SCALANCE S e SOFTNET Security. Client SIMATIC NET. SCALANCE S e SOFTNET Security Client. Prefazione. Introduzione e nozioni di base

Transcript

1 SCALANCE S e SOFTNET Security Client SIMATIC NET SCALANCE S e SOFTNET Security Client Istruzioni operative Prefazione Introduzione e nozioni di base 1 Proprietà del prodotto e messa in servizio 2 GETTING STARTED 3 Progettazione con Security Configuration Tool 4 Firewall, router e altre proprietà del modulo 5 Comunicazione protetta nella VPN tramite tunnel IPsec 6 (S612/S613) SOFTNET Security Client (S612/S613) 7 Funzioni online - Test, diagnostica e logging 8 A Suggerimenti e assistenza Avvertenze relative al B marchio CE C Bibliografia D Disegno quotato E Cronologia documento 02/2011 C79000-G8972-C196-07

2 Avvertenze di legge Avvertenze di legge Concetto di segnaletica di avvertimento Questo manuale contiene delle norme di sicurezza che devono essere rispettate per salvaguardare l'incolumità personale e per evitare danni materiali. Le indicazioni da rispettare per garantire la sicurezza personale sono evidenziate da un simbolo a forma di triangolo mentre quelle per evitare danni materiali non sono precedute dal triangolo. Gli avvisi di pericolo sono rappresentati come segue e segnalano in ordine descrescente i diversi livelli di rischio. PERICOLO questo simbolo indica che la mancata osservanza delle opportune misure di sicurezza provoca la morte o gravi lesioni fisiche. AVVERTENZA il simbolo indica che la mancata osservanza delle relative misure di sicurezza può causare la morte o gravi lesioni fisiche. CAUTELA con il triangolo di pericolo indica che la mancata osservanza delle relative misure di sicurezza può causare lesioni fisiche non gravi. CAUTELA senza triangolo di pericolo indica che la mancata osservanza delle relative misure di sicurezza può causare danni materiali. ATTENZIONE indica che, se non vengono rispettate le relative misure di sicurezza, possono subentrare condizioni o conseguenze indesiderate. Nel caso in cui ci siano più livelli di rischio l'avviso di pericolo segnala sempre quello più elevato. Se in un avviso di pericolo si richiama l'attenzione con il triangolo sul rischio di lesioni alle persone, può anche essere contemporaneamente segnalato il rischio di possibili danni materiali. Personale qualificato Il prodotto/sistema oggetto di questa documentazione può essere adoperato solo da personale qualificato per il rispettivo compito assegnato nel rispetto della documentazione relativa al compito, specialmente delle avvertenze di sicurezza e delle precauzioni in essa contenute. Il personale qualificato, in virtù della sua formazione ed esperienza, è in grado di riconoscere i rischi legati all'impiego di questi prodotti/sistemi e di evitare possibili pericoli. Uso conforme alle prescrizioni di prodotti Siemens Si prega di tener presente quanto segue: AVVERTENZA I prodotti Siemens devono essere utilizzati solo per i casi d impiego previsti nel catalogo e nella rispettiva documentazione tecnica. Qualora vengano impiegati prodotti o componenti di terzi, questi devono essere consigliati oppure approvati da Siemens. Il funzionamento corretto e sicuro dei prodotti presuppone un trasporto, un magazzinaggio, un installazione, un montaggio, una messa in servizio, un utilizzo e una manutenzione appropriati e a regola d arte. Devono essere rispettate le condizioni ambientali consentite. Devono essere osservate le avvertenze contenute nella rispettiva documentazione. Marchio di prodotto Tutti i nomi di prodotto contrassegnati con sono marchi registrati della Siemens AG. Gli altri nomi di prodotto citati in questo manuale possono essere dei marchi il cui utilizzo da parte di terzi per i propri scopi può violare i diritti dei proprietari. Esclusione di responsabilità Abbiamo controllato che il contenuto di questa documentazione corrisponda all'hardware e al software descritti. Non potendo comunque escludere eventuali differenze, non possiamo garantire una concordanza perfetta. Il contenuto di questa documentazione viene tuttavia verificato periodicamente e le eventuali correzioni o modifiche vengono inserite nelle successive edizioni. Siemens AG Industry Sector Postfach NÜRNBERG GERMANIA N. di ordinazione documentazione: C79000-G8972-C P 02/2011 Copyright Siemens AG 2006, 2007, 2008, 2010, Con riserva di eventuali modifiche tecniche

3 Prefazione Questo manuale......fornisce un supporto durante la messa in servizio del Security Module SCALANCE S602 / S612 / S613 e del SOFTNET Security Client. Le varianti SCALANCE S602 / S612 / S613 vengono di seguito indicate con SCALANCE S. Istruzioni operative, 02/2011, C79000-G8972-C

4 Prefazione Nuovo in questa edizione In questa edizione sono inoltre incluse le seguenti nuove funzioni: Security Configuration Tool V2.3 Per un semplice utilizzo e per ottenere una migliore panoramica sui diversi tipi di moduli, la gestione dell'integrazione dei moduli e la sostituzione dei moduli ha una nuova concezione. Un SOFTNET Security Client V3.0 può essere configurato insieme ad un MD741-1 e possono essere creati i dati di configurazione corrispondenti (vedere GETTING STARTED Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client (Pagina 89)). Per la modalità IKE (fase 1) possono essere parametrizzati algoritmi di codifica AES-128, AES-192 e AES-256. Oltre ai sistemi operativi Windows XP SP2 e Windows XP SP3 viene supportato il sistema operativo Windows 7 (non la versione Home). SOFTNET Security Client V3.0 Per una migliore visualizzazione e diagnostica degli stati dei collegamenti sono state implementate nuove icone ed è stata aggiunta una panoramica supplementare della diagnostica ("Diagnostica estesa"). Per la consolle log nella panoramica del tunnel è possibile eseguire impostazioni in previsione dei messaggi da visualizzare e della dimensione dei file Log. Per risparmiare i costi in caso di collegamenti basati sui volumi, esiste la possibilità di disattivare il testo di raggiungibilità a discapito della funzionalità di diagnostica del SOFTNET Security Client V3.0. Durante la diagnostica della raggiungibilità del partner del tunnel, nei tunnel con percorsi di trasmissione più lenti (UMTS, GPRS, ecc.) può verificarsi che la raggiungibilità venga visualizzata come negativa nonostante la comunicazione funzioni. In questo caso il tempo di attesa della risposta ping (test di raggiungibilità) può generalmente aumentare. La realizzazione del collegamento ad un MD741-1 viene supportata. In questo caso può essere configurato un indirizzo DNS dinamico (vedere GETTING STARTED Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client (Pagina 89)). Oltre ai sistemi operativi Windows XP SP2 e Windows XP SP3 viene supportato il sistema operativo Windows 7 (non la versione Home). Dati di configurazione per modulo MD Per configurare un MD741-1 esterno per un accesso con il SOFTNET Security Client V3.0, tramite il Security Configuration Tool V2.3 è possibile esportare i dati di configurazione in un file di testo. (GETTING STARTED Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client (Pagina 89)). 4 Istruzioni operative, 02/2011, C79000-G8972-C196-07

5 Prefazione Validità di questo manuale Questo manuale è valido per i seguenti apparecchi e componenti: SIMATIC NET SCALANCE S602 6GK BA00-2AA3 - con versione FW da V2.3 SIMATIC NET SCALANCE S612 V2 6GK BA00-2AA3 - con versione FW da V2.3 SIMATIC NET SCALANCE S613 V2 6GK BA00-2AA3 - con versione FW da V2.3 SIMATIC NET SOFTNET Security Client 6GK VW02-0AA0 - a partire dalla versione 2008 Security Configuration Tool - Versione V2.3 Destinatari Questo manuale è rivolto al personale che esegue la messa in servizio del Security Module SCALANCE S e del SOFTNET Security Client in una rete. Ulteriore documentazione Nel manuale "SIMATIC NET Reti Industrial Ethernet Twisted Pair e Fiber Optic si trovano ulteriori avvertenze sui prodotti SIMATIC NET che possono essere utilizzati insieme al Security Module SCALANCE S in una rete Industrial Ethernet. Questo manuale di rete in formato elettronico può essere scaricato dal Customer Support in internet al seguente indirizzo: ( Norme e omologazioni L'apparecchio SCALANCE S risponde ai requisiti richiesti dal marchio CE. Avvertenze dettagliate su questo argomento si trovano nell'appendice del presente manuale operativo. Simboli ricorrenti In queste istruzioni questo simbolo rimanda a suggerimenti particolari. Il simbolo rimanda ad una particolare bibliografia raccomandata. Questo simbolo rimanda ad una guida dettagliata nella guida in base al contesto. Alla guida è possibile accedere con il tasto F1 o con il pulsante "Help" nella relativa finestra di dialogo. F1 Istruzioni operative, 02/2011, C79000-G8972-C

6 Prefazione Rimandi bibliografici /.../ I rimandi ad ulteriori documentazioni sono indicati con un numero bibliografico riportato tra due barre /.../. In base a questi numeri è possibile rilevare dalla bibliografia riportata alla fine del presente manuale la parte di documentazione. 6 Istruzioni operative, 02/2011, C79000-G8972-C196-07

7 Indice Prefazione Introduzione e nozioni di base Impiego di SCALANCE S612, S613 e SOFTNET Security Client Impiego di SCALANCE S Progettazione e amministrazione Proprietà del prodotto e messa in servizio Proprietà del prodotto Caratteristiche hardware e panoramica delle funzioni Fornitura Apertura della confezione e controllo Collegamento a Ethernet Tensione di alimentazione Contatto di segnalazione Tasto Reset - Ripristino della configurazione all'impostazione di fabbrica Indicatori Dati tecnici Montaggio Montaggio su una guida ad U Montaggio su una guida profilata Montaggio a parete Collegamento a terra Messa in servizio Operazione 1: Collegamento del modulo SCALANCE S Operazione 2: Progettazione e caricamento C-PLUG (Configuration Plug) Trasferimento del firmware GETTING STARTED Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S Informazioni generali Configurazione di SCALANCE S e rete Configurazione delle impostazioni IP dei PC Creazione del progetto e del modulo Progettazione del collegamento del tunnel Caricamento della configurazione in SCALANCE S Test della funzione di tunnel (test Ping) Esempio 2: Firewall - utilizzo di SCALANCE S come firewall Informazioni generali Configurazione di SCALANCE S e della rete Configurazione delle impostazioni IP dei PC Creazione del progetto e del modulo...55 Istruzioni operative, 02/2011, C79000-G8972-C

8 Indice Progettazione del firewall Caricamento della configurazione in SCALANCE S Test della funzione firewall (test Ping) Registrazione del traffico di dati del firewall (Logging) Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router Informazioni generali Configurazione di SCALANCE S e della rete Configurazione delle impostazioni IP dei PC Creazione del progetto e del modulo Progettazione dell esercizio NAT router Progettazione del firewall Caricamento della configurazione in SCALANCE S Test della funzione del NAT router (test Ping) Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client Informazioni generali Configurazione di SCALANCE S e della rete Configurazione delle impostazioni IP dei PC Creazione del progetto e del modulo Progettazione del collegamento del tunnel Caricamento della configurazione in SCALANCE S e salvataggio della configurazione SOFTNET Security Client Realizzazione del tunnel con il SOFTNET Security Client Test della funzione di tunnel (test Ping) Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Informazioni generali Configurazione di MD741-1 e reti Configurazione di impostazioni IP dei PC Creazione di un progetto e di moduli Progettazione del collegamento via tunnel Salvataggio della configurazione dell'md741-1 e del SOFTNET Security Client Esecuzione della configurazione dell'md Realizzazione del tunnel con il SOFTNET Security Client Test della funzione tunnel (test ping) Progettazione con Security Configuration Tool Insieme di funzioni e tipo di funzionamento Installazione Superficie operativa e voci di menu Gestione dei progetti Informazioni generali Creazione e modifica di progetti Configurazione utenti Controlli di coerenza Impostazione di nomi simbolici per indirizzi IP/MAC Caricamento della configurazione in SCALANCE S Dati di configurazione per MD 740 / MD Istruzioni operative, 02/2011, C79000-G8972-C196-07

9 Indice 5 Firewall, router e altre proprietà del modulo Panoramica / Nozioni di base SCALANCE S come firewall SCALANCE S come Router SCALANCE S come server DHCP Creazione di moduli e impostazione dei parametri di rete Firewall - Proprietà del modulo in modalità Standard Progettazione del firewall Preimpostazione del firewall Firewall - Proprietà del modulo in modalità Advanced Progettazione del firewall Regole firewall globali Impostazione delle regole del filtro pacchetto IP locali Regole del filtro pacchetto IP definizione dei servizi IP definizione dei servizi ICMP Impostazione di regole del filtro pacchetto MAC Regole del filtro pacchetto MAC definizione dei servizi MAC configurazione di gruppi di servizi Sincronizzazione dell'ora Creazione di certificati SSL Modalità Routing Routing NAT/NAPT Routing NAT/NAPT Routing - Esempi per la configurazione parte NAT/NAPT Routing - Esempi per la configurazione parte Server DHCP Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) VPN con SCALANCE S Gruppi Creazione di gruppi e assegnazione di moduli Tipi di moduli all'interno di un gruppo Configurazione del tunnel nella modalità Standard Configurazione del tunnel in modalità Advanced Progettazione delle proprietà dei gruppi Assunzione di SCALANCE S nel gruppo configurato SOFTNET Security Client Configurazione delle proprietà VPN specifiche per il modulo Configurazione di nodi di rete interni Tipo di funzionamento della modalità di programmazione Visualizzazione dei nodi di rete interni trovati Configurazione manuale dei nodi di rete Istruzioni operative, 02/2011, C79000-G8972-C

10 Indice 7 SOFTNET Security Client (S612/S613) Impiego del SOFTNET Security Client Installazione e messa in servizio del SOFTNET Security Client Installazione e avvio del SOFTNET Security Client Disinstallazione del SOFTNET Security Client Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool Comando del SOFTNET Security Client Configurazione e modifica del tunnel Funzioni online - Test, diagnostica e logging Panoramica delle funzioni della finestra di dialogo online Registrazione di eventi (logging) Impostazioni Log locale nella configurazione Network Syslog - Impostazioni nella configurazione Progettazione del loggig pacchetti A Suggerimenti e assistenza A.1 Il modulo SCALANCE S non si avvia correttamente A.2 Il modulo SCALANCE S non è raggiungibile A.3 Sostituzione di un modulo SCALANCE S A.4 Il modulo SCALANCE S è compromesso A.5 Codice dai dati di progettazione compromesso o perso A.6 Comportamento di esercizio generale B Avvertenze relative al marchio CE C Bibliografia D Disegno quotato E Cronologia documento E.1 Cronologia documento Glossario / indice delle abbreviazioni Indice analitico Istruzioni operative, 02/2011, C79000-G8972-C196-07

