCP de la red externa. Solo los telegramas de respuesta del servidor DHCP se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna.



Regla/opción Puertos permitidos Función Permitir acceso al servidor NTP de la red interna a la externa

UDP puerto 123 Los nodos internos pueden iniciar una comunicación con un servidor NTP (Network Time Protocol) de la red externa. Solo los telegramas de respuesta del servidor NTP se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna.

Permitir telegramas horarios de SiClock de la red externa a la interna

- Con esta opción se habilitan telegramas horarios SiClock de la red externa a la interna.

Permitir acceso al servidor DNS de la red interna a la externa

TCP puerto 53 UDP puerto 53

Los nodos internos pueden iniciar una comunicación con un servidor DNS de la red externa. Solo los telegramas de respuesta del servidor DNS se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con nodos de la red interna.

Permitir la configuración de nodos de red mediante DCP

- El protocolo DCP es utilizado por la PST-Tool para realizar, en el caso de componentes de red SIMATIC NET, el bautismo de nodos (ajuste de los parámetros IP). Con esta regla se permite a nodos de la red externa acceder a nodos de la red interna mediante protocolo DCP.


Conjunto de reglas Acción en caso de activación Configuración de registros IP Registro de paquetes tunelados Solo si el módulo de seguridad forma parte de un grupo VPN: Se

registran todos los paquetes IP que se han transferido a través del túnel.




Se registran todos los paquetes IP salientes que han sido rechazados.

Configuración de registros MAC Registro de paquetes tunelados Solo si el módulo de seguridad forma parte de un grupo VPN: se

registran todos los paquetes MAC que se han transferido a través del túnel.





Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado


4.3 Cortafuegos en modo avanzado En el modo avanzado existen posibilidades de ajuste adicionales, que permiten personalizar las reglas de cortafuegos y las funciones de seguridad.

Cambiar al modo avanzado Para todas las funciones descritas en este capítulo, cambie al modo avanzado.


En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo avanzado ya no es posible regresar.

Soluciones para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.

Se da soporte a nombres simbólicos En las funciones descritas a continuación puede introducir tanto direcciones IP o MAC como nombres simbólicos. Encontrará más información sobre los nombres simbólicos en el capítulo:

● Asignación de nombre simbólicos para direcciones IP o MAC (Página 62)

4.3.1 Configuración del cortafuegos en modo avanzado

Significado A diferencia de la configuración de reglas de filtrado de paquetes predeterminadas de forma fija en el modo normal, en el modo avanzado de la Security Configuration Tool se pueden configurar reglas personalizadas para el filtrado de paquetes.

Las reglas de filtrado de paquetes se ajustan en fichas seleccionables para los siguientes protocolos:



● Capa 3, 4: protocolo IP, servicios IP

● Capa 2: protocolo MAC, servicios MAC

Nota

Sin reglas MAC con el modo de enrutamiento activado

Si ha activado el modo de enrutamiento para el módulo de seguridad, no tienen aplicación las reglas MAC (los cuadros diálogo están inactivos).

Si no introduce ninguna regla en los cuadros de diálogo que se describen a continuación, rigen los ajustes predeterminados del cortafuegos. Encontrará los detalles en el capítulo siguiente:

● Ajustes predeterminados de CP x43-1 Adv.: Ajuste predeterminado del cortafuegos (Página 124)

● Ajustes predeterminados de CP 1628: Ajuste predeterminado del cortafuegos (Página 130)

● Ajustes predeterminados de SCALANCE S: Preajuste del firewall (Página 134)

Es posible la definición global, específica de usuario y local ● Los conjuntos de reglas de cortafuegos globales se pueden asignar a varios módulos de

seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado.

● Los conjuntos de reglas IP específicos del usuario se pueden asignar a uno o varios módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado. SCALANCE S V4 (RADIUS): además de uno o varios usuarios, a los conjuntos de reglas IP específicos del usuario es posible asignarles uno o varios roles.

● Las reglas de cortafuegos locales están asignadas a un módulo de seguridad en cada caso. Se configuran en el cuadro de diálogo de propiedades de los módulos de seguridad.

A un módulo de seguridad se le pueden asignar varias reglas de cortafuegos locales, varios conjuntos de reglas de cortafuegos globales y varios conjuntos de reglas IP específicos del usuario.

4.3.2 Conjuntos de reglas de cortafuegos globales

Aplicación Los conjuntos de reglas de cortafuegos globales se configuran a nivel de proyecto en función del módulo y pueden verse en el área de navegación de la Security Configuration Tool. Un conjunto de reglas de cortafuegos global consta de una o varias reglas de cortafuegos y se asigna a varios módulos de seguridad.



Dentro de los conjuntos de reglas de cortafuegos globales, se distingue entre:

● Conjuntos de reglas IP

● Conjuntos de reglas MAC

La representación siguiente ilustra la relación entre los conjuntos de reglas de definición global y los conjuntos de reglas utilizados a nivel local.

¿Cuándo son convenientes los conjuntos de reglas de cortafuegos globales? Los conjuntos de reglas de cortafuegos globales son convenientes cuando se desean definir criterios de filtrado idénticos para la comunicación.

Nota Asignar solo conjuntos de reglas de cortafuegos soportados por el módulo de seguridad

Una asignación incorrecta de conjuntos de reglas de cortafuegos puede derivar en resultados no deseados. Por ello, compruebe siempre los resultados de las reglas de cortafuegos locales específicas del módulo. La asignación incorrecta no se detecta en la prueba de coherencia automática. Solo se aplican las reglas que realmente son soportadas por el módulo de seguridad.

Consulte también Conjuntos de reglas IP específicos de usuario (Página 148)



4.3.2.1 Conjuntos de reglas de cortafuegos globales - Convenios

Los conjuntos de reglas de cortafuegos globales se utilizan localmente Para la creación de un conjunto de reglas de cortafuegos global y la asignación a un módulo de seguridad rigen los siguientes convenios:

● Vista de configuración

Los conjuntos de reglas de cortafuegos globales solo se pueden crear en el modo avanzado.

● Prioridad

Las reglas de cortafuegos definidas localmente tienen de forma predeterminada mayor prioridad que los conjuntos de reglas de cortafuegos globales asignados de forma local. Por consiguiente, los conjuntos de reglas de cortafuegos globales se insertan en un principio en el último lugar de la lista de reglas local.

La prioridad se puede modificar cambiando el emplazamiento en la lista de reglas.

● Introducir, modificar o borrar juegos de reglas

Los conjuntos de reglas de cortafuegos globales no se pueden editar en la lista local de reglas de cortafuegos de las propiedades del módulo. Allí sólo se pueden ver y emplazar según la prioridad deseada

En la lista de reglas local no se puede borrar una única regla de cortafuegos de un conjunto de reglas de cortafuegos global asignado. Solo es posible eliminar de la lista de reglas local todo el conjunto de reglas de cortafuegos. Puede realizarse en cualquier momento una adaptación del conjunto de reglas global mediante el cuadro de diálogo de propiedades de este conjunto. Todos los dispositivos afectados por esta modificación deben cargarse de nuevo después.

4.3.2.2 Crear y asignar conjuntos de reglas de cortafuegos globales

Cómo se accede a esa función 1. Seleccione una de las siguientes carpetas en el área de navegación:

– "Conjuntos de reglas de cortafuegos globales" > "Conjuntos de reglas IP del cortafuegos"

– "Conjuntos de reglas de cortafuegos globales" > "Conjuntos de reglas MAC del cortafuegos"

2. Elija el comando de menú "Insertar" > "Conjunto de reglas del cortafuegos".

3. Introduzca los datos siguientes:

– Nombre: designación unívoca del conjunto de reglas para todo el proyecto. El nombre aparece en la lista de reglas local del módulo de seguridad tras la asignación del conjunto de reglas.

– Descripción: Introduzca la descripción del conjunto de reglas global.



4. Haga clic en el botón "Agregar regla".

5. Introduzca las reglas de cortafuegos en la lista en orden. Observe la descripción de los parámetros en los siguientes capítulos:

Para conjuntos de reglas IP: Reglas de filtrado de paquetes IP (Página 155).

Para conjuntos de reglas MAC: Reglas para filtrado de paquetes MAC (Página 165).

6. Asigne el conjunto de reglas de cortafuegos global a los módulos de seguridad en los que se deba aplicar. Seleccione para ello el conjunto de reglas de cortafuegos global en el área de navegación y arrástrelo hasta los módulos de seguridad en el área de navegación (Drag and Drop). También puede realizar esta asignación en la lista de reglas local de un módulo de seguridad, con el botón "Agregar conjuntos de reglas...".

Resultado El conjunto de reglas de cortafuegos global es utilizado como conjunto de reglas local por los módulos de seguridad y aparece automáticamente en las listas de reglas de cortafuegos específicas de los módulos.

Consulte también Conjuntos de reglas de cortafuegos globales - Convenios (Página 147)

4.3.3 Conjuntos de reglas IP específicos de usuario

Significado En primer lugar se asignan uno o varios usuarios a los conjuntos de reglas IP específicos del usuario. A continuación se asignan los conjuntos de reglas IP específicos del usuario a uno o varios módulos de seguridad. De ese modo es posible permitir accesos específicos de usuario. Si, p. ej. están bloqueados de forma predeterminada todos los accesos a las redes situadas después de un módulo de seguridad, podrán habilitarse determinados dispositivos para un usuario mediante sus direcciones IP. El usuario tiene así el acceso permitido, mientras que este permanece bloqueado para otros usuarios.

Inicio de sesión del usuario a través de Internet El usuario puede iniciar sesión a través de una página web de la interfaz externa o de la interfaz DMZ del módulo de seguridad. Si la autenticación es correcta, se activa el conjunto de reglas IP predefinido para ese usuario. La conexión con el módulo de seguridad se realiza vía HTTPS utilizando la dirección IP del puerto enlazado y observando las reglas de enrutamiento aplicables.

Ejemplo:

Interfaz externa: 192.168.10.1



La página de inicio de sesión se abre mediante: https://192.168.10.1/

Pueden iniciar sesión usuarios con cualquier rol, siempre que el usuario o el rol estén asignados a un conjunto de reglas IP específico del usuario.

Posibilidades de autenticación del usuario En función del método de autenticación que se seleccionara al crear el usuario que inicia la sesión en el módulo de seguridad, la autenticación es realizada por diferentes instancias:

● Método de autenticación "Contraseña": el módulo de seguridad realiza la autenticación.

● Método de autenticación "RADIUS": un servidor RADIUS realiza la autenticación.

Asignación de roles a conjuntos de reglas IP específicos del usuario En los módulos SCALANCE S V4 también se pueden asignar conjuntos de reglas IP específicos del usuario a los que se han asignado roles. Esto permite habilitar un grupo de usuarios para el acceso a determinadas direcciones IP.

Si se utiliza un servidor RADIUS para la autenticación del usuario y se asigna un rol al conjunto de reglas IP específico del usuario, los usuarios no configurados en el módulo de seguridad también pueden ser autenticados por el servidor RADIUS. Estos usuarios deben estar guardados en el servidor RADIUS, donde se les debe haber asignado el rol que tenga asignado en SCT el conjunto de reglas IP específico del usuario. Este procedimiento ofrece la ventaja de que todos los datos de usuario se guardan únicamente en el servidor RADIUS.

Encontrará más información sobre la autenticación mediante el servidor RADIUS en el siguiente capítulo: Autenticación mediante servidor RADIUS (Página 84)

Los conjuntos de reglas IP específicos del usuario se utilizan localmente - Convenios Rigen los mismos convenios que los descritos en el capítulo siguiente:

● Conjuntos de reglas de cortafuegos globales - Convenios (Página 147)

4.3.3.1 Crear y asignar conjuntos de reglas IP específicos del usuario

Cómo se accede a esa función 1. Seleccione la carpeta "Conjuntos de reglas IP específicos de usuario" en el área de

navegación

2. Elija el comando de menú "Insertar" > "Conjunto de reglas del cortafuegos".




– Nombre: designación unívoca del conjunto de reglas IP específico del usuario para todo el proyecto. El nombre aparece en la lista de reglas local del módulo de seguridad tras la asignación del conjunto de reglas.

– Descripción: introduzca una descripción del conjunto de reglas IP específico del usuario.

4. Haga clic en el botón "Agregar regla".

5. Introduzca en la lista, por orden, las reglas de cortafuegos. Tenga en cuenta la descripción de los parámetros en el capítulo siguiente:

– Reglas de filtrado de paquetes IP (Página 155)

Tenga en cuenta las particularidades de las reglas de cortafuegos generadas automáticamente por SCT para reglas NAT/NAPT:

– Relación entre router NAT/NAPT y cortafuegos específico del usuario (Página 189)

6. Asigne uno o varios usuarios y/o uno o varios roles al conjunto de reglas IP específico del usuario. La asignación de roles a conjuntos de reglas IP específicos del usuario solo es posible en módulos SCALANCE S V4.

Nota

Asignación de conjuntos de reglas IP específicos del usuario • Solo se puede asignar a un módulo de seguridad un conjunto de reglas IP específico

del usuario por usuario. • Con la asignación se activa de forma implícita para todos los usuarios o roles

asignados al conjunto de reglas IP el derecho "El usuario/rol puede iniciar sesión en el módulo".

7. Asigne el conjunto de reglas IP específico del usuario a los módulos de seguridad en los que se deba aplicar. Seleccione para ello el conjunto de reglas IP específico del usuario en el área de navegación y arrástrelo hasta los módulos de seguridad en el área de navegación (Drag and Drop). También puede realizar esta asignación en la lista de reglas local de un módulo de seguridad, con el botón "Agregar conjuntos de reglas...".



Resultado ● El conjunto de reglas IP específico del usuario es utilizado como conjunto de reglas local

por los módulos de seguridad y aparece automáticamente en la lista de reglas de cortafuegos específica de los módulos.

● El usuario puede iniciar sesión en el módulo de seguridad. La autenticación del usuario es realizada por el módulo de seguridad o por un servidor RADIUS, en función del método de autenticación ajustado.

Rangos de valores para una duración máxima de sesión El tiempo tras el cual se cierra automáticamente la sesión del usuario puede definirse al crear o editar un usuario y, por lo general, es de 30 minutos. La duración de la sesión puede alargarse en la página web del módulo de seguridad, editando el valor asignado al usuario.

Encontrará más información sobre la creación de usuarios en el siguiente capítulo: Administrar usuarios (Página 73)

4.3.4 Reglas de cortafuegos automáticas referidas a conexiones

Reglas de cortafuegos creadas automáticamente en SCT Para la siguiente aplicación se crean reglas de cortafuegos automáticamente:

● Conexiones configuradas en STEP 7



Reglas de cortafuegos para conexiones configuradas Si hay conexiones creadas en STEP 7, en la SCT se generan automáticamente reglas de cortafuegos para ellas. Para ello se realiza una comparación de sistema entre STEP 7 y SCT, en la que se comprueban todas las conexiones del proyecto. Se comparan automáticamente la dirección IP/MAC, la acción y la interfaz para cada interlocutor. Para cada interlocutor se generan 2 reglas independientemente del número de conexiones.

Nota

Habilitar manualmente conexiones UDP Multicast y UDP Broadcast

Para las conexiones UDP Multicast y UDP Broadcast no se crean reglas de cortafuegos automáticas. Para habilitar las conexiones, inserte las correspondientes reglas de cortafuegos manualmente en el modo avanzado.

Dependiendo de cómo esté configurado el establecimiento de conexión en STEP 7, en SCT se crean las siguientes reglas de cortafuegos de 3 niveles. Si el módulo de seguridad se encuentra en un grupo VPN, el sentido "Externa" cambia a "Túnel".

En las columnas "Dirección IP de origen" y "Dirección IP de destino" de estas reglas del cortafuegos se introduce en cada caso la dirección IP del interlocutor.

CP->externa Acción De A Activo Allow Estación Externa

Drop Externa Estación Pasivo Drop Estación Externa

Allow Externa Estación Activo y pasivo Allow Externa Estación

Allow Estación Externa

CP->interna Acción De A Activo Allow Estación Interna

Drop Interna Estación Pasivo Drop Estación Interna

Allow Interna Estación Activo y pasivo Allow Interna Estación

Allow Estación Interna

Para las conexiones de nivel 2 se crean reglas "Allow" para ambos sentidos. Si el módulo de seguridad se encuentra en un grupo VPN, el sentido "Externa" cambia a "Túnel".

En las columnas "Dirección MAC de origen" y "Dirección MAC de destino" de estas reglas del cortafuegos se introduce en cada caso la dirección MAC del interlocutor.



CP->externa Acción De A activo, pasivo, activo y pasivo Allow Estación Externa

Allow Externa Estación

Convenios para reglas de cortafuegos creadas automáticamente ● Prioridad

Las reglas tienen la máxima prioridad, por lo que en la lista de reglas se incorporan en la parte superior.

● Borrar reglas

Los conjuntos de reglas no se pueden borrar. El registro puede activarse y pueden asignarse servicios. Además es posible insertar un ancho de banda y un comentario.

● Cambiar una acción

Si en la SCT cambia la acción "Allow" a "Drop" o vice versa, estos se sobrescribirán en la siguiente comparación del sistema. Si los cambios realizados deben conservarse, elija como acción "Allow*" o "Drop*". En ese caso solo se compara la dirección IP/MAC con STEP 7, y la acción y el sentido se mantienen de la forma ajustada. Los ajustes de registro, servicio, ancho de banda y comentario se conservan cuando se produce una nueva comparación de sistema aunque no se cambie la acción a "Allow*" o "Drop*". Si la conexión correspondiente no está disponible en STEP 7, la regla se borra de la lista.



Módulo de seguridad en grupo VPN La casilla de verificación "Solo comunicación tunelada" está activada de forma predeterminada. Si se desactiva la casilla de verificación, además de la comunicación tunelada entre interlocutores tunelados existe la posibilidad de establecer comunicación con otros dispositivos de red con los que no existen túneles.

● La comunicación se produce fuera del túnel si la dirección del interlocutor pertenece a una estación conocida en la SCT con la que no hay configurado ningún túnel VPN.

● La comunicación transcurre a través del túnel VPN si la dirección del interlocutor es un punto final VPN.

● Si no es posible asignar unívocamente si una conexión debe transcurrir por dentro o por fuera del túnel VPN, la conexión se asigna al túnel VPN y se muestra la indicación correspondiente. La asignación puede adaptarse en el modo avanzado, p. ej. cambiando el sentido "De" "Túnel" a "Externa". Para que esta adaptación no se sobrescriba de nuevo al realizarse otra comparación del sistema, debe seleccionarse la acción "Allow*" o "Drop*".

Nota

En caso de ser necesario garantizar que solo sea posible la comunicación a través del túnel, cree las reglas de cortafuegos correspondientes en el modo avanzado, p. ej. para estaciones internas o direcciones NDIS.

Para permitir exclusivamente la comunicación tunelada para un CP, inserte una regla "Drop" > "Any" > "Externa". Para CP 1628 debe insertarse una regla "Drop" > "Estación" > "Externa". Además, deben eliminarse las reglas de cortafuegos existentes que permitan una comunicación sin túnel.

4.3.5 Ajuste de reglas de filtros de paquetes IP locales Por medio de reglas de filtrado de paquetes IP se pueden filtrar telegramas IP como por ejemplo telegramas UDP, TCP, ICMP.

Dentro de una regla de filtro de paquetes IP puede recurrir a definiciones de servicios para así delimitar aún más los criterios de filtrado. Si no indica ningún servicio, la regla de paquetes IP es válida para todos los servicios.

Abrir el cuadro de diálogo para reglas locales de filtrado de paquetes IP SCT: Seleccione el módulo de seguridad que desea editar y elija el comando de menú "Editar" > "Propiedades…", ficha "Cortafuegos".

STEP 7: Haga clic en el botón "Ejecutar" de la ficha "Firewall" que está ubicado junto a "Inicio de la configuración de seguridad" en la ficha "Seguridad".



Registrar reglas de filtrado de paquetes IP Introduzca correlativamente las reglas de cortafuegos en la lista; observe la siguiente descripción de parámetros y los ejemplos en el capítulo siguiente o en la Ayuda en pantalla.

Utilizar los conjuntos de reglas globales y definidas por el usuario Los conjuntos de reglas de cortafuegos globales y los conjuntos de reglas IP específicos del usuario asignados al módulo de seguridad se adoptan automáticamente en la lista de reglas local. Si el conjunto de reglas asignado aparece al final de la lista, se procesará con la prioridad más baja. Es posible modificar la prioridad cambiando la posición en la lista de reglas.

La Ayuda en pantalla le explica el significado de los distintos botones.

4.3.6 Reglas de filtrado de paquetes IP Las reglas de filtrado de paquetes IP se editan según las siguientes evaluaciones:

● Parámetros registrados en la regla;

● Orden y la correspondiente prioridad de las reglas.



Parámetros La configuración de una regla IP contiene los siguientes parámetros:

Denominación Significado/comentario Posibilidades de selección/rangos de valores Acción Definición de la autorización

(habilitación/bloqueo) • Allow

Autorizar telegramas según definición. • Drop

Bloquear telegramas según definición.

Para reglas de conexión creadas automáticamente:

• Allow* • Drop* Si selecciona estas reglas, no habrá sincronización con STEP 7. Así, las reglas modificadas no se sobrescribirán en la SCT.

De/A Las direcciones de comunicación permitidas.

Se describe en las siguientes tablas.

Dirección IP de origen

Dirección de origen de los paquetes IP

Consulte el apartado siguiente de este capítulo: • Reglas de filtrado de paquetes IP (Página 155) Como alternativa se puede introducir un nombre simbólico.

Nota relacionada con el modo Ghost Si el modo Ghost está activado, la dirección IP del dispositivo interno se determina dinámicamente en el tiempo de ejecución desde el módulo de seguridad. Según sea el sentido seleccionado, no podrá realizar entradas en la columna "Dirección IP de origen" (con el sentido "de interna a externa") o en la columna "Dirección IP de destino" (con el sentido "de externa a interna"). En su lugar, la dirección IP será insertada automáticamente en la regla del cortafuegos por el SCALANCE S.

Dirección IP de destino

Dirección de destino de los paquetes IP



Denominación Significado/comentario Posibilidades de selección/rangos de valores Servicio Nombre del servicio IP/ICMP utilizado

o del grupo de servicios. Con ayuda de definiciones de servicios se pueden definir reglas de filtrado de paquetes. Seleccione aquí uno de los servicios que ha definido en el cuadro de diálogo para servicios IP: • Servicios IP • Servicios ICMP • Grupo de servicios que incluye

servicios IP y/o ICMP Si no se ha definido aún ningún servicio o si desea definir otro servicio, pulse el botón "Servicios IP..." (en la ficha "Reglas IP") o "Servicios MAC..." (en la ficha"Reglas MAC").

La lista desplegable le ofrece los servicios y grupos de servicios configurados, para su selección. Ninguna indicación significa: no se comprueba ningún servicio, la regla es válida para todos los servicios. Nota: Para que los servicios IP predefinidos aparezcan e la lista desplegable, actívelas primero en el modo normal.

Ancho de banda (Mbits/s)

Posibilidad de ajuste de una limitación del ancho de banda. Solo puede introducirse si para la acción está seleccionado "Allow". Un paquete pasa el cortafuegos si la regla de paso es correcta y si no se ha sobrepasado aún el ancho de banda permitido para esa regla.

CP x43-1 Adv. y SCALANCE S < V3.0: 0.001 ... 100 CP 1628 y SCALANCE S ≥ V3.0: 0.001 ... 1000 Para reglas en conjuntos de reglas globales y específicos del usuario: 0.001 ... 100

Registro Activación o desactivación del registro para esta regla. Encontrará información sobre los ajustes de registro en el capítulo siguiente: Registro de eventos (Logging) (Página 257)

N.º Número de regla adjudicado automáticamente para asignar los paquetes registrados a una regla de cortafuegos configurada.

Comentario Espacio para explicación propia de la regla.

Si un comentario está marcado con "AUTO", significa que ha sido creado automáticamente para una regla de conexión.

Tabla 4- 11 Direcciones CP

Posibilidades de selección/rangos de valores

Módulo de seguridad Significado

De A CP x43-1 Adv.

CP 1628

Interna Estación x - Acceso de la red interna a la estación.





Any x - Acceso de la red interna a la externa, el interlocutor de túnel VPN y la estación.

Externa Estación x x Acceso de la red externa a la estación. Any x - Acceso de la red externa a la interna y a la estación.

Estación Interna x - Acceso desde la estación a la red interna. Externa x x Acceso desde la estación a la red externa. Túnel x x Acceso desde la estación al interlocutor de túnel VPN.

Túnel Estación x x Acceso a la estación a través del interlocutor de túnel VPN. Any x - Acceso del interlocutor de túnel VPN a la red interna y a la

estación. Any Externa x - Acceso desde la red interna y la estación a la red externa.