11 Introduzione e nozioni di base 1 SIMATIC NET SCALANCE S e SIMATIC NET SOFTNET Security Client rappresentano il concetto di sicurezza SIEMENS, mirato a soddisfare le richieste di sicurezza di comunicazione nella tecnica di automazione industriale. Questo capitolo fornisce informazioni generali sulle funzioni di sicurezza degli apparecchi e dei componenti Security Module SCALANCE S SOFTNET Security Client Suggerimento: l'approccio rapido a SCALANCE S è descritto nel capitolo 3 "GETTING STARTED". 1.1 Impiego di SCALANCE S612, S613 e SOFTNET Security Client Protezione totale - compito di SCALANCE S612 / S613 Grazie alla combinazione di diverse misure di sicurezza come firewall, router NAT/NAPT e VPN (Virtual Private Network) tramite IPsec Tunnel, gli apparecchi SCALANCE S612 / S613 proteggono apparecchi singoli o intere celle di automazione: spionaggio dei dati manipolazione dei dati accessi non autorizzati; SCALANCE S612 / S613 consente questa protezione flessibile, senza retroeffetti, indipendente dal protocollo (dal layer 2 secondo IEEE 802.3) e senza utilizzo complicato. SCALANCE S612 / S613 e SOFTNET Security Client vengono configurati con lo strumento di progettazione Security Configuration Tool. Istruzioni operative, 02/2011, C79000-G8972-C

12 0 1 Introduzione e nozioni di base 1.1 Impiego di SCALANCE S612, S613 e SOFTNET Security Client Service Computer con Scurity Client External Internal rete esterna External Internal External Internal External Internal IE/PB Link HMI ET 200X OP 270 S7-400 S7-300 Figura 1-1 Configurazione della rete con SCALANCE S612 / S Istruzioni operative, 02/2011, C79000-G8972-C196-07

13 Introduzione e nozioni di base 1.1 Impiego di SCALANCE S612, S613 e SOFTNET Security Client Funzioni di sicurezza Firewall IP Firewall con Stateful Packet Inspection; Firewall anche per telegrammi Ethernet "Non-IP" secondo IEEE (telegrammi layer 2; non valido se viene utilizzata la modalità router) Limitazione della larghezza di banda Tutti i nodi di rete che si trovano in un segmento di rete interno di uno SCALANCE S sono protetti da questo Firewall. Comunicazione protetta con IPsec Tunnel SCALANCE S612 / S613 e SOFTNET Security Clients possono essere raggruppati tramite progettazione. Tra tutti gli SCALANCE S612 / S613 e un SOFTNET Security Client di un gruppo vengono realizzati IPsec Tunnel (VPN, Virtual Private Network). Tutti i nodi interni di questo SCALANCE S possono comunicare tra loro in modo sicuro tramite questo tunnel. Indipendenza dal protocollo La realizzazione dei tunnel comprende anche telegrammi Ethernet secondo IEEE (telegrammi layer 2; non valido se viene utilizzata la modalità router). Attraverso il tunnel IPsec vengono trasmessi sia telegrammi IP, sia telegrammi Non-IP. Router operation Utilizzando SCALANCE S come router, si collega la rete interna alla rete esterna. La rete interna collegata tramite SCALANCE S diventa quindi una sotto-rete propria. Protezione per apparecchi e segmenti di rete La funzione di protezione Firewall e VPN può estendersi dal funzionamento di singoli apparecchi, più apparecchi, fino a interi segmenti di rete. Senza retroeffetti in caso di montaggio in reti piatte (modalità bridge) I nodi di rete interni possono essere trovati senza progettazione. In caso di montaggio di uno SCALANCE S612 / S613 in un'infrastruttura di rete esistente non è quindi necessario riconfigurare gli apparecchi terminali. Il modulo cerca di trovare nodi interni; i nodi interni che non possono essere trovati in questo modo devono perciò essere progettati. Comunicazione PC/PG in VPN - Compito del SOFTNET Security Client Con il software PC SOFTNET Security Client sono possibili accessi remoti sicuri dal PC/PG agli apparecchi di automazione protetti da SCALANCE S, in tutte le reti pubbliche. Con il SOFTNET Security Client un PC/PG viene configurato automaticamente in modo che esso possa realizzare una comunicazione sicura tramite tunnel IPsec nella VPN (Virtual Private Network) con uno o diversi SCALANCE S. Le applicazioni PG/PC come diagnostica NCM o STEP7 possono in questo modo accedere con un collegamento sicuro tramite tunnel ad apparecchi o reti che si trovano in una rete interna protetta con SCALANCE S. Istruzioni operative, 02/2011, C79000-G8972-C

14 Introduzione e nozioni di base 1.2 Impiego di SCALANCE S602 Anche il software PC SOFTNET Security Client viene configurato con lo strumento di progettazione Security Configuration Tool; in questo modo viene garantita la progettazione completamente integrata che non richiede uno speciale Security Know How. Nodi di rete interni ed esterni SCALANCE S612 / S613 ripartisce le reti in due aree: rete interna: aree protette con "nodi interni" I nodi interni sono quelli protetti da uno SCALANCE S. rete esterna: aree non protette con "nodi esterni" I nodi esterni sono quelli che si trovano fuori dall'area protetta. ATTENZIONE Le reti interne vengono considerate sicure (fidate). Collegare un segmento di rete interno a segmenti di rete esterni solo tramite SCALANCE S. Non devono esistere altri percorsi di collegamento tra rete interna ed esterna! 1.2 Impiego di SCALANCE S602 Firewall e Router - Compito di SCALANCE S602 Grazie alla combinazione di diverse misure di sicurezza come firewall e router NAT/NAPT, l'apparecchio SCALANCE S602 protegge singoli apparecchi o intere celle di automazione da: spionaggio dei dati accessi non autorizzati; SCALANCE S602 consente questa protezione in modo flessibile e senza trattamenti complessi. SCALANCE S602 viene configurato con lo strumento di progettazione Security Configuration Tool. 14 Istruzioni operative, 02/2011, C79000-G8972-C196-07

15 0 1 Introduzione e nozioni di base 1.2 Impiego di SCALANCE S602 SCALANCE S SCALANCE S SCALANCE S External External External Internal Internal Internal IE/PB Link HMI ET 200X OP 270 S7-400 S7-300 "interna": Servizio & supervisione "interna": Cella di automazione "interna": Cella di automazione Figura 1-2 Configurazione della rete con SCALANCE S602 Funzioni di sicurezza Firewall IP Firewall con Stateful Packet Inspection; Firewall anche per telegrammi Ethernet "Non-IP" secondo IEEE (telegrammi layer 2; non vale per S602 se viene utilizzato il funzionamento router); Limitazione della larghezza di banda Tutti i nodi di rete che si trovano in un segmento di rete interno di uno SCALANCE S sono protetti da questo Firewall. Funzionamento router Utilizzando SCALANCE S come router, si disaccoppia la rete interna dalla rete esterna. La rete interna collegata da SCALANCE S diventa quindi una sotto-rete propria; SCALANCE S deve essere indirizzato esplicitamente come router tramite il proprio indirizzo IP. Protezione per apparecchi e segmenti di rete La funzione di protezione Firewall può estendersi dal funzionamento di singoli apparecchi, più apparecchi, fino a interi segmenti di rete. Senza retroeffetti in caso di montaggio in reti piatte (modalità bridge) In caso di montaggio di uno SCALANCE S602 in un'infrastruttura di rete esistente non è necessario reimpostare gli apparecchi terminali. Istruzioni operative, 02/2011, C79000-G8972-C

16 Introduzione e nozioni di base 1.3 Progettazione e amministrazione Nodi di rete interni ed esterni SCALANCE S602 ripartisce le reti in due aree: rete interna: aree protette con "nodi interni" I nodi interni sono quelli protetti da uno SCALANCE S. rete esterna: aree non protette con "nodi esterni" I nodi esterni sono quelli che si trovano fuori dall'area protetta. ATTENZIONE Le reti interne vengono considerate sicure (fidate). Collegare un segmento di rete interno a segmenti di rete esterni solo tramite SCALANCE S. Non devono esistere altri percorsi di collegamento tra rete interna ed esterna! 1.3 Progettazione e amministrazione Riassunto dei punti più importanti L'interazione con lo strumento di progettazione Security Configuration Tool consente un impiego semplice e sicuro dei moduli SCALANCE S: Progettazione senza nozioni esperti IT con il Security Configuration Tool Con il Security Configuration Tool anche non esperti IT possono impostare un modulo SCALANCE S. In una modalità di ampliamento, in caso di necessità, è possibile eseguire impostazioni complicate. Comunicazione amministrativa protetta La trasmissione delle impostazioni verso SCALANCE S vengono eseguite con un collegamento codificato SSL. Protezione contro l'accesso nel Security Configuration Tool Grazie alla gestione utente del Security Configuration Tool, è garantito una protezione contro l'accesso per gli apparecchi SCALANCE S e i dati di progettazione. Supporto dati C-PLUG impiegabile Il C-PLUG è un supporto dati innestabile, sul quale sono salvati i dati di configurazione codificati. In caso di sostituzione di uno SCALANCE S, esso consente la configurazione senza PC/PG. 16 Istruzioni operative, 02/2011, C79000-G8972-C196-07

17 Proprietà del prodotto e messa in servizio 2 Questo capitolo descrive l'approccio all'utilizzo e a tutte le proprietà più importanti dell'apparecchio SCALANCE S. Qui vengono descritte le possibilità di montaggio disponibili e la messa in servizio dell'apparecchio in poche operazioni. Altre informazioni La configurazione dell'apparecchio per applicazioni standard è descritta in modo sintetico nel capitolo "GETTING STARTED". Le informazioni dettagliate per la progettazione e le funzioni online si trovano nella parte di consultazione di questo manuale. 2.1 Proprietà del prodotto Nota Le omologazioni indicate hanno validità solo quando sul prodotto è stata applicata la relativa contrassegnatura Caratteristiche hardware e panoramica delle funzioni Tutti i moduli SCALANCE S offrono le seguenti potenzialità fondamentali: Hardware Custodia robusta con grado di protezione IP 30 Montaggio a scelta su guida ad U S7-300 o DIN di 35 mm Alimentazione ridondante Istruzioni operative, 02/2011, C79000-G8972-C

18 Proprietà del prodotto e messa in servizio 2.1 Proprietà del prodotto Contatto di segnalazione Campo di temperatura ampliata (-20 C C SCALANCE S613) Panoramica delle funzioni dei tipi di apparecchio Rilevare dalla seguente tabella le funzioni supportate dall'apparecchio. Nota In questo manuale vengono descritte tutte le funzioni. Osservare nella tabella le descrizioni che riguardano l'apparecchio utilizzato. Fare attenzione anche alle indicazioni supplementari nei titoli del capitolo! Tabella 2-1 Panoramica delle funzioni Funzionamento S602 S612 V1 S612 V2 S613 V1 S613 V2 Firewall x x x x x Router NAT/NAPT x - x - x Server DHCP x - x - x Syslog rete x - x - x Tunnel IPsec (VPN, Virtual Private Network) - x x x x SOFTNET Security Client - x x x x x La funzione è supportata - La funzione non è supportata Fornitura Che cosa è compreso nella fornitura di SCALANCE S? Apparecchio SCALANCE S Morsettiera innestabile a 2 poli 18 Istruzioni operative, 02/2011, C79000-G8972-C196-07

19 Proprietà del prodotto e messa in servizio 2.1 Proprietà del prodotto Morsettiera innestabile a 4 poli Informazioni relative al prodotto CD con il seguente contenuto: Manuale Software di progettazione Security Configuration Tool Apertura della confezione e controllo Apertura della confezione, controllo 1. Controllare che il pacchetto sia completo. 2. Controllare che i singoli pezzi non presentino danni dovuti al trasporto. AVVERTENZA Mettere in servizio solo pezzi non danneggiati! Collegamento a Ethernet Possibilità di collegamento SCALANCE S dispone di 2 prese RJ-45 per il collegamento a Ethernet. Nota Alla porta TP nella versione RJ 45 possono essere collegati TP-Cord o TP-XP-Cord con una lunghezza massima di 10 m. In combinazione con Industrial Ethernet FastConnect IE FC Standard Cable e IE FC RJ 45 Plug 180, tra due apparecchi è consentita una lunghezza complessiva del cavo di max. 100 m. Istruzioni operative, 02/2011, C79000-G8972-C

20 Proprietà del prodotto e messa in servizio 2.1 Proprietà del prodotto ATTENZIONE I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in modo diverso e non devono quindi essere scambiati durante il collegamento alla rete di comunicazione: Porta 1 - Rete esterna presa RJ45 superiore, contrassegno rosso = area della rete non protetta; Port 2 - Internal Network presa RJ45 inferiore, contrassegno verde = rete protetta con SCALANCE S; In caso di scambio delle porte l'apparecchio perde la sua funzione di protezione. Autonegotiation SCALANCE S supporta l'autonegotiation. Autonegotiation significa che i parametri di collegamento e di trasmissione vengono negoziati automaticamente con i nodi di rete interrogati. Funzione MDI /MDIX autocrossing SCALANCE S supporta la funzione MDI / MDIX Autocrossing. La funzione MDI /MDIX autocrossing offre il vantaggio di un cablaggio continuo, senza che sia necessario un cavo Ethernet esterno incrociato. Il mancato funzionamento in caso di cavi di trasmissione e ricezione scambiati viene quindi impedito. In questo modo l'installazione viene notevolmente semplificata Tensione di alimentazione AVVERTENZA L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805. L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2 (campo di tensione V, corrente necessaria 250 ma). L'apparecchio può essere alimentato solo con un'unità di alimentazione che risponde alle richieste della classe 2 per alimentazioni dellla "National Electrical Code,table 11 (b)". In caso di una struttura con alimentazione ridondante (due alimentazioni separate) devono essere soddisfatti entrambi i requisiti. 20 Istruzioni operative, 02/2011, C79000-G8972-C196-07

21 Proprietà del prodotto e messa in servizio 2.1 Proprietà del prodotto ATTENZIONE Non collegare mai SCALANCE S a tensione alternata o a tensioni continue superiori a 32 V DC. Il collegamento dell'alimentazione viene eseguito con una morsettiera innestabile a 4 poli. L'alimentazione può essere collegata in modo ridondante. Entrambi gli ingressi sono disaccoppiati. Non esiste una ripartizione del carico. In caso di alimentazione ridondante, l'alimentatore con la tensione di uscita maggiore fornisce l'alimentazone di SCALANCE S. La tensione di alimentazione è collegata ad alta resistenza alla custodia per consentire un montaggio senza collegamento a terra. Figura 2-1 Tensione di alimentazione Contatto di segnalazione ATTENZIONE Il contatto di segnalazione deve essere caricato al massimo con 100 ma (tensione di sicurezza (SELV), DC 24 V). Non collegare mai SCALANCE S a tensione alternata o a tensioni continue superiore a 32 V DC. Il collegamento del contatto di segnalazione viene eseguito con una morsettiera innestabile a 2 poli. Il contatto di segnalazione è un interruttore senza potenziale con il quale vengono segnalati stati di errore tramite interruzione del contatto. Con il contatto di segnalazione possono essere segnalati i seguenti errori: errori nella tensione di alimentazione errori interni In caso di errore o se SCALANCE S è senza tensione, il contatto di segnalazione è aperto. In caso di funzionamento senza errori il contatto è chiuso. Istruzioni operative, 02/2011, C79000-G8972-C

22 Proprietà del prodotto e messa in servizio 2.1 Proprietà del prodotto Figura 2-2 Contatto di segnalazione Tasto Reset - Ripristino della configurazione all'impostazione di fabbrica SCALANCE S dispone di un tasto Reset. Il tasto Reset si trova sul lato posteriore dell'apparecchio, sotto il coperchio a vite, immediatamente di fianco al C-PLUG. Il tasto Reset è protetto meccanicamente contro l'azionamento accidentale. ATTENZIONE Assicurarsi che a SCALANCE S acceda solo personale autorizzato. Che funzione ha il tasto? Con il tasto Reset possono essere attivate due funzioni: Riavvio Il modulo viene riavviato. La configurazione caricata viene mantenuta. Ripristino delle impostazioni della fabbrica Il modulo viene riavviato e riportato allo stato della fornitura. Una configurazione caricata viene cancellata. Riavvio - Procedimento 1. Smontare eventualmente il modulo SCALANCE S per consentire l'accesso al vano. 2. Rimuovere i tappi M32 sul lato posteriore dell'apparecchio. Il tasto Reset si trova in un vano sul lato posteriore dello SCALANCE S, direttamente di fianco al posto connettore per il C-PLUG. Questo vano è protetto con un tappo con chiusura a vite. Il tasto si trova in un piccolo foro ed è quindi protetto contro l'azionamento involontario. 22 Istruzioni operative, 02/2011, C79000-G8972-C196-07

23 Proprietà del prodotto e messa in servizio 2.1 Proprietà del prodotto 3. Premere il tasto Reset per meno di 5 secondi. Il riavvio dura fino a 2 minuti. Durante il riavvio l'indicatore Fault lampeggia con luce gialla. Fare attenzione che durante questa operazione l'alimentazione non venga interrotta. Alla conclusione del riavvio l'apparecchio passa automaticamente nel funzionamento produttivo. L'indicatore Fault è successivamente acceso con luce verde permanente. 4. Chiudere il vano con il tappo M32 e montare l'apparecchio. Ripristino delle impostazioni della fabbrica - Procedimento ATTENZIONE Se durante il ripristino delle impostazioni di fabbrica è innestato un C-PLUG, il C-PLUG viene cancellato! 1. Smontare eventualmente il modulo SCALANCE S per consentire l'accesso al vano. 2. Rimuovere i tappi M32 sul lato posteriore dell'apparecchio. Il tasto Reset si trova in un vano sul lato posteriore dello SCALANCE S, direttamente di fianco al posto connettore per il C-PLUG. Questo vano è protetto con un tappo con chiusura a vite. Il tasto si trova in un piccolo foro ed è quindi protetto contro l'azionamento involontario. 3. Premere il tasto Reset e tenerlo premuto - per più di 5 secondi - fino a quando l'indicatore Fault lampeggia con luce gialla-rossa. Il ripristino dura fino a 2 minuti. Durante il ripristino l'indicatore Fault lampeggia con luce gialla-rossa. Fare attenzione che durante questa operazione l'alimentazione non venga interrotta. Alla conclusione del ripristino l'apparecchio si riavvia automaticamente. L'indicatore Fault è successivamente acceso con luce gialla permanente. 4. Chiudere il vano con il tappo M32 e montare l'apparecchio Indicatori Istruzioni operative, 02/2011, C79000-G8972-C

24 Proprietà del prodotto e messa in servizio 2.1 Proprietà del prodotto Indicatore di errore (Fault LED) Indicatore dello stato operativo: Stato si accende la luce rossa Significato Il modulo riconosce un errore. (il contatto di segnalazione è aperto) Vengono riconosciuti i seguenti errori: Errore interno (per esempio: avvio fallito) C-PLUG non valido (formattazione non valida) si accende la luce verde NON si accende si accende la luce gialla (luce permanente) lampeggia ad intermittenza luce gialla-rossa Il modulo è nel funzionamento produttivo (il contatto di segnalazione è chiuso). Il modulo si è guastato; nessuna tensione di alimentazione (il contatto di segnalazione è aperto). Il modulo è in avvio (il contatto di segnalazione è aperto). Se non esiste nessun indirizzo IP, il modulo rimane in questo stato. Il modulo ritorna allo stato della fornitura. (il contatto di segnalazione è aperto). Indicatore Power (L1, L2) Lo stato della tensione di alimentazione viene segnalato con 2 LED: Stato si accende la luce verde non si accende si accende la luce rossa Significato La tensione di alimentazione L1 e L2 è collegata. La tensione di alimentazione L1 e L2 non è attiva o <14 V (L+) La tensione di alimentazione L1 e L2 si è guastata durante il funzionamento o <14 V (L+) Indicatori dello stato delle porte (P1 e TX, P2 e TX) Lo stato delle interfacce viene segnalato con rispettivamente 2 LED per entrambi i collegamenti: Stato LED P1 / P2 si accende la luce verde lampeggia / si accende la luce gialla off LED TX Significato TP-Link presente Ricezione dei dati su RX Nessun TP e nessuna ricezione di dati 24 Istruzioni operative, 02/2011, C79000-G8972-C196-07

25 Proprietà del prodotto e messa in servizio 2.1 Proprietà del prodotto Stato lampeggia / si accende la luce gialla off Significato I dati vengono trasmessi Non vengono trasmessi dati Dati tecnici Collegamenti Collegamenti di terminali o componenti di rete 2 prese RJ 45 con assegnazione MDI-X 10/100 tramite Twisted Pair Mbit/s (halfduplex/fullduplex) Collegamento per tensione di alimentazione 1 morsettiera innestabile a 4 poli Collegamento per contatto di segnalazione 1 morsettiera innestabile a 2 poli Dati elettrici Tensione di alimentazione Alimentazione DC 24 V (DC V) eseguita in modo ridondante tensione di sicurezza a basso voltaggio (SELV) Potenza dissipata con DC 24 V 3,84 W Corrente assorbita con tensione nominale max. 250 ma Lunghezze di cavi ammesse Collegamento tramite cavi Industrial Ethernet FC TP: m Industrial Ethernet FC TP Standard Cable con IE FC RJ 45 Plug 180 o tramite Industrial Ethernet FC Outlet RJ 45 con 0-90 m Industrial Ethernet FC TP Standard Cable + 10 m TP Cord 0-85 m Industrial Ethernet FC TP Marine/Trailing Cable con IE FC RJ 45 Plug 180 o 0-75 m Industrial Ethernet FC TP Marine/Trailing Cable + 10 m TP Cord Configurazione software con VPN Numero di IPsec Tunnel SCALANCE S612 max. 64 SCALANCE S613 max. 128 Configurazione software "Firewall" Numero di blocchi di regole SCALANCE S602 max. 256 SCALANCE S612 max. 256 SCALANCE S613 max. 256 Istruzioni operative, 02/2011, C79000-G8972-C

26 Proprietà del prodotto e messa in servizio 2.1 Proprietà del prodotto Temperature ambiente ammesse/emc Temperatura di esercizio SCALANCE S602 0 C C Temperatura di esercizio SCALANCE S612 0 C C Temperatura di esercizio SCALANCE S C C Temperatura di magazzinaggio/trasporto -40 C C Umidità relativa in esercizio 95 % (senza condensa) Altitudine d'esercizio fino a 2000 m s.l.m ad una temperatura ambiente di max. 56 C fino a 3000 m s.l.m ad una temperatura ambiente di max. 50 C Grado di radiodisturbi EN Class A Resistenza a disturbi EN Grado di protezione IP 30 Omologazioni c-ul-us UL CSA C22.2 N c-ul-us for Hazardous Locations UL 1604, UL 2279Pt.15 FM FM 3611 C-TICK AS/NZS 2064 (Class A). CE EN , EN ATEX Zone 2 EN50021 MTBF 81,09 anni Struttura costruttiva Dimensioni (L x A x P) in mm 60 x 125 x 124 Peso in g 780 Possibilità di montaggio Guida ad U Guida profilata S7-300 Montaggio a parete Numeri di ordinazione SCALANCE S602 SCALANCE S612 SCALANCE S613 Manuale "Reti Industrial Ethernet TP e Fiber Optic" Numeri di ordinazione per accessori IE FC Stripping Tool IE FC Blade Cassettes IE FC TP Standard Cable IE FC TP Trailing Cable IE FC TP Marine Cable IE FC RJ 45 Plug 180 Unità confezione = 1 pezzo 6GK5602-0BA00-2AA3 6GK5612-0BA00-2AA3 6GK5613-0BA00-2AA3 6GK1970-1BA10-0AA0 6GK1901-1GA00 6GK1901-1GB00 6XV1840 2AH10 6XV1840-3AH10 6XV1840-4AH10 6GK BB10-2AA0 26 Istruzioni operative, 02/2011, C79000-G8972-C196-07

27 Proprietà del prodotto e messa in servizio 2.2 Montaggio IE FC RJ 45 Plug 180 Unità confezione = 10 pezzi IE FC RJ 45 Plug 180 Unità confezione = 50 pezzi 6GK BB10-2AB0 6GK BB10-2AE0 2.2 Montaggio Nota I requisiti richiesti secondo EN , Surge controllo dei cavi di alimentazione, vengono soddisfatti solo in caso di impiego di un parafulmine VT AD 24V art. N Costruttore: DEHN+SÖHNE GmbH+Co.KG Hans Dehn Str.1 Postfach 1640 D Neumarkt AVVERTENZA In caso di impiego in aree soggette a pericolo di esplosione (zona 2) SCALANCE S deve essere montato in un contenitore. Nell'area di validità dell'atex 95 (EN 50021) questo contenitore deve corrispondere almeno a IP54 secondo EN AVVISO L'APPARECCHIO PUÒ ESSERE COLLEGATO O SCOLLEGATO DALLA TENSIONE DI ALIMENTAZIONE SOLO SE PUÒ ESSERE COMPLETAMENTE ESCLUSO UN PERICOLO DI ESPLOSIONE. Istruzioni operative, 02/2011, C79000-G8972-C

28 Proprietà del prodotto e messa in servizio 2.2 Montaggio Tipi di montaggio SCALANCE S consente diversi tipi di montaggio: Montaggio su una guida ad U DIN di 35 mm Montaggio su una guida profilata SIMATIC S7-300 Montaggio a parete Nota Durante l'installazione e l'esercizio rispettare le direttive di montaggio e le avvertenze di sicurezza riportate in questa descrizione e nel manuale SIMATIC NET Reti Industrial Ethernet Twisted Pair e Fiber Optic /1/. ATTENZIONE Si raccomanda di proteggere l'apparecchio contro la luce solare diretta con un oscuramento adatto. Questo evita un riscaldamento indesiderato dell'apparecchio e un invecchiamento precoce dell'apparecchio e del cablaggio Montaggio su una guida ad U Montaggio Montare SCALANCE S su una guida ad U di 35 mm secondo DIN EN Agganciare la guida a scatto superiore dell'aparecchio nella guida ad U e premerla verso il basso contro la guida ad U fino a quando scatta in posizione. 28 Istruzioni operative, 02/2011, C79000-G8972-C196-07

29 Proprietà del prodotto e messa in servizio 2.2 Montaggio 2. Montare i cavi di collegamento elettrici e la morsettiera per il contatto di segnalazione. Figura 2-3 SCALANCE S Montaggio su una guida ad U DIN (35mm) Smontaggio Per smontare SCALANCE S dalla guida ad U: 1. Smontare dapprima i cavi TP e sfilare la morsettiera per la tensione di alimentazione e il contatto di segnalazione. Istruzioni operative, 02/2011, C79000-G8972-C

30 Proprietà del prodotto e messa in servizio 2.2 Montaggio 2. Sbloccare l'apparecchio con un cacciavite dal blocco della guida ad U dal lato inferiore dell'apparecchio e sollevare quindi l'apparecchio in basso dalla guida ad U. Figura 2-4 SCALANCE S Smontaggio da una guida ad U DIN (35mm) Montaggio su una guida profilata Montaggio su una guida profilata SIMATIC S Agganciare la guida del contenitore sul lato superiore del contenitore di SCALANCE S nella guida profilata S7. 30 Istruzioni operative, 02/2011, C79000-G8972-C196-07

31 Proprietà del prodotto e messa in servizio 2.2 Montaggio 2. Avvitare l'apparecchio SCALANCE S al lato inferiore della guida profilata. Figura 2-5 SCALANCE S Montaggio su una guida profilata SIMATIC S Montaggio a parete Materiale di montaggio Per il fissaggio - per esempio su una parete di cemento armato, utilizzare: 4 tasselli da parete con diametro di 6 mm e lunghezza di 30 mm Viti con diametro di 3,5 mm e lunghezza di 40 mm Nota Il fissaggio a parete deve essere progettato in modo da poter sopportare almeno il peso quadruplo dell'apparecchio Collegamento a terra Montaggio su una guida ad U Il collegamento a terra viene eseguito sulla guida ad U. Istruzioni operative, 02/2011, C79000-G8972-C

32 Proprietà del prodotto e messa in servizio 2.3 Messa in servizio Guida profilata S7-300 Il collegamento a terra viene eseguito sul lato poteriore dell'apparecchio e con la vite con collare. Montaggio a parete Il collegamento a terra viene eseguito con la vite di fissaggio sul foro senza vernice. ATTENZIONE Fare attenzione che SCALANCE S deve essere collegato a terra possibilmente a bassa resistenza tramite una vite di fissaggio. 2.3 Messa in servizio ATTENZIONE Prima della messa in servizio leggere assolutamente e con attenzione le indicazioni riportate nei capitoli "Proprietà del prodotto" e "Montaggio" seguire in particolare le istruzioni riportate nelle avvertenze per la sicurezza. Principio Per l'esercizio di un SCALANCE S è necessario caricare una configurazione progettata con il Security Configuration Tool. Questa operazione viene descritta di seguito. Una configurazione di uno SCALANCE S comprende i parametri IP e l'impostazione di regole firewall ed eventualmente l'impostazione di IPsec Tunnel (S612 / S613) o funzionamento Router. Prima della messa in servizio è fondamentalmente possibile progettare offline l'intera configurazione e successivamente caricarla. Alla prima configurazione (impostazioni della fabbrica), per l'indirizzamento utilizzare l'indirizzo MAC stampigliato sull'apparecchio. A seconda dell'impiego, durante la messa in servizio si carica contemporaneamente la configurazione in uno o più moduli. 32 Istruzioni operative, 02/2011, C79000-G8972-C196-07