Tabla 4- 12 Sentidos SCALANCE S



De A S602 S61x S623 / S627-2M Interna Externa x x x

Túnel - x x Any - x x DMZ - - x Interna x x x

Externa Interna x x x Any - - x Túnel - - x DMZ - - x

Túnel Interna - x x Externa - x x DMZ - - x

Any Interna - x x Externa - - x DMZ - - x

DMZ Interna - - x Externa - - x Any - - x Túnel - - x



Orden de la evaluación de reglas por el módulo de seguridad Las reglas de filtrado de paquetes se evalúan de la siguiente forma:

● La lista se analiza de arriba a abajo; en caso de reglas contradictorias (p. ej. entradas con indicaciones de sentido idénticas pero acciones distintas) vale por lo tanto siempre la entrada de más arriba.

● En el caso de reglas para comunicación entre las redes interna, externa y DMZ, rige lo siguiente: están bloqueados todos los telegramas excepto los permitidos explícitamente en la lista.

● En el caso de reglas para la comunicación en y desde el sentido túnel IPsec, rige lo siguiente: están permitidos todos los telegramas excepto los bloqueados explícitamente en la lista.

Ejemplo

Las reglas de filtrado de paquetes representadas provocan el siguiente comportamiento:



① Todos los tipos de telegramas de interno hacia externo están bloqueados como estándar, excepto los permitidos

explícitamente. ② Todos los tipos de telegramas de externo hacia interno están bloqueados como estándar, excepto los permitidos

explícitamente. ③ La regla 1 de filtrado de paquetes IP permite telegramas con la definición de servicio "Service X1" de interna hacia

externa. ④ La regla 2 de filtrado de paquetes IP permite telegramas de externo a interno si se cumple:

• Dirección IP del remitente: 196.65.254.2 • Dirección IP del destinatario: 197.54.199.4 • Definición de servicio: "Service X2"

⑤ La regla 3 de filtrado de paquetes IP bloquea telegramas con la definición de servicio "Service X1" que se envían del túnel VPN a la red interna.

⑥ La comunicación por túneles IPsec está permitida de forma predeterminada, excepto para los tipos de telegramas bloqueados explícitamente.

Consulte también Reglas para filtrado de paquetes MAC (Página 165)

Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 267)

Direcciones IP en reglas de filtrado de paquetes IP La dirección IP consta de 4 números decimales en el campo de valores de 0 a 255, separados entre sí por un punto; ejemplo: 141.80.0.16

En la regla de filtrado de paquetes tiene las siguientes posibilidades de indicar direcciones IP:



● ninguna indicación

No tiene lugar ninguna comprobación; la regla es válida para todas las direcciones IP.

● una dirección IP

La regla es válida exactamente para la dirección indicada.

● Banda de direcciones

La regla es válida para todas las direcciones IP incluidas en la banda de direcciones.

Una banda de direcciones se define indicando la cantidad de posiciones de bits válidas en la dirección IP, a saber en la siguiente forma: [Dirección IP]/[Cantidad de bits a considerar]

– [Dirección IP]/24 significa por consiguiente que solo los 24 bits de mayor valor de la dirección IP se tienen en cuenta en la regla de filtrado; se trata de las tres primeras posiciones de la dirección IP.

– [Dirección IP]/25 significa que solo se tienen en cuenta en la regla de filtrado las tres primeras posiciones y el bit de valor más alto de la cuarta posición de la dirección IP.

● Área de direcciones

Para la dirección IP de origen puede indicarse un área de direcciones separada por un guión:

[Dirección IP inicial]-[dirección IP final]

Encontrará más información en el capítulo siguiente:

● Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 267)

Tabla 4- 13 Ejemplos de banda de direcciones IP

Dirección IP de origen o dirección IP de destino

Banda de direcciones Número de direcciones

de a 192.168.0.0/16 192.168.0.0 192.168.255.255 65.536 192.168.10.0/24 192.168.10.0 192.168.10.255 256 192.168.10.0/25 192.168.10.0 192.168.10.127 128 192.168.10.0/26 192.168.10.0 192.168.10.63 64 192.168.10.0/27 192.168.10.0 192.168.10.31 32 192.168.10.0/28 192.168.10.0 192.168.10.15 16 192.168.10.0/29 192.168.10.0 192.168.10.7 8 192.168.10.0/30 192.168.10.0 192.168.10.3 4



4.3.7 Definir servicios IP

Cómo se accede a esa función ● Con el comando de menú "Opciones" > "Servicios IP...".

o bien

● Desde la ficha "Reglas IP", con el botón "Servicios IP...".

Significado Con ayuda de definiciones de servicios IP se pueden definir de forma compacta y clara reglas de firewall que se aplican a diferentes servicios. Para esto se adjudica un nombre, al que se asignan los parámetros de servicio.

Además, los servicios así definidos se pueden reunir a su vez en grupos, con un nombre de grupo.

Para la configuración de las reglas de filtrado de paquetes globales o locales se utilizan entonces esos nombres.

Parámetros para servicios IP Los servicios IP se definen a través de los siguientes parámetros:

Tabla 4- 14 Servicios IP: Parámetros

Denominación Significado/comentario Posibilidades de selección/rangos de valores

Nombre Nombre de libre definición para el servicio; se utiliza para la identificación en la definición de reglas o en el agrupamiento.

Entrada libre

Protocolo Nombre del tipo de protocolo TCP UDP Any

Source Port Se filtra a partir del número de puerto aquí indicado; este define el acceso al servicio para el destinatario de los telegramas.

Ejemplos: *: Puerto no se comprueba 20 ó 21: Servicio FTP

Target Port Se filtra a partir del número de puerto aquí indicado; este define el acceso al servicio para el destinatario de los telegramas.

Ejemplos: *: Puerto no se comprueba 80: Web-HTTP-Service 102: S7-Protocol - TCP/Port



4.3.8 Definir servicios ICMP Con ayuda de las definiciones de servicios ICMP se pueden definir reglas de cortafuegos, que se aplican a diferentes servicios. Para esto se adjudica un nombre, al que se asignan los parámetros de servicio. Los servicios definidos se pueden reunir a su vez en grupos, con un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes se utilizan entonces esos nombres.

Así se llega a esa función ● Con el comando de menú "Opciones" > "Servicios IP...", ficha "ICMP"

o

● Desde la ficha "Reglas IP", con el botón "Servicios IP...", ficha "ICMP"

Parámetros para servicios ICMP Los servicios ICMP se definen a través de los siguientes parámetros:

Tabla 4- 15 Servicios ICMP: Parámetros

Denominación

Significado/comentario Posibilidades de selección / campos de valores

Name Nombre de libre definición para el servicio; se utiliza para la identificación en la definición de reglas o en el agrupamiento.

Entrada libre

Type Tipo del mensaje ICMP Véase la representación del cuadro de diálogo

Code Códigos del tipo ICMP Los valores dependen del tipo seleccionado.



4.3.9 Ajustar reglas para filtrado de paquetes MAC Por medio de reglas para filtrado de paquetes MAC se pueden filtrar telegramas MAC.

Nota Sin reglas MAC con el modo de enrutamiento activado

Si ha activado el modo de enrutamiento para el módulo SCALANCE S, no tienen aplicación las reglas de MAC.

Cuadro de diálogo / ficha Seleccione el módulo de seguridad que desea editar.

Para configurar el cortafuegos, elija el comando de menú "Edición" > "Propiedades...", ficha "Cortafuegos> "Reglas MAC".

Introducir reglas de filtrado de paquetes Introduzca correlativamente las reglas de cortafuegos en la lista; observe la siguiente descripción de parámetros y los ejemplos en el capítulo siguiente o en la Ayuda en pantalla.



Utilización de reglas de cortafuegos globales Los conjuntos de reglas de cortafuegos globales asignados al módulo de seguridad se adoptan automáticamente en la lista de reglas locales. Si el conjunto de reglas asignado aparece al final de la lista, se procesará con la prioridad más baja. Es posible modificar la prioridad cambiando la posición en la lista de reglas.

La Ayuda en pantalla le explica el significado de los distintos botones.

4.3.10 Reglas para filtrado de paquetes MAC Las reglas de filtrado de paquetes MAC se editan según las siguientes evaluaciones:

● Parámetros registrados en la regla;

● Prioridad de las reglas dentro del conjunto de reglas.



Reglas para filtrado de paquetes MAC La configuración de una regla MAC contiene los siguientes parámetros:

Tabla 4- 16 Reglas MAC: Parámetros

Denominación Significado/comentario Posibilidades de selección/rangos de valores Acción Definición de la autorización

(habilitación/bloqueo) • Allow

Autorizar telegramas según definición. • Drop

Bloquear telegramas según definición.

Para reglas de conexión creadas automáticamente:

• Allow* • Drop* Si selecciona estas reglas, no habrá sincronización con STEP 7. Así, las reglas modificadas no se sobrescribirán en la SCT.

De/A Las direcciones de comunicación permitidas.

Se describen en las siguientes tablas.

Dirección MAC de origen

Dirección de origen de los paquetes MAC

Como alternativa se puede introducir un nombre simbólico.

Dirección MAC de destino

Dirección de destino de los paquetes MAC

Servicio Nombre del servicio MAC o del grupo de servicios utilizado. "Any" agrupa las direcciones permitidas para la entrada en cuestión.

La lista desplegable le ofrece los servicios y grupos de servicios configurados, para su selección. Ninguna indicación significa: no se comprueba ningún servicio, la regla es válida para todos los servicios. Nota: Para que los servicios MAC predefinidos aparezcan en la lista desplegable, actívelos primero en el modo normal.

Ancho de banda (Mbits/s)

Posibilidad de ajuste de una limitación del ancho de banda. Solo puede introducirse si para la acción está seleccionado "Allow". Un paquete pasa el cortafuegos si la regla de paso es correcta y si no se ha sobrepasado aún el ancho de banda permitido para esa regla.

CP x43-1 Adv. y SCALANCE S ≤ V3.0: 0.001 ... 100 CP 1628 y SCALANCE S ≥ V3.0: 0.001 ... 1000 Para reglas en conjuntos de reglas globales y específicos del usuario: 0.001 ... 100

Registro Activación o desactivación del registro para esta regla.

N.º Número adjudicado automáticamente para la asignación a una regla de cortafuegos configurada.

Comentario Espacio para explicación propia de la regla

Si un comentario está marcado con "AUTO", significa que ha sido creado para una regla de conexión automática.



Direcciones permitidas Pueden ajustarse las siguientes direcciones:

Tabla 4- 17 Direcciones de cortafuegos CP



De A CP x43-1 Adv. CP 1628 Externa Estación x x Acceso de la red externa a la

estación. Estación Externa x x Acceso desde la estación a la red

externa. Túnel x x Acceso desde la estación al

interlocutor de túnel VPN. Túnel Estación x x Acceso a la estación a través del

interlocutor de túnel VPN.

Tabla 4- 18 Sentidos de cortafuegos SCALANCE S



De A S602 S61x S623 / S627-2M Interna Externa x x x

Túnel - x x Any - x x

Externa Interna x x x Any - - x Túnel - - x

Túnel Interna - x x Externa - x x

Any Interna - x x Externa - - x



Evaluación de reglas por el módulo de seguridad Las reglas de filtrado de paquetes se evalúan de la siguiente forma:

● La lista se evalúa de arriba hacia abajo; si hay reglas contradictorias, vale la entrada situada más arriba.

● En el caso de las reglas para la comunicación en o desde el sentido "Externa", rige para todos los telegramas no registrados explícitamente: están bloqueados todos los telegramas excepto los permitidos explícitamente en la lista.

● En el caso de las reglas para la comunicación en o desde el sentido "Túnel", rige para todos los telegramas no registrados explícitamente: están permitidos todos los telegramas excepto los bloqueados explícitamente en la lista.

Nota

Las reglas de IP sirven para paquetes de IP, las reglas MAC sirven para paquetes de nivel 2 (Layer-2)

Para el cortafuegos se pueden definir tanto reglas IP como reglas MAC. La edición en el cortafuegos se regula con el tipo de ethernet del paquete.

Los paquetes IP se redirigen o se bloquean dependiendo de las reglas de IP, y los paquetes de nivel 2 (Layer 2) se redirigen o se bloquean dependiendo de las reglas MAC.

No es posible filtrar un paquete IP respecto a una dirección MAC con la ayuda de una regla de cortafuegos MAC.

Ejemplos El ejemplo del filtro de paquetes IP del capítulo 5.4.3 (Página 155) se puede utilizar por analogía para las reglas de filtrado de paquetes MAC.

4.3.11 Definir servicios MAC

Cómo se accede a esa función ● Con el comando de menú "Opciones" > "Servicios MAC...".

o bien

● Desde la ficha "Reglas MAC", con el botón "Servicios MAC".

Significado Con ayuda de las definiciones de servicios MAC se pueden definir reglas de cortafuegos, que se aplican a servicios determinados. Se adjudica un nombre, al que se asignan los parámetros de servicio. Además, los servicios definidos de este modo se pueden reunir en grupos, con un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes globales o locales se utilizan entonces esos nombres.



Parámetros para servicios MAC Una definición de servicio MAC contiene una categoría de parámetros MAC específicos del protocolo:

Tabla 4- 19 Parámetros de servicios MAC

Denominación Significado/comentario Posibilidades de selección/rangos de valores

Nombre Nombre de libre definición para el servicio; se utiliza para la identificación en la definición de reglas o en el agrupamiento.

Entrada libre

Protocolo Nombre del tipo de protocolo: • ISO

ISO designa telegramas con las siguientes propiedades:

Lengthfield <= 05DC (hex), DSAP= userdefined SSAP= userdefined CTRL= userdefined

• SNAP

SNAP designa telegramas con las siguientes propiedades:

Lengthfield <= 05DC (hex), DSAP=AA (hex), SSAP=AA (hex), CTRL=03 (hex), OUI=userdefined, OUI-Type=userdefined

• PROFINET IO

• ISO • SNAP • PROFINET IO • 0x (entrada de código)

DSAP Destination Service Access Point: Dirección de destinatario LLC

SSAP Source Service Access Point: Dirección de remitente LLC

CTRL LLC Control Field OUI Organizationally Unique Identifier (los 3 primeros bytes

de la dirección MAC = identificación del fabricante)

Tipo OUI Tipo de protocolo/identificación *) Las entradas de protocolo 0800 (hex) y 0806 (hex) no se aceptan, ya que estos valores se aplican a telegramas IP o ARP.



Nota Procesamiento para CPs S7

Solo se procesan ajustes para frames ISO con DSAP=SSAP=FE (hex). Cualquier otro tipo de frame no es relevante para CPs S7, por lo que ya es rechazado por el cortafuegos antes del procesamiento.

Ajustes especiales para servicios SIMATIC NET Utilice para el filtrado de servicios especiales SIMATIC NET los siguientes ajustes de SNAP:

● DCP (Primary Setup Tool):

PROFINET

● SiCLOCK:

OUI= 08 00 06 (hex), OUI-Type= 01 00 (hex)



4.3.12 Configurar grupos de servicios

Formación de grupos de servicios Varios servicios se pueden reunir formando grupos de servicios. De este modo se pueden crear servicios más complejos que entonces se pueden utilizar en las reglas de filtrado de paquetes seleccionando simplemente un nombre.

Cuadro de diálogo / ficha Abra el cuadro de diálogo con el siguiente comando de menú: "Opciones" > "Servicios IP..." o bien "Servicios MAC...", ficha "Grupos de servicios".



4.3.13 Adaptar reglas estándar para servicios IP

Cómo se accede a esa función: 1. Seleccione el módulo de seguridad que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades..." > ficha "Cortafuegos" > ficha "Reglas estándar para servicios IP".

Significado de los ajustes avanzados Parámetros Significado en la activación Utilizar opciones de estado ampliadas Se limita el número de conexiones y estados del

cortafuegos admisibles por unidad de tiempo. Si un dispositivo de red rebasa este límite, su dirección IP se incluye en la lista negra de IP del módulo de seguridad. La lista negra de IP del módulo de seguridad puede verse en el modo online.

Registrar todas las reglas activadas Se registran los paquetes permitidos según las reglas estándar para los servicios IP.

Habilitar test ICMP para interfaces Las solicitudes ping que entran en otra interfaz del módulo de seguridad pueden transferirse a otras interfaces. De este modo, desde la red externa pueden realizarse por ejemplo solicitudes ping a la interfaz interna del módulo de seguridad.

Significado de las reglas de cortafuegos estándar En este cuadro de diálogo existe la posibilidad de adaptar las reglas de cortafuegos específicas del servicio que están ajustadas de forma estándar para las interfaces de los módulos de seguridad. Los ajustes estándar del cuadro de diálogo equivalen a las reglas de cortafuegos estándar del módulo de seguridad correspondiente.

Reglas de cortafuegos estándar para SCALANCE S En la tabla siguiente se listan las reglas de cortafuegos estándar para los módulos SCALANCE S. En parte, las reglas de cortafuegos solo están activas cuando se utiliza el servicio correspondiente en el módulo de seguridad (p. ej. SNMP).

Servicio Sentido Interfaz X1

(rojo) Interfaz X2 (verde)

Interfaz X3 (amarillo)

Interfaz de túnel

Enrutamiento por interfaz saliente - x - - HTTPS x x* x x*



Servicio Sentido Interfaz X1 (rojo)

Interfaz X2 (verde)

Interfaz X3 (amarillo)

Interfaz de túnel

ICMP entrante - x - x

ICMP Pathfinder saliente - x - -

SNMP entrante x x x x Syslog saliente x x x x NTP saliente x x x x DNS saliente x x x x HTTP saliente x - x - VPN (IKE) x - x - VPN (NAT Traversal) x - x - Servidor BootP entrante - x x - Cliente BootP saliente - x x - RADIUS saliente x x x x

CARP saliente x* x* - -

Pfsync saliente - - x* -

x activado de forma predeterminada

- desactivado de forma predeterminada

* no puede adaptarse

Reglas de cortafuegos estándar para CP S7 En la tabla siguiente se listan las reglas de cortafuegos estándar para CP S7. Las reglas del cortafuegos solo están ajustadas cuando está activado el servicio correspondiente en la Security Configuration Tool.

Servicio Sentido Externa (Gbit) Interna (PN IO) VPN (IKE) x* -* VPN (NAT Traversal) x* -* Servidor BootP saliente x* x* Cliente BootP entrante x* x*

x activado de forma predeterminada

- desactivado de forma predeterminada

* no puede adaptarse

Los dos servicios "Servidor BootP" y "Cliente BootP" están activos a la vez en la interfaz externa o en la interna. Como resultado, las dos reglas de cortafuegos están activas en la interfaz externa o en la interna.


Configuración de otras propiedades de los módulos 5 5.1 Módulo de seguridad como router

5.1.1 Sinopsis

Significado Al utilizar el módulo de seguridad como router, las redes de la interfaz interna, externa y DMZ (solo SCALANCE S623/S627-2M, véase el apartado más abajo) se convierten en subredes separadas.

Existen las siguientes posibilidades:

● Enrutamiento: ajustable en los modos normal y avanzado

● Enrutamiento NAT/NAPT: ajustable en el modo avanzado

Todas las solicitudes de red que no pertenecen a una subred se transfieren a otra subred a través de un router; véase el capítulo siguiente:

● Definir un router predeterminado y rutas (Página 176)

Activar el modo de enrutamiento o la interfaz DMZ - Ficha "Interfaces"

Si se ha activado el modo de enrutamiento o la interfaz DMZ, se transmiten los telegramas dirigidos a una dirección IP existente en la respectiva subred (interna, externa o DMZ). Por lo demás son válidas las reglas de cortafuegos configuradas para el respectivo sentido de transmisión.

Para este modo de operación tiene que configurar en la ficha "Interfaces" para la interfaz interna y/o la interfaz DMZ una dirección IP y una máscara de subred para el direccionamiento del router en la subred interna y/o la subred DMZ. Todas las solicitudes de red que no pertenecen a una subred se transfieren a otra subred a través del router estándar.

Nota

A diferencia del modo de puente del módulo de seguridad, en el modo de enrutamiento se pierden los identificadores VLAN.

Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router


Modo de puente y enrutamiento en el SCALANCE S623/S627-2M La red DMZ es siempre una subred separada. La diferencia entre el modo de puente y el modo de enrutamiento radica en la división de las redes externa e interna:

● Modo de operación "Puente": las redes interna y externa están en la misma subred; la red DMZ está en una subred separada.

● Modo de operación "Enrutamiento": las redes interna y externa están cada una en una subred propia; la red DMZ está en otra subred separada.

5.1.2 Definir un router predeterminado y rutas


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Routing".

3. Si registra la dirección IP/el FQDN para el router estándar, todas las rutas se encaminan por ese router, siempre que no sean aplicables rutas específicas. Las rutas específicas se introducen en el área de entrada "Rutas".

4. Haga clic en el botón "Agregar ruta".

5. Introduzca los valores siguientes:

Parámetro Función Valor de ejemplo ID de red Las solicitudes a dispositivos de la subred con la ID de

red indicada aquí y la máscara de subred indicada se envían a la subred por la dirección IP de router indicada. A partir de la ID de red, el router reconoce si una dirección de destino está en la subred o fuera de ella. La ID de red indicada no puede estar en la misma subred que la dirección IP del módulo de seguridad.

192.168.11.0

Máscara de subred La máscara de subred estructura la red. A partir de la ID de red y de la máscara de subred, el router reconoce si una dirección de destino está en la subred o fuera de ella. La máscara de subred que debe indicarse no puede limitarse a un único dispositivo de red (255.255.255.255).

255.255.255.0

Dirección IP del router

Dirección IP/FQDN del router a través de la que se accede a la subred. La dirección IP del router debe estar en la misma subred que la dirección IP del módulo de seguridad.

192.168.10.2 / my-router.dyndns.org

Activar re-enrutamiento (solo para módulos SCALANCE S V3/V4)

Active esta casilla de verificación si los telegramas de la ruta introducida deben entrar y salir por la misma interfaz del módulo de seguridad (re-enrutamiento). El re-enrutamiento solo es soportado por la interfaz interna del módulo de seguridad.



Particularidades del router estándar

● Si en la ficha "Interfaces" está configurada la asignación de IP por "PPPoE", no es

necesario configurar un router predeterminado, ya que la ruta predeterminada siempre conduce automáticamente a través de la interfaz PPPoE.

● Si en la ficha "Interfaces" está configurada la asignación de dirección por "Dirección estática" y si el módulo de seguridad está conectado a Internet a través de un router DSL(NAPT), hay que especificar el router DSL como router predeterminado.

● Para los módulos de seguridad del modo Ghost (solo SCALANCE S602 ≥ V3.1) no pueden configurarse routers estándar, ya que se determinan en el tiempo de ejecución. El modo Ghost no permite configurar rutas específicas para los módulos de seguridad.

5.1.3 Enrutamiento NAT/NAPT

Requisitos ● El proyecto se encuentra en el modo avanzado.

● El módulo de seguridad se encuentra en el modo de enrutamiento o la interfaz DMZ (solo SCALANCE S623 / S627-2M) está activada.


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "NAT/NAPT".

3. Según se requiera, active una conversión de direcciones según NAT (Network Address Translation) o NAPT (Network Address Port Translation).

Conversión de direcciones con NAT (Network Adress Translation) NAT es un protocolo para la conversión de direcciones entre dos áreas de direcciones. La principal tarea es la conversión de direcciones IP privadas en públicas, es decir, en direcciones IP utilizadas y enrutadas en Internet. De ese modo se consigue que las direcciones IP de la red interna no se conozcan en la red externa. Los dispositivos internos solo se pueden ver en la red externa a través de las direcciones IP externas definidas en la lista de conversión de direcciones (tabla NAT). El hecho de que la dirección IP externa no sea la dirección del módulo de seguridad y que la dirección IP interna no sea unívoca se denomina 1:1 NAT. Con 1:1 NAT la dirección interna se convierte a esta dirección externa sin conversión de puerto. En cualquier otro caso será n:1 NAT.



Conversión de direcciones con NAPT (Network Address Port Translation) La conversión de direcciones en NAPT modifica la dirección IP de destino y el puerto de destino en una relación de comunicación (reenvío de puerto).

Se convierten telegramas procedentes de la red externa o la red DMZ y destinados a la dirección IP del módulo de seguridad. Si el puerto de destino del telegrama es idéntico a uno de los valores de la columna "Source Port", el módulo de seguridad sustituye la dirección IP de destino y el puerto de destino de la forma indicada en la fila correspondiente de la tabla NAPT. En la respuesta, el módulo de seguridad aplica como dirección IP de origen y puerto de origen los valores que figuran como dirección IP de destino o puerto de destino en el telegrama inicial.

La diferencia respecto a NAT consiste en que en este protocolo también se pueden convertir puertos. Ya no hay una conversión 1:1 de la dirección IP. Solo existe una dirección IP pública, que se convierte agregando números de puerto a una serie de direcciones IP privadas.

Conversión de direcciones en los túneles VPN La conversión de direcciones con NAT/NAPT también se puede realizar para relaciones de comunicación establecidas a través de túneles VPN. Esto se soporta para los interlocutores del tipo SCALANCE M (solo NAT 1:1) y SCALANCE S612 / S623 / S627-2M V4.

Encontrará más información sobre las conversiones de direcciones en túneles VPN en los siguientes capítulos:

● Conversión de direcciones con NAT/NAPT (Página 180)

● Conversión de direcciones con NAT/NAPT en túneles VPN (Página 186)

Conversión de reglas NAT/NAPT de proyectos antiguos SCT V4.0 cambió el modo de configuración de las reglas NAT/NAPT y de las reglas de cortafuegos correspondientes. Si desea adaptar o ampliar en SCT V4.0 las reglas NAT/NAPT de un proyecto creado con SCT V3.0/V3.1, primero debe convertir las reglas NAT/NAPT a SCT V4.0. Para ello, seleccione en el menú contextual de una regla NAT/NAPT el comando de menú "Convertir todas las reglas NAT/NAPT a SCT V4" o "Convertir las reglas NAT/NAPT seleccionadas a SCT V4". De este modo, para las reglas NAT/NAPT convertidas SCT genera automáticamente reglas de cortafuegos que habilitan la comunicación en el sentido de conversión de direcciones configurado. A continuación, modifique o elimine las reglas de cortafuegos que ha generado manualmente para las reglas NAT/NAPT si contradicen las reglas de cortafuegos generadas de forma automática. Después, realice las adaptaciones y/o ampliaciones que desee de las reglas NAT/NAPT y de cortafuegos.



Reglas que deben considerarse en la comprobación de coherencia Observe las reglas siguientes para la asignación de direcciones, con el fin de obtener entradas coherentes:

● Las direcciones IP internas no deben ser idénticas a las direcciones IP del módulo de seguridad.

● Adopte para las direcciones IP la parte determinada por la máscara de subred:

– Las direcciones IP que introduzca para el sentido "Externa" deben estar en la misma área de subred que la dirección IP externa del módulo de seguridad en la ficha "Interfaces".

– Las direcciones IP que introduzca para el sentido "Interna" deben estar en la misma área de subred que la dirección IP interna del módulo de seguridad en la ficha "Interfaces".

– Las direcciones IP que introduzca para el sentido "DMZ" deben estar en la misma área de subred que la dirección IP DMZ del módulo de seguridad en la ficha "Interfaces".

● Una dirección IP utilizada en la lista de conversión de direcciones NAT/NAPT no debe ser dirección Multicast ni dirección Broadcast.

● Los puertos externos asignados a la conversión NAPT han de estar en el rango > 0 y ≤ 65535.

Quedan excluidos los puertos 123 (NTP), 443 (HTTPS), 514 (Syslog), 161 (SNMP), 67+68 (DHCP) y 500+4500 (IPsec), siempre que estén activados los servicios correspondientes en el módulo de seguridad.

● La dirección IP externa del módulo de seguridad o la dirección IP de la interfaz DMZ solo se deben utilizar en la tabla NAT para la acción "Source-NAT".

● Control de duplicidad en la tabla NAT

Una dirección IP externa o una dirección IP de la red DMZ utilizada en sentido "Destination-NAT", "Source-NAT + Destination-NAT" o "Double-NAT" solo puede utilizarse una vez en cada sentido indicado.

● Control de duplicidad en la tabla NAPT

– Cada número de puerto de origen solo puede introducirse una vez en cada interfaz.

– Los números de puerto o los rangos de puerto de los puertos externos y los puertos DMZ no deben superponerse.

● Los puertos NAPT internos pueden estar en el rango > 0 y ≤ 65535.

Una vez finalizadas sus entradas, realice una comprobación de coherencia.

Elija el comando de menú "Opciones" > "Verificaciones de consistencia".



5.1.4 Conversión de direcciones con NAT/NAPT

Activar NAT Se activa el campo de entrada para NAT. Las conversiones de direcciones NAT solo pasan a ser efectivas tras realizar las entradas descritas a continuación en la lista de conversión de direcciones. Tras crear las reglas NAT, se generan las reglas de cortafuegos correspondientes y se muestran en el modo avanzado; véase el capítulo: Relación entre router NAT/NAPT y cortafuegos (Página 188)

Si está activado PPPoE para la interfaz externa o la interfaz DMZ, la acción "Destination-NAT" no puede configurarse. Al configurar la acción "Source-NAT", la dirección IP no puede introducirse en el campo de entrada "Conversión de origen" porque se determina de forma dinámica en el tiempo de ejecución.

Acciones de conversión de direcciones posibles para NAT La siguiente tabla recoge las posibilidades de entrada para la conversión de direcciones con NAT.

Acción "Destination-NAT" - "Redirect" La acción "Destination-NAT" puede ejecutarse en el siguiente sentido:

● De externa a interna

Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Destination-NAT" también puede ejecutarse en los siguientes sentidos:

● De externa a DMZ

● De DMZ a interna

● De DMZ a externa

Si el módulo de seguridad se encuentra en un grupo VPN (solo para SCALANCE S602), la acción "Destination-NAT" puede ejecutarse, además, en los siguientes sentidos:

● De túnel a interna

● De túnel a externa

● De túnel a DMZ (solo con la interfaz DMZ activada)

Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: se comprueba si la dirección IP de destino de un telegrama procedente de la red externa coincide con la dirección IP indicada en el campo de entrada "Dirección IP de destino". Si coincide, el telegrama se transfiere a la red interna sustituyendo la dirección IP de destino del telegrama por la dirección IP indicada en el campo de entrada "Conversión de destino". El acceso de externa a interna a través de la dirección IP externa es posible.

La siguiente tabla muestra el esquema de entrada para la acción "Destination-NAT".



Campo Entradas posibles Significado Dirección IP de origen No relevante para esta acción. - Conversión de origen No relevante para esta acción. - Dirección IP de destino Dirección IP en la red de origen Dirección IP de destino en la red de origen a través

de la cual se debe acceder a una dirección IP de la red de destino. Si en un telegrama la dirección IP de destino concuerda con la dirección introducida, la dirección se cambia por la dirección IP correspondiente en la red de destino. Si la dirección IP introducida aquí no es la dirección IP del módulo de seguridad, se convierte en dirección alias. Eso significa que la dirección IP indicada se registra además como dirección IP en la interfaz seleccionada. Las direcciones alias se muestran también en la ficha "Interfaces" del módulo de seguridad. Asegúrese de que no existe ningún conflicto de dirección IP en la red con esta dirección alias.

Conversión de destino Dirección IP en la red de destino La dirección IP de destino se sustituye por la dirección IP indicada aquí.

N.º - Número consecutivo adjudicado por SCT que se utiliza para la referencia a la regla de cortafuegos que SCT genera para la regla NAT.

Acción "Source-NAT" - "Masquerading" La acción "Source-NAT" puede ejecutarse en el siguiente sentido:

● De interna a externa

Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Source-NAT" también puede ejecutarse en los siguientes sentidos:

● De interna a DMZ



Si el módulo de seguridad se encuentra en un grupo VPN (solo para SCALANCE S602), la acción "Source-NAT" puede ejecutarse, además, en los siguientes sentidos:

● De interna a túnel

● De externa a túnel

● De DMZ a túnel (solo con la interfaz DMZ activada)

Para el sentido "De interna a externa" se aplica, por ejemplo, lo siguiente: se comprueba si la dirección IP de origen de un telegrama procedente de la red interna coincide con la dirección IP indicada en el campo de entrada "Dirección IP de origen". Si coincide, el telegrama se transfiere a la red externa con la dirección IP externa indicada en el campo de entrada "Conversión de origen" como nueva dirección IP de origen. En la red externa rige la dirección IP externa.



La siguiente tabla muestra el esquema de entrada para la acción "Source-NAT".

Campo Entradas posibles Significado Dirección IP de origen Dirección IP en la red de origen La dirección IP de origen del dispositivo indicado se

sustituye por la dirección IP indicada en el campo de entrada "Conversión de origen".

Rango de direcciones IP en la red de origen

El rango de direcciones IP se sustituye por la dirección IP indicada en el campo de entrada "Conversión de origen".

Conversión de origen Dirección IP en la red de destino

Entrada de la dirección IP que debe utilizarse como nueva dirección IP de origen. Si la dirección IP introducida aquí no es la dirección IP del módulo de seguridad, se convierte en dirección alias. Eso significa que la dirección indicada se registra además como dirección IP en la interfaz seleccionada. Las direcciones alias se muestran también en la ficha "Interfaces" del módulo de seguridad. Asegúrese de que no existe ningún conflicto de dirección IP en la red con esta dirección alias.

Dirección IP de destino No relevante para esta acción. No relevante para esta acción. Conversión de destino No relevante para esta acción. No relevante para esta acción. N.º - Número consecutivo adjudicado por SCT que se utiliza

para la referencia a la regla de cortafuegos que SCT genera para la regla NAT.

Puede configurar que las direcciones de todos los telegramas que van de una red de origen a una red de destino se conviertan a la dirección IP de los módulos de la red de destino. Además, el módulo de seguridad asigna un número de puerto a cada telegrama. En este caso, se trata de una conversión de direcciones n:1 NAT en la que varias direcciones IP de la red de origen se convierten a una dirección IP de la red de destino.

Introduzca, por ejemplo, los siguientes parámetros para el sentido "De interna a externa":

● Acción: "Source-NAT"

● De: "Interna"

● A "Externa"

● Dirección IP de origen: "*"

● Conversión de origen: dirección IP externa del módulo de seguridad

Acción "Source-NAT + Destination-NAT" - "1:1-NAT" La acción "Source-NAT + Destination-NAT" puede ejecutarse en el siguiente sentido:




Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Source-NAT + Destination-NAT" también puede ejecutarse en los siguientes sentidos:




Si el módulo de seguridad se encuentra en un grupo VPN (solo para SCALANCE S602), la acción "Source-NAT + Destination-NAT" puede ejecutarse, además, en los siguientes sentidos:


● De interna a túnel


Para el sentido "De interna a externa" se aplica, por ejemplo, lo siguiente: en el acceso de interna a externa, se ejecuta la acción "Source-NAT". En el acceso de externa a interna, se ejecuta la acción "Destination-NAT".

La siguiente tabla muestra el esquema de entrada para la acción "Source-NAT+ Destination-NAT":

Campo Entradas posibles Significado Dirección IP de origen Dirección IP en la red de origen La configuración siempre se indica en sentido

Source-NAT. Por ello, las direcciones IP del sentido Destination-NAT siempre son insertadas automáticamente por SCT.

Rango de direcciones IP en la red de origen

Conversión de origen Dirección IP en la red de destino Dirección IP de destino No relevante para esta acción. Conversión de destino No relevante para esta acción. N.º - Número consecutivo adjudicado por SCT que se

utiliza para la referencia a las reglas de cortafuegos que SCT genera para la regla NAT.

Acción "Double-NAT" La acción "Double-NAT" puede ejecutarse en los siguientes sentidos:



Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Double-NAT" también puede ejecutarse en los siguientes sentidos:







Source-NAT y Destination-NAT se producen siempre en cada sentido. Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: en el acceso de externa a interna, se sustituye la dirección IP de origen del dispositivo externo (Source-NAT). Además, el acceso a la red interna se realiza a través de la dirección IP externa (Destination-NAT) indicada en el campo de entrada "Dirección IP de destino".

Puede utilizar esta acción, por ejemplo, si se ha introducido un router estándar distinto al módulo de seguridad para un dispositivo al que se accede con ayuda de Destination-NAT. Los telegramas de respuesta de este dispositivo no se enviarán al router estándar introducido, sino a la interfaz correspondiente del módulo de seguridad.

La siguiente tabla muestra el esquema de entrada para la acción "Double-NAT":

Campo Entradas posibles Significado Dirección IP de origen Dirección IP en la red de origen Dirección IP del dispositivo en la red de

origen Conversión de origen - La conversión de direcciones Source-

NAT se realiza siempre a la dirección IP del módulo de seguridad en la red de destino. Por este motivo, el campo de entrada "Conversión de origen" no puede configurarse.

Dirección IP de destino Dirección IP en la red de origen Dirección IP de destino en la red de origen a través de la cual se debe acceder a una dirección IP de la red de destino. Si en un telegrama la dirección IP de destino concuerda con la dirección IP introducida, la dirección IP se sustituye por la dirección IP introducida en el campo de entrada "Conversión de destino". Si la dirección IP introducida aquí no es la dirección IP del módulo de seguridad, se convierte en dirección alias. Eso significa que la dirección indicada se registra además como dirección IP en la interfaz seleccionada. Las direcciones alias se muestran también en la ficha "Interfaces" del módulo de seguridad. Asegúrese de que no existe ningún conflicto de dirección IP en la red con esta dirección alias.

Conversión de destino Dirección IP en la red de destino La dirección IP de destino se sustituye por la dirección IP indicada aquí.

N.º - Número consecutivo adjudicado por SCT que se utiliza para la referencia a la regla de cortafuegos que SCT genera para la regla NAT.



Activar NAPT Se activa el campo de entrada para NAPT. Las conversiones NAPT solo pasan a ser efectivas tras realizar las entradas descritas a continuación en la lista. Tras crear las reglas NAPT, se generan las reglas de cortafuegos correspondientes y se muestran en el modo avanzado; véase el capítulo: Relación entre router NAT/NAPT y cortafuegos (Página 188)

La conversión de direcciones IP con NAPT puede ejecutarse en el siguiente sentido:


Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la conversión de direcciones IP con NAPT también puede ejecutarse en los siguientes sentidos:




Si el módulo de seguridad se encuentra en un grupo VPN (solo para SCALANCE S602), la conversión de direcciones IP con NAPT puede ejecutarse, además, en los siguientes sentidos:


● De túnel a interna

● De túnel a externa


● De túnel a DMZ (solo con la interfaz DMZ activada)

Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: los telegramas destinados a la dirección IP externa del módulo de seguridad y al puerto introducido en la columna "Source Port" se transfieren a la dirección IP de destino de la red interna y al puerto de destino indicados.

La siguiente tabla muestra el esquema de entrada para la conversión de direcciones con NAPT:

Campo Entradas posibles Significado Source Port Puerto o rango de puertos TCP/UDP

Ejemplo de entrada de un rango de puertos: 78:99

Un dispositivo de la red de origen puede enviar un telegrama a un interlocutor de la red de destino utilizando este número de puerto.


Dirección IP en la red de destino Los telegramas destinados a la dirección IP del módulo de seguridad de la red de origen, así como al puerto TCP/UDP indicado en el campo "Source Port", se transfieren a la dirección IP aquí indicada.

Target Port Puerto TCP/UDP Número de puerto al que se transfieren los telegramas procedentes de la red de origen.



Campo Entradas posibles Significado Protocolo • TCP+UDP

• TCP • UDP

Selección de la familia de protocolos para los números de puerto indicados

N.º - Número consecutivo adjudicado por SCT que se utiliza para la referencia a la regla de cortafuegos que SCT genera para la regla NAPT.

Consulte también Reglas de filtrado de paquetes IP (Página 155)

5.1.5 Conversión de direcciones con NAT/NAPT en túneles VPN

Significado La conversión de direcciones con NAT/NAPT también se puede realizar para relaciones de comunicación establecidas a través de túneles VPN.

Requisitos Los módulos SCALANCE S que tengan que ejecutar una conversión de direcciones con NAT/NAPT en un túnel VPN deben cumplir de forma general los siguientes requisitos:

● El módulo SCALANCE S se encuentra en un grupo VPN.

● El módulo SCALANCE S se encuentra en el modo de enrutamiento y/o la interfaz DMZ del módulo SCALANCE S está activada.

Sentidos de conversión de direcciones soportados Se soportan los sentidos de conversión de direcciones descritos en el siguiente capítulo: Conversión de direcciones con NAT/NAPT (Página 180)

Acciones de conversión de direcciones soportadas Las relaciones de comunicación tuneladas admiten las siguientes acciones de conversión de direcciones:

● Destination-NAT ("Redirect")

● Source-NAT ("Masquerading")



● Source y Destination-NAT ("NAT 1:1")

● NAPT ("Portforwarding")

Encontrará información básica sobre estas acciones de conversión de direcciones en el capítulo siguiente: Conversión de direcciones con NAT/NAPT (Página 180)

Acoplamientos VPN soportados En combinación con NAT/NAPT, se soportan los siguientes acoplamientos VPN:

Acoplamiento VPN Conexión VPN iniciada por Conversión de direcciones

realizada por SCALANCE S (a) SCALANCE S (b) SCALANCE S (a) o SCALANCE S (b) SCALANCE S (a) y/o

SCALANCE S (b) SCALANCE S CP S7 / CP PC SCALANCE S o CP S7 / CP PC SCALANCE S SCALANCE S SCALANCE M (SCALANCE S o) SCALANCE M SCALANCE S y/o

SCALANCE M* SOFTNET Security Client SCALANCE S SOFTNET Security Client SCALANCE S y/o

SOFTNET Security Client (acción: "Source-NAT", sentido: "De túnel a interna")

SCALANCE S Cliente NCP VPN (Android)

Cliente NCP VPN (Android) SCALANCE S

* Solo se soporta NAT 1:1.

Los módulos SCALANCE S de los tipos SCALANCE S623 V4 y SCALANCE S627-2M V4 que tienen un punto final VPN en la interfaz externa y en la interfaz DMZ pueden realizar conversiones de direcciones en ambas interfaces de forma simultánea.

Comportamiento de conversión de direcciones en caso de participación en varios grupos VPN Si un módulo SCALANCE S participa en varios grupos VPN, las reglas de conversión de direcciones configuradas para la interfaz de túnel del módulo SCALANCE S son válidas para todas las conexiones VPN de este módulo SCALANCE S.

Tenga en cuenta lo siguiente:

En cuanto haya configurado una conversión de direcciones NAT en o desde el sentido túnel, ya solo podrá acceder a las direcciones IP implicadas de las reglas de conversión de direcciones NAT mediante el túnel VPN.



5.1.6 Relación entre router NAT/NAPT y cortafuegos

Significado Tras crear reglas NAT/NAPT, SCT genera automáticamente reglas de cortafuegos que habilitan la comunicación en el sentido de conversión de direcciones configurado. Las reglas de cortafuegos generadas pueden desplazarse y ampliarse si es necesario (direcciones IP adicionales, servicios, ancho de banda). Los parámetros de cortafuegos generados por SCT no pueden adaptarse. Después de desactivar NAT/NAPT se eliminan las reglas de cortafuegos generadas por SCT.

Para simplificar la referencia entre las reglas NAT/NAPT y las correspondientes reglas de cortafuegos, las reglas de las fichas "NAT/NAPT" y "Cortafuegos" se marcan con los correspondientes números consecutivos.

La siguiente tabla muestra los esquemas de las reglas de cortafuegos generadas para las reglas NAT.

Tabla 5- 1 Conversión de direcciones NAT y reglas de cortafuegos correspondientes

Acción NAT Regla de cortafuegos creada

Acción De A Dirección IP de origen


Source-NAT Allow Red de origen Red de destino Dirección IP del dispositivo indicado en el campo de entrada "Dirección IP de origen".

-

Destination-NAT

Allow Red de origen Red de destino - Dirección IP del dispositivo indicado en el campo de entrada "Conversión de destino".

Source-NAT + Destination-NAT

Allow Red de origen Red de destino Dirección IP del dispositivo indicado en el campo de entrada "Dirección IP de origen".

-

Allow Red de destino Red de origen - Dirección IP del dispositivo insertado por SCT en el campo de entrada "Conversión de destino".

Double-NAT Allow Red de origen Red de destino Dirección IP del dispositivo indicado en el campo de entrada "Dirección IP de origen".

Dirección IP del dispositivo indicado en el campo de entrada "Conversión de destino".



La siguiente tabla muestra el esquema de las reglas de cortafuegos generadas para las reglas NAPT.

Tabla 5- 2 Conversiones NAPT y reglas de cortafuegos creadas

Regla de cortafuegos creada Acción De A Dirección IP de

origen Dirección IP de destino

Servicio

Allow Red de origen Red de destino - Dirección IP del dispositivo indicado en el campo de entrada "Dirección IP de destino".

[NúmPuerto_protocolo]

Stateful Packet Inspection El cortafuegos y el router NAT/NAPT contribuyen a la "Stateful Packet Inspection". Por esta razón, los telegramas de respuesta pueden pasar el router NAT/NAPT y el cortafuegos sin que sus direcciones se tengan que adoptar adicionalmente en las reglas de cortafuegos ni en la conversión de direcciones de NAT/NAPT.

5.1.7 Relación entre router NAT/NAPT y cortafuegos específico del usuario

Significado Tras crear reglas NAT/NAPT en el cortafuegos específico del usuario, SCT genera automáticamente un conjunto de reglas IP específico del usuario que habilita la comunicación en el sentido de conversión de direcciones configurado. Puede asignar a este conjunto de reglas IP específico del usuario uno o varios usuarios y/o uno o varios roles (solo para módulos SCALANCE S V4).

Las reglas de cortafuegos generadas pueden desplazarse y ampliarse si es necesario (direcciones IP adicionales, servicios, ancho de banda). Los parámetros de cortafuegos generados por SCT no pueden adaptarse. Si el conjunto de reglas IP específico del usuario es arrastrado (Drag and Drop) hasta un módulo de seguridad con NAT/NAPT desactivado, las reglas NAT/NAPT del cortafuegos específico del usuario tampoco se aplican a este módulo de seguridad.

Nota

No se soporta la acción de conversión de direcciones "Double-NAT" en relación con el cortafuegos específico del usuario.



Cómo se accede a esa función Ficha "NAT" o "NAPT" del cuadro de diálogo de configuración para conjuntos de reglas IP específicos del usuario, véase el capítulo siguiente: Conjuntos de reglas IP específicos de usuario (Página 148)

Sentidos de conversión de direcciones soportados para la acción "Source-NAT" La acción "Source-NAT" puede ejecutarse en los siguientes sentidos:



● ...

En el campo "Dirección IP de origen" no puede introducirse ninguna dirección IP. La dirección IP se introduce automáticamente cuando el dispositivo inicia sesión en el módulo de seguridad.

Sentidos de conversión de direcciones soportados para la acción "Destination-NAT" La acción "Destination-NAT" puede ejecutarse en los siguientes sentidos:





● ...

Sentidos de conversión de direcciones soportados para la acción "Source-NAT + Destination-NAT" La acción "Source-NAT + Destination-NAT" puede ejecutarse en los siguientes sentidos:



En el campo "Dirección IP de origen" no puede introducirse ninguna dirección IP. La dirección IP se introduce automáticamente cuando el dispositivo inicia sesión en el módulo de seguridad.

Sentidos de conversión de direcciones soportados para NAPT La conversión de direcciones con NAPT puede ejecutarse en los siguientes sentidos:





● ...

Configuración de otras propiedades de los módulos 5.2 Módulo de seguridad como servidor DHCP


Conversión de direcciones NAT/NAPT y conjuntos de reglas IP específicos del usuario correspondientes

Las reglas de cortafuegos para conjuntos de reglas IP específicos del usuario generados a partir de reglas NAT/NAPT son idénticos a las reglas de cortafuegos generadas de forma local para módulos de seguridad concretos, véase el capítulo: Relación entre router NAT/NAPT y cortafuegos (Página 188)

5.2 Módulo de seguridad como servidor DHCP

5.2.1 Sinopsis

Resumen El módulo de seguridad puede utilizarse en la red interna y en la red DMZ como servidor DHCP (DHCP = Dynamic Host Configuration Protocol). Esto permite asignar automáticamente direcciones IP a los dispositivos conectados.

Es posible el modo servidor DHCP simultáneo en ambas interfaces.

Las direcciones IP se asignan dinámicamente desde una banda de direcciones definida por el usuario, o bien se asigna una dirección IP a un dispositivo concreto conforme a sus predeterminaciones. Si los dispositivos de la interfaz interna o DMZ deben obtener siempre la misma dirección IP para la configuración del cortafuegos, la asignación de direcciones solo puede ser estática a partir de la dirección MAC o de la ID de cliente.

Requisitos Tiene que configurar los dispositivos en la red interna o DMZ de manera que obtengan la dirección IP de un servidor DHCP.

Dependiendo del modo de operación, el módulo de seguridad transmite a los dispositivos de la subred correspondiente una dirección IP del router predeterminado, o bien se tiene que comunicar una dirección IP de router a los dispositivos de la subred.



● Se transmite la dirección IP del router

En los casos siguientes, el módulo de seguridad transmite a los dispositivos una dirección IP de router a través del protocolo DHCP:

– El dispositivo está en la interfaz DMZ (solo SCALANCE S623/S627-2M). El módulo de seguridad transmite en este caso la dirección IP propia como dirección IP del router.

– El dispositivo está en la interfaz interna y el módulo de seguridad está configurado para el modo de router. El módulo de seguridad transmite en este caso la dirección IP propia como dirección IP del router.

– El dispositivo está en la interfaz interna y el módulo de seguridad no está configurado para el modo de router, pero se ha indicado un router estándar en la configuración del módulo de seguridad. El módulo de seguridad transmite en este caso la dirección IP del router estándar como dirección IP del router.

● No se transmite la dirección IP del router

En estos casos tiene que introducir manualmente la dirección IP del router en los dispositivos:

– El dispositivo está en la interfaz interna y el módulo de seguridad no está configurado para el modo de router. Adicionalmente, en la configuración del módulo de seguridad no se ha indicado ningún router estándar.