33 Proprietà del prodotto e messa in servizio 2.3 Messa in servizio External External Internal Internal Figura 2-6 Grafica panoramica Messa in servizio Impostazioni della fabbrica Con le impostazioni della fabbrica (alla fornitura o dopo il "ripristino delle impostazioni della fabbrica"), dopo l'inserimento della tensione di alimentazione SCALANCE S ha il seguente comportamento: Non è possibile una comunicazione IP in quanto mancano le impostazioni IP; in particolare SCALANCE S non dispone ancora di un indirizzo IP. Non appena al modulo SCALANCE S è stato assegnato un indirizzo IP valido tramite configurazione, il modulo può essere raggiunto anche tramite router (successivamente è possibile la comunicazione IP). L'apparecchio ha un indirizzo MAC preimpostato in modo fisso; l'indirizzo MAC è stampigliato sull'apparecchio; questo indirizzo va inserito durante la progettazione. Il Firewall è preconfigurato con le seguenti regole di base del Firewall: il traffico di dati non protetto da porta interna a porta esterna e viceversa (esterna interna) non è possibile; Lo stato non configurato si riconosce dal F-LED giallo acceso. Istruzioni operative, 02/2011, C79000-G8972-C

34 Proprietà del prodotto e messa in servizio 2.3 Messa in servizio Vedere anche Proprietà del prodotto (Pagina 17) Montaggio (Pagina 27) Operazione 1: Collegamento del modulo SCALANCE S Procedimento: 1. Disimballare dapprima SCALANCE S e controllare che i componenti non siano danneggiati. 2. Collegare la tensione di alimentazione a SCALANCE S. Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo. 3. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di rete nelle porte previste (prese RJ45). Collegare la porta 1 (porta esterna) alla rete esterna alla quale è collegato il PC/PG di progettazione. Collegare la porta 2 (porta interna) alla rete interna. Osservazione: Durante la messa in servizio, in linea di principio è possibile collegare dapprima il PC/PG di progettazione alla porta 1 o alla porta 2 e rinunciare al collegamento di altri nodi di rete fino a quando nell'apparecchio è impostata una configurazione. In caso di collegamento alla porta 2 è tuttavia necessario configurare separatamente ogni singolo modulo SCALANCE S! 4. Proseguire quindi con l'operazione successiva "Progettazione e caricamento" Operazione 2: Progettazione e caricamento Qui di seguito viene descritto come si progetta il modulo SCALANCE S partendo dalle impostazioni di fabbrica. Procedimento: 1. Avviare lo strumento di progettazione Security Configuration Tool fornito. 2. Selezionare la voce di menu Project New. Viene richiesto di inserire un nome utente e una password. Alla registrazione utente definita qui viene assegnato il ruolo di un amministratore. 3. Inserire un nome utente e una password e confermare l'inserimento; in questo modo si crea un nuovo progetto. 34 Istruzioni operative, 02/2011, C79000-G8972-C196-07

35 Proprietà del prodotto e messa in servizio 2.3 Messa in servizio 4. È stata visualizzata automaticamente la finestra di dialogo "Selezione di un'unità o configurazione software". Configurare a questo punto il tipo di prodotto, l'unità e il release del firmware. 5. Inserire nella casella per l'"indirizzo MAC" nel campo "Configurazione" l'indirizzo MAC stampigliato sul contenitore del modulo nel formato indicato. Questo indirizzo si trova sul lato frontale del modulo SCALANCE S (vedere figura). 6. Inserire l'indirizzo IP esterno e la maschera della sotto-rete esterna nel campo "Configurazione" nelle caselle previste e confermare la finestra di dialogo con "OK". In questo modo il modulo viene acquisito nell'elenco dei moduli configurati. 7. Selezionare il modulo e inserire eventualmente l'indirizzo IP del router predefinito facendo clic nella colonna "Router predefinito". opzionale: Progettare eventualmente altre proprietà del modulo e dei gruppi di moduli. 8. Salvare quindi il progetto con la seguente voce di menu con un nome appropriato: Project Save As Istruzioni operative, 02/2011, C79000-G8972-C

36 Proprietà del prodotto e messa in servizio 2.4 C-PLUG (Configuration Plug) 9. Selezionare la seguente voce di menu: Transfer To Module... Compare la seguente finestra di dialogo del trasferimento. 10. Facendo clic sul pulsante "Start" si trasferisce la configurazione nel modulo SCALANCE S. Risultato: a questo punto il modulo SCALANCE S è configurato e può comunicare sul livello IP. Questo stato operativo viene segnalato dal LED di indicazione Fault attraverso luce verde. 2.4 C-PLUG (Configuration Plug) Campo d'impiego Il C-PLUG è un supporto dati per il salvataggio dei dati di configurazione e di progettazione dell'apparecchio di base (SCALANCE S). Di conseguenza, in caso di sostituzione dell'apparecchio di base i dati di configurazione rimangono a disposizione. Principio del funzionamento L'alimentazione elettrica viene eseguita dall'apparecchio di base. In assenza di corrente il C- PLUG mantiene i dati in permanenza. Inserimento nel posto connettore C-PLUG Il posto connettore per il -PLUG si trova sul lato posteriore dell'apparecchio. Per impiegare il C-PLUG procedere nel modo seguente: 1. Rimuovere il coperchio a vite M Istruzioni operative, 02/2011, C79000-G8972-C196-07

37 Proprietà del prodotto e messa in servizio 2.4 C-PLUG (Configuration Plug) 2. Spostare il C-PLUG nel vano previsto. 3. Chiudere quindi il vano con il coperchio a vite M32. ATTENZIONE Osservare lo stato operativo Il C-PLUG deve essere innestato o sfilato solo in assenza di tensione! Figura 2-7 Inserire il C-PLUG nell'apparecchio e togliere il C-PLUG dall'apparecchio con l'aiuto di un cacciavite Funzionamento Su un C-PLUG non scritto (alla fornitura), durante l'avvio dell'apparecchio vengono salvati automaticamente tutti i dati di configurazione di SCALANCE S. Anche le modifiche della configurazione durante il funzionamento vengono salvate sul C-PLUG senza l'intervento dell'utente. Un apparecchio di base con C-PLUG innestato utilizza automaticamente durante l'avvio i dati di configurazione di un C-PLUG innestato. Il presupposto è che i dati siano stati scritti da un tipo di apparecchio compatibile. Istruzioni operative, 02/2011, C79000-G8972-C

38 Proprietà del prodotto e messa in servizio 2.4 C-PLUG (Configuration Plug) In questo modo, in caso di guasto viene consentita una sostituzione rapida e semplice dell'apparecchio di base. In caso di sostituzione il C-PLUG viene tolto dal componente guastatosi e innestato nel pezzo di ricambio. Dopo il primo avvio l'apparecchio sostitutivo dispone automaticamente della stessa configurazione dell'apparecchio guastatosi. Nota Dati di progetto coerenti - Adattamento dell'indirizzo MAC Dopo la sostituzione dell'apparecchio con uno sostitutivo i dati di progettazione devono essere coerenti. L'indirizzo MAC nella progettazione deve essere adattato all'indirizzo MAC stampigliato sull'apparecchio sostitutivo. Se nell'apparecchio sostitutivo si utilizza il C-PLUG già configurato dell'apparecchio sostituito, non è strettamente necessario questo provvedimento per l'avvio e il funzionamento dell'apparecchio. ATTENZIONE Ripristino delle impostazioni della fabbrica Se durante il ripristino delle impostazioni di fabbrica è innestato un C-PLUG, il C-PLUG viene cancellato! Utilizzo di un C-PLUG riutilizzato Utilizzare solo C-PLUG formattati per il relativo tipo di modulo SCALANCE S. I C-PLUG utilizzati in altri tipi di apparecchi e formattati per altri tipi di apparecchi non devono essere utilizzati. Rilevare dalla seguente tabella il C-Plug che può essere utilizzato per il tipo di modulo SCALANCE S: Tipo di modulo C-Plug formattato da SCALANCE S S602 S612 S613 S602 x - - S612 - x x *) S613 - x x x C-Plug utilizzabile con il tipo di modulo - C-Plug non utilizzabile con il tipo di modulo *) La compatibilità dipende dalla struttura d'insieme. 38 Istruzioni operative, 02/2011, C79000-G8972-C196-07

39 Proprietà del prodotto e messa in servizio 2.5 Trasferimento del firmware Rimozione del C-PLUG La rimozione del C-PLUG è necessaria solo in caso di guasto (errore hardware) dell'apparecchio di base. ATTENZIONE Osservare lo stato operativo Il C-PLUG può essere rimosso solo in assenza di tensione! Diagnostica L'innesto di un C-PLUG, che contiene la configurazione di un tipo di apparecchio non compatibile e la rimozione involontaria del C-PLUG o funzioni di errore generali del C-PLUG vengono segnalati con i dispositivi di diagnostica dell'apparecchio terminale (Fault-LED rosso). 2.5 Trasferimento del firmware Le nuove versioni di firmware possono essere caricate nel modulo SCALANCE S con lo strumento di progettazione Security Configuration Tool. Requisiti richiesti Per il trasferimento di un nuovo firmware su un modulo SCALANCE S devono essere soddisfatti i seguenti requisiti: Si deve disporre di autorizzazioni di amministratore per il progetto; SCALANCE S deve essere progettato con un indirizzo IP. Il trasferimento è sicuro Il trasferimento del firmware avviene tramite un collegamento protetto e può quindi essere eseguito anche dalla rete non protetta. Il firmware stesso è contrassegnato e codificato. In questo modo viene assicurato che sul modulo SCALANCE S possa essere caricato solo un firmware autentico. Il trasferimento può essere eseguito durante il funzionamento Il trasferimento del firmware può essere eseguito durante il funzionamento di un modulo SCALANCE S. La comunicazione viene tuttavia interrotta per la durata dopo il caricamento fino al riavvio concluso automaticamente di SCALANCE S. Un nuovo firmware caricato diventa attivo solo dopo questo riavvio del modulo SCALANCE S. Se il trasferimento è stato disturbato o interrotto, l'unità si avvia di nuovo con la versione di firmware precedente. Istruzioni operative, 02/2011, C79000-G8972-C

40 Proprietà del prodotto e messa in servizio 2.5 Trasferimento del firmware Procedimento per il trasferimento Selezionare la seguente voce di menu: Transer Firmware Update Istruzioni operative, 02/2011, C79000-G8972-C196-07

41 GETTING STARTED 3 Obiettivo raggiunto velocemente con GETTING STARTED In base ad una semplice rete di test qui si apprende l'utilizzo di SCALANCE S e dello strumento di progettazione Security Configuration Tool. Qui viene descritto come possono essere già realizzate senza complicati lavori di progettazione le funzioni di protezione di SCALANCE S nella rete. Possono essere realizzate diverse funzioni di base SCALANCE S / SOFTNET Security Client in base a diversi esempi di sicurezza: Con SCALANCE S612 / S613: Configurazione di un VPN con SCALANCE S come punti terminali di un IPsec Tunnel Configurazione di una VPN con come punti terminali di un IPsec Tunnel Con tutti i moduli SCALANCE S: Configurazione di SCALANCE S come firewall Configurazione di SCALANCE S come router NAT/NAPT e firewall Con SOFTNET Security Client Configurazione di una VPN con come punti terminali di un IPsec Tunnel Configurazione di una VPN con MD741-1 e SOFTNET Security Client come punti terminali di un IPsec Tunnel Se si intende sapere di più Per ulteriori informazioni consultare i capitoli seguenti di questo manuale. In questi capitoli viene descritta dettagliatamente l'intera funzionalità. Nota Le impostazioni IP utilizzate negli esempi sono scelte liberamente e funzionano senza conflitti nella rete di test isolata. Nell'insieme di reti reale queste impostazioni IP devono essere adattate all'ambiente di rete per evitare eventuali conflitti di indirizzo. Istruzioni operative, 02/2011, C79000-G8972-C

42 GETTING STARTED 3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S Informazioni generali In questo esempio viene progettata la funzione di tunnel nella visualizzazione di progettazione "Modalità standard". I moduli SCALANCE S Module 1 e SCALANCE Module 2 formano in questo esempio i due punti terminali del tunnel per il collegamento sicuro tramite tunnel. Con questa configurazione il traffico IP e Layer 2 (solo modalità Bridge) è possibile solo tramite i collegamenti via tunnel configurati tra partner autorizzati. Realizzazione della rete di test PC3 PC1 PC2 internes Netz 1 externes Netz internes Netz 2 42 Istruzioni operative, 02/2011, C79000-G8972-C196-07

43 GETTING STARTED 3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S613 Rete interna - Collegamento a SCALANCE S porta 2 ("Porta "Internal Network") Nella rete interna la struttura di test dei nodi di rete viene realizzata rispettivamente con un PC collegato alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE S. PC1: Rappresenta un nodo della rete interna 1 PC2: Rappresenta un nodo della rete interna 2 SCALANCE S-Modul 1: modulo SCALANCE S per la rete interna 1 SCALANCE S-Modul 2: modulo SCALANCE S per la rete interna 2 Rete esterna - Collegamento a SCALANCE S porta 1 ("Porta "External Network") La rete pubblica esterna viene collegata alla porta "External Network" (porta 1, rossa) di un modulo SCALANCE S. PC3: PC con software di configurazione Security Configuration Tool Apparecchi/componenti necessari: Per la struttura utilizzare i seguenti componenti: 2 moduli SCALANCE S, (opzionalmente: 1 o 2 guide ad U appositamente montate con materiale di montaggio); 1 o 2 alimentazioni elettriche di 24V con collegamenti cavi e connettori morsettiera (entrambi i moduli possono essere utilizzati anche con un'alimentazione elettrica comune); 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool"; 2 PC nelle reti interne per il test della configurazione; 1 hub o switch di rete per la realizzazione di collegamenti di rete con i due SCALANCE S e i PC/PG; i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per Industrial Ethernet. Panoramica delle seguenti operazioni: Istruzioni operative, 02/2011, C79000-G8972-C

44 GETTING STARTED 3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S Configurazione di SCALANCE S e rete Procedimento: 1. Disimballare dapprima gli apparecchi SCALANCE S e controllare che i componenti non siano danneggiati. 2. Collegare la tensione di alimentazione a SCALANCE S. Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo. AVVERTENZA L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805. L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2 (campo di tensione V, corrente necessaria ca. 250 ma). Per il montaggio e il collegamento dei moduli SCALANCE S osservare il capitolo 2 "Proprietà del prodotto e messa in servizio". 1. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di rete nelle porte previste (prese RJ45): Collegare il PC1 alla porta 2 del modulo 1 e il PC2 alla porta 2 del modulo 2. Collegare la porta 1 del modulo 1 e la porta 1 del modulo 2 all'hub/allo switch. Collegare anche il PC3 all'hub/allo switch. 2. Inserire quindi i PC interessati. ATTENZIONE I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in modo diverso e non devono quindi essere scambiati durante il collegamento alla rete di comunicazione: Port 1 - External Network presa RJ45 superiore, contrassegno rosso = area della rete non protetta; Port 2 - Internal Network presa RJ45 inferiore, contrassegno verde = rete protetta con SCALANCE S; In caso di scambio delle porte l'apparecchio perde la sua funzione di protezione. 44 Istruzioni operative, 02/2011, C79000-G8972-C196-07

45 GETTING STARTED 3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S Configurazione delle impostazioni IP dei PC Per i test nei PC devono essere impostati i seguenti indirizzi IP: PC Indirizzo IP Finestra della sotto-rete PC PC PC Per PC1, PC2 e PC3 procedere rispettivamente nel modo seguente: 1. Aprire sul PC interessato il pannello di controllo con la seguente voce di menu: Start Pannello di controllo 2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di navigazione a sinistra l'opzione "Modifica impostazioni scheda". 3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la casella di opzione "Protocollo internet versione 4 (TCP/IPv4)" e fare clic sul pulsante "Proprietà". Istruzioni operative, 02/2011, C79000-G8972-C

46 GETTING STARTED 3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4 (TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" e inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP dei PC" nelle caselle previste. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo Creazione del progetto e del modulo Procedimento: 1. Avviare il software di progettazione Security Configuration Tool sul PC3. 2. Creare un nuovo progetto con la seguente voce di menu: Project New Viene richiesto di inserire un nome utente e una password. Alla registrazione utente definita qui viene assegnato il ruolo di un amministratore. 3. Inserire un nome utente e una password e confermare l'inserimento; in questo modo si crea un nuovo progetto. 4. È stata visualizzata automaticamente la finestra di dialogo "Selezione di un'unità o configurazione software". Configurare quindi il tipo di prodotto, l'unità e il release del firmware e chiudere la finestra di dialogo con "OK". 5. Creare un secondo modulo con la seguente voce di menu: Inserisci Modulo Configurare quindi il tipo di prodotto, l'unità e il release del firmware e chiudere la finestra di dialogo con "OK". Questo modulo ottiene automaticamente un nome in base alle preimpostazioni per il progetto e anche i valori di parametri preimpostati. Rispetto al "Modulo1" l'indirizzo IP è progressivo, quindi diverso. 6. Fare clic nell'area di navigazione su "All Modules" e successivamente nell'area del contenuto sulla riga "Module1". 46 Istruzioni operative, 02/2011, C79000-G8972-C196-07

47 GETTING STARTED 3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S Fare quindi clic nella colonna "MAC Address" e inserire l'indirizzo nel formato indicato. Questo indirizzo si trova sul lato frontale del modulo SCALANCE S (vedere figura). 8. Fare quindi clic nella colonna "IP Address ext.", inserire l'indirizzo nel formato indicato e adattare la maschera della sotto-rete. Per modulo 1: Indirizzo IP: Maschera della sotto-rete: Per modulo 2: Indirizzo IP: Maschera della sotto-rete: Ripetere le operazioni da 6. a 8. con "Module 2" Progettazione del collegamento del tunnel Due SCALANCE S possono realizzare un tunnel IPsec per la comunicazione protetta se nel progetto essi sono assegnati allo stesso gruppo. Procedimento: 1. Selezionare nell'area di navigazione "All Groups" e creare con la seguente voce di menu un nuovo gruppo: Istruzioni operative, 02/2011, C79000-G8972-C

48 GETTING STARTED 3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S613 Insert Group Questo gruppo ottiene automaticamente il nome "Group1". 2. Selezionare nell'area del contenuto il modulo SCALANCE S "Module1" e trascinarlo sul "Group1" nell'area di navigazione. Il modulo è ora assegnato a questo gruppo e membro di questo gruppo. Il colore del simbolo di chiave dell'icona del modulo cambia da grigio a blu. 3. Selezionare nell'area del contenuto il modulo SCALANCE S "Module 2" e trascinarlo sul "Group1" nell'area di navigazione. Anche il modulo è ora assegnato a questo gruppo. 4. Salvare quindi questo progetto con la seguente voce di menu con un nome appropriato: Project Save As... La configurazione del collegamento tramite tunnel è quindi conclusa Caricamento della configurazione in SCALANCE S Procedimento: 1. Richiamare con la seguente voce di menu la seguente finestra di dialogo: 48 Istruzioni operative, 02/2011, C79000-G8972-C196-07

49 GETTING STARTED 3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S613 Transfer To All Modules 2. Selezionare entrambi i moduli con il pulsante"select All". 3. Avviare l'operazione di caricamento con il pulsante "Start". Se l'operazione di caricamento è stata conclusa senza errori, SCALANCE S viene riavviato automaticamente e la nuova configurazione viene attivata. Risultato: SCALANCE S in esercizio produttivo SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato dal LED di indicazione Fault attraverso luce verde. La messa in servizio della configurazione è quindi conclusa ed entrambi gli SCALANCE S possono realizzare un tunnel di comunicazione con il quale i nodi della rete possono comunicare in modo protetto da entrambe le reti interne Test della funzione di tunnel (test Ping) Come può essere testata la funzione configurata? Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione Ping. Istruzioni operative, 02/2011, C79000-G8972-C

50 GETTING STARTED 3.1 Esempio 1: VPN Tunnel - Esempio di tunnel IPsec con SCALANCE S612 / S613 in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test della configurazione. ATTENZIONE Con Windows il Firewall può essere impostato come standard in modo che non possano essere eseguite istruzioni PING. Eventualmente i servizi ICMP del tipo Request e Response devono essere abilitati. Sequenza di test 1 Testare ora il funzionamento del collegamento tramite tunnel tra PC1 e PC2 nel modo seguente: 1. Richiamare sul PC2 nella barra di avvio la seguente voce di menu: Start Tutti i programmi Accessori Prompt dei comandi 2. Immissione dell'istruzione Ping del PC1 sul PC2 (indirizzo IP ) Direttamente nella riga di comando della finestra visualizzata "Prompt dei comandi", sulla posizione del cursore immettere il comando ping On Compare successivamente il seguente messaggio: (risposta positiva del PC2). Risultato Quando si sono raggiunti i telegrammi IP PC2, la "Statistica Ping" visualizza per quanto segue: Trasmesso = 4 Ricevuto = 4 Perso = 0 (0% perdita) Poiché non era ammessa nessun'altra comunicazione, questi telegrammi possono essere stati trasportati solo tramite tunnel VPN. 50 Istruzioni operative, 02/2011, C79000-G8972-C196-07

51 GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall Sequenza di test 2 Ripetere ora il test inserendo un comando Ping dal PC3. 1. Richiamare sul PC3 nella barra di avvio la seguente voce di menu: Start Tutti i programmi Accessori Prompt dei comandi 2. Inserire di nuovo lo stesso comando Ping (ping ) nella finestra del prompt dei comandi da PC3. Compare successivamente il seguente messaggio: (nessuna risposta del PC2). Risultato I telegrammi IP del PC3 non possono raggiungere il PC2 in quanto non è configurata una comunicazione tramite tunnel tra questi apparecchi, né è ammesso un traffico di dati IP normale. Nella "Statistica Ping" per viene visualizzato quanto segue: Trasmesso = 4 Ricevuto = 0 Perso = 4 (100% perdita) 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall Informazioni generali In questo esempio viene progettato il firewall nella visualizzazione di progettazione "Modalità standard". La modalità standard contiene blocchi di regole predefinite per il traffico di dati. Con questa configurazione il traffico IP può essere inizializzato solo da rete interna; dalla rete esterna è ammessa solo la risposta. Istruzioni operative, 02/2011, C79000-G8972-C

52 GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall Realizzazione della rete di test External Internal Rete interna - Collegamento a SCALANCE S porta 2 Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE S. PC2: Rappresenta un nodo della rete interna SCALANCE S-Modul 1: modulo SCALANCE S per la rete interna Rete esterna - Collegamento a SCALANCE S porta 1 La rete pubblica esterna viene collegata alla porta "External Network" (porta 1, rossa) di un modulo SCALANCE S. PC1: PC con software di configurazione Security Configuration Tool 52 Istruzioni operative, 02/2011, C79000-G8972-C196-07

53 GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall Apparecchi/componenti necessari: Per la struttura utilizzare i seguenti componenti: 1 SCALANCE S, (inoltre opzionalmente: una guida ad U appositamente montata con materiale di montaggio) 1 alimentazione elettrica di 24V con collegamenti dei cavi e connettori morsettiera; 1 PC sul quale è installato lo strumento di progettazione Security Configuration Tool 1 PC nella rete interna per il test della configurazione i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per Industrial Ethernet Panoramica delle seguenti operazioni: Configurazione di SCALANCE S e della rete Procedimento: 1. Disimballare dapprima SCALANCE S e controllare che i componenti non siano danneggiati. 2. Collegare la tensione di alimentazione a SCALANCE S. Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo. Istruzioni operative, 02/2011, C79000-G8972-C

54 GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall AVVERTENZA L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805. L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2 (campo di tensione V, corrente necessaria ca. 250 ma). Per il montaggio e il collegamento dei moduli SCALANCE S osservare il capitolo 2 "Proprietà del prodotto e messa in servizio" 3. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di rete nelle porte previste (prese RJ45): Collegare il PC2 alla porta 2 del modulo 1. Collegare il PC1 alla porta 1 del modulo Inserire quindi i PC interessati. ATTENZIONE I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in modo diverso e non devono quindi essere scambiati durante il collegamento alla rete di comunicazione: Port 1 - External Network presa RJ45 superiore, contrassegno rosso = area della rete non protetta; Port 2 - Internal Network presa RJ45 inferiore, contrassegno verde = rete protetta con SCALANCE S; In caso di scambio delle porte l'apparecchio perde la sua funzione di protezione Configurazione delle impostazioni IP dei PC Per i test nei PC devono essere impostati i seguenti indirizzi IP: PC Indirizzo IP Finestra della sotto-rete PC PC Per il PC1 e il PC2 procedere quindi nel modo seguente: 1. Aprire sul PC interessato il pannello di controllo con la seguente voce di menu: Start Pannello di controllo 2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di navigazione a sinistra l'opzione "Modifica impostazioni scheda". 54 Istruzioni operative, 02/2011, C79000-G8972-C196-07

55 GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall 3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la casella di opzione "Protocollo internet versione 4 (TCP/IPv4)" e fare clic sul pulsante "Proprietà". 4. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4 (TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" e inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP dei PC" nelle caselle previste. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo Creazione del progetto e del modulo Procedimento: 1. Installare e avviare il software di progettazione Security Configuration Tool sul PC1. Istruzioni operative, 02/2011, C79000-G8972-C

56 GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall 2. Creare un nuovo progetto con la seguente voce di menu: Project New Viene richiesto di inserire un nome utente e una password. Alla registrazione utente definita qui viene assegnato il ruolo di un amministratore. 3. Inserire un nome utente e una password e confermare l'inserimento; in questo modo si crea un nuovo progetto. 4. È stata visualizzata automaticamente la finestra di dialogo "Selezione di un'unità o configurazione software". Configurare a questo punto il tipo di prodotto, l'unità e il release del firmware. 56 Istruzioni operative, 02/2011, C79000-G8972-C196-07

57 GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall 5. Inserire nella casella per l'"indirizzo MAC" nel campo "Configurazione" l'indirizzo MAC stampigliato sul contenitore del modulo nel formato indicato. Questo indirizzo si trova sul lato frontale del modulo SCALANCE S (vedere figura). 6. Inserire nel formato indicato l'indirizzo IP esterno ( ) e la maschera della sottorete esterna ( ) e confermare la finestra di dialogo con "OK". In questo modo il modulo viene acquisito nell'elenco dei moduli configurati Progettazione del firewall Nella modalità Standard, i blocchi di regole predefiniti semplificano il comando delle impostazioni del firewall. Questi blocchi di regole possono essere attivati cliccandoli con il mouse. Procedimento: 1. Selezionare nell'area del contenuto la riga "Modul1". 2. Selezionare la seguente voce di menu: Edit Properties 3. Selezionare nella finestra di dialogo visualizzata la scheda "Firewall". Istruzioni operative, 02/2011, C79000-G8972-C

58 GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall 4. Attivare l'opzione come rappresentato qui di seguito: In questo modo si ottiene che il traffico IP possa essere inizializzato solo da rete interna; dalla rete esterna è ammessa solo la risposta. 5. Selezionare inoltre le opzioni Log per attivare il traffico di dati. 6. Chiudere la finestra di dialogo con "OK". 7. Salvare quindi questo progetto con la seguente voce di menu con un nome appropriato: Project Save As Caricamento della configurazione in SCALANCE S Procedimento: 1. Selezionare il modulo nell'area del contenuto. 58 Istruzioni operative, 02/2011, C79000-G8972-C196-07

59 GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall 2. Selezionare la seguente voce di menu: Transfer To Module 3. Avviare l'operazione di caricamento con il pulsante "Start". Se l'operazione di caricamento è stata conclusa senza errori, il modulo SCALANCE S viene riavviato automaticamente e la nuova configurazione viene attivata. Risultato: SCALANCE S in esercizio produttivo SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato dal LED di indicazione Fault attraverso luce verde. La messa in servizio della configurazione è quindi conclusa e SCALANCE S protegge ora la rete interna (PC 2 tramite il firewall configurato in base alle regole progettate: "Traffico IP consentito dalla rete interna alla rete esterna" Test della funzione firewall (test Ping) Come può essere testata la funzione configurata? Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione Ping. in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test della configurazione. ATTENZIONE Con Windows il Firewall può essere impostato come standard in modo che non possano essere eseguite istruzioni PING. Eventualmente i servizi ICMP del tipo Request e Response devono essere abilitati. Istruzioni operative, 02/2011, C79000-G8972-C

60 GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall Sequenza di test 1 Testare ora il funzionamento della configurazione del firewall dapprima per il traffico di dati IP in uscita nel modo seguente: 1. Richiamare sul PC2 nella barra di avvio la seguente voce di menu: Start Tutti i programmi Accessori Prompt dei comandi 2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP ) Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei comandi", sulla posizione del cursore, il seguente comando: ping Compare successivamente il seguente messaggio: (risposta positiva del PC1). Risultato Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per quanto segue: Trasmesso = 4 Ricevuto = 4 Perso = 0 (0% perdita) A causa della progettazione, i telegrammi Ping possono finire dalla rete interna nella rete esterna. Il PC nella rete esterna ha risposto ai telegrammi Ping. Con la funzione "Stateful- Inspection" del firewall i telegrammi di risposta, provenienti solo dalla rete esterna, vengono inoltrati automaticamente nella rete interna. Sequenza di test 2 Testare ora il funzionamento della configurazione del firewall per il traffico di dati IP in uscita disabilitato nel modo seguente: 1. Richiamare di nuovo la finestra di dialogo del firewall come precedentemente descritto. 2. Disattivare di nuovo nella scheda "Firewall" l'opzione "Consenti traffico IP dalla rete interna alla rete esterna". Chiudere la finestra di dialogo con "OK". 60 Istruzioni operative, 02/2011, C79000-G8972-C196-07