5.2.2 Configurar un servidor DHCP

Requisito La ficha "Servidor DHCP" solo se muestra si el proyecto está en el modo avanzado.



Soluciones para SCT standalone: Cierre el proyecto sin guardarlo y vuelva a abrirlo.




2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Servidor DHCP".

3. Active la casilla de verificación "Activar DHCP".

4. Seleccione para qué interfaz desea realizar los ajustes de DHCP.

5. Realice la asignación de direcciones. Para la configuración tiene las dos posibilidades siguientes:



● Asignación estática de direcciones

A dispositivos con una dirección MAC o un Client-ID determinados se les asignan direcciones predeterminadas para cada caso. Introduzca para ello estos dispositivos en la lista de direcciones en el campo de entrada "Asignación estática de direcciones". Esta opción es aconsejable en relación a reglas del cortafuegos con indicación explícita de la dirección IP de origen o destino.

● Asignación dinámica de direcciones

Dispositivos cuya dirección MAC o su Client-ID no se hayan indicado explícitamente reciben una dirección IP cualquiera de una banda de direcciones predeterminada. Esta banda de direcciones se ajusta en el campo de entrada "Asignación dinámica de direcciones".

Nota

Asignación dinámica de direcciones - Comportamiento tras una interrupción de la alimentación eléctrica

Tenga en cuenta que las direcciones IP asignadas dinámicamente no se almacenan si se interrumpe la alimentación eléctrica. Tras restablecerse la alimentación eléctrica tiene que cuidar por tanto de que todos los dispositivos soliciten de nuevo una dirección IP.

Por esta razón, solo debería prever la asignación dinámica de direcciones para los siguientes dispositivos: • dispositivos que se utilicen temporalmente en la subred (por ejemplo, dispositivos de

mantenimiento); • dispositivos que en caso de una nueva solicitud transmitan al servidor DHCP como

"dirección preferida" una dirección IP anteriormente asignada (por ejemplo, estaciones PC).

Para los dispositivos que están en servicio permanente se debe dar preferencia a la asignación estática de direcciones indicando una ID de cliente (recomendado para CPs S7 porque facilita la sustitución de módulos) o la dirección MAC.

Se da soporte a nombres simbólicos En la función descrita a continuación se pueden introducir tanto direcciones IP o MAC como nombres simbólicos.

Reglas que deben considerarse en la comprobación de coherencia Al realizar sus entradas debe tener en cuenta las reglas indicadas a continuación:

● Las direcciones IP asignadas en el campo de entrada "Asignación estática de direcciones" de la lista de direcciones no deben estar en el área de las direcciones IP dinámicas.

● Los nombres simbólicos han de tener una asignación de dirección numérica. Si aquí se asignan nuevos nombres simbólicos, además habrá que realizar la asignación de direcciones en el cuadro de diálogo "Nombres simbólicos".



● Las direcciones IP, direcciones MAC e ID de cliente solo pueden aparecer una vez en el campo de entrada "Asignación estática de direcciones" (con referencia al módulo de seguridad).

● En el caso de las direcciones IP asignadas estáticamente, hay que indicar la dirección MAC o la ID de cliente (nombre del equipo).

● El Client-ID es una secuencia de como máximo 63 caracteres. Solo se permiten los caracteres siguientes: a-z, A-Z, 0-9 y - (guión).

Nota

En SIMATIC S7 es posible asignar a los dispositivos de la interfaz Ethernet una ID de cliente para la referencia a una dirección IP a través de DHCP.

En PCs el procedimiento depende del sistema operativo utilizado; se recomienda utilizar la dirección MAC para la asignación.

● En el caso de las direcciones IP asignadas estáticamente, hay que indicar la dirección IP.

● Las siguientes direcciones IP no deben estar en el área de la asignación dinámica de direcciones:

– Todas las direcciones IP de router de la ficha "Enrutamiento"

– Servidor Syslog

– Router estándar

– Dirección(es) del módulo de seguridad

● DHCP es soportado por el módulo de seguridad en la interfaz con la subred interna y en la interfaz con la red DMZ. De este comportamiento del módulo de seguridad se derivan, además, los siguientes requisitos para las direcciones IP en el área de la asignación dinámica de direcciones:

– Modo de puente

El área debe estar en la red definida por el módulo de seguridad.

– Modo de enrutamiento

El área debe estar en la subred interna definida por el módulo de seguridad.

Nota

La red DMZ representa siempre una subred separada. En caso de utilizar DHCP en la interfaz DMZ, hay que tener en cuenta que el área de direcciones IP libre (direcciones IP dinámicas) se encuentra dentro de la subred DMZ.

● El rango de direcciones IP libre se tiene que indicar por completo introduciendo la dirección inicial y la dirección final. La dirección final debe ser más alta que la inicial.

● Las direcciones IP introducidas en el campo de entrada "Asignación estática de direcciones" de la lista de direcciones tienen que estar en el área de direcciones de la subred interna o de la red DMZ del módulo de seguridad.

Tenga en cuenta las aclaraciones al respecto del capítulo Check Consistency (Página 61).

Configuración de otras propiedades de los módulos 5.3 Sincronización horaria


5.3 Sincronización horaria

5.3.1 Sinopsis

Significado Para comprobar la validez horaria de un certificado y para el sello de fecha y hora de registros Log se indican la fecha y la hora en el módulo de seguridad.

Se pueden configurar las siguientes alternativas:

● Ajuste automático de la hora del módulo a la hora del PC al cargar una configuración.

● Ajuste automático y sincronización periódica de la hora a través de un servidor Network Time Protocol (servidor NTP).

Sincronización mediante un servidor NTP Para la creación del servidor NTP rigen las siguientes reglas:

● Los servidores NTP pueden crearse para todo el proyecto a través del menú de SCT "Opciones" > "Configuración del servidor NTP...". Asigne un servidor NTP a un módulo de seguridad en la ficha de propiedades "Sincronización horaria". Si diferentes módulos de seguridad del proyecto SCT utilizan el mismo servidor NTP, sus datos solo tendrán que introducirse una vez.

● Pueden crearse hasta 32 servidores NTP para todo el proyecto.

● A un módulo de seguridad se le pueden asignar como máximo 4 servidores NTP.

● Los nombres simbólicos se soportan en la definición de servidores NTP.

● Los FQDN se soportan en la definición de servidores NTP.

● Desde servidores NTP ya creados en STEP 7 se migran a SCT la dirección IP y el intervalo de actualización.

● Si se selecciona "Sincronización horaria con NTP (seguro)", el módulo de seguridad solo aceptará la hora de servidores NTP configurados del modo correspondiente (seguro). La configuración combinada de servidores NTP (seguro) seguros y no seguros en un módulo de seguridad no es posible.



5.3.2 Configurar el control de la hora

Cómo se accede a esa función Comando de menú SCT:


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Sincronización horaria".

Comando de menú de STEP 7 (si está activada la opción "Activar sincronización horaria en procedimiento NTP"): "Sincronización horaria" > "Configuración NTP avanzada", botón "Ejecutar".

Alternativas de sincronización horaria Se pueden configurar las siguientes alternativas:

Tabla 5- 3 Sincronización horaria para CP

Posibilidades Significado / repercusión Sin sincronización horaria Sin sincronización horaria a través del PC o un servidor

NTP. Sincronización horaria con NTP Ajuste automático y sincronización periódica de la hora

a través de un servidor NTP. Sincronización horaria con NTP (seguro) Ajuste automático y sincronización periódica de la hora

a través de un servidor NTP (seguro).

Tabla 5- 4 Sincronización horaria para SCALANCE S ≥ V3.0

Posibilidades Significado / repercusión Sin sincronización horaria Sin sincronización horaria. Ajustar hora con cada carga Ajuste automático de la hora del módulo a la hora del

PC al cargar una configuración. Sincronización horaria con NTP Ajuste automático de la hora a través de un servidor

NTP.

Sincronización horaria con NTP (seguro)

Ajuste automático y sincronización periódica de la hora a través de un servidor NTP (seguro).



Seleccionar el modo de sincronización horaria Proceda del siguiente modo:

1. Seleccione el modo de sincronización horaria.

2. Para SCALANCE S < V3.0: En la sincronización a través de un servidor NTP, indique el intervalo de actualización en segundos. Para SCALANCE S ≥ V3.0, el intervalo de tiempo para la consulta del servidor NTP se define automáticamente.

Nota

Los servidores NTP creados en STEP 7 se migran automáticamente a SCT según el intervalo de actualización. El intervalo de actualización solo puede modificarse en STEP 7.

3. Si ha seleccionado el modo de sincronización "Sincronización horaria con NTP" o "Sincronización horaria con NTP (seguro)", asigne al módulo de seguridad con el botón "Agregar" un servidor NTP ya creado del mismo tipo que el que está seleccionado en el campo "Modo de sincronización".

Si aún no hay servidores NTP, cree uno con el botón "Configurar servidor...".

5.3.3 Definir un servidor NTP

Cómo definir un servidor NTP nuevo: 1. Introduzca un nombre para el servidor NTP.

2. Introduzca la dirección IP/el FQDN del servidor NTP.

3. Seleccione el tipo.

Configuración de otras propiedades de los módulos 5.4 SNMP


Configuración de NTP (seguro) 1. Haga clic en el botón "Agregar...".


Parámetros Significado ID de código Valor numérico entre 1 ... 65534. Autenticación Seleccione el algoritmo de autenticación. Hex/ASCII Seleccione el formato del código NTP. Código Introduzca el código NTP con las siguientes

longitudes: Hex: 22 ... 40 caracteres ASCII: 11 ... 20 caracteres

Importar y exportar servidores NTP Los botones "Importar..." y "Exportar..." permiten exportar la lista de claves del servidor NTP mostrado en ese momento e importar el archivo a un servidor NTP, o viceversa.

5.4 SNMP

5.4.1 Sinopsis

¿Qué es SNMP? El módulo de seguridad soporta la transmisión de información de administración a través del Simple Network Management Protocol (SNMP). Para ello se ha instalado en el módulo de seguridad un "agente SNMP", que recibe y responde a las solicitudes SNMP. La información sobre las propiedades de dispositivos compatibles con SNMP está almacenada en los denominados archivos MIB (MIB = Management Information Base), para los que el usuario debe tener los derechos correspondientes (SNMPv3).

En SNMPv1 también se envía el "community string". El community string es como una contraseña que se envía junto con la solicitud SNMP. Si el community string es correcto, el módulo de seguridad responde con la información solicitada. Si el community string es incorrecto, el módulo de seguridad rechaza la solicitud y no contesta.

En SNMPv3 los datos pueden enviarse cifrados.

Configuración de otras propiedades de los módulos 5.4 SNMP


5.4.2 Activar SNMP

Requisito

HW Config: en la ficha "SNMP" de las propiedades del CP está activada la casilla de verificación "Activar SNMP". Si no está activada no es posible configurar SNMP en la Security Configuration Tool.

Procedimiento para configurar SNMP: 1. Seleccione el módulo de seguridad que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "SNMP".

3. Active la casilla de verificación "Activar SNMP".

4. Elija una de las versiones de protocolo SNMP.

Nota

Transferencia de datos cifrada con SNMPv3

Con el fin de incrementar la seguridad es aconsejable utilizar SNMPv3, pues con él los datos se transfieren cifrados.

– SNMPv1

Para controlar los derechos de acceso en el agente SNMP, el módulo de seguridad utiliza los siguientes valores estándar para los community strings:

Para acceso de lectura: public

Para acceso de lectura y escritura: private

Para activar el acceso de escritura a través de SNMP, seleccione la casilla de verificación "Permitir acceso de escritura".

– SNMPv3

Seleccione un método de autenticación o un método de autenticación y cifrado.

Algoritmo de autenticación: Ninguno, MD5, SHA-1

Algoritmo de encriptación: Ninguno, AES-128, DES

Nota Evitar el uso de DES

DES es un algoritmo de cifrado no seguro. Por tanto, solo debería utilizarse cuando sea necesario para la compatibilidad con versiones anteriores.

Configuración de otras propiedades de los módulos 5.5 Proxy ARP


5. En el área "Configuración avanzada", configure datos específicos del módulo relacionados con el autor, la ubicación y la dirección de correo electrónico, que sobrescriban los datos de las propiedades del proyecto. Si se activa la casilla de verificación "Conservar los valores escritos por SNMP-SET", los valores escritos por una herramienta SNMP en el módulo de seguridad por medio de un comando SNMP-SET no se sobrescribirán al volver a cargar una configuración de SCT en el módulo de seguridad.

6. Si debe utilizarse SNMPv3, asigne a un usuario un rol que tenga activados los derechos SNMP correspondientes para que pueda acceder al módulo de seguridad vía SNMP.

Encontrará más información sobre la configuración de usuarios, derechos y roles en el capítulo siguiente:

– Administrar usuarios (Página 73)

5.5 Proxy ARP

Resumen Proxy ARP permite a los routers responder a solicitudes ARP para hosts. Los hosts están en redes separadas por routers, pero utilizan la misma área de direcciones IP.

Si PC1 envía una solicitud ARP a PC2, recibe del módulo de seguridad situado en medio, y no del PC2, una respuesta ARP y la dirección de hardware de la interfaz (dirección MAC del puerto del módulo de seguridad) en la que se recibió la solicitud. El PC1 solicitante envía entonces sus datos al módulo de seguridad, que los transmite al PC2.

Cómo se accede a esa función Esta función solo está disponible para la interfaz interna de un módulo de seguridad que forma parte de un grupo VPN y está en modo de puente. Además, el proyecto debe estar en modo avanzado.


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Proxy ARP".

3. Si el módulo de seguridad debe responder a una solicitud ARP de la LAN propia en lugar del interlocutor específico, introduzca la dirección IP correspondiente.

Configuración de otras propiedades de los módulos 5.5 Proxy ARP



Comunicación segura en la VPN a través de túnel IPsec 6

En este capítulo se describe cómo conectar las subredes IP protegidas por el módulo de seguridad con una VPN (Virtual Private Network).

Tal como se ha descrito ya en el capítulo relativo a las propiedades del módulo, también aquí se pueden conservar los ajustes predeterminados para garantizar una comunicación segura dentro de la red interna.

Otras informaciones La ayuda online le proporcionará también información detallada sobre los diálogos y los parámetros ajustables.

Puede acceder a esta ayuda con la tecla F1 o con el botón "?" en el respectivo cuadro de diálogo.

Consulte también Funciones online - Test, Diagnóstico y Logging (Página 253)

6.1 VPN con módulos de seguridad

Conexión segura a través de red no protegida Para los módulos de seguridad que protegen la red interna, los túneles IPsec proporcionan una conexión de datos segura a través de la red externa no segura.

Mediante el intercambio de datos a través de IPsec se implementan los siguientes paquetes de seguridad para la comunicación:

● Confidencialidad

Garantiza que los datos se transmiten cifrados.

● Integridad

Garantiza que los datos no han sido modificados.

● Autenticidad

Garantiza que los puntos finales de la VPN también son de confianza.

El módulo de seguridad utiliza el protocolo IPsec (modo túnel de IPsec) para la formación de túneles.

Comunicación segura en la VPN a través de túnel IPsec 6.1 VPN con módulos de seguridad


Las conexiones por túnel se realizan entre módulos del mismo grupo VPN En el caso de los módulos de seguridad, las propiedades de una VPN se reúnen dentro de un grupo VPN para todos los túneles IPsec.

Se establecen automáticamente túneles IPsec entre todos los módulos de seguridad y los SOFTNET Security Clients pertenecientes al mismo grupo VPN. Un módulo de seguridad puede pertenecer simultáneamente a diferentes grupos VPN en un mismo proyecto.

Comunicación segura en la VPN a través de túnel IPsec 6.1 VPN con módulos de seguridad


Nota

Si se cambia el nombre de un módulo de seguridad, se tienen que reconfigurar todos los módulos de seguridad de los grupos VPN a los que pertenece el módulo de seguridad modificado (comando "Transferir" > "A todos los módulos...")

Si se cambia el nombre de un grupo VPN, se tienen que reconfigurar todos los módulos de seguridad de ese grupo VPN (comando "Transferir" > "A todos los módulos...").

Nota

Los telegramas de capa 2 solo se transmiten vía túnel si entre dos módulos de seguridad hay un router. No obstante, para ello es necesario configurar las direcciones MAC de los interlocutores de forma estática en la Security Configuration Tool y, dado el caso, se pueden registrar entradas ARP estáticas en los dispositivos de comunicación.

Regla general: Los telegramas no IP solo se transmiten a través de un túnel si los dispositivos que envían o reciben los telegramas se podían comunicar ya anteriormente, es decir, sin el uso de los módulos de seguridad.

Comunicación segura en la VPN a través de túnel IPsec 6.2 Método de autenticación


6.2 Método de autenticación

Método de autenticación El método de autenticación se establece dentro de un grupo VPN y determina la forma de autenticación utilizada.

Son posibles métodos de autenticación basados en clave o en certificado:

● Preshared Keys

La autenticación se produce a través de una secuencia de caracteres establecida de antemano, que se distribuye a todos los módulos del grupo VPN.

Introduzca previamente para ello una contraseña en el campo "Código" del cuadro de diálogo "Propiedades del grupo VPN" o genere una contraseña con el botón "Nuevo...".

● Certificado

La autenticación basada en certificado denominada "Certificado" es el ajuste predeterminado, que está activado también en el modo normal. El comportamiento es el siguiente:

– Al crear un grupo VPN, se genera automáticamente un certificado CA para el grupo VPN.

– Cada módulo de seguridad del grupo VPN recibe un certificado de grupos VPN firmado con el código de la entidad emisora del grupo VPN.

Todos los certificados se basan en el estándar ITU X.509v3 (ITU, International Telecommunications Union).

Los certificados son generados por una entidad certificadora contenida en la Security Configuration Tool.

Nota

Restricción para el modo VLAN

En los telegramas IP a través del túnel de VPN del módulo de seguridad no se transmiten identificadores de VLAN. Los identificadores de VLAN contenidos en los telegramas IP se pierden al pasar los módulos de seguridad, ya que para la transmisión de los telegramas IP se utiliza IPSec.

Con el ajuste predeterminado no es posible transmitir telegramas IP Broadcast o Mulitcast con IPsec a través de un túnel VPN de capa 3. A través de un túnel VPN de capa 2 del módulo de seguridad, los telegramas IP Broadcast o Multicast se "empaquetan" en UDP y se transmiten exactamente como paquetes MAC, incluido el encabezado Ethernet. Por ello, en esos paquetes también se conservan los identificadores de VLAN.

Comunicación segura en la VPN a través de túnel IPsec 6.3 Grupos VPN


6.3 Grupos VPN

6.3.1 Reglas para la creación de grupos VPN

Tenga en cuenta las reglas siguientes: ● Para SCALANCE S612 / S613 / S623 / S627-2M / SCALANCE M / dispositivo VPN

El primer módulo asignado a un grupo VPN decide qué otros módulos se pueden agregar.

Si el primer módulo SCALANCE S agregado está en modo de enrutamiento o el primer módulo de seguridad es un módulo SCALANCE M o un dispositivo VPN, solo es posible agregar adicionalmente módulos SCALANCE S con enrutamiento activado o bien módulos SCALANCE M o dispositivos VPN, ya que los módulos SCALANCE M y los dispositivos VPN siempre funcionan en modo de enrutamiento. Si el primer módulo SCALANCE S agregado está en modo de puente, solo es posible agregar adicionalmente módulos SCALANCE S en modo de puente. Un CP, un SSC o un cliente NCP VPN (Android) puede agregarse a un grupo VPN con un SCALANCE S en modo de puente o enrutamiento.

● Para CP / SSC / cliente NCP VPN (Android)

Si el primer módulo de un grupo VPN es un CP / SSC / cliente NCP VPN (Android), es posible agregar módulos de seguridad en los modos que se desee hasta que se agregue un módulo SCALANCE S o SCALANCE M. A partir de ahí rigen las reglas para módulos SCALANCE S y SCALANCE M, véase arriba.

● No es posible agregar un módulo SCALANCE M a un grupo VPN que contenga un módulo SCALANCE S en el modo de puente.

Vea en la tabla siguiente qué módulos se pueden reunir en un grupo VPN:

Tabla 6- 1 Reglas para la creación de grupos VPN

Módulo Se puede incluir en un grupo VPN que contenga el módulo siguiente:

SCALANCE S en modo de puente

SCALANCE S en modo de

enrutamiento / SCALANCE M / dispositivo VPN / cliente NCP VPN

(Android)

CP / SSC

SCALANCE S en modo de puente x - x SCALANCE S en modo de enrutamiento

- x x

CP x43-1 Adv. x x x CP 1628 x x x SOFTNET Security Client 2005 x - -



Módulo Se puede incluir en un grupo VPN que contenga el módulo siguiente:

SCALANCE S en modo de puente

SCALANCE S en modo de

enrutamiento / SCALANCE M / dispositivo VPN / cliente NCP VPN

(Android)

CP / SSC

SOFTNET Security Client 2008 x x x SOFTNET Security Client V3.0 x x x SOFTNET Security Client V4.0 x x x SCALANCE M / Dispositivo VPN - x x Cliente NCP VPN (Android) - x x

6.3.2 Relaciones de comunicación tunelada soportadas

Significado Las tablas siguientes indican las interfaces de túnel que pueden formar un túnel conjuntamente. En ellas se diferencia si el módulo SCALANCE S está en modo de enrutamiento o puente.

Independientemente de la interfaz por la que se establezca el túnel VPN, de forma estándar siempre pueden comunicarse entre sí los dispositivos de las subredes internas de los módulos de seguridad. Si la comunicación por el túnel VPN debe llevarse a cabo también en otras subredes, puede habilitarse en la ficha "VPN" de las propiedades avanzadas del módulo para la comunicación tunelada; véase el capítulo siguiente:

● Configuración de otros dispositivos y subredes para el túnel VPN (Página 223)

Las subredes que tienen que habilitarse para la comunicación tunelada son:

● Subred en la interfaz externa (si la interfaz externa no es el punto final VPN)

● Subred en la interfaz DMZ (si la interfaz DMZ no es el punto final VPN)

● Otras subredes accesibles por router en las diferentes interfaces (si no son puntos finales VPN)



Tabla 6- 2 Comunicación tunelada entre CP, módulos SCALANCE M, SOFTNET Security Clients y módulos SCALANCE S en modo de enrutamiento

Interfaz del respondedor Interfaz del iniciador Externa (SCALANCE

M875) Gbit, IE (CP) Externa (SCALANCE S) DMZ (SCALANCE S623 /

S627-2M) PC/PG (SSC)

x x x x

Externa (SCALANCE M875)

x x x x

Gbit, IE (CP)

- x x x

Externa (SCALANCE S)

- x x x

DMZ (SCALANCE S623 / S627-2M)

- x x x

x se soporta - no se soporta

Tabla 6- 3 Comunicación tunelada entre CP, SOFTNET Security Clients y módulos SCALANCE S en modo de puente

Interfaz del respondedor Interfaz del iniciador Gbit, IE (CP) Externa (SCALANCE S) DMZ (SCALANCE S623 /

S627-2M) PC/PG (SSC) x x - Gbit, IE (CP) x x - Externa (SCALANCE S) x x - DMZ (SCALANCE S623 / S627-2M)

- - -

x se soporta - no se soporta



6.3.3 Crear grupos VPN y asignar módulos

Requisito



Cómo se accede a esa función 1. Seleccione un grupo VPN con el comando de menú "Insertar" > "Grupo".

2. Asigne al grupo VPN los módulos de seguridad, SOFTNET Security Clients, dispositivos VPN y clientes NCP VPN (Android) que deban pertenecer a un grupo VPN. Para ello, arrastre con el ratón los módulos desde el índice hasta el grupo VPN deseado en el área de navegación (Drag and Drop).

Configuración de propiedades Como en el caso de la configuración de módulos, también en la configuración de grupos VPN repercuten las dos vistas de operación seleccionables en la Security Configuration Tool:

● Modo normal

En el modo normal se conservan los ajustes predeterminados por el sistema. También como persona no experta en IT puede configurar así túneles IPsec y practicar una comunicación de datos segura.

● Modo avanzado

El modo avanzado ofrece posibilidades de ajuste para configurar de forma específica la comunicación por túnel.

Comunicación segura en la VPN a través de túnel IPsec 6.4 Configuración de túnel en modo normal


Visualización de todos los grupos VPN configurados, con sus propiedades ● En el área de navegación, seleccione el objeto "Grupos VPN"

Se visualizan por columnas las siguientes propiedades de los grupos:

Propiedad/columna Significado Comentario/selección Nombre Nombre del grupo De libre elección Autenticación Tipo de autenticación • Preshared Key

• Certificado

Miembro del grupo hasta Duración de certificados Véase el apartado "Ajustar la duración de certificados"

Comentario Comentario De libre elección

Ajustar la duración de certificados Abra de la forma siguiente el cuadro de diálogo en el que puede introducir la fecha de caducidad del certificado:

1. En el área de navegación, seleccione el grupo VPN para el que desea configurar un certificado.

2. Haga clic con el botón derecho del ratón en el módulo del área de contenido y seleccione en el menú contextual el comando "Nuevo certificado...".