61 GETTING STARTED 3.2 Esempio 2: Firewall - utilizzo di SCALANCE S come firewall 3. Caricare ora la configurazione modificata di nuovo sul modulo SCALANCE S. 4. Alla conclusione corretta dell'operazione di caricamento immettere lo stesso comando Ping (ping ) nella finestra del prompt dei comandi del PC2 come precedentemente descritto. Compare successivamente il seguente messaggio: (nessuna risposta positiva del PC1). Risultato I telegrammi IP del PC2 non possono ora raggiungere il PC1 in quanto il traffico di dati proveniente dalla "rete interna" (PC2) verso la "rete esterna" (PC1) non è consentito. Nella "Statistica Ping" per viene visualizzato quanto segue: Trasmesso = 4 Ricevuto = 0 Perso = 4 (100% perdita) Registrazione del traffico di dati del firewall (Logging) In SCALANCE S è inserita come standard la registrazione locale degli eventi del sistema, audit e del filtro pacchetti. Inoltre nel corso nell'esempio durante la progettazione del firewell sono state attivate le opzioni Log per l'intero traffico di dati. Nella modalità online è quindi possibile visualizzare gli eventi attivati. Procedimento: 1. Passare ora al PC1 nel Security Configuration Tool con la seguente voce di menu nel modo operativo online: View Online 2. Selezionare la seguente voce di menu: Edit Online Diagnostics Selezionare la scheda "Packet Filter Log". Istruzioni operative, 02/2011, C79000-G8972-C

62 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router 4. Azionare il pulsante "Start Reading" 5. Confermare la finestra di dialogo visualizzata con OK. Risultato: le voci Log vengono lette da SCALANCE S e visualizzate. 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router Informazioni generali In questo esempio è descritta la progettazione del funzionamento router NAT. La progettazione viene eseguita nella visualizzazione di progettazione "Advanced Mode". La configurazione qui preimpostata consente ai telegrammi trasmessi dalla sotto-rete interna ai nodi PC1 nella rete esterna di passare attraverso il firewall. I telegrammi vengono inoltrati verso l'esterno con un indirizzo IP trasformato in indirizzi IP dello SCALANCE S e un numero di porta indicato dinamicamente. Dalla rete esterna viene consentita solo la risposta a questo telegramma. 62 Istruzioni operative, 02/2011, C79000-G8972-C196-07

63 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router Realizzazione della rete di test External Internal Rete interna - Collegamento a SCALANCE S porta 2 Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE S. PC2: Rappresenta un nodo della rete interna SCALANCE S-Modul 1: modulo SCALANCE S per la rete interna Rete esterna - Collegamento a SCALANCE S porta 1 La rete pubblica esterna viene collegata alla porta "External Network" (porta 1, rossa) di un modulo SCALANCE S. PC1: PC con software di configurazione Security Configuration Tool Apparecchi/componenti necessari: Per la struttura utilizzare i seguenti componenti: 1 SCALANCE S, (inoltre opzionalmente: una guida ad U appositamente montata con materiale di montaggio); 1 alimentazione elettrica di 24V con collegamenti dei cavi e connettori morsettiera; Istruzioni operative, 02/2011, C79000-G8972-C

64 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router 1 PC sul quale è installato lo strumento di progettazione Security Configuration Tool; 1 PC nella rete interna per il test della configurazione; i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per Industrial Ethernet. Panoramica delle seguenti operazioni: Configurazione di SCALANCE S e della rete Procedimento: 1. Disimballare dapprima SCALANCE S e controllare che i componenti non siano danneggiati. 2. Collegare la tensione di alimentazione a SCALANCE S. Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo. AVVERTENZA L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805. L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2 (campo di tensione V, corrente necessaria ca. 250 ma). Per il montaggio e il collegamento dei moduli SCALANCE S osservare il capitolo 2 "Proprietà del prodotto e messa in servizio" 64 Istruzioni operative, 02/2011, C79000-G8972-C196-07

65 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router 3. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di rete nelle porte previste (prese RJ45): Collegare il PC2 alla porta 2 del modulo 1. Collegare il PC1 alla porta 1 del modulo Inserire quindi i PC interessati. ATTENZIONE I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in modo diverso e non devono quindi essere scambiati durante il collegamento alla rete di comunicazione: Porta 1 - Rete esterna presa RJ45 superiore, contrassegno rosso = area della rete non protetta; Port 2 - Internal Network presa RJ45 inferiore, contrassegno verde = rete protetta con SCALANCE S; In caso di scambio delle porte l'apparecchio perde la sua funzione di protezione Configurazione delle impostazioni IP dei PC Per i test nei PC devono essere impostati i seguenti indirizzi IP: PC Indirizzo IP Finestra della sotto-rete Standard gateway PC PC In Standard gateway vanno indicati gli indirizzi IP che vengono assegnati al modulo SCALANCE S nella seguente progettazione per l'interfaccia interna ed esterna: Il PC1 utilizza l'interfaccia esterna. Il PC2 utilizza l'interfaccia interna. Per il PC1 e il PC2 procedere nel modo seguente: 1. Aprire sul PC interessato il pannello di controllo con la seguente voce di menu: Start Pannello di controllo 2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di navigazione a sinistra l'opzione "Modifica impostazioni scheda". Istruzioni operative, 02/2011, C79000-G8972-C

66 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router 3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la casella di opzione "Protocollo internet versione 4 (TCP/IPv4)" e fare clic sul pulsante "Proprietà". 4. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4 (TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" e inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP dei PC" nelle caselle previste. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo Creazione del progetto e del modulo Procedimento: 1. Installare e avviare il software di progettazione Security Configuration Tool sul PC1. 66 Istruzioni operative, 02/2011, C79000-G8972-C196-07

67 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router 2. Creare un nuovo progetto con la seguente voce di menu: Project New Viene richiesto di inserire un nome utente e una password. Alla registrazione utente definita qui viene assegnato il ruolo di un amministratore. 3. Inserire un nome utente e una password e confermare l'inserimento; in questo modo si crea un nuovo progetto. 4. È stata visualizzata automaticamente la finestra di dialogo "Selezione di un'unità o configurazione software". Configurare a questo punto il tipo di prodotto, l'unità e il release del firmware. 5. Inserire nella casella per l'"indirizzo MAC" nel campo "Configurazione" l'indirizzo MAC stampigliato sul contenitore del modulo nel formato indicato. Questo indirizzo si trova sul lato frontale del modulo SCALANCE S (vedere figura). Istruzioni operative, 02/2011, C79000-G8972-C

68 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router 6. Inserire nel formato indicato l'indirizzo IP esterno ( ) e la maschera della sotto-rete esterna ( ) e confermare la finestra di dialogo con "OK". In questo modo il modulo viene acquisito nell'elenco dei moduli configurati Progettazione dell esercizio NAT router Il caso di impiego frequente nel quale tutti i nodi interni trasmettono telegrammi nella rete interna e dei quali deve essere nascosto l'indirizzo IP con la funzionalità NAT è preconfigurato nello SCALANCE S. Come indicato qui di seguito, questo comportamento può essere attivato facendo semplicemente clic sulla modalità Routing. Attivazione della modalità Routing - Procedimento: 1. Commutare dapprima la visualizzazione della progettazione nella modalità Advanced. 2. Selezionare quindi la seguente voce di menu: View Advanced Mode 3. Fare doppio clic sul modulo SCALANCE S. In questo modo si apre la finestra di dialogo per l'impostazione delle proprietà del modulo. 68 Istruzioni operative, 02/2011, C79000-G8972-C196-07

69 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router 4. Selezionare nella finestra di dialogo visualizzata la scheda "Routing Mode". 5. Selezionare nel campo di immissione "Routing" l'opzione "active". 6. Nel campo di immissione "Routing" completare l'inserimento dell'indirizzo per l'interfaccia dello SCALANCE S per la rete interna nel modo seguente: Indirizzo IP interno del modulo: Maschera della sotto-rete interna: Attivazione della modalità NAT router per nodi interni - Procedimento: Si tratta di configurare la conversione di indirizzo richiesta per la modalità NAT. 1. Selezionare quindi nel campo di immissione "NAT" entrambe le opzioni "NAT active" e "Allow Internal -> External for all users". Istruzioni operative, 02/2011, C79000-G8972-C

70 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router Si riconosce che nel campo di immissione "NAT" alla fine dell'elenco di conversione degli indirizzi è stata aggiunta una voce. La voce "*" nella colonna "internal IP address" è presente per tutti i nodi nella rete interna. 2. Chiudere la finestra di dialogo con "OK". Ora è necessario consentire al firewall di far passare i telegrammi dall'interno all'esterno Progettazione del firewall È necessario definire un blocco di regole che consenta il traffico di telegrammi dal nodo interno (PC2) al nodo nella rete esterna (PC1). L'esempio illustra inoltre come eseguire la definizione globale di un blocco di regole e l'assegnazione ad un modulo. Se si vogliono configurare altri moduli nello stesso progetto, è sufficiente assegnare il blocco di regole definito agli altri moduli tramite "Drag and Drop"; naturalmente a condizione che debba essere applicata la stessa regola. Definizione del blocco di regole globale - Procedimento: 1. Aprire nell'area di navigazione l'oggetto "Global FW Rulesets" e selezionare l'oggetto "FW IP Rulesets". 70 Istruzioni operative, 02/2011, C79000-G8972-C196-07

71 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router 2. Con il tasto destro del mouse selezionare la seguente voce di menu: Insert Firewall rule set 3. Inserire nella finestra di dialogo visualizzata un blocco di regole come rappresentato di seguito: 4. Fare clic nella colonna "Log" sulla riga del nuovo blocco di regole. In questo modo si attiva l'opzione loggin filtro pacchetto. I telegrammi ai quali viene applicata la regola definita vengono registrati. Nell'esempio qui riportato questa registrazione viene utilizzata per il successivo test della configurazione. 5. Chiudere la finestra di dialogo con "OK". Istruzioni operative, 02/2011, C79000-G8972-C

72 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router Assegnazione del blocco di regole globale - Procedimento: 1. Selezionare nell'area di navigazione l'oggetto "Module1" e trascinarlo sul nuovo blocco di regole globale creato tenendo premuto il tasto sinistro del mouse. 2. L'assegnazione può essere controllata aprendo di nuovo la finestra di dialogo per l'impostazione delle proprietà del modulo e selezionando la scheda "Firewall". Qui si può vedere che la regola Firewall globale è stata memorizzata. 3. Azionando il pulsante "Expanded Rulesets" si visualizza il blocco di regola in dettaglio. In questo modo la configurazione offline è conclusa. 72 Istruzioni operative, 02/2011, C79000-G8972-C196-07

73 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router Caricamento della configurazione in SCALANCE S Procedimento: 1. Selezionare il modulo nell'area del contenuto. 2. Selezionare la seguente voce di menu: Transfer To Module Avviare l'operazione di caricamento con il pulsante "Start". Se l'operazione di caricamento è stata conclusa senza errori, il modulo SCALANCE S viene riavviato automaticamente e la nuova configurazione viene attivata. Risultato: SCALANCE S in esercizio produttivo SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato dal LED di indicazione Fault attraverso luce verde. La messa in servizio della configurazione è quindi conclusa e SCALANCE S protegge ora la rete interna (PC 2 tramite il firewall configurato in base alle regole progettate: "Consenti traffico IP in uscita" dalla rete interna a quella esterna Test della funzione del NAT router (test Ping) Come può essere testata la funzione configurata? Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione Ping. Per poter riconoscere la modalità NAT router utilizzare il logging filtro pacchetto sull'interfaccia Firewall. Promemoria: Per la definizione della regole globale del firewall è già stata attivata l'opzione per il logging del filtro pacchetto. Istruzioni operative, 02/2011, C79000-G8972-C

74 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router Osservazione per il comando Ping: in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test della configurazione. ATTENZIONE Con Windows il Firewall può essere impostato come standard in modo che non possano essere eseguite istruzioni PING. Eventualmente i servizi ICMP del tipo Request e Response devono essere abilitati. Sezione di test 1 - Trasmissione del comando ping Testare ora il funzionamento della modalità NAT router per il traffico di dati IP dall'interno all'esterno nel modo seguente: 1. Richiamare sul PC2 nella barra di avvio la seguente voce di menu: Start Tutti i programmi Accessori Prompt dei comandi 2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP ) Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei comandi", sulla posizione del cursore, il seguente comando: ping Compare successivamente il seguente messaggio: (risposta positiva del PC1). Sezione di test 2 - Analisi del risultato 1. Nel Security Configuration Tool passare alla modalità Online. Selezionare quindi la seguente voce di menu: View Online 2. Selezionare il modulo da modificare e selezionare la seguente voce di menu per aprire la finestra di dialogo online: Edit Online Diagnostics... Selezionare la scheda "Packet Filter Log". 74 Istruzioni operative, 02/2011, C79000-G8972-C196-07

75 GETTING STARTED 3.3 Esempio 3: Firewall e router - utilizzo di SCALANCE S come firewall e router 3. Azionare il pulsante "Start Reading" 4. Confermare la finestra di dialogo visualizzata con "OK". Risultato: le voci Log vengono lette da SCALANCE S e visualizzate. Risultato Nelle righe di visualizzazione della registrazione si riconosce quanto segue: Riga di visualizzazione 1 Gli indirizzi IP dei telegrammi da PC2 a PC1 vengono indicati sull'interfaccia verso la rete esterna con l'indirizzo IP esterno del modulo SCALANCE S ( ). Questo corrisponde alla conversione ampliata di indirizzo (osservazione: qui non è visibile l'assegnazione di porta supplementare). Riga di visualizzazione 2 Istruzioni operative, 02/2011, C79000-G8972-C

76 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client I telegrammi di risposta vengono visualizzati con l'indirizzo di destinazione del nodo nella sotto-rete interna (PC2: ). Da qui si riconosce che la conversione di indirizzo è già avvenuta prima che il telegramma di risposta attraversino il firewall. 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client Informazioni generali In questo esempio viene progettata la funzione di tunnel VPN nella visualizzazione di progettazione "Modalità standard". Uno SCALANCE S e il SOFTNET Security Client formano in questo esempio i due punto terminali del tunnel per il collegamento via tunnel protetto tramite una rete pubblica. Con questa configurazione il traffico IP è possibile solo tramite i collegamenti via tunnel VPN configurati tra partner autorizzati. Realizzazione della rete di test PC3 PC1 External PC2 Internal Hub / Switch 76 Istruzioni operative, 02/2011, C79000-G8972-C196-07