Nota

Caducidad de un certificado

La comunicación a través del túnel VPN continúa una vez caducado el certificado hasta que el túnel se deshaga o finalice la vida útil SA. Encontrará más información sobre certificados en el capítulo siguiente: • Administrar certificados (Página 89)

6.4 Configuración de túnel en modo normal

Abrir el cuadro de diálogo para visualización de valores estándar 1. Seleccione el grupo VPN.


La visualización de las propiedades de grupo VPN es idéntica a la visualización en el modo avanzado, pero los valores no pueden modificarse en el modo normal.

Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado


6.5 Configuración de túneles en el modo avanzado El modo avanzado ofrece posibilidades para configurar de forma específica la comunicación por túnel.

Cambiar al modo avanzado Para todas las funciones descritas en este capítulo, cambie el proyecto al modo avanzado.




6.5.1 Configuración de propiedades del grupo VPN

Propiedades del grupo VPN

Nota Se requieren conocimientos sobre IPsec

Para poder ajustar estos parámetros necesita tener conocimientos en materia de IPsec. Si no efectúa o modifica ningún ajuste, rigen los ajustes predeterminados del modo normal.

En el modo avanzado se pueden configurar las siguientes propiedades del grupo VPN:

● Método de autenticación

● Ajustes IKE (área de diálogo: Advanced Settings Phase 1)

● Ajustes IPsec (área de diálogo: Advanced Settings Phase 2)



Cómo se accede a esa función 1. En el área de navegación, seleccione el grupo VPN que desea editar.


3. Elija si para la autenticación debe utilizarse una Preshared Key o un certificado.

Encontrará más información al respecto en el capítulo siguiente:

– Método de autenticación (Página 206).

Parámetros para ajustes ampliados Fase 1 - Ajustes IKE Fase 1: Cambio de código (IKE = Internet Key Exchange):

Aquí se ajustan los parámetros para el protocolo IKEv1 de la administración de códigos IPsec. El cambio de código se produce conforme al método estandarizado IKEv1, para el que se pueden ajustar los siguientes parámetros de protocolo:



Parámetro Descripción Modo IKE Método de cambio de código:

• Main Mode • Aggressive Mode La diferencia entre la modalidad Main y Aggressive es la "Identity-Protection" que se utiliza en el Main Mode. La identidad se transmite codificada en el Main Mode, en el Aggressive Mode no.

Grupo DH fase 1 Convenio de codificación Diffie-Hellman: • Group 1 • Group 2 • Group 5 • Group 14 Grupos Diffie-Hellman (algoritmos criptográficos seleccionables en el protocolo de cambio de códigos Oakley)

Tipo de vida útil SA Phase 1 Security Association (SA): • Time: Limitación del tiempo en minutos Se limita el tiempo de vida útil para el material de codificación actual. Una vez transcurrido ese tiempo se negocia de nuevo el material de codificación.

Vida útil SA Valor numérico: Rango de valores para Time: 1440 ... 2500000 minutos (predeterminado: 2500000)

Cifrado fase 1 Algoritmo de cifrado: • DES*: Data Encryption Standard (longitud de código 56 bits, modo

CBC) • 3DES-168: DES triple (longitud de código 168 bits, modo CBC) • AES-128, 192, 256: Advanced Encryption Standard (longitud de código

128 bits, 192 bits o 256 bits, modo CBC)

Autenticación fase 1 Algoritmo de autenticación: • MD5: Message Digest Algorithm 5 • SHA1: Secure Hash Algorithm 1

* DES es un algoritmo de cifrado no seguro. Solo debería utilizarse cuando sea necesario para la compatibilidad con versiones anteriores.

Parámetros para Advanced Settings Phase 2 - Ajustes IPsec Fase 2: Intercambio de datos (ESP = Encapsulating Security Payload)

Aquí se ajustan los parámetros para el protocolo del intercambio de datos IPsec. El intercambio de datos se produce en el "Quick Mode". Toda la comunicación que se produce en esta fase está cifrada a través del protocolo de seguridad estandarizado ESP, para el que pueden configurarse los siguientes parámetros:



Parámetro Descripción Tipo de vida útil SA Phase 2 Security Association (SA):

• Time: Limitación de tiempo en minutos. Se limita el tiempo de vida útil para el material de codificación actual. Una vez transcurrido ese tiempo se negocia de nuevo el material de codificación.

• Limit: Limitación del volumen de datos en MB

Vida útil SA Valor numérico: • Rango de valores para Time: 60 ... 16666666 minutos (predeterminado:

2880) • Rango de valores para Limit: 2000 ... 500000 MB (predeterminado:

4000)

Cifrado fase 2 Algoritmo de cifrado: • DES*: Data Encryption Standard (longitud de código 56 bits, modo

CBC) • 3DES-168: DES triple (longitud de código 168 bits, modo CBC) • AES-128: Advanced Encryption Standard (longitud de código 128 bits,

modo CBC)

Autenticación fase 2 Algoritmo de autenticación: • MD5: Message Digest Algorithm 5 • SHA1: Secure Hash Algorithm 1

Perfect Forward Secrecy

Elija si antes de cada negociación de una SA IPsec tiene lugar una nueva negociación de la clave con ayuda del procedimiento Diffie-Hellman. Perfect Forward Secrecy garantiza que a partir de las claves generadas anteriormente no puedan deducirse las claves nuevas.

* DES es un algoritmo de cifrado no seguro. Solo debería utilizarse cuando sea necesario para la compatibilidad con versiones anteriores.



6.5.2 Incluir un módulo de seguridad en un grupo VPN configurado Las propiedades de grupo configuradas se adoptan para los módulos de seguridad nuevos que se incluyen en un grupo VPN existente.

Incluir estaciones activas en un grupo VPN Si una estación activa se agrega a un grupo VPN ya existente, la estación podrá acceder a las estaciones del grupo sin necesidad de tener que cargar el proyecto de nuevo en todas ellas.

Nota

Si retira una estación activa de un grupo VPN existente, la estación podrá establecer una conexión con las estaciones del grupo aunque haya vuelto a cargar el proyecto en todas ellas.

Si no desea que la estación activa retirada establezca conexión, renueve el certificado CA del grupo VPN y vuelva a cargar el proyecto en las estaciones del grupo VPN.

El certificado CA del grupo VPN puede renovarse en las propiedades de grupo del grupo VPN o en el administrador de certificados, en la ficha "Entidades emisoras".

Procedimiento a seguir En el procedimiento hay que distinguir lo siguiente:

● Caso a: si no se han modificado las propiedades del grupo y el módulo de seguridad que debe agregarse establece activamente la conexión con los módulos de seguridad ya configurados:

1. Agregue el módulo de seguridad nuevo al grupo VPN.

2. Cargue la configuración en el nuevo módulo de seguridad.

● Caso b:si se han modificado las propiedades del grupo o el módulo de seguridad que debe agregarse no establece activamente la conexión con los módulos de seguridad ya configurados:

1. Agregue el módulo de seguridad nuevo al grupo VPN.

2. Cargue la configuración en todos los módulos de seguridad pertenecientes al grupo VPN.

Ventaja en el caso a No es necesario configurar de nuevo ni cargar los módulos de seguridad ya existentes y que ya se han puesto en servicio. La comunicación en curso no se ve afectada ni interrumpida.



Ajustes para estaciones con dirección IP desconocida Las estaciones para las que no se conoce la dirección IP en el momento de la configuración (unknown peers) se pueden insertar en un grupo VPN ya existente. Dado que la mayoría de estaciones suele tener un uso móvil y obtienen su dirección IP dinámicamente (p. ej. un SOFTNET Security Client o SCALANCE M), el túnel VPN solo puede establecerse si los ajustes de parámetros para la fase 1 se realizan conforme a una de las siguientes tablas. Si utiliza otros ajustes, no será posible establecer un túnel VPN con el dispositivo terminal.

Tabla 6- 4 Parámetros de cifrado 1

Parámetro Ajuste Cifrado fase 1 AES-256 Grupo DH fase 1 Group2 Autenticación fase 1 SHA1 Método de autenticación Certificado Vida útil SA 1440 … 2500000 minutos


Parámetro Ajuste Cifrado fase 1 3DES-168 Grupo DH fase 1 Group2 Autenticación fase 1 SHA1 Método de autenticación Certificado Vida útil SA 1440 … 2500000 minutos


Parámetro Ajuste Cifrado fase 1 DES Grupo DH fase 1 Group2 Autenticación fase 1 MD5 Método de autenticación Certificado Vida útil SA 1440 … 2500000 minutos


Parámetro Ajuste Cifrado fase 1 3DES-168 Grupo DH fase 1 Group2 Autenticación fase 1 SHA1 Método de autenticación Preshared Key Vida útil SA 1440 … 2500000 minutos



Limitaciones adicionales para el SOFTNET Security Client Para el SOFTNET Security Client rigen además las siguientes limitaciones:

Parámetro Ajuste/particularidad Cifrado fase 1 AES-256 solo es posible con Windows 7 Fase 1 vida útil SA 1440 ... 2879 minutos Tipo de vida útil SA Debe ser idéntico para ambas fases. Cifrado fase 2 No es posible AES-128 Fase 2 vida útil SA 60 ... 2879 minutos Autenticación fase 2 No es posible MD5

6.5.3 Configuración de propiedades VPN específicas del módulo

Significado Para el intercambio de datos a través de túnel IPsec en VPN se pueden configurar las siguientes propiedades específicas del módulo:

● Dead-Peer-Detection

● Permiso para iniciar el establecimiento de la conexión

● Dirección IP WAN / FQDN para la comunicación a través de gateways de Internet

Requisitos ● En la ficha "VPN" solo se pueden realizar ajustes si el módulo de seguridad que se va a

configurar se encuentra en un grupo VPN.

● El área de diálogo "Nodos VPN" de la ficha "VPN" solo se muestra si el proyecto está en el modo avanzado.


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN".

Los ajustes realizados aquí se aplican de forma estándar como ajustes del módulo para la configuración de conexión a conexión. Los ajustes de conexión a conexión pueden sobrescribir los ajustes del módulo y se configuran en la ventana detallada. Encontrará más información sobre la configuración de los ajustes de conexión a conexión en el capítulo siguiente: Configuración de propiedades VPN conexión a conexión (Página 221)



Dead-Peer-Detection (DPD) Como estándar está activado DPD. Para que DPD funcione de forma fiable debe estar activado en los módulos de seguridad participantes.

Estando activado DPD, los módulos de seguridad intercambian mensajes adicionales a intervalos de tiempo ajustables, siempre que en esos momentos no haya tráfico de datos por el túnel VPN. Eso permite detectar si la conexión IPsec todavía es válida o si es necesario volver a establecerla. Si ya no hay conexión, se finalizan prematuramente las "Security Associations" (SA) de fase 2. Con DPD desactivado, la SA no se finaliza hasta haber concluido su vida útil. Para ajustar la vida útil SA, consulte el capítulo siguiente: Configuración de propiedades del grupo VPN (Página 212).

Permiso para iniciar el establecimiento de la conexión Se puede limitar el permiso para iniciar el establecimiento de la conexión de VPN a determinados módulos de seguridad de la VPN.

El factor decisivo para el ajuste del parámetro aquí descrito es la asignación de la dirección IP para la gateway del módulo de seguridad configurado. En el caso de una dirección IP asignada estáticamente, el módulo de seguridad puede ser encontrado por el interlocutor. En el caso de una dirección IP asignada dinámicamente, y por lo tanto constantemente cambiante, el interlocutor no puede establecer sin más una conexión.

Modo Significado Iniciando conexión con interlocutor (iniciador/respondedor) (predeterminado)

Con esta opción, el módulo de seguridad está "activo", es decir, se intenta establecer una conexión con un interlocutor. Esta opción es recomendable cuando el módulo de seguridad que debe configurarse recibe una dirección IP dinámica del ISP. El direccionamiento del interlocutor tiene lugar a través de su dirección IP WAN configurada, de su dirección IP de módulo externa configurada o del FQDN configurado.

Esperando a interlocutor (respondedor) Con esta opción, el módulo de seguridad está "pasivo", es decir, se espera a que el interlocutor inicie el establecimiento de la conexión. Esta opción es recomendable cuando el módulo de seguridad que debe configurarse ha recibido una dirección IP estática del ISP.

Nota

No ponga todos los módulos de seguridad de un grupo VPN a "Esperando al interlocutor", pues de hacerlo no se establece ninguna conexión.



Dirección IP WAN / direcciones FQDN de los módulos de seguridad y gateways en una VPN vía Internet

Para el funcionamiento de una VPN con túneles IPsec a través de Internet se necesitan, por regla general, direcciones IP adicionales para las gateways de Internet, como por ejemplo routers DSL. Los distintos módulos de seguridad o SCALANCE M tienen que conocer las direcciones IP públicas de los módulos interlocutores de la VPN a los que puede accederse a través de Internet.

Nota

Si utiliza un router DSL como pasarela de Internet, debe habilitar en él al menos los puertos siguientes y transferir los paquetes de datos al módulo de seguridad: • Port 500 (ISAKMP) • Port 4500 (NAT-T)

Para ello, existe la posibilidad de asignar en la configuración del módulo de seguridad una "dirección IP WAN". Al cargar la configuración del módulo, se comunica a las estaciones del grupo las direcciones IP WAN de los módulos interlocutores. Como alternativa a una dirección IP WAN también puede introducir un FQDN. Si ha configurado, a la vez, DNS dinámico en el módulo de seguridad, este FQDN debe coincidir con el FQDN introducido en la ficha "DNS" y registrado con un proveedor para DNS dinámico.

Puede definir en las propiedades VPN conexión a conexión si debe utilizarse la dirección IP externa, la dirección IP de la interfaz DMZ (solo SCALANCE S623 / S627-2M) o la dirección IP WAN / el FQDN. Encontrará más información sobre las propiedades VPN conexión a conexión en el capítulo siguiente: Configuración de propiedades VPN conexión a conexión (Página 221)

Si no especifica un punto de acceso aquí, se utilizará como punto final VPN la dirección IP externa o la dirección IP de la interfaz DMZ (solo SCALANCE S623/S627-2M).



① Dirección IP interna - de un módulo de seguridad ② Dirección IP externa - de un módulo ③ Dirección IP de una pasarela de Internet (p. ej. pasarela GPRS) ④ Dirección IP (dirección IP WAN) de una pasarela de Internet (p. ej. router DSL)

Configurar nodos VPN En el área de diálogo "Nodos VPN", habilite subredes o dispositivos para la comunicación por túnel VPN.

Encontrará más información sobre qué dispositivos o subredes deben habilitarse y cómo se habilitan para la comunicación por túnel VPN en los capítulos siguientes:

Configuración de otros dispositivos y subredes para el túnel VPN (Página 223)

Configuración de nodos de red internos (Página 223)

6.5.4 Configuración de propiedades VPN conexión a conexión

Significado Mientras que las propiedades VPN específicas del módulo se configuran especialmente para un módulo de seguridad, las propiedades VPN conexión a conexión se refieren especialmente a las conexiones VPN de un módulo de seguridad. Si un módulo de seguridad establece varias conexiones de túnel con otros módulos de seguridad, con ayuda de las propiedades VPN conexión a conexión se puede configurar, por ejemplo, qué conexiones inicia el módulo de seguridad y cuáles no.



Requisitos ● El módulo de seguridad forma parte de un grupo VPN.

Cómo se accede a esa función 1. En el área de navegación, seleccione el grupo VPN al que pertenece el módulo de

seguridad que desea editar.

2. Seleccione en el área de contenido el módulo de seguridad cuyas propiedades desea configurar.

Ahora puede configurar en la ventana de detalles las propiedades VPN conexión a conexión. Los valores preajustados se obtienen de las propiedades VPN específicas del módulo.

Parámetros Parámetros Significado Iniciador/respondedor Definición del permiso para iniciar el establecimiento de la

conexión. Módulo interlocutor Visualización del nombre del módulo interlocutor. Tipo de paquetes transmitidos Visualización de la capa a la que se transfieren los

paquetes. Interfaz local Definición de la interfaz que debe utilizarse como punto final

VPN en el módulo de seguridad seleccionado. Si se ha configurado un punto de acceso WAN para el módulo de seguridad (dirección IP / FQDN), también puede seleccionarse aquí.

Interfaz interlocutora Definición de la interfaz que debe utilizarse como punto final VPN en el módulo interlocutor. Si se ha configurado un punto de acceso WAN para el interlocutor VPN (dirección IP / FQDN), también puede seleccionarse aquí.

Comunicación segura en la VPN a través de túnel IPsec 6.6 Configuración de nodos de red internos


6.6 Configuración de nodos de red internos

Configuración de nodos de red internos Para poder determinar la autenticidad de un telegrama, cada módulo de seguridad debe conocer los nodos de toda la red interna.

El módulo de seguridad debe conocer tanto su propio nodo interno, como los nodos internos de los módulos de seguridad con los que comparte el grupo VPN. En un módulo de seguridad, esta información se utiliza para determinar qué paquete de datos se debe transmitir por qué túnel.

SCALANCE S Además de la configuración estática de los nodos de red, un módulo SCALANCE S en el modo de puente ofrece la posibilidad de aprenderlos automáticamente. Encontrará información sobre cómo configurar los nodos de red de forma estática en el siguiente capítulo: Configuración de otros dispositivos y subredes para el túnel VPN (Página 223)

Encontrará información sobre el aprendizaje automático de nodos de red internos en el siguiente capítulo: Funcionamiento del modo de aprendizaje (Página 225)

CP x43-1 Adv. y CP 1628 ● CP x43-1 Adv.

Seleccione si la comunicación tunelada con el CP y/o con la subred interna está permitida para interlocutores VPN en modo de enrutamiento (SCALANCE S / M / dispositivo VPN / cliente NCP VPN (Android)).

● CP 1628

Introduzca los nodos NDIS que deben ser accesibles por el túnel de interlocutores VPN en modo de enrutamiento (SCALANCE S / M / dispositivo VPN / cliente NCP VPN (Android)).

6.6.1 Configuración de otros dispositivos y subredes para el túnel VPN

Significado Al agregar un módulo de seguridad a un grupo VPN se habilitan automáticamente los nodos de red/subredes internos locales del módulo de seguridad para la comunicación por túnel VPN. Para permitir la comunicación por el túnel VPN con otras subredes u otros dispositivos de otra subred, es necesario habilitar a través de la configuración dichas subredes o dichos dispositivos para la comunicación por túnel VPN.

Una subred que puede habilitarse a través de la configuración puede ser:



● Una subred accesible en la interfaz interna a través de la red local, cuando un túnel VPN termina en la interfaz externa o la interfaz DMZ.

● Una subred accesible a través de la interfaz DMZ, cuando un túnel VPN termina en la interfaz externa.

● Una subred accesible a través de la interfaz externa, cuando un túnel VPN termina en la interfaz DMZ.

Requisitos Antes de que los dispositivos o las subredes puedan habilitarse para la comunicación tunelada deben cumplirse los requisitos siguientes:

● El módulo de seguridad se encuentra en un grupo VPN.

● El área de diálogo "Nodos VPN" de la ficha "VPN" solo se muestra si el proyecto está en el modo avanzado.

Nota

No es posible regresar al modo normal



Cómo se accede a esa función - Modo de puente Observación: Si deben habilitarse dispositivos o subredes en la interfaz DMZ (solo SCALANCE S623/S627-2M), siga la descripción del modo de enrutamiento.


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN". La habilitación de dispositivos y subredes se configura en el área de diálogo "Nodos VPN".

3. Si desea habilitar subredes completas para la comunicación tunelada, introdúzcalas en la ficha "Subredes internas". Si desea habilitar dispositivos individuales para la comunicación tunelada, introdúzcalos en la ficha "Nodos IP internos" o "Nodos MAC internos".

Observación: para que las subredes indicadas aquí sean accesibles, también debe haberse introducido un router para ellas en la ficha "Enrutamiento". Además, el cortafuegos debe permitir la comunicación con los dispositivos.



Cómo se accede a esa función - Modo de enrutamiento 1. Seleccione el módulo de seguridad que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN". La habilitación de subredes se configura en el área de diálogo "Nodos VPN".

3. En la ficha "Subredes accesibles por túnel", introduzca la ID de red y la máscara de subred de la subred que debe incluirse en la comunicación por túnel.

Observación: para que las subredes indicadas aquí sean accesibles, también debe haberse introducido un router para ellas en la ficha "Enrutamiento". Además, el cortafuegos debe permitir la comunicación con las subredes.

6.6.2 Funcionamiento del modo de aprendizaje

Localización automática de dispositivos para la comunicación tunelada (solo en el SCALANCE S en modo de puente)

Una gran ventaja para la configuración y el funcionamiento de la comunicación vía túnel es que los módulos SCALANCE S pueden localizar por sí mismos los nodos en la red interna. De este modo, no se tienen que configurar manualmente los nodos de red internos que deben intervenir en la comunicación tunelada.

Nuevos nodos son reconocidos por el módulo SCALANCE S durante el funcionamiento en curso. Los nodos detectados se notifican a los módulos SCALANCE S pertenecientes al mismo grupo VPN. Con esto está garantizado en todo momento el intercambio de datos en ambos sentidos dentro de los túneles de un grupo VPN.



Requisitos Se detectan los siguientes nodos:

● Nodos de red aptos para IP

Se encuentran nodos de red aptos para IP si se envía una respuesta ICMP al Broadcast de la subred ICMP.

Nodos IP situados detrás de routers se pueden encontrar si los routers transmiten ICMP-Broadcasts.

● Nodos de red ISO

Nodos de red que no sean aptos para IP, pero que a los que pueda accederse a través del protocolo ISO, también se pueden programar por aprendizaje.

Condición para ello es que respondan a telegramas XID o TEST. TEST y XID (Exchange Identification) son protocolos auxiliares para el intercambio de informaciones en el nivel Layer 2. Enviando estos telegramas con una dirección Broadcast se pueden localizar estos nodos de red.

● Nodos PROFINET

Con ayuda de DCP (Discovery and basic Configuration Protocol) se encuentran nodos PROFINET.



Los nodos de red que no cumplan estos requisitos deben configurarse de forma estática.

Nota No hay modo de aprendizaje en la interfaz DMZ con un túnel VPN

El aprendizaje de nodos internos solo se soporta en interfaces conectadas en modo de puente. La interfaz DMZ se conecta siempre en modo de enrutamiento.

A esta función se accede del siguiente modo 1. Seleccione el módulo SCALANCE S que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN".

¿Cuándo es conveniente desactivar el modo de aprendizaje automático? Los ajustes estándar para el módulo de seguridad parten de que las redes internas son siempre seguras; esto significa también que normalmente no se conectan a la red interna nodos de red que no sean dignos de confianza.

La desactivación del modo de aprendizaje es conveniente si la red interna es estática, es decir, si no cambian el número ni las direcciones de los nodos internos.

Con la desconexión del modo de aprendizaje se suprime en la red interna la carga que los telegramas de programación por aprendizaje suponen para el medio y los nodos de red. También aumentan las prestaciones del módulo SCALANCE S, ya que no está recargado por el procesamiento de los telegramas de programación por aprendizaje.



Observación: en el modo de aprendizaje se registran todos los nodos de red de la red interna. Los datos relativos a los recursos de la VPN se refieren solo a los nodos de red que se comuniquen en la red interna a través de VPN.

Nota

Si en la red interna se utilizan más de 128 nodos internos, se sobrepasa con esto el alcance admisible y se genera un estado operativo no permitido. Debido a la dinámica en el tráfico de la red ocurre entonces que los nodos internos ya programados por aprendizaje son reemplazados por nuevos nodos internos, hasta ahora desconocidos.

Nodos de red no programables Existen en la red interna nodos que no se pueden programar por aprendizaje. Son dispositivos de subredes que se encuentran en la red local interna del módulo SCALANCE S (p. ej. detrás de routers). Dichas subredes tampoco pueden programarse por aprendizaje. Los dispositivos y las subredes no programables deben configurase de forma estática en modo avanzado.


En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo avanzado, ya no es posible regresar. Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.

6.6.3 Visualización de los nodos de red internos encontrados Todos los nodos de red localizados se visualizan en la Security Configuration Tool.

1. Pase el modo "Online".

2. Elija el comando de menú "Editar" > "Diagnóstico online...", ficha "Nodos internos".

Resultado: se muestran los nodos de red internos localizados.


Redundancia de router y cortafuegos 7 7.1 Resumen

Significado Gracias a la redundancia de router y cortafuegos es posible compensar automáticamente los fallos de los módulos de seguridad SCALANCE S623 V4 y SCALANCE S627-2M V4 durante el funcionamiento. Para ello, reúna dos módulos de seguridad del tipo SCALANCE S623 o SCALANCE S627-2M en una relación de redundancia y determine cuál debe ser el módulo de seguridad activo en el funcionamiento normal de la relación de redundancia. Si falla el módulo de seguridad activo, el módulo de seguridad pasivo asumirá automáticamente su función como cortafuegos y router (NAT/NAPT). Para garantizar una configuración idéntica de los dos módulos de seguridad, estos se conectarán entre sí mediante sus interfaces DMZ, y su configuración se sincronizará durante el funcionamiento.

Redundancia de dirección Los dos módulos de seguridad comparten en la interfaz externa e interna una dirección IP común en cada caso para que, en caso de fallo de uno de los módulos de seguridad, no tengan que realizarse cambios en las direcciones IP. Por ello, debe configurar una dirección IP para las interfaces externa e interna de la relación de redundancia.

Configuración de relaciones de redundancia y módulos de seguridad integrados Después de integrar los módulos de seguridad en una relación de redundancia, una parte de las propiedades de los módulos se configura únicamente a través de la relación de redundancia. Esta parte de las propiedades de los módulos se desactiva para los módulos de seguridad individuales, y solo vuelve a estar activa y se puede editar después de eliminar los módulos de seguridad de la relación de redundancia. Las siguientes propiedades se configuran a través de la relación de redundancia:

● Configuración básica de la relación de redundancia (parámetros de red, módulos primarios)

● Cortafuegos

● Enrutamiento

● Enrutamiento NAT/NAPT (sin NAT 1:1)

Los ajustes que se indican a continuación también están activos para los módulos de seguridad individuales tras su integración en una relación de redundancia. Estos ajustes pueden seguir adaptándose por separado para los dos módulos de seguridad.

● Configuración de interfaces (No es posible la desactivación de interfaces)

● Reglas estándar para servicios IP (cortafuegos)

● DDNS

Redundancia de router y cortafuegos 7.2 Crear relaciones de redundancia y asignar módulos de seguridad


● Sincronización horaria

● Ajustes de registro

● SNMP

● MRP/HRP

● RADIUS

7.2 Crear relaciones de redundancia y asignar módulos de seguridad

Requisitos Solo se pueden asignar a una relación de redundancia módulos de seguridad que cumplan los siguientes requisitos:

● El módulo de seguridad es del tipo "S623 V4" o "S627-2M V4"

● El módulo de seguridad está en modo de enrutamiento

● Todas las interfaces del módulo de seguridad están activas

● El método de asignación IP "Dirección estática" está configurado para todas las interfaces

● El módulo de seguridad no forma parte de un grupo VPN

● El módulo de seguridad no está asignado a ninguna otra relación de redundancia

Procedimiento 1. En el área de navegación, seleccione el objeto "Relaciones de redundancia".

2. En el menú contextual (botón derecho del ratón) del objeto, seleccione el comando de menú "Agregar relación de redundancia...".

Resultado: la relación de redundancia creada se muestra en el área de navegación.

3. Asigne los módulos de seguridad a la relación de redundancia seleccionándolos en el área de contenido y arrastrándolos hasta la relación de redundancia creada en el área de navegación (Drag and Drop).

4. El cuadro de diálogo "Configuración de la relación de redundancia" ofrece las siguientes posibilidades para la configuración de la relación de redundancia:

– Aplicación de la configuración de las fichas "Cortafuegos", "Enrutamiento" y "NAT/NAPT" de un módulo de seguridad para la relación de redundancia. En la lista desplegable puede seleccionar el módulo de seguridad cuya configuración desea utilizar para la relación de redundancia. Con ello, se sobrescribe cualquier configuración existente de la relación de redundancia.

Redundancia de router y cortafuegos 7.3 Configuración de relaciones de redundancia


– Generación de una copia del módulo de seguridad asignado dentro de la relación de redundancia. Esto solo es posible si solo se asigna un módulo de seguridad a una relación de redundancia creada.

También puede configurar la relación de redundancia con posterioridad a través de sus propiedades, véase el capítulo: Configuración de relaciones de redundancia (Página 231)

Resultado: ha creado una relación de redundancia y le ha asignado los módulos de seguridad deseados.

7.3 Configuración de relaciones de redundancia

Cómo se accede a esa función Seleccione la relación de redundancia en el área de navegación y elija el comando de menú "Editar" > "Propiedades...".

Configuración de los parámetros de red de la relación de redundancia

Tabla 7- 1 Parámetros de la ficha "Configuración básica"

Parámetro configurable Significado Módulo primario Selección del módulo de seguridad que debe estar activo

en el funcionamiento normal. Dirección IP Dirección IP virtual de la interfaz externa o interna de la

relación de redundancia Máscara de subred Máscara de subred de la interfaz virtual externa o interna

de la relación de redundancia Comentario Comentario opcional

Para obtener información general sobre la configuración de parámetros de red, consulte el capítulo siguiente: Crear módulos y ajustar parámetros de red (Página 95)

Configuración del cortafuegos La configuración de reglas de filtrado de paquetes IP para relaciones de redundancia se realiza de acuerdo con el mismo esquema que la configuración de reglas de filtrado de paquetes IP para módulos de seguridad individuales. Están disponibles los sentidos de comunicación "De externa a interna" y "De interna a externa".

Para obtener información general sobre la configuración de reglas de filtrado de paquetes IP en el modo avanzado, consulte el capítulo siguiente: Reglas de filtrado de paquetes IP (Página 155)

Redundancia de router y cortafuegos 7.3 Configuración de relaciones de redundancia


Configuración de la conversión de direcciones con NAT/NAPT La configuración de la conversión de direcciones con NAT/NAPT para la relación de redundancia se realiza de acuerdo con el mismo esquema que la configuración de la conversión de direcciones con NAT/NAPT para módulos de seguridad individuales. Para relaciones de redundancia, solo se pueden configurar Source-NAT y NAPT. En el caso de Source-NAT, las direcciones IP de origen de la subred interna solo se pueden sustituir con la dirección IP externa virtual de la relación de redundancia. No se pueden registrar direcciones IP alias en la interfaz externa de la relación de redundancia. Con NAPT, solo se puede configurar el sentido de conversión de direcciones "De externa a interna".

Para obtener información general sobre la configuración de conversiones de direcciones con NAT/NAPT, consulte el capítulo siguiente: Conversión de direcciones con NAT/NAPT (Página 180)

Configuración del enrutamiento La configuración de rutas para la relación de redundancia se realiza de acuerdo con el mismo esquema que la configuración de rutas para módulos de seguridad individuales.

Para obtener información general sobre la configuración del enrutamiento, consulte el capítulo siguiente: Definir un router predeterminado y rutas (Página 176)

Consulte también Reglas para filtrado de paquetes MAC (Página 165)



El software para PC SOFTNET Security Client permite acceder remotamente desde el PC o la PG a autómatas programables protegidos por módulos de seguridad, más allá de los límites de redes públicas.

En este capítulo se describe cómo configurar el SOFTNET Security Client en la Security Configuration Tool y cómo ponerlo después en servicio en el PC o la PG.

Otras informaciones La ayuda online del SOFTNET Security Client le proporcionará también información detallada sobre los diálogos y los parámetros ajustables.

Puede acceder a esta ayuda con la tecla F1 o con el botón "?" en el respectivo cuadro de diálogo.

Consulte también Comunicación segura en la VPN a través de túnel IPsec (Página 203)

8.1 Uso de SOFTNET Security Client

Campo de aplicación - acceso a través de VPN Con el SOFTNET Security Client se configura una PG o un PC de manera que pueda establecer automáticamente una conexión en túnel IPsec segura en la VPN (Virtual Private Network) con uno o más módulos de seguridad.

Las aplicaciones para PG o PC, como por ejemplo el diagnóstico NCM o STEP 7, pueden acceder a través de una conexión tunelada segura a dispositivos o redes que se encuentren en una red interna protegida por el módulo de seguridad.

SOFTNET Security Client 8.1 Uso de SOFTNET Security Client


Comunicación automática a través de VPN Importante para su aplicación es que el SOFTNET Security Client reconozca cuándo se produce un acceso a la dirección IP de una estación de la VPN Direccione la estación a través de la dirección IP como si se encontrara en la subred local en la que está conectado también el PC o la PG que tiene instalada la aplicación.

Nota

A través del túnel IPsec, SSC solo se puede comunicar mediante IP con los módulos de seguridad y las estaciones internas situadas después del módulo de seguridad. La comunicación de capa 2 no es posible con el SSC.

Manejo El software para PC SOFTNET Security Client permite configurar las propiedades de seguridad necesarias para la comunicación con dispositivos protegidos por módulos de seguridad. Tras la configuración, el SOFTNET Security Client funciona en segundo plano, lo que se indica mediante un icono en la barra de herramientas de la PG el PC.

Detalles en la ayuda online Encontrará también informaciones detalladas sobre los cuadros de diálogo y los campos de introducción en la ayuda online de la interfaz de operación del SOFTNET Security Client.

A la ayuda online se accede por medio del botón "Help" o con la tecla F1.

SOFTNET Security Client 8.1 Uso de SOFTNET Security Client


¿Cómo funciona el SOFTNET Security Client? El SOFTNET Security Client lee la configuración creada con la herramienta de configuración Security Configuration Tool y determina, dado el caso sobre la base del archivo, los certificados que deben importarse. El certificado raíz y las claves privadas se importan y se almacenan en la PG/el PC local.

Con los datos de la configuración se realizan a continuación ajustes de seguridad para que las aplicaciones puedan acceder mediante direcciones IP a servicios en y posteriores a los módulos de seguridad.

Si está activado el modo de aprendizaje para las estaciones internas o los autómatas programables, el módulo de configuración establece primero una directiva de seguridad para el acceso seguro a los módulos de seguridad. A continuación, el SOFTNET Security Client determina las direcciones IP de las estaciones internas de cada caso y las registra en listas de filtros especiales de la directiva de seguridad.

Resultado: Las aplicaciones, como por ejemplo STEP 7, se pueden comunicar con los autómatas a través de VPN.

Nota

En un sistema Windows, las directivas de seguridad IP están archivadas en forma personalizada. Para cada usuario solo puede ser válida una única directiva de seguridad IP.

Si una directiva de seguridad IP existente no dese ser sobrescrita por la instalación del SOFTNET Security Client, instale y utilice el SOFTNET Security Client como usuario creado especialmente para ello.

Sistemas operativos soportados El SOFTNET Security Client es adecuado para el uso en los siguientes sistemas operativos:

● Microsoft Windows XP 32 bits + Service Pack 3

● Microsoft Windows 7 Professional 32/64 bits

● Microsoft Windows 7 Professional 32/64 bits + Service Pack 1

● Microsoft Windows 7 Ultimate 32/64 bits

● Microsoft Windows 7 Ultimate 32/64 bits + Service Pack 1

Comportamiento en caso de problemas Si se presentan problemas en el PG/PC, SOFTNET Security Client reacciona del siguiente modo:

● las directivas de seguridad establecidas se conservan también después de desconectar y volver a conectar el PG/PC;

● en caso de una configuración incorrecta se emiten mensajes.

SOFTNET Security Client 8.2 Instalación y puesta en servicio del SOFTNET Security Client


8.2 Instalación y puesta en servicio del SOFTNET Security Client

8.2.1 Instalación e inicio de SOFTNET Security Client El software de PC SOFTNET Security Client se instala desde el DVD de producto.

1. Lea primero lo dicho en el archivo README de su DVD SCALANCE S y tenga en cuenta eventuales instrucciones adicionales para la instalación.

2. Ejecute el programa Setup.

Lo más sencillo es que para ello abra el índice de su DVD SCALANCE S → se inicia automáticamente al introducir el DVD o bien se puede abrir a través del archivo start_exe. Seleccione entonces directamente la entrada "Installation SOFTNET Security Client"

Tras la instalación y el inicio de SOFTNET Security Client aparece el símbolo de SOFTNET Security Client en la barra de tareas de Windows:

ATENCIÓN

Incompatibilidad con otro software de cliente VPN

Si en su PC, además de SOFTNET Security Client, hay instalado algún otro software de cliente VPN, es posible que, en determinadas circunstancias, no se puedan establecer más túneles VPN con ayuda del SOFTNET Security Client. Por ello, desinstale el software de cliente VPN antes de utilizar el SOFTNET Security Client.

Configuración de SOFTNET Security Client Una vez activadas, las funciones más importantes se desarrollan en segundo plano en el PG/PC.

La configuración de SOFTNET Security Client se realiza del siguiente modo:

SOFTNET Security Client 8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool


● Exportación de una configuración de seguridad desde la herramienta de configuración Security Configuration Tool.

● Importación de la configuración de Security en la superficie propia, tal como se describe en el apartado siguiente.

Comportamiento de arranque El proceso de carga de las reglas de seguridad puede tardar algún tiempo. La CPU de la PG/el PC se utiliza al 100% de su rendimiento durante ese tiempo.

Salir de SOFTNET Security Client Para salir de SOFTNET Security Client, proceda del siguiente modo:

● Haga clic con la tecla derecha del ratón en el símbolo de SOFTNET Security Client y elija la opción "Salir de SOFTNET Security Client".

● En la interfaz abierta, haga clic en el botón "Salir".

Resultado: Se cierra el SOFTNET Security Client y se desactiva la directiva de seguridad.

8.2.2 Desinstalación de SOFTNET Security Client Al realizar la desinstalación se reponen al estado original las propiedades de Security ajustadas por el SOFTNET Security Client.

8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool

Configuración de SOFTNET Security Client en el proyecto SCT El SOFTNET Security Client se crea como módulo en el proyecto SCT. A diferencia de los demás módulos de seguridad, no es necesario configurar otras propiedades.

Asigne el SOFTNET Security Client creado al grupo o a los grupos VPN en los que deben configurarse túneles IPsec a la PG o el PC. De ese modo se aplican las propiedades de grupo que se habían configurado para esos grupos VPN.

Nota

Tenga en cuenta las indicaciones sobre los parámetros en el capítulo siguiente: • Incluir un módulo de seguridad en un grupo VPN configurado (Página 216)



Nota

Si crea varios SOFTNET Security Clients dentro de un grupo VPN, no se establece ningún túnel entre ellos, sino solo entre el cliente correspondiente y los módulos de seguridad.

Archivos de configuración para SOFTNET Security Client La interfaz entre la herramienta de configuración Security Configuration Tool y el SOFTNET Security Client es operada a través de archivos de configuración.

La configuración se guarda en los siguientes tipos de archivo:

● *.dat

● *.p12

● *.cer



Procedimiento Para generar los archivos de configuración, realice los siguientes pasos en SCT:

1. Cree un módulo del tipo SOFTNET Security Client en la SCT.

2. Asigne el módulo SSC a los grupos VPN en los que la PG o el PC se deban comunicar a

través de túneles IPsec.

3. Elija el comando de menú "Proyecto" > "Guardar".

4. Seleccione el módulo del tipo "SOFTNET Security Client" y elija el comando de menú "Transferir" > "A módulo(s)...".

5. Seleccione la ruta de almacenamiento para los archivos de configuración.

6. Si ha elegido "Certificate" como método de autenticación, indique una contraseña para el certificado de la configuración de VPN. Si no asigna ninguna contraseña, se adopta el nombre de proyecto (no la contraseña del usuario que ha iniciado sesión) como contraseña.

Resultado: La exportación de los archivos de configuración ha concluido.

7. Transfiera los archivos del tipo *.dat, *.p12, *.cer a la PG o el PC en el que desee utilizar el SOFTNET Security Client.

SOFTNET Security Client 8.4 Operación de SOFTNET Security Client


8.4 Operación de SOFTNET Security Client

Propiedades configurables En concreto se pueden utilizar los siguientes servicios:

● Configuración de una comunicación segura por túneles IPsec (VPN) entre el PC o la PG y todos los módulos de seguridad o módulos de seguridad determinados de uno o varios proyectos. El PC o la PG pueden acceder al módulo de seguridad y los nodos internos del módulo de seguridad a través de esos túneles IPsec.

● Desactivación y activación de conexiones seguras ya configuradas.

● Configurar conexiones para dispositivos terminales agregados con posterioridad. Para ello tiene que estar activado el modo de aprendizaje.

● Comprobación de una configuración, es decir, ver qué conexiones están configuradas o son posibles.

Llamada de SOFTNET Security Client para la configuración Haga doble clic en el icono de la barra de tareas de Windows o elija el comando "Maximizar SOFTNET Security Client" del menú contextual.

SOFTNET Security Client 8.4 Operación de SOFTNET Security Client


A través de los botones se accede a las siguientes funciones:

Botón Significado Cargar la configuración Cuadro de diálogo para la selección de un archivo de configuración para la importación

Seleccione un archivo y haga clic en el botón "Abrir". Resultado: Se lee la configuración. En el cuadro de diálogo se pregunta si los túneles se deben configurar inmediatamente para todos los módulos de seguridad. Se establecen de inmediato los túneles para las direcciones IP de los módulos de seguridad introducidas en la configuración. Este procedimiento es particularmente rápido y eficiente para configuraciones grandes. Como opción, en el cuadro de diálogo "Vista general de túneles" se pueden configurar también todos los túneles de forma manual a través del menú contextual. Observación: se pueden importar uno tras otro los archivos de configuración de varios proyectos creados con SCT (véase también la explicación siguiente sobre el procedimiento).

Tunnel Overview Cuadro de diálogo para configurar, editar y diagnosticar el estado de los túneles A través de este cuadro de diálogo se realiza la configuración propiamente dicha del SOFTNET Security Client. Se muestra una lista de los túneles seguros con las direcciones IP de los módulos de seguridad. Los iconos de cada entrada de la lista permiten determinar el estado del túnel del módulo de seguridad correspondiente. A través del menú contextual puede activar o desactivar los túneles, comprobarlos y borrar la entrada de la lista. Si en la PG o el PC existen varios adaptadores de red, el SOFTNET Security Client selecciona automáticamente uno de ellos, a través del cual se intenta establecer un túnel. Sin embargo, es posible que el SOFTNET Security Client no consiga encontrar uno apropiado para su dispositivo, en cuyo caso introduce uno cualquiera. En ese caso hay que adaptar manualmente la configuración de adaptadores de red en el cuadro de diálogo "Adaptador de red". Este cuadro de diálogo se llama en el menú contextual de los dispositivos y módulos de seguridad con la entrada "Seleccionar conexión de red...".

Disable Se desactivan todos los túneles seguros. Minimize Se cierra la interfaz de usuario del SOFTNET Security Client.

El icono de SOFTNET Security Client permanece visible en la barra de tareas de Windows. Quit SOFTNET Security Client se cierra y se desactivan todos los túneles.

SOFTNET Security Client 8.5 Configuración y edición de túneles


Botón Significado Help Abrir la Ayuda en pantalla. Info Información sobre la versión del SOFTNET Security Client

Detalles: lista de todos los archivos necesarios para el funcionamiento de SOFTNET Security Client con notificación sobre si estos se han podido encontrar en el sistema.

8.5 Configuración y edición de túneles

Configuración de conexiones seguras con todos los módulos de seguridad En el cuadro de diálogo para la importación de la configuración, elija si deben establecerse de inmediato conexiones tuneladas para todos los dispositivos del módulo de seguridad. De esto resultan las siguientes posibilidades:

● "Sí" - Activación automática del túnel

Se establecen los túneles para las direcciones IP de los módulos de seguridad introducidas en la configuración.

● "No" - Solo lectura de la configuración del túnel

Opcionalmente es posible solo leer los túneles configurados y, a continuación, ajustarlos individualmente en el cuadro de diálogo "Tunnel Overview".



Establecimiento de conexiones de túnel 1. Abra el cuadro de diálogo para la importación de los archivos de configuración con el

botón "Cargar configuración".

2. Seleccione el archivo de configuración creado con SCT (formato ".dat").

Se pueden leer simultáneamente datos de configuración de varios proyectos. Si en SOFTNET Security Client ya hay datos de configuración, elija una de las siguientes opciones:

– "deleted": Solo están disponibles los últimos datos de configuración cargados.

– "imported and replaced": es conveniente si se han realizado cambios en los datos de configuración, por ejemplo: si solo se ha modificado la configuración en el proyecto a, se conservan inalterados los datos de configuración de los proyectos b y c y los datos de configuración modificados se reemplazan en el proyecto a.

– "not imported": es conveniente si se ha agregado un módulo de seguridad a un proyecto. La configuración SSC existente con módulos de seguridad ya importados no se modifica, ya que los nodos internos ya aprendidos de estos módulos se perderían con otra opción.

3. Si en SCT ha seleccionado "Certificate" como método de autenticación, introduzca la

contraseña. Si ha elegido "Certificate" como método de autenticación, indique una contraseña para el certificado de la configuración de VPN. Si no ha asignado una contraseña en SCT, se adopta como contraseña el nombre de proyecto (no la contraseña de proyecto del usuario que ha iniciado sesión).

4. Si durante la configuración en la Security Configuration Tool se ha configurado un módulo SCALANCE M87x, un módulo SCALANCE M874-x o un CP S7 con DHCP activado en la interfaz Gbit, aparece el cuadro de diálogo "Configuración IP/DNS". En función del tipo de módulo configurado, proceda del siguiente modo:

– Para módulos SCALANCE M87x y SCALANCE M874-x: seleccione si el túnel hacia el módulo debe establecerse utilizando la dirección IP obtenida del ISP en el tiempo de ejecución o, alternativamente, utilizando un nombre DNS.

– Para CPs S7 con DHCP activado en la interfaz Gbit: introduzca la dirección IP asignada vía DHCP.



5. Seleccione si se deben activar las conexiones tuneladas para los dispositivos internos del módulo de seguridad.

Si no impulsa aquí todavía la activación, lo puede hacer en todo momento en el cuadro de diálogo "Tunnel Overview" que se describe a continuación.

Si ha seleccionado la activación de las conexiones de túnel, estas se establecen ahora entre SOFTNET Security Client y los módulos de seguridad.

Este proceso puede tardar cierto tiempo.

6. Abra el cuadro de diálogo "Tunnel Overview".

En la tabla se muestran los módulos de seguridad y los dispositivos internos con información de estado sobre las conexiones de túnel.

7. Si en la tabla no se muestra algún nodo o dispositivo, deposite un comando Ping al nodo que falta a través de la línea de comandos.

Resultado: el módulo de seguridad aprende entonces el nodo, y lo transmite al SOFTNET Security Client. Si por el contrario no se aprende, deberá configurar el nodo o el dispositivo de forma estática en la ficha VPN.

Observación:

Si el cuadro de diálogo no está abierto mientras se registra un dispositivo, se presenta automáticamente el cuadro de diálogo. Esta función puede desactivarse en "Opciones" > "Configuración...".



Nota

Dispositivos y subredes configurados estáticamente

Si se configuran posteriormente dispositivos o subredes de forma estática, también hay que volver a cargar la configuración para un SOFTNET Security Client utilizado en el grupo VPN.

8. Active los dispositivos para los que todavía hay establecida una conexión de túnel.

Una vez que la conexión se ha establecido correctamente, abra la aplicación que debe establecer una conexión con uno de los dispositivos, p. ej. STEP 7.

Nota

Si en la PG o el PC hay varios adaptadores de red, SSC elige automáticamente el adaptador de red para el establecimiento de un túnel. En determinadas circunstancias, es posible que no sea el adaptador de red deseado. Si no hay ningún adaptador de red adecuado para el proyecto, SSC introduce uno automáticamente. En ese caso, adapte el ajuste para el adaptador de red a través del menú contextual de los dispositivos y los módulos de seguridad en el cuadro de diálogo "Vista general de túneles".

Significado de los parámetros

Tabla 8- 1 Parámetros en el cuadro de diálogo "Tunnel over:..."

Parámetros Significado / margen de valores Status La tabla siguiente muestra el significado de las indicaciones de

estado. Nombre Nombre del módulo o dispositivo adoptado de la configuración de

SCT. IP participante int. / subred Si hay dispositivos o subredes internos, se muestra la dirección IP

del nodo interno o la ID de red de la subred interna. IP de punto final de túnel Dirección IP del módulo de seguridad asignado. Tunnel over... Si el PC funciona con varias tarjetas de red, se indica la dirección

IP asignada, a través de la cual se establece el túnel VPN.

Tabla 8- 2 Indicadores de estado*

Icono Significado

No hay conexión con el módulo de seguridad o el dispositivo.

Hay otros dispositivos, que no se muestran. Haga un doble clic en este icono para ver más dispositivos.

El túnel hacia el dispositivo está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este dispositivo se realiza sin codificar.

El túnel hacia el dispositivo está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este dispositivo se realiza de forma codificada y, por tanto, segura.



Icono Significado

El túnel hacia el módulo SCALANCE S está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza sin codificar.

El túnel hacia el módulo SCALANCE S está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza de forma codificada y, por tanto, segura.

El túnel hacia el módulo SCALANCE M está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza sin codificar.

El túnel hacia el módulo SCALANCE M está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza de forma codificada y, por tanto, segura.

El túnel hacia el CP343-1 Advanced está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este CP se realiza sin codificar.

El túnel hacia el CP343-1 Advanced está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este CP se realiza de forma codificada y, por tanto, segura.

El túnel hacia el CP443-1 Advanced está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este CP se realiza sin codificar.

El túnel hacia el CP443-1 Advanced está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este CP se realiza de forma codificada y, por tanto, segura.