77 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client Rete interna - Collegamento a SCALANCE S porta 2 ("Porta "Internal Network") Nella rete interna la struttura di test di un nodo di rete viene realizzata con un PC collegato alla porta "Internal Network" (porta 2, verde) di un modulo SCALANCE S. PC1: rappresenta un nodo della rete interna SCALANCE S Modul 1: modulo SCALANCE S per la protezione della rete interna Rete esterna pubblica - Collegamento a SCALANCE S porta 1 ("Porta "External Network") La rete pubblica esterna viene collegata alla porta "External Network" (porta 1, rossa) di un modulo SCALANCE S. PC2: PC con il software di configurazione Security Configuration Tool e il software SOFTNET Security Client per l'accesso VPN sicuro nella rete interna PC3: PC di test per sezione di test 2 Nota Nell'esempio, al posto di una WAN pubblica esterna, viene illustrata una rete locale per la spiegazione del principio del relativo tipo di funzione. Le spiegazioni relative all'utilizzo di una WAN vengono indicate nei relativi punti. Apparecchi/componenti necessari: Per la struttura utilizzare i seguenti componenti: 1 modulo SCALANCE S, (opzionalmente: una guida ad U appositamente montata con materiale di montaggio); 1 alimentazione elettrica di 24V con collegamenti dei cavi e connettori morsettiera; 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool"; e il client VPN "SOFTNET Security Client" 1 PC nella rete interna per il test della configurazione; 1 PC nella rete esterna per il test della configurazione; 1 hub o switch di rete per la realizzazione di collegamenti di rete con il modulo SCALANCE S e i PC; i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per Industrial Ethernet. Istruzioni operative, 02/2011, C79000-G8972-C

78 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client Panoramica delle seguenti operazioni: Configurazione di SCALANCE S e della rete Procedimento: 1. Disimballare dapprima l'apparecchio SCALANCE S e controllare che i componenti non siano danneggiati. 2. Collegare la tensione di alimentazione al modulo SCALANCE S. Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo. AVVERTENZA L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805. L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2 (campo di tensione V, corrente necessaria ca. 250 ma). Per il montaggio e il collegamento dei moduli SCALANCE S osservare il capitolo 2 "Proprietà del prodotto e messa in servizio". 1. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di rete nelle porte previste (prese RJ45): 78 Istruzioni operative, 02/2011, C79000-G8972-C196-07

79 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client Collegare il PC1 alla porta 2 del modulo 1. Collegare la porta 1 del modulo 1 all'hub/allo switch. Collegare anche il PC2 e il PC3 all'hub/allo switch. 2. Inserire quindi i PC interessati. Nota Per l'utilizzo di una WAN come rete pubblica esterna, i collegamenti all'hub/allo switch vanno sostituiti con collegamenti alla WAN (accesso internet). ATTENZIONE I collegamenti Ethernet alla porta 1 e alla porta 2 vengono trattati da SCALANCE S in modo diverso e non devono quindi essere scambiati durante il collegamento alla rete di comunicazione: Port 1 - "External Network" presa RJ45 superiore, contrassegno rosso = area della rete non protetta; Port 2 - "Internal Network" presa RJ45 inferiore, contrassegno verde = rete protetta con SCALANCE S; In caso di scambio delle porte l'apparecchio perde la sua funzione di protezione Configurazione delle impostazioni IP dei PC Per i test nei PC devono essere impostati i seguenti indirizzi IP. PC Indirizzo IP Finestra della sotto-rete Standard gateway PC PC PC In Standard gateway vanno indicati gli indirizzi IP che vengono assegnati al modulo SCALANCE S nella seguente progettazione per l'interfaccia interna ed esterna: Il PC1 utilizza l'interfaccia interna. PC2 e PC3 utilizzano l'interfaccia esterna. Nota Per l'utilizzo di una WAN come rete pubblica esterna, sul PC2 e sul PC3 devono essere configurare le rispettive impostazioni IP per il collegamento con la WAN (Internet). Per PC1, PC2 e PC3 procedere rispettivamente nel modo seguente: 1. Aprire sul PC interessato il pannello di controllo con la seguente voce di menu: Istruzioni operative, 02/2011, C79000-G8972-C

80 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client Start Pannello di controllo 2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di navigazione a sinistra l'opzione "Modifica impostazioni scheda". 3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la casella di opzione "Protocollo internet versione 4 (TCP/IPv4)" e fare clic sul pulsante "Proprietà". 4. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4 (TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" e inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP dei PC" nelle caselle previste. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo. 80 Istruzioni operative, 02/2011, C79000-G8972-C196-07

81 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client Creazione del progetto e del modulo Procedimento: 1. Avviare il software di progettazione Security Configuration Tool sul PC2. 2. Creare un nuovo progetto con la seguente voce di menu: Project New Viene richiesto di inserire un nome utente e una password. Alla registrazione utente definita qui viene assegnato automaticamente il ruolo di un amministratore. 3. Inserire un nome utente e una password e confermare l'inserimento; in questo modo si crea un nuovo progetto. 4. È stata visualizzata automaticamente la finestra di dialogo "Selezione di un'unità o configurazione software". Configurare quindi il tipo di prodotto, l'unità e il release del firmware e chiudere la finestra di dialogo con "OK". 5. Creare un secondo modulo con la seguente voce di menu: Insert Module Configurare quindi il tipo di prodotto, "SOFTNET Configuration", l'unità "SOFTNET Security Client" e il release del firmware del SOFTNET Security Client Version e chiudere la finestra di dialogo con "OK". Questo modulo ottiene automaticamente un nome in base alle preimpostazioni per il progetto. 6. Fare clic nell'area di navigazione su "All Modules" e successivamente nell'area del contenuto sulla riga "Module1". 7. Fare quindi clic nella colonna "MAC Address" e inserire l'indirizzo nel formato indicato. Questo indirizzo si trova sul lato frontale del modulo SCALANCE S (vedere figura). Istruzioni operative, 02/2011, C79000-G8972-C

82 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client 8. Fare quindi clic nella colonna "IP Address ext.", inserire l'indirizzo nel formato indicato e adattare la maschera della sotto-rete. Per Module1: Indirizzo IP: , Maschera della sotto-rete: Nota Per l'utilizzo di una WAN come rete pubblica esterna, indicare come"ip Address ext." l'indirizzo IP statico rilevato dal proprio provider con il quale è possibile raggiungere il modulo SCALANCE nella WAN (Internet). Per consentire che il modulo SCALANCE S possa inviare pacchetti tramite la WAN (Internet), come "Default Router" è necessario inserire il proprio router DSL. Se si utilizza un router DSL come Internet Gateway, a questo devono essere inoltrate almeno le seguenti porte: Porta 500 (ISAKMP) Porta 4500 (NAT-T) Nei download di configurazione (non attraverso un tunnel attivo) deve inoltre essere inoltrata la porta 443 (HTTPS). 9. Aprire il menu delle proprietà del "Modul1" selezionando la voce, azionando il tasto destro del mouse e selezionando la voce di menu "Properties ". 82 Istruzioni operative, 02/2011, C79000-G8972-C196-07

83 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client 10. Attivare in base alla visualizzazione della scheda "Routing Mode" la modalità Routing, inserire l'indirizzo IP interno ( ) e la maschera della sotto-rete ( ) del modulo SCALANCE S e confermare con "OK". 11. Fare clic nell'area di navigazione su "All Modules" e successivamente nell'area del contenuto sulla riga "Modul2". 12. Fare clic nella colonna "Name" e inserire il nome "SSC-PC2". Il SOFTNET Security Client non necessita di altre impostazioni. A questo punto la visualizzazione dovrebbe essere simile alla seguente figura. Istruzioni operative, 02/2011, C79000-G8972-C

84 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client Progettazione del collegamento del tunnel Uno SCALANCE S e il SOFTNET Security Client possono realizzare un tunnel IPsec per la comunicazione protetta se nel progetto essi sono assegnati allo stesso gruppo. Procedimento: 1. Selezionare nell'area di navigazione "All Groups" e creare con la seguente voce di menu un nuovo gruppo: Insert Group Questo gruppo ottiene automaticamente il nome "Group1". 2. Selezionare nell'area del contenuto il modulo SCALANCE S "Modul1" e trascinarlo sul "Group1" nell'area di navigazione. Il modulo è ora assegnato a questo gruppo e membro di questo gruppo. Il colore del simbolo di chiave dell'icona del modulo cambia da grigio a blu. 3. Selezionare nell'area del contenuto il modulo SOFTNET Security Client e trascinarlo sul "Group1" nell'area di navigazione. Anche il modulo è ora assegnato a questo gruppo. 4. Salvare quindi questo progetto con la seguente voce di menu con un nome appropriato: Project Save As La configurazione del collegamento tramite tunnel è quindi conclusa. 84 Istruzioni operative, 02/2011, C79000-G8972-C196-07

85 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client Caricamento della configurazione in SCALANCE S e salvataggio della configurazione SOFTNET Security Client Procedimento: 1. Richiamare con la seguente voce di menu la seguente finestra di dialogo: Transfer To All Modules 2. Avviare l'operazione di caricamento con il pulsante "Start". 3. Salvare il file di configurazione "Projectname.SSC-PC2.dat" nella directory del progetto e assegnare una password per il codice privato del certificato. Se l'operazione di caricamento è stata conclusa senza errori, SCALANCE S viene riavviato automaticamente e la nuova configurazione viene attivata. Risultato: SCALANCE S in esercizio produttivo SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato dal LED Fault attraverso luce verde. La messa in servizio della configurazione è quindi conclusa e il modulo SCALANCE S e il SOFTNET Security Client possono realizzare un tunnel di comunicazione con il quale i nodi della rete possono comunicare in modo protetto dalla rete interna con PC2. Nota Per l'utilizzo di una WAN come rete pubblica esterna, non è possibile configurare un modulo SCALANCE S con l'impostazione di fabbrica tramite la WAN. Configurare in questo caso il modulo SCALANCE S fuori dalla rete interna. Istruzioni operative, 02/2011, C79000-G8972-C

86 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client Realizzazione del tunnel con il SOFTNET Security Client Procedimento: 1. Avviare il SOFTNET Security Client su PC2. 2. Azionare il pulsante "Load Configuration", passare alla directory del progetto e caricare il file di configurazione "Projectname.SSC-PC2.dat". 3. Inserire la password per il codice privato del certificato e confermare con "Next". 4. Confermare la finestra di dialogo "Attivazione di tutti i nodi statici configurati?" con "Sì". 5. Azionare il pulsante "Panoramica del tunnel" Risultato: Collegamenti via tunnel attivi Il tunnel tra è stato realizzato. Questo stato operativo viene segnalato con il cerchio verde nella voce "Module1". Nella consolle Log della panoramica del tunnel del SOFTNET Security Client si ricevono alcuni messaggi di risposta dal proprio sistema sullo svolgimento del tentativo di collegamento e se è stata creata una Policy per il collegamento di comunicazione. 86 Istruzioni operative, 02/2011, C79000-G8972-C196-07

87 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client La messa in servizio della configurazione è quindi conclusa e il modulo SCALANCE S e il SOFTNET Security Client hanno realizzato un tunnel di comunicazione con il quale i nodi della rete possono comunicare in modo protetto dalla rete interna e PC Test della funzione di tunnel (test Ping) Come può essere testata la funzione configurata? Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione Ping. Istruzioni operative, 02/2011, C79000-G8972-C

88 GETTING STARTED 3.4 Esempio 4: Accesso remoto - esempio tunnel VPN con SCALANCE S612 / S613 e SOFTNET Security Client in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test della configurazione. ATTENZIONE Con Windows il Firewall può essere impostato come standard in modo che non possano essere eseguite istruzioni PING. Eventualmente i servizi ICMP del tipo Request e Response devono essere abilitati. Sequenza di test 1 Testare ora il funzionamento del collegamento tramite tunnel tra PC1 e PC2 nel modo seguente: 1. Richiamare sul PC2 nella barra di avvio la seguente voce di menu: Start Tutti i programmi Accessori Prompt dei comandi 2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP ). Direttamente nella riga di comando della finestra visualizzata "Prompt dei comandi", sulla posizione del cursore immettere il comando ping On Compare successivamente il seguente messaggio: (risposta positiva del PC1). Risultato Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per quanto segue: Trasmesso = 4 Ricevuto = 4 Perso = 0 (0% perdita) Poiché non era ammessa nessun'altra comunicazione, questi telegrammi possono essere stati trasportati solo tramite tunnel VPN. 88 Istruzioni operative, 02/2011, C79000-G8972-C196-07

89 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Sequenza di test 2 Ripetere ora il test inserendo un comando Ping dal PC3. 1. Richiamare sul PC3 nella barra di avvio la seguente voce di menu: Start Tutti i programmi Accessori Prompt dei comandi 2. Inserire di nuovo lo stesso comando Ping (ping ) nella finestra del prompt dei comandi da PC3. Compare successivamente il seguente messaggio: (nessuna risposta positiva del PC1). Risultato I telegrammi IP del PC3 non possono raggiungere il PC1 in quanto non è configurata una comunicazione tramite tunnel tra questi apparecchi, né è ammesso un traffico di dati IP normale. Nella "Statistica Ping" per viene visualizzato quanto segue: Trasmesso = 4 Ricevuto = 0 Perso = 4 (100% perdita) 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Informazioni generali In questo esempio viene progettata la funzione di tunnel VPN nella visualizzazione di progettazione "advanced mode". Un MD741-1 e il SOFTNET Security Client formano i due punti terminali del tunnel per il collegamento via tunnel protetto tramite una rete pubblica. Istruzioni operative, 02/2011, C79000-G8972-C

90 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Con questa configurazione il traffico IP è possibile solo tramite il collegamento via tunnel VPN configurato tra partner autorizzati. Nota Per la configurazione di questo esempio è assolutamente necessario che per la scheda SIM dell'md741-1 il proprio Provider (società di telefonia mobile) metta a disposizione un indirizzo IP fisso raggiungibile da Internet. (In alternativa è possibile operare anche con un indirizzo DynDNS per l'md741-1.) Struttura della rete di test: Rete interna - Collegamento a MD741-1 porta X2 ("Rete interna") Nella rete interna la struttura di test di un nodo di rete viene realizzata con un PC collegato alla porta "Internal Network" (porta 2) di un modulo MD PC1: rappresenta un nodo della rete interna MD741-1: Modulo MD741-1 per la protezione della rete interna Rete pubblica esterna - collegamento tramite antenna MD741-1 ("Rete esterna") La rete pubblica esterna è esclusivamente una rete GSM o una rete mobile che l'utente può scegliere dal provider (società di telefonia mobile) e che viene raggiunta tramite l'antenna del modulo MD PC2: PC con software di configurazione Security Configuration Tool e software SOFTNET Security Client per l'accesso VPN sicuro nella rete interna Apparecchi/componenti necessari: Per la struttura utilizzare i seguenti componenti: 1 modulo MD741-1 con scheda SIM, (opzionale: una guida ad U appositamente montata con materiale di montaggio); 1 alimentazione elettrica di 24V con collegamento del cavo e connettore morsettiera; 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool" e il client VPN "SOFTNET Security Client"; 90 Istruzioni operative, 02/2011, C79000-G8972-C196-07