El túnel hacia el CP1628 está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este CP se realiza sin codificar.

El túnel hacia el CP1628 está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este CP se realiza de forma codificada y, por tanto, segura.

El túnel hacia la subred interna está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con esta subred se realiza sin codificar.

El túnel hacia la subred interna está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con esta subred se realiza de forma codificada y, por tanto, segura.

El módulo o dispositivo no es accesible.

El módulo o dispositivo es accesible pero el túnel hacia el módulo o dispositivo está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este módulo o dispositivo se realiza sin codificar.

El módulo o dispositivo es accesible y el túnel hacia el módulo o dispositivo está activado.

Test de accesibilidad desactivado. No es posible decir nada sobre la accesibilidad del módulo o dispositivo.

* La tabla es válida para Windows XP. En Windows 7, la tabla es válida con el cortafuegos de Windows activado.



Elementos de control del cuadro de diálogo "Vista general de túneles" Elemento de control Significado Casilla de verificación "Enable active learning" Si en la configuración de los módulos de seguridad está

activado el modo de aprendizaje, este también puede activarse para el SOFTNET Security Client. De ese modo se obtiene automáticamente la información sobre los dispositivos internos de los módulos de seguridad en la vista general de túneles. En cualquier otro caso, el campo de selección "Aprendizaje de los nodos internos" estará inactivo y no se mostrará información sobre los dispositivos internos de los módulos de seguridad en la vista general de túneles.

Botón "Delete All" Las directivas de seguridad IP de las entradas configuradas en SSC se borran.

Botón "Empty list" Borra todas las entradas de la consola.

Selección y operación de una entrada de túnel - Opciones del menú contextual En el cuadro de diálogo "Tunnel Overview" seleccione una entrada y abra otras opciones a través del menú contextual.



Comando de menú Significado Activar conexión con los nodos internos / Desactivar conexión con los nodos internos

Las conexiones seguras establecidas se desactivan con la entrada "Desactivar conexión con los nodos internos". Resultado: Se desactiva la Security Policy en el PC. Para deshacer el cambio y volver a activar los túneles, haga clic en la entrada "Activar conexión con los nodos internos".

Seleccionar conexión de red... Para cada módulo de seguridad existe la posibilidad de seleccionar con el comando "Seleccionar conexión de red..." del menú contextual el adaptador de red a través del cual debe configurarse el túnel.

Probar túnel Prueba de la conexión tunelada. Diagnóstico avanzado… Llama el cuadro de diálogo "Diagnóstico de módulo

avanzado". Cambiar dirección IP/nombre DNS (solo para SCALANCE M)

Cambio de la dirección IP o el nombre DNS de la entrada seleccionada.

Borrar entrada Se borra la directiva de seguridad IP de la entrada seleccionada.

Nota Ampliación de la norma al activar dispositivos internos

Tenga en cuenta que con cada activación de dispositivos internos se amplía la norma del sistema. Sin embargo, la desactivación de todo el sistema (mediante el menú contextual del SCALANCE S de nivel superior) no provoca la adaptación de la norma, sino solo su desactivación. De este modo, con la activación de un dispositivo interno se activa siempre la norma global desactivada más el dispositivo interno adicional. Si quiere asegurarse de que la norma instalada haga referencia por completo a los dispositivos que haya activado, cierre el SOFTNET Security Client y ábralo de nuevo.

Diagnóstico de módulo ampliado Para llamar el diagnóstico de módulo avanzado, seleccione el comando "Diagnóstico avanzado..." del menú contextual de una entrada. Otra posibilidad consiste en llamar el cuadro de diálogo con el comando de menú "Opciones" > "Diagnóstico de módulo avanzado" en la ventana principal del SOFTNET Security Client.

La vista está destinada exclusivamente al diagnóstico del estado del sistema en relación a los módulos de seguridad configurados, y puede resultar útil en las consultas al servicio de atención al cliente.



● Módulo SCALANCE S / MD74x / CP

Seleccione aquí el módulo de seguridad cuyo estado de sistema actual desee diagnosticar.

Observación: pueden seleccionarse todos los módulos de seguridad leídos mediante la configuración.

● Ajustes de enrutamiento (parámetros específicos de módulo)

Muestra los ajustes adoptados de la configuración para interfaces y subredes y nodos internos.

● Main Modes activos / Quick Modes activos

Si para el módulo seleccionado hay Main Modes o Quick Modes configurados en la PG o el PC, aquí se muestran los detalles correspondientes. Entre la información se incluye el número total de Main Modes o Quick Modes encontrados en el sistema para el módulo seleccionado.

● Ajustes de enrutamiento (ajustes de red del equipo)

Muestra los ajustes de enrutamiento del equipo actuales.

A través de la opción "Show all routing settings" se obtiene información adicional sobre el enrutamiento.

● Direcciones IP asignadas

Lista de las interfaces de red que el equipo conoce en combinación con las direcciones IP configuradas o asignadas.

Consola de Log En el cuadro de diálogo "Settings" se define qué entradas se muestran en la consola de registros. Se accede a él en el cuadro de diálogo principal del SOFTNET Security Client, con el comando de menú "Opciones" > "Configuración...".

Se muestra la siguiente información:

● Información de diagnóstico para el establecimiento de la conexión con los módulos de seguridad y dispositivos/subredes internos configurados.

● Sello con fecha y hora de la aparición de los eventos

● Establecimiento y anulación de una Security Association

● Test de accesibilidad con resultado negativo (ping de test) a los dispositivos configurados

● Cargar archivos de configuración

● Aprendizaje/Desaprendizaje de subredes/dispositivos internos

Ajustes globales para SOFTNET Security Client 1. En el cuadro de diálogo principal del SOFTNET Security Client, elija el comando de

menú "Opciones" > "Configuración".

2. Aquí se hacen ajustes globales, que se mantienen aunque el SOFTNET Security Client se cierre y se vuelva a abrir.



Las funciones se pueden ver en la siguiente tabla.

Función Descripción / opciones Tamaño del archivo de registro Tamaño del archivo que contiene los avisos

emitidos en la consola de registro de la vista general de túneles. Puesto que los datos de registro se guardan en el archivo por medio del búfer circular, mediante el tamaño del archivo se elige el tiempo que se guardarán los datos de registro en el archivo.

Número de mensajes que se deben mostrar en la consola log de la vista general del túnel.

Número de avisos que se extraen del archivo de registro y que se muestran en la consola de registros de la vista general de túneles.

Se emiten los siguientes mensajes log en la consola log de la vista general del túnel: • Visualización del test de accesibilidad

negativo (Ping) • Crear / borrar Security Associations (Quick

Modes) • Crear / borrar Main Modes • Cargar archivos de configuración • Aprendizaje de dispositivos internos

Selección de los tipos de avisos que se muestran en la consola de registros de la vista general de túneles.

Tamaño del archivo log (Debug logfile) Tamaño del archivo de registro de los archivos fuente para mensajes Debug del SOFTNET Security Client (pueden ser solicitados por el servicio de atención al cliente para facilitar los análisis)

Test de accesibilidad, tiempo de espera para la respuesta

Hora de espera ajustable para el ping que debe indicar la accesibilidad de un interlocutor del túnel. Debe ajustarse principalmente en túneles con vías de transmisión lentas (UMTS, GPRS, etc.), en las que la vida útil de los paquetes de datos es notablemente superior. De esta forma se influye directamente en la visualización de la accesibilidad de la vista del túnel.

Desactivar globalmente el test de accesibilidad Si usted activa esta función, se desactiva globalmente el test de accesibilidad en todas las configuraciones recibidas del SOFTNET Security Client. Ventaja: no se genera ningún volumen de datos adicional. Desventaja: En la sinopsis de túneles no se indica si un interlocutor es accesible o no.

Mostrar en primer plano la ventana de la vista general de túneles en caso de modificación de un dispositivo aprendido

Si se activa esta función, se abrirá automáticamente el cuadro de diálogo "Vista general de túneles" cuando se detecte un dispositivo nuevo.


Funciones online - Test, Diagnóstico y Logging 9

El módulo de seguridad se ha dotado de funciones de diagnóstico y registro con fines de comprobación y vigilancia.

● Funciones de diagnóstico

Con este término se conocen las funciones de sistema y de estado disponibles en el modo online.

● Funciones de logging

Se trata del registro de eventos del sistema y relacionados con la seguridad.

Los eventos se registran en áreas de memoria temporal del módulo de seguridad o en un servidor Syslog. Para la parametrización y la evaluación de estas funciones se requiere una conexión de red con el módulo de seguridad seleccionado.

Registrar eventos con funciones logging Con los ajustes de registro del módulo de seguridad en cuestión se especifica qué eventos deben registrarse.

Para el registro pueden configurarse las siguientes variantes:

● Registro local

Con esta variante se registran los eventos en el búfer local del módulo de seguridad. En el diálogo online de la Security Configuration Tool puede recurrir entonces a este registro, hacerlo visible y archivarlo en la Service Station.

● Syslog de red

En el caso de la red Syslog se utiliza un servidor Syslog existente en la red, al cual se envían los eventos. Con los ajustes de registro del módulo de seguridad en cuestión se especifica qué eventos se envían.

Archivar datos de registro y leerlos de un archivo Los eventos registrados se pueden guardar en un archivo de registro con fines de archivación, y abrirlos después en el modo offline. Para ello, seleccione el comando de menú "Opciones" > "Archivos de registros..." y seleccione con el botón "Abrir..." el archivo de registro que desea abrir. Encontrará más información en el capítulo siguiente:

● Panorámica de funciones del cuadro de diálogo online (Página 255)

Funciones online - Test, Diagnóstico y Logging


Diagnóstico en modo Ghost Tras obtener una dirección IP del dispositivo interno, el módulo de seguridad tiene en la interfaz externa una dirección IP que puede diferir de la dirección IP con la que se configuró inicialmente el módulo de seguridad. Antes de poder realizar un diagnóstico a través de la interfaz externa, es necesario reemplazar la dirección IP configurada inicialmente para la interfaz externa en la Security Configuration Tool por la dirección IP que el módulo de seguridad ha obtenido del dispositivo interno en el tiempo de ejecución.

Funciones online - Test, Diagnóstico y Logging 9.1 Panorámica de funciones del cuadro de diálogo online


9.1 Panorámica de funciones del cuadro de diálogo online El módulo de seguridad ofrece las siguientes funciones en el cuadro de diálogo online de la Security Configuration Tool:

Tabla 9- 1 Funciones y logging en el diagnóstico online

Función / ficha en el diálogo online Significado Funciones de sistema y estado Estado Visualización del estado del módulo de seguridad

seleccionado en el proyecto.

Date and time Ajuste de la fecha y la hora.

Configuración de interfaces

Vista general de los ajustes de las diferentes interfaces.

DNS dinámico Vista general de los ajustes para DNS dinámico

Tabla ARP Visualización de la tabla ARP del módulo de seguridad.

Usuario conectado Visualización de los usuarios que han iniciado sesión en la página de Internet para conjuntos de reglas IP específicas de usuario.

Estado de la comunicación

Visualización del estado de la comunicación y de los nodos de red internos de los módulos de seguridad que se encuentran en el mismo grupo VPN que el módulo de seguridad seleccionado.

Nodos internos Visualización de los nodos de red internos del módulo de seguridad.

Reglas de cortafuegos actualizadas dinámicamente

Visualización de las direcciones IP que se habilitan dinámicamente vía HTTP o HTTPS o que han sido recargadas por un usuario. Las direcciones IP de esta ficha se actualizan cuando se produce uno de los eventos siguientes: • Actualización/modificación de la lista IP Access Control • Actualización de las reglas de cortafuegos • Ampliaciones dinámicas que registra el CP en tiempo

de ejecución, p. ej. dispositivos PROFINET IO Puesto que en esta ficha solo se muestran las reglas de cortafuegos actualizadas dinámicamente, para una observación completa del estado actual del cortafuegos del módulo es necesario incluir también las reglas del cortafuegos que se configuraron offline.

Modo Ghost Cuadro de diálogo del modo Ghost del SCALANCE S602 con información sobre la dirección IP del dispositivo interno (idéntica a la dirección IP externa del módulo de seguridad) y sobre cambios de dirección IP en el dispositivo interno.

Lista negra de IP Visualización de las direcciones IP introducidas en la lista

negra del cortafuegos. Funciones de logging

Funciones online - Test, Diagnóstico y Logging 9.1 Panorámica de funciones del cuadro de diálogo online


Función / ficha en el diálogo online Significado Registros del sistema Visualización de los eventos de sistema registrados, así

como inicio y parada de la visualización. Registros de auditoría Visualización de los eventos de seguridad registrados, así

como inicio y parada de la visualización. Registros de filtrado de

paquetes Visualización de los paquetes de datos registrados, así como inicio y parada de la visualización.

En la Ayuda en pantalla encontrará más información sobre las posibilidades de ajuste de las diferentes fichas.

Condiciones para el acceso Para poder utilizar las funciones online en un módulo de seguridad, deben cumplirse los siguientes requisitos:

● Existe una conexión de red con el módulo seleccionado.

● Está abierto el proyecto con el que se ha configurado el módulo.

● Está activado el modo online en la Security Configuration Tool o se ha abierto el diagnóstico online específico del módulo a través del menú contextual.

Nota Requisitos para el diagnóstico online en modo Ghost

El diagnóstico online en modo Ghost no está disponible hasta que el módulo de seguridad ha aprendido la dirección IP del dispositivo interno y la ha aplicado a su interfaz externa. Posteriormente, es posible acceder al módulo de seguridad mediante la dirección IP de la interfaz externa.

Advertencia en caso de una configuración no actual o de un proyecto distinto Al abrir el cuadro de diálogo online se comprueba si la configuración existente actualmente en el módulo de seguridad y la configuración del proyecto cargado coinciden. Si estas configuraciones difieren, se emite un mensaje de advertencia. Con esto se señaliza que usted no ha actualizado (todavía) la configuración o bien que utiliza un proyecto equivocado.

Funciones online - Test, Diagnóstico y Logging 9.2 Registro de eventos (Logging)


Visualización del estado de registro El estado de registro actual resulta de la configuración cargada o de la reconfiguración en el diálogo online. El búfer puede configurarse con memoria cíclica o memoria lineal. Puede determinar qué ajuste está activado del siguiente modo:

1. Cambie el modo de operación con el comando de menú "Vista" > "Online".


3. Elija el comando de menú "Editar" > "Diagnóstico online...".

En cuanto se abre una ficha para las funciones de registro, en la parte inferior se muestra el estado actual de la configuración del búfer del módulo de seguridad seleccionado.

Ajustes online no se almacenan en la configuración Los ajustes realizados en el modo online (p. ej. configuración del búfer con funciones de registro) no se guardan en la configuración del módulo de seguridad. Por ello, al rearrancar el módulo siempre se aplican los ajustes de la configuración offline.

9.2 Registro de eventos (Logging)

Resumen Se pueden registrar los eventos producidos en el módulo de seguridad. El registro se realiza en áreas de memoria búfer locales volátiles o permanentes, según el tipo de evento. Como alternativa puede tener lugar también el registro en un servidor de red.

Configuración en modo normal y modo avanzado Las posibilidades de selección en la Security Configuration Tool dependen de la vista seleccionada:

● Modo normal

"Registro local" está activado como opción predeterminada en el modo normal; los eventos de filtrado de paquetes se pueden activar globalmente en la ficha "Firewall". "Network Syslog" no es posible en esta vista.

● Modo avanzado

Se pueden activar o desactivar todas las funciones de registro en la ficha "Configuración del registro" de un módulo seleccionado; los eventos de filtrado de paquetes se tienen que activar adicional y selectivamente en la ficha "Cortafuegos" (reglas locales o globales).

Métodos de registro y clases de eventos Puede definir en la configuración qué datos se deben registrar. De este modo activa ya el registro al cargar la configuración en el módulo de seguridad.



Además elige en la configuración uno de los métodos de registro o ambos:

● Registro local

● Syslog de red

Para ambos procedimientos de registro el módulo de seguridad conoce los siguientes eventos:

Función Funcionamiento

Eventos de filtrado de paquetes (cortafuegos)

El registro de filtrado de paquetes registra determinados paquetes del tráfico de datos. Solo se registran paquetes de datos para los que sea válida una regla de filtrado de paquetes (cortafuegos) configurada o frente a los que reacciona la protección básica (paquetes corruptos o no válidos). Condición para ello es que esté activado el registro para la regla de filtrado de paquetes.

Eventos de auditoría El registro de auditoría registra de manera automática y continua eventos relevantes para la seguridad, por ejemplo acciones del usuario como activación o desactivación del registro de paquetes.

Eventos de sistema El registro del sistema registra de forma automática y continua eventos del sistema como p. ej. el inicio de un proceso o acciones para las que un usuario no se haya autenticado correctamente con su contraseña. El registro se puede escalar en base a clases de eventos.

Diagnóstico de la línea: Adicionalmente se puede configurar un diagnóstico de líneas. El diagnóstico de líneas proporciona mensajes en cuanto la cantidad de paquetes de telegramas incorrectos supera un valor límite ajustable.

Procedimiento de almacenamiento para el registro de datos en caso de logging local El almacenamiento relacionado con el registro de datos se realiza según dos procedimientos seleccionables:

● Memoria circular

Cuando se alcanza el final del búfer, el registro continúa al principio del búfer sobrescribiendo las entradas más antiguas.

● Memoria lineal

El registro se detiene cuando el búfer está lleno.

Activación y desactivación del registro En el modo avanzado, con el modo "offline" es posible activar, a través de la configuración del registro en las propiedades del módulo, el registro local para las clases de eventos, definiendo entonces el método de almacenamiento en memoria. Dichos ajustes se cargan en el módulo con la configuración y se activan al arrancar el módulo de seguridad.

Si es necesario, en las funciones online también es posible activar o desactivar el registro local para eventos de filtrado de paquetes y eventos del sistema. Con esto no se alteran los ajustes de la configuración del proyecto.



Visualización del estado de registro Ajustes online no se almacenan en la configuración.

9.2.1 Registro local - ajustes en la configuración En el modo offline se pueden activar las clases de eventos y definir el método de almacenamiento a través de los ajustes de registro. Dichos ajustes se cargan en el módulo con la configuración y se activan al arrancar el módulo de seguridad.

Estos ajustes de registro configurados se pueden modificar, en caso necesario, en las funciones online. Con esto no se alteran los ajustes de la configuración del proyecto.

Ajustes de registro en el modo normal Los ajustes de registro en el modo normal se corresponden con los ajustes predeterminados en el modo avanzado. Pero en el modo normal no se pueden modificar.

Ajustes de registro en el modo avanzado 1. Seleccione el módulo que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Configuración del registro".

El cuadro de diálogo siguiente muestra los ajustes predeterminados para el módulo de seguridad; además está abierto el cuadro de diálogo para el registro de eventos de sistema:



Configuración de clases de eventos

Tabla 9- 2 Local Log - panorámica de funciones

Función / ficha en el diálogo online Configuración Observaciones Eventos de filtrado de paquetes (cortafuegos)

La activación tiene lugar a través de casillas de control. La selección del método de almacenamiento se realiza a través de casillas de control. Puede definir la cantidad de paquetes de datos registrados en la lista desplegable "Paquetes para registrar": • "Todos los paquetes": se

registran los paquetes de datos para los que es válida una regla de cortafuegos configurada (modo normal o modo avanzado). Además, los paquetes de respuesta se registran en los paquetes que han pasado el cortafuegos según una regla Allow configurada.

• "Paquetes generadores de estado ": solo se registran los paquetes de datos para los que es válida una regla de cortafuegos configurada (modo normal o modo avanzado).

Los datos de registro del filtrado de paquetes no son remanentes Los datos se guardan en una memoria volátil del módulo de seguridad, por lo que dejan de estar disponibles tras una desconexión de la alimentación eléctrica.

Eventos de auditoría (siempre activados)

Logging está siempre activado. Se almacena siempre en la memoria búfer circulante.

Los datos de registro de auditoría son remanentes Se guardan en una memoria remanente del módulo de seguridad, por lo que están disponibles tras una desconexión de la alimentación eléctrica. Nota para CPs: los datos de registro de auditoría no son remanentes en los CPs. Por este motivo, para guardar los datos debería utilizarse un servidor Syslog.



Función / ficha en el diálogo online Configuración Observaciones Eventos de sistema La activación tiene lugar a través

de casillas de control. La selección del método de almacenamiento se realiza a través de casillas de control. Para configurar el filtro de eventos y el diagnóstico de línea, abra otro cuadro de diálogo con el botón "Configurar...".

Los datos de registro de sistema no son remanentes Los datos se guardan en una memoria volátil del módulo de seguridad, por lo que dejan de estar disponibles tras una desconexión de la alimentación eléctrica.

Filtrado de los eventos de sistema En este subdiálogo se puede ajustar un nivel de filtrado para los eventos del sistema. Los valores predeterminados son los siguientes: • SCALANCE S: nivel 3 • CP: nivel 3

Seleccione como nivel de filtrado "Error" o superior para impedir el registro de eventos generales, no críticos. Nota para CP Para el CP solo se pueden seleccionar los niveles 3 o 6. • Si selecciona el nivel 3, se muestran los

mensajes de error de los niveles 0 a 3. • Si selecciona el nivel 6, se muestran los

mensajes de error de los niveles 0 a 6.

Diagnóstico de línea El diagnóstico de línea genera un evento especial del sistema. Especifique a partir de qué porcentaje de telegramas erróneos debe generarse un evento de sistema. Asigne al evento de sistema una facilidad y una severidad.

A través de la severidad se ponderan los eventos de sistema del diagnóstico de línea respecto a la severidad de los eventos de sistema restantes. Nota No asigne a los eventos de sistema del diagnóstico de línea una severidad menor que la del filtrado de los eventos de sistema. De lo contrario, los eventos no pasarán el filtrado y no se registrarán.



9.2.2 Network Syslog - Ajustes en la configuración Se puede configurar el módulo de seguridad como cliente para que envíe información de registro a un servidor Syslog. El servidor Syslog puede estar en la subred local interna o en la externa. La implementación es conforme a RFC 3164.

Nota Firewall - Servidor Syslog no activo en la red externa

Si el servidor Syslog no está activo en el ordenador direccionado, este ordenador devuelve, por regla general, telegramas de respuesta ICMP "port not reachable". Si debido a la configuración del cortafuegos se registran estos telegramas de respuesta como eventos del sistema y se envían al servidor Syslog, esta operación puede continuar indefinidamente (avalancha de eventos).

Soluciones: • Iniciar el servidor Syslog; • Modificar reglas de firewall; • Desconectar de la red el ordenador con el servidor Syslog desactivado.

Realizar ajustes de logging 1. Cambie el modo de operación con el comando de menú "Vista" > "Modo avanzado".

Nota

No es posible regresar al modo normal




3. Elija el comando de menú "Editar" > "Propiedades...", ficha "Configuración del registro".

El siguiente cuadro de diálogo muestra la configuración predeterminada para el módulo de seguridad con el registro para red Syslog activado:



Establecer la conexión con el servidor Syslog Para SCALANCE S: El módulo de seguridad utiliza el nombre de módulo configurado como nombre de host ante el servidor Syslog.

Para CPs: El módulo de seguridad utiliza la dirección IP propia como nombre de host ante el servidor Syslog.

Introduzca la dirección IP / el FQDN del servidor Syslog en el campo "Servidor de registros del sistema". Como alternativa puede introducir la dirección IP en forma de nombre simbólico o numérica.

El servidor Syslog tiene que ser accesible desde el módulo de seguridad a través de la dirección IP indicada (dado el caso a través de la configuración de enrutamiento en la ficha "Enrutamiento"). Si no se puede acceder al servidor Syslog, se desactiva el envío de informaciones Syslog. Tal estado operativo se puede reconocer por los correspondientes mensajes del sistema. Para activar de nuevo el envío de información de Syslog, puede ser necesario actualizar la información de enrutamiento y volver a arrancar el módulo de seguridad.



Uso de nombres simbólicos en el logging

Si activa la casilla de verificación "Utilizar nombres simbólicos en el registro", los datos de direcciones de los telegramas de registro transmitidos al servidor se sustituyen por nombres simbólicos. El módulo de seguridad comprueba si están configurados los nombres simbólicos correspondientes, y los introduce en los telegramas de registro.

Nota Mayor tiempo de ejecución con nombres simbólicos

Si está activada la casilla de verificación "Utilizar nombres simbólicos en el registro", aumenta el tiempo de ejecución en el módulo de seguridad.

Para las direcciones IP de los módulos de seguridad se utilizan automáticamente los nombres de los módulos como nombres simbólicos. En el modo Routing, a estos nombres se les añade una extensión con una designación de puerto: "Nombre_del_módulo-P1", "Nombre_del_módulo-P2", etc.

Configuración de clases de eventos

Tabla 9- 3 Network Syslog - panorámica de funciones

Función / ficha en el diálogo online Configuración Observaciones Eventos de filtrado de paquetes (cortafuegos)

Se activan mediante la casilla de verificación. El ajuste de una facilidad y una severidad permite clasificar los mensajes de Syslog según su procedencia y su gravedad. La asignación tiene lugar por medio de listas desplegables. A cada evento se le asignan la severidad y la facilidad aquí ajustadas.

El valor seleccionado aquí depende de la valoración en el servidor Syslog. Con esto es posible una adaptación a los requisitos del servidor Syslog. Si se deja el ajuste estándar "predeterminado", el módulo de seguridad determinará con qué combinación de facilidad y severidad se mostrará el evento.

Eventos de auditoría Se activan mediante la casilla de verificación. La severidad y la facilidad se asignan por medio de listas desplegables. A cada evento se le asignan la severidad y la facilidad aquí ajustadas.

Los valores elegidos para severidad y facilidad dependen de la evaluación realizada en el servidor Syslog. Con esto es posible una adaptación a los requisitos del servidor Syslog. Si se deja el ajuste estándar "predeterminado", el módulo de seguridad determinará con qué combinación de facilidad y severidad se mostrará el evento.

Eventos de sistema Se activan mediante la casilla de verificación.

Para configurar el filtro de eventos y el diagnóstico de línea, abra otro cuadro de diálogo con el botón "Configurar...".



Función / ficha en el diálogo online Configuración Observaciones Filtrado de los eventos de sistema En este subdiálogo se puede ajustar

un nivel de filtrado para los eventos del sistema. Los valores predeterminados son los siguientes: • SCALANCE S: nivel 3 • CP: nivel 3

Seleccione como nivel de filtrado "Error" o superior para impedir el registro de eventos generales, no críticos. Nota para CP Para el CP solo se pueden seleccionar los niveles 3 o 6. • Si selecciona el nivel 3, se muestran

los mensajes de error de los niveles 0 a 3.

• Si selecciona el nivel 6, se muestran los mensajes de error de los niveles 0 a 6.

Diagnóstico de línea El diagnóstico de línea genera un evento especial del sistema. Especifique a partir de qué porcentaje de telegramas erróneos debe generarse un evento de sistema. Asigne al evento de sistema una facilidad y una severidad.

A través de la severidad se ponderan los eventos de sistema del diagnóstico de línea respecto a la severidad de los eventos de sistema restantes. Nota No asigne a los eventos de sistema del diagnóstico de línea una severidad menor que la del filtrado de los eventos de sistema. De lo contrario, los eventos no pasarán el filtrado y no se registrarán en el servidor Syslog.

9.2.3 Configuración del registro de paquetes

Configuración del registro en modo normal Encontrará información sobre el registro de conjuntos de reglas IP y MAC en los capítulos siguientes:

● SCALANCE S en el modo normal (Página 134)

● CPs en el modo normal (Página 123)

Nota

Relación entre los ajustes de registro en el modo normal y las reglas del cortafuegos

Los ajustes de registro en modo normal no afectan a las reglas del cortafuegos que se han generado automáticamente mediante una configuración de la conexión. Así, por ejemplo, no es posible registrar telegramas tuneladas de una conexión configurada. En el modo avanzado, el registro puede ampliarse a las reglas de cortafuegos generadas automáticamente para conexiones.



Configuración del registro en modo avanzado La activación del registro es idéntica para los dos tipos de reglas (IP o MAC) y todas las reglas. Para registrar paquetes de datos de determinadas reglas de filtrado de paquetes, ponga una marca de selección en la columna "Registro" de la ficha "Cortafuegos".


Anexo A A.1 Conformidad DNS

La conformidad DNS según RFC1035 contiene las siguientes reglas: ● Ha de estar limitado a 255 caracteres en total (letras, cifras, guiones o puntos);

● el nombre debe comenzar con una letra;

● el nombre sólo puede terminar en una letra o una cifra;

● cada componente del nombre, es decir, una cadena de caracteres entre dos puntos, no puede tener una longitud superior a 63 caracteres;

● no se permiten caracteres especiales como diéresis, paréntesis, guión bajo, barra inclinada, espacio en blanco etc.

A.2 Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red

Rango de valores de la dirección IP La dirección IP consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej. 141.80.0.16

Rango de valores de la máscara de subred La máscara de subred consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej. 255.255.0.0

Los 4 números decimales de la máscara de subred han de contener, en su representación binaria, una secuencia continua de valores "1" empezando por la izquierda y una secuencia continua de valores "0" empezando por la derecha.

Los valores "1" determinan el número de red dentro de la dirección IP. Los valores "0" determinan el número de host dentro de la dirección IP.

Ejemplo:

Valores correctos:

255.255.0.0 decimal = 11111111.11111111.00000000.00000000 binario

255.255.128.0 decimal = 11111111.11111111.10000000.00000000 binario

255.254.0.0 decimal = 11111111.11111110.00000000.00000000 binario

Valor incorrecto:

Anexo A.3 Dirección MAC


255.255.1.0 decimal = 11111111.11111111.00000001.00000000 binario

Relación entre dirección IP y máscara de subred El primer número decimal de la dirección IP (por la izquierda) determina la estructura de la máscara de subred en cuanto al número de valores "1" (binarios) de la siguiente forma ("x" representa la dirección de host):

Primer decimal de la dirección IP Máscara de subred 0 a 127 255.x.x.x 128 a 191 255.255.x.x 192 a 223 255.255.255.x

Nota:

Para el primer decimal de la dirección IP se puede introducir también un valor entre 224 y 255. Sin embargo, no es recomendable porque este rango de direcciones está reservado para otras tareas y en algunas herramientas de configuración (p. ej. STEP 7) no se realiza ninguna comprobación para este valor.

Rango de valores de la dirección de la pasarela de red La dirección consta de 4 decimales comprendidos entre 0 y 255 y separados por un punto; p. ej. 141.80.0.1

Relación entre la dirección IP y la dirección de la pasarela de red La dirección IP y la dirección de la pasarela de red sólo deben diferir en los lugares en los que en la máscara de subred hay "0".

Ejemplo:

Se ha introducido: para la máscara de subred 255.255.255.0; para dirección IP 141.30.0.5 y para la dirección de la pasarela de red 141.30.128.254. La dirección IP y la dirección de la pasarela de red sólo pueden tener un valor diferente en el 4º decimal. Pero en el ejemplo hay ya una diferencia en el tercer lugar.

Por tanto, en el ejemplo debe modificarse, alternativamente:

La máscara de subred a: 255.255.0.0 o

La dirección IP a: 141.30.128.5 o

La dirección de la pasarela de red a: 141.30.0.254



A.3 Dirección MAC

Nota sobre la estructura de la dirección MAC: Las direcciones MAC son direcciones de hardware para identificar dispositivos de red. Una dirección MAC consta de seis bytes que se representan de forma hexadecimal y separados por guiones.

La dirección MAC consta de una parte fija y una variable. La parte fija ("dirección MAC básica") identifica al fabricante (Siemens, 3COM, ...). La parte variable de la dirección MAC diferencia las distintas estaciones Ethernet.


Bibliografía B B.1 Introducción - sin CD/DVD

Cómo encontrar la documentación SIMATIC NET ● Catálogos

Los números de pedido para los productos Siemens relevantes aquí se encuentran en los catálogos siguientes:

– SIMATIC NET Comunicación industrial/identificación industrial, catálogo IK PI

– Productos SIMATIC para automatización totalmente integrada y microautomatización, catálogo ST 70

Puede solicitar catálogos e información adicional a la subsidiaria o sucursal correspondiente de Siemens.

El Industry Mall se encuentra en la siguiente dirección de Internet:

Enlace a Siemens Industry Mall (http://www.siemens.com/industrymall)

● Documentación en Internet

En las páginas de Internet del Siemens Automation Customer Support también encontrará los manuales SIMATIC NET:

Enlace al Customer Support (http://support.automation.siemens.com/WW/view/es)

Desplácese al grupo de productos deseado y realice los ajustes siguientes:

Ficha "Lista de artículos", Tipo de artículo "Manuales"

● Documentación en la instalación de STEP 7

A los manuales disponibles en la documentación en línea de la instalación de STEP 7 en la PG/el PC se puede acceder desde el menú "Inicio > "Todos los programas" > "Siemens Automation" > "Documentación".

Consulte también Enlace a la documentación: (http://www.automation.siemens.com/simatic/portal/html_00/techdoku.htm)

http://www.siemens.com/industrymall

http://support.automation.siemens.com/WW/view/es

http://www.automation.siemens.com/simatic/portal/html_00/techdoku.htm

Bibliografía B.2 CP S7 / para la configuración, puesta en servicio y utilización del CP


B.2 CP S7 / para la configuración, puesta en servicio y utilización del CP

B.2.1 /1/ SIMATIC NET CP S7 para Industrial Ethernet Configurar y poner en servicio Manual Parte A − Aplicación general Manual de configuración Siemens AG (SIMATIC NET Manual Collection) En Internet, bajo el siguiente ID de artículo: 30374198 (http://support.automation.siemens.com/WW/view/es/30374198)

B.2.2 /2/ SIMATIC NET

CP S7 para Industrial Ethernet

Manual – Parte B

Manual del equipo

Siemens AG

(SIMATIC NET Manual Collection)

En Internet encontrará los manuales de producto de los distintos CP con las siguientes referencias:

CP 343-1 Advanced (GX31): 28017299 (http://support.automation.siemens.com/WW/view/es/28017299)

CP 443-1 Advanced (GX30): 59187252 (http://support.automation.siemens.com/WW/view/es/59187252)

B.3 Para la configuración con STEP 7 / NCM S7

B.3.1 /3/ SIMATIC NET NCM S7 para Industrial Ethernet Primeros pasos Siemens AG (componente de la documentación online en STEP 7)




Bibliografía B.4 CP S7 para el montaje y la puesta en servicio del CP


B.3.2 /4/ SIMATIC NET Commissioning PC Stations - Manual and Quick Start Configuration Manual Siemens AG (SIMATIC NET Manual Collection) En Internet, bajo la siguiente ID de artículo: 13542666 (http://support.automation.siemens.com/WW/view/es/13542666)

B.3.3 /5/ SIMATIC Configurar el hardware y la comunicación con STEP 7 Siemens AG (parte del paquete de documentación "Información básica de STEP 7") (componente de la documentación online en STEP 7)

B.4 CP S7 para el montaje y la puesta en servicio del CP

B.4.1 /6/ SIMATIC S7 Sistema de automatización S7-300

● CPU 31xC y 31x - Configuración: Instrucciones de servicio ID de artículo: 13008499 (http://support.automation.siemens.com/WW/view/es/13008499)

● Datos de los módulos: Manual de referencia ID de artículo: 8859629 (http://support.automation.siemens.com/WW/view/es/8859629)

Siemens AG y SIMATIC S7 Sistema de automatización S7-400, M7-400

● Configuración: Manual de instalación ID de artículo: 1117849 (http://support.automation.siemens.com/WW/view/es/1117849)

● Datos de los módulos: Manual de referencia ID de artículo: 1117740 (http://support.automation.siemens.com/WW/view/es/1117740)

Siemens AG






Bibliografía B.5 Para el montaje y la operación de una red Industrial Ethernet


B.5 Para el montaje y la operación de una red Industrial Ethernet

B.5.1 /7/ SIMATIC NET Twisted-Pair and Fiber-Optic Networks Manual Siemens AG (SIMATIC NET Manual Collection)

B.6 Principios básicos de SIMATIC y STEP 7

B.6.1 /8/ SIMATIC Comunicación con SIMATIC Manual de sistema Siemens AG ID de artículo: 25074283 (http://support.automation.siemens.com/WW/view/es/25074283)

B.6.2 /9/ Paquete de documentación "Información básica de STEP 7"

● STEP 7 - Introducción y ejercicios prácticos (ID: 18652511 (http://support.automation.siemens.com/WW/view/es/18652511))

● Programar con STEP 7 (ID: 18652056 (http://support.automation.siemens.com/WW/view/es/18652056))

● Configurar el hardware y la comunicación con STEP 7 (ID: 18652631 (http://support.automation.siemens.com/WW/view/es/18652631))

● De S5 a S7 - Guía para facilitar la transición (ID: 1118413 (http://support.automation.siemens.com/WW/view/es/1118413))

Siemens AG Referencia: 6ES7 810-4CA08-8EW0

(Parte del paquete de documentación online de STEP 7)






Bibliografía B.7 Comunicación industrial Tomo 2


B.7 Comunicación industrial Tomo 2

B.7.1 /10/ SIMATIC NET Industrial Ethernet Networking Manual Siemens AG


En Internet, con el siguiente ID de artículo: 27069465 (http://support.automation.siemens.com/WW/view/es/27069465)

B.8 Para la configuración de equipos PC / PG

B.8.1 /11/ SIMATIC NET Commissioning PC Stations - Manual and Quick Start Configuration Manual Siemens AG ID de artículo: 13542666 (http://support.automation.siemens.com/WW/view/es/13542666)

B.9 Para la configuración de CP PC

B.9.1 /12/ SIMATIC NET Industrial Ethernet CP 1628

Instrucciones de servicio resumidas Siemens AG


En Internet, bajo el siguiente ID de artículo: 56714413 (http://support.automation.siemens.com/WW/view/es/56714413)




Bibliografía B.10 SIMATIC NET Industrial Ethernet Security


B.10 SIMATIC NET Industrial Ethernet Security

B.10.1 /13/ SIMATIC NET Industrial Ethernet Security SCALANCE S a partir de V3.0

Manual de puesta en marcha y montaje Siemens AG



B.10.2 /14/ SIMATIC NET Industrial Remote Communication SCALANCE M874

Manual de configuración Siemens AG


En Internet, bajo el siguiente ID de artículo: 78389151

Consulte también 78389151 (http://support.automation.siemens.com/WW/view/es/78389151)

B.10.3 /15/ SIMATIC NET Telecontrol SCALANCE M875

Operating Instructions Siemens AG







Índice alfabético

* *.cer, 67, 238 *.dat, 238 *.p12, 67, 93, 238

3 3DES, 214

A Activar el cortafuegos

CP 1628, 123 CP x43-1 Adv., 123 SCALANCE S < V3.0, 142 SCALANCE S V3, 139

Activar la comunicación por túneles CP x43-1 Adv., 123

Activar la comunicación tunelada SCALANCE S < V3.0, 142 SCALANCE S V3, 139

Actualizar el firmware, 81 Administración de usuarios, 57, 73 Administrador de certificados, 90 Administrator, 76 Advanced Encryption Standard (AES), 214 AES, 200, 214 Aggressive Mode, 214 Ajuste predeterminado de cortafuegos

CP 1628, 130 CP x43 Adv., 124 SCALANCE S < V3.0, 134

Ajustes Válidos para todo el proyecto, 57

Ajustes de Security, 235 Ajustes IKE, 212 Ajustes IPsec, 212 Ancho de banda, 157, 166 Applet, 80 Área de contenido, 45, 98 ARP, 205 Asignaciones a grupos, 57 Ausencia de retroacción, 30 Autenticación, 74 Autocrossing, 107

Autonegotiation, 107

B Banda de direcciones, 161 Barra de estado, 46 Barra de menús, 48 Broadcast, 179 Búfer, 258

C Capa 2, 121, 145, 205 Capa 3, 121, 145 Capa 4, 121 Capacidades, 21 Certificado, 90, 206

Exportar, 89 firmado por el usuario, 92 firmado por una entidad emisora, 92 Importar, 89 reemplazar, 93 renovar, 91 sustituir, 93

Certificado CA, 89, 92, 93 Certificado de grupo CA, 93 Certificado SSL, 92 Certificados FTPS, 89 Certificate Authority, 89

Ch CHAP, 109

C Cifrado, 43 Cliente NCP VPN, 96

Certificado de grupo CA, 71 Certificado de grupos, 71 Crear un archivo de configuración, 69, 71

Codificación, 61 Comandos de menú, 48 Comunicación IP

Con protocolo S7, 142 De la red interna a la externa, 142

Índice alfabético


Conexiones especificadas, 53, 121 Conexiones no especificadas, 53 Configurar el control de la hora, 197 Conformidad DNS, 267 Conjuntos de reglas de cortafuegos

Definidos por el usuario, 148 globales,, 57

Conjuntos de reglas de cortafuegos globales, 165 Conjuntos de reglas IP, 146

Específicos de usuario, 148 Conjuntos de reglas IP específicos de usuario, 149 Conjuntos de reglas MAC, 146 Convenio de codificación Diffie-Hellman, 214 Cortafuegos, 29

Modo avanzado, 144 Nombres simbólicos, 63 Reglas de cortafuegos, 121

CP 1628 Tarea, 38

CP S7, 3 CP x43-1 Adv.

Tarea, 35 C-PLUG, 40, 61 Crear una ruta, 176 Cuenta ISP, 108

D Data Encryption Standard (DES), 215 DCP, 143 DCP (Primary Setup Tool), 170 Dead-Peer-Detection (DPD), 219 Dependencias de derechos, 81 Derechos de configuración, 79 Derechos de dispositivo, 80 Derechos de usuario, 80 DES, 200, 215 DHCP

Configuración de servidores, 191 Nombres simbólicos, 63 Servidor, 142

Diagnóstico, 253 Diagnóstico de línea, 258, 261, 265 Diagnóstico online, 257 Dirección de la pasarela de red, 268 Dirección Gigabit, 92 Dirección IP, 160, 267 Dirección IP del router, 176 Dirección IP WAN

Definir, 220 Dirección MAC, 269 Dirección PROFINET, 92

Dispositivo VPN, 96 Certificado del módulo, 70

DNS Servidor, 143

Dúplex, 103 Duración de certificados, 211 Duración máxima de la sesión, 75, 78 DVD de producto SCALANCE S, 44

E Enrutamiento de interfaz, 104 Enrutamiento por interfaz, 96 Entidad emisora, 90 Entidades emisoras de certificados de origen, 91 Espionaje de datos, 28 Estaciones activas, 216 Estaciones con dirección IP desconocida, 217 Eventos de auditoría, 258 Eventos de filtrado de paquetes, 258 Eventos de sistema, 258 Exportar servidores NTP, 199

F Facilidad, 264 Filtrado de paquetes IP

local, 154 FTP, 80 FTP/FTPS, 54 Funciones de túnel, 203

G Glosario, 8 Glosario de SIMATIC NET, 8 Grupo de servicios, 171 Grupo VPN, 210

H HTTP, 162

I ICMP, 154 ID de red, 176 IEEE 802.3, 29, 121 IKE, 124, 130 Instalación

Índice alfabético


SCALANCE S, 43 Interfaces, 175 Internet Key Exchange (IKE), 213 ISAKMP, 220

L Lista de control de acceso IP, 80 Lista negra de IP, 255

Ll LLDP, 80

M M874-x, 3, 68 Main Mode, 214 Máscara de subred, 98, 267 MD5, 200, 215 Memoria circular, 258 Memoria lineal, 258 Método de autenticación, 206, 212 MIB, 80 Modo avanzado, 42

Registro, 266 Registro local, 257, 259 Reglas de cortafuegos, 144 Reglas de cortafuegos globales, 145 Reglas de cortafuegos personalizadas, 148 Servidor DHCP, 192 Syslog de red, 257

Modo de aprendizaje, 225 Modo de enrutamiento, 104, 175

Activar, 175 Modo de puente, 104 Modo Ghost, 104 Modo normal, 42

Cortafuegos, 122 Registro, 265 Registro local, 257

Modo VLAN, 206 Módulo de seguridad, 3 Multicast, 179

N NAT/NAPT

Enrutamiento, 177 Nodos de red externos

CP x43-1 Adv., 37 SCALANCE 602, 27 SCALANCE S612 / S623 / S627-2M, 30

Nodos de red internos Configurar, 223 CP x43-1 Adv., 37 SCALANCE 602, 27 SCALANCE S612 / S623 / S627-2M, 30

Nombre de usuario, 75 Nombre del grupo, 162, 168 Nombre del rol, 78 Nombres simbólicos, 62, 264 NTP

Nombres simbólicos, 63 NTP (seguro), 197

P PAP, 109 Parámetros de dirección, 99 Parámetros de servicios MAC, 168 PC-CP, 3 Perfect Forward Secrecy, 215 Preshared Keys, 206 Producto de otro fabricante, 96 PROFINET, 226 Propiedades de grupo, 212 Propiedades de módulo, 95 Propiedades del grupo VPN, 212 Protección de acceso, 40 Protección de acceso IP, 54 Protocolo, 162 Protocolo ESP, 124, 130, 214 Protocolo IP, 145 Protocolo ISO, 226 Protocolo MAC, 145 Proxy ARP, 201 Proyecto

Valores de inicialización, 61 Prueba de coherencia, 115 Puerto

102 (protocolo S7 - TCP), 162 123 (NTP), 179 20/21 (FTP), 162 443 (HTTPS), 179 4500 (IPsec), 179 500 (IPsec), 179 500 (ISAKMP), 220 514 (Syslog), 179 80 (HTTP), 162

Índice alfabético


R Rango de valores de la dirección IP, 267 Red plana, 104 Registro, 122, 253

Clases de eventos, 264 CP x43-1 Adv., 123 SCALANCE S < V3.0, 142 SCALANCE S V3, 139

Registro local, 253, 258, 260 Eventos de auditoría, 260 Eventos de filtrado de paquetes, 260 Eventos de sistema, 261

Reglas de conexión, 152 Reglas de cortafuegos automáticas, 151 Reglas de cortafuegos globales, 145

Asignar, 147 Reglas de cortafuegos locales, 122, 145 Reglas de cortafuegos personalizadas, 148

Parámetros de timeout, 151 Usuario Remote Access, 76

Reglas de cortafuegos predefinidas CP x43-1 Adv., 123 SCALANCE S < V3.0, 142 SCALANCE S V3, 139

Reglas de filtrado de paquetes IP, 155 CP 1628, 157 CP x43-1 Adv., 157 SCALANCE S, 158

Reglas globales de filtrado de paquetes, 147 Reglas para filtrado de paquetes MAC, 164, 166 Renovar un certificado de grupo CA, 216 Rol definido por el sistema

administrator, 76 diagnostics, 76 remote access, 76 standard, 76

Roles, 76 Definido por el usuario, 77 Definidos por el sistema, 76

Roles definidos por el usuario, 77 Router estándar, 98, 176 Router NAT/NAPT

Nombres simbólicos, 63

S SCALANCE M, 3

Certificado de grupos, 67 Crear un archivo de configuración, 66 Entidad emisora, 67

SCALANCE M875, 3

SCALANCE M87x, 68 SCALANCE S, 3

Crear módulo, 95 Sistemas operativos soportados, 43

SCALANCE S602 Tarea, 25



SCALANCE S627-2M Tarea, 28

Security Configuration Tool, 40, 41, 42 Autónoma, 42, 51 Barra de menús, 48 en STEP 7, 42 En STEP 7, 51 Instalación, 44 Instalación CP 1628, 44 Instalación de CP x34-1 Adv., 44 Modos de operación, 42

Semidúplex, 103 Servicios ICMP, 163 Servicios IP, 162 Servidor DHCP, 193 Servidores NTP, 143, 197 Severidad, 264 SHA1, 200, 215 SiClock, 170 Significado de los símbolos, 6 Símbolos, 6 Sincronización horaria, 197 Sinopsis de funciones

Tipos de módulo, 18 Sistemas operativos soportados

SCALANCE S, 43 SOFTNET Security Client, 235

SNMP, 80 SNMPv1, 200 SNMPv3, 200 SOFTNET Security Client, 3

Base de datos, 238 Comportamiento de arranque, 237 Configurar en el proyecto, 237 Crear un archivo de configuración, 237 desinstalar, 237 Enable active learning, 247 Función, 24 Sistemas operativos soportados, 235

Stateful Packet Inspection, 121 STEP 7, 51

Datos migrados, 52

Índice alfabético


Migración de usuarios, 73 Propiedades del objeto, 52

Syslog Eventos de auditoría, 264 Eventos de filtrado de paquetes, 264 Eventos de sistema, 264 Nombres simbólicos, 63 Servidor Syslog, 60, 253, 262

Syslog de red, 253, 258

T TCP, 154, 162 Telegramas Ethernet-Non-IP, 121 Telegramas horarios de SiClock, 143 Telegramas Non-IP, 205 Túnel, 203 Túnel IPsec, 203

U UDP, 154, 162 Unknown peers, 217 Usuario

Asignar roles, 79 Configurar, 75 Crear roles, 76

Usuario de diagnóstico, 76 Usuario estándar, 76 Usuario Remote Access, 76

V Valores de inicialización predeterminados, 61 Ventana de detalles, 46 Verificación de consistencia, 65, 194

a nivel de proyecto, 62 local, 62

Versión de firmware, 5 Vida útil SA, 215 Vista de configuración offline, 42 Vista de diagnóstico online, 42 VLAN-Tagging, 206 VPN, 24, 203

Propiedades específicas del módulo, 218 SOFTNET Security Client, 233

Z Zona de navegación, 45

Índice alfabético


SIMATIC NET 3 - Siemens AG · 2015-01-24 · advertencia; las informaciones para evitar únicamente...

Documents

Transcript of SIMATIC NET 3 - Siemens AG · 2015-01-24 · advertencia; las informaciones para evitar únicamente...