91 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client 1 PC nella rete interna dell'md741-1 con un Browser per la progettazione dell'md741-1 e il test della configurazione; 1 DSL Router (collegamento in Internet per il PC con VPN Client (ISDN, DSL, UMTS, ecc.)) I cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per Industrial Ethernet. Panoramica delle seguenti operazioni Configurazione di MD741-1 e reti Procedimento: 1. Disimballare dapprima l'apparecchio MD741-1 e controllare che i componenti non siano danneggiati. 2. Seguire la messa in servizio "passo-passo" del manuale di sistema MD741-1 fino al punto nel quale si deve effettuare la configurazione in base alle proprie esigenze. Utilizzare a tal fine PC1, Configurazione dell'md741, vedere capitolo Esecuzione della configurazione dell'md741-1 (Pagina 98). 3. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di rete nelle porte previste (prese RJ45): Collegare il PC1 alla porta X2 ("Rete interna") dell'md741-1 Collegare il PC2 al DSL Router 4. Inserire quindi i PC interessati. Istruzioni operative, 02/2011, C79000-G8972-C

92 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Configurazione di impostazioni IP dei PC Per il test nei PC devono essere impostati i seguenti indirizzi IP. PC IP address Finestra della sotto-rete Standard gateway PC PC In standard gateway per PC1 deve essere inserito l'indirizzo IP che si assegna al modulo MD741-1 (per l'interfaccia di rete interna) nella successiva progettazione. Per PC2 inserire l'indirizzo IP del DSL Router (per l'interfaccia di rete interna). In PC1 e PC2 procedere nel modo seguente per aprire le connessioni di rete sul PC interessato: 1. Aprire sul PC interessato il pannello di controllo con la seguente voce di menu: Start Pannello di controllo 2. Aprire il simbolo "Centro connessioni di rete e condivisione". 3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la casella di opzione "Protocollo internet versione 4 (TCP/IPv4)" e azionare il pulsante "Proprietà". 92 Istruzioni operative, 02/2011, C79000-G8972-C196-07

93 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client 4. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4 (TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:". Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP dei PC" nelle caselle previste. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo Creazione di un progetto e di moduli Procedimento: 1. Avviare il software di progettazione Security Configuration Tool sul PC2. 2. Creare un nuovo progetto con la seguente voce di menu: Project New Viene richiesto di inserire un nome utente e una password. Alla registrazione utente definita qui viene assegnato automaticamente il ruolo di un amministratore. Istruzioni operative, 02/2011, C79000-G8972-C

94 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client 3. Inserire un nome utente e una password e confermare l'inserimento; in questo modo si crea un nuovo progetto. La finestra di dialogo "Selezione di un'unità o configurazione software" viene visualizzata automaticamente. 4. Configurare quindi il tipo di prodotto, "SOFTNET Configuration (SOFTNET Security Client, MD74x)", l'unità "SOFTNET Security Client", la versione firmware "V3.0" e indicare il nome di modulo "SSC-PC2" 5. Chiudere la finestra di dialogo con "OK". 6. Creare un secondo modulo con la seguente voce di menu: Insert Module Configurare quindi il tipo di prodotto, "SOFTNET Configuration (SOFTNET Security Client, MD74x)", l'unità "MD74x" e indicare il nome di modulo "MD741-1". 7. Fare quindi clic nella campo "Configuration" nella casella "IP Address (ext.)" e inserire l'indirizzo nel formato indicato. Configurare inoltre la relativa maschera della sotto-rete esterna. Nota Per la configurazione di questo esempio è assolutamente necessario che per la scheda SIM dell'md il proprio Provider (società di telefonia mobile) metta a disposizione un indirizzo IP fisso raggiungibile da Internet. Inserire questo indirizzo IP come indirizzo IP esterno per il modulo. Se si opera con indirizzi dinamici per l'md741-1, per il modulo è necessario un indirizzo DynDNS. In questo caso non è necessario adattare l'indirizzo IP esterno in questa posizione. L'indirizzo IP inserito serve quindi solo come segnaposto. Durante la configurazione del SOFTNET Security Client, al posto di un indirizzo IP esterno inserire un nome DNS. 8. Fare quindi clic nella campo "Configuration" nella casella "IP Address (int.)" e inserire l'indirizzo nel formato indicato. (Indirizzo IP: ) Configurare inoltre la relativa maschera della sotto-rete interna. (Maschera della sotto-rete: ) 9. Chiudere quindi la finestra di dialogo con "OK". Si ottiene una visualizzazione in base alla seguente figura. 94 Istruzioni operative, 02/2011, C79000-G8972-C196-07

95 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Progettazione del collegamento via tunnel Un MD741-1 e il SOFTNET Security Client possono realizzare un tunnel IPsec per la comunicazione protetta se nel progetto essi sono assegnati allo stesso gruppo. Procedimento: 1. Selezionare nell'area di navigazione "All Groups" e creare con la seguente voce di menu un nuovo gruppo: Insert Group Questo gruppo ottiene automaticamente il nome "Group1". 2. Selezionare nell'area del contenuto il modulo MD741-1 "MD741-1" e trascinarlo su "Group1" nell'area di navigazione. Il modulo è ora assegnato a questo gruppo e membro di questo gruppo. Il colore del simbolo di chiave dell'icona del modulo cambia da grigio a blu. Questo indica che per il modulo è stato progettato un collegamento IPsec. 3. Selezionare nell'area del contenuto il modulo SOFTNET Security Client "SSC-PC2" e trascinarlo sul "Group1" nell'area di navigazione. Anche il modulo è ora assegnato a questo gruppo. 4. Portare il progetto in "advanced mode" selezionando la seguente voce di menu: View Advanced Mode 5. Aprire le proprietà del gruppo Group1 selezionando il menu contestuale "Properties...". Istruzioni operative, 02/2011, C79000-G8972-C

96 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client 6. Modificare la durata SA per Phase 1 e Phase 2 a 1440 minuti e lasciare tutte le altre impostazioni ai valori predefiniti. 96 Istruzioni operative, 02/2011, C79000-G8972-C196-07

97 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client ATTENZIONE Un collegamento via tunnel corretto tra MD741-1 e SOFTNET Security Client può essere realizzato solo se vengono rispettati i parametri riportati di seguito. L'impiego di parametri diversi può comportare la mancata realizzazione della connessione VPN tra i due partner del tunnel. Metodo di autentificazione: Certificato Advanced Settings Phase 1: Modalità IKE: Main Fase 1 gruppo DH: Group2 Fase 1 codifica: 3DES-168 Durata SA (minuti): 1440 Fase 1 autentificazione: SHA1 Advanced Settings Phase 2: Tipo di durata SA: Time Fase 2 codifica: 3DES-168 Durata SA (minuti): 1440 Fase 2 autentificazione: SHA1 7. Salvare quindi questo progetto con la seguente voce di menu con un nome appropriato: Project Save As... La configurazione del collegamento tramite tunnel è quindi conclusa Salvataggio della configurazione dell'md741-1 e del SOFTNET Security Client Procedimento: 1. Richiamare con la seguente voce di menu la seguente finestra di dialogo: Istruzioni operative, 02/2011, C79000-G8972-C

98 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Transfer To All Modules 2. Avviare l'operazione di caricamento con il pulsante "Start". 3. Salvare il file di configurazione "Projectname.SSC-PC2.dat" nella directory del progetto e assegnare una password per il codice privato del certificato. Nella directory del progetto vengono salvati i seguenti file: "Projectname.SSC-PC2.dat" "Projectname.string.SSC-PC2.p12" "Projectname.group1.cer" 4. Salvare il file di configurazione "Projectname.MD741-1.txt" nella directory del progetto e assegnare una password per il codice privato del certificato. Nella directory del progetto vengono salvati i seguenti file: "Projectname.MD741-1.txt" "Projectname.string.MD741-1.p12" "Projectname.group1.MD741-1.cer" A questo punto sono stati salvati tutti i file e i certificati necessari ed è possibile mettere in servizio l'md741-1 e il SOFTNET Security Client Esecuzione della configurazione dell'md741-1 Grazie al file di testo salvato "Projectname.MD741-1.txt" è possibile eseguire una configurazione in modo semplice in base al Web Based Management dell'md Qui di seguito viene illustrato passo per passo un esempio di configurazione dell'md Per la configurazione viene richiesto quanto segue: MD741-1 riceve un indirizzo IP pubblico fisso, raggiungibile da Internet; al SOFTNET Security Client viene assegnato un indirizzo IP dinamico dal Provider. 98 Istruzioni operative, 02/2011, C79000-G8972-C196-07

99 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Parallelamente, al punto corrispondente viene visualizzata anche l'avvertenza relativa alla progettazione di un nome DynDNS per l'md Procedimento: 1. Collegarsi tramite PC1 alla superficie Web dell'md Osservazione: Se l'md741-1 presenta le impostazioni di fabbrica, l'interfaccia interna del modulo ha l'indirizzo IP Navigare nella seguente directory: IPSec VPN Certificati 3. I certificati necessari sono stati salvati sul PC2 in base al capitolo precedente ed è stata assegnata una password per il codice privato. Trasferire i certificati ("Projectname.string.MD741-1.p12", "Projectname.group1.MD741-1.cer") per l'md741-1 dapprima al PC1. 4. Caricare quindi il punto opposto certificato "Projectname. group1.md741-1.cer" e il file PKCS 12 "Projectname.string.MD741-1.p12" sul modulo. Istruzioni operative, 02/2011, C79000-G8972-C

100 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Modalità VPN Roadwarrior dell'md741-1 Poiché il SOFTNET Security Client dispone di un indirizzo IP dinamico, viene utilizzata la modalità VPN Roadwarrior dell'md741-1 per realizzare un collegamento protetto. Modalità Roadwarrior dell'md741-1: Nella modalità VPN Roadwarrier SINAUT MD741-1 può accettare collegamenti VPN dai punti opposti con indirizzo sconosciuto. Possono ad esempio essere punti opposti in impiego mobile che rilevato il proprio indirizzo IP dinamicamente. Il collegamento VPN deve essere realizzato attraverso il punto opposto. È possibile un solo collegamento VPN in modalità Roadwarrier. I collegamenti VPN in modalità standard possono essere utilizzati parallelamente. Procedimento: 1. Navigare nella seguente directory: IPSec VPN Collegamenti 2. Modificare le impostazioni di Roadwarrior VPN come illustrato nella seguente figura e salvare gli inserimenti. La "Remote ID" può essere rilevata dal file di testo "Projectname.MD741-1.txt". L'inserimento della "Remote ID" è possibile in modo opzionale. 100 Istruzioni operative, 02/2011, C79000-G8972-C196-07

101 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client 3. Modificare le impostazioni IKE di Roadwarrior VPN come illustrato nella seguente figura e salvare gli inserimenti. Istruzioni operative, 02/2011, C79000-G8972-C

102 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client ATTENZIONE Un collegamento via tunnel corretto tra MD741-1 e SOFTNET Security Client può essere realizzato solo se vengono rispettati i parametri riportati di seguito. L'impiego di parametri diversi comporta la mancata realizzazione della connessione VPN tra i due partner del tunnel. Per questo motivo attenersi sempre alle impostazioni elencate nel file di testo (come illustrato anche di seguito). Metodo di autentificazione:x.509 certificato punto opposto Phase 1 - ISKAMP SA: ISAKMP-SA codifica:3des-168 ISAKMP-SA Hash: SHA-1 ISAKMP-SA modalità: Main Mode ISAKMP-SA durata (secondi): Phase 2 - IPSec SA: IPSec SA codifica: 3DES-168 IPSec SA Hash: SHA-1 IPSec SA durata (secondi): Gruppo DH/PFS: DH Istruzioni operative, 02/2011, C79000-G8972-C196-07

103 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client 4. Per poter utilizzare la funzione di diagnostica del SOFTNET Security Client per i tunnel VPN realizzati con successo in combinazione con l'md741-1, è necessario consentire un ping dalla rete esterna dell'md Navigare quindi nella directory: Security Advanced Impostare la funzione "External ICMP to the MD741-1" sul valore "Allow Ping" e salvare l'inserimento. A tal proposito osservare la seguente figura. Nota Se non si abilita questa funzione, non è possibile utilizzare la funzione di diagnostica del SOFTNET Security Client per il tunnel VPN necessario realizzato in combinazione con l'md Non si ottiene alcuna risposta se il tunnel è stato realizzato con successo, ma è tuttavia possibile comunicare in modo sicuro tramite il tunnel. 5. Per poter raggiungere la Webinterface del modulo MD741-1 anche tramite l'interfaccia esterna, abilitare l'accesso remoto HTTPS. In questo modo si ha la possibilità di configurare e diagnosticare da remoto l'md741-1 tramite un tunnel realizzato. Navigare quindi nella directory: Access HTTPS Impostare la funzione "Enable HTTPS remote access" sul valore "Yes", come illustrato nella seguente figura e salvare l'inserimento. Istruzioni operative, 02/2011, C79000-G8972-C

104 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Nota Se si vuole raggiungere l'md741-1 tramite un nome DNS, parametrizzare nella seguente directory il collegamento DynDNS Server: External Network Advanced Settings DynDNS 1. Modificare l'impostazione "Log on tu DynDNS server" al valore "Yes". 2. Inserire il nome utente e la password del proprio DynDNS account. 3. Inserire l'indirizzo DynDNS completo nella casella "DynDNS hostname". Fare attenzione ad inserire anche il dominio per questo indirizzo. (Es.: "mydns.dyndns.org") A questo punto la messa in servizio del modulo MD741-1 è conclusa. Il modulo e il SOFTNET Security Client possono realizzare un tunnel di comunicazione con il quale dai nodi della rete interna è possibile comunicare in modo sicuro con PC Istruzioni operative, 02/2011, C79000-G8972-C196-07

105 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Realizzazione del tunnel con il SOFTNET Security Client Procedimento: 1. Avviare il SOFTNET Security Client sul PC2. 2. Azionare il pulsante "Load Configuration", passare alla directory del progetto e caricare il file di configurazione "Projectname.SSC-PC2.dat". 3. Per una configurazione MD741-1 il SOFTNET Security Client apre la finestra di dialogo "IP-/DNS settings MD741-1". Inserire in questa finestra di dialogo l'indirizzo IP pubblico del modulo MD741-1 ricevuto dal proprio provider. Confermare la finestra di dialogo con "OK". Osservazione: Se si utilizza un nome DNS, in questa finestra di dialogo è possibile configurare questo nome al posto di un indirizzo IP. 4. Inserire la password per il certificato e confermare con "Next". Istruzioni operative, 02/2011, C79000-G8972-C

106 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client 5. Confermare la finestra di dialogo "Enable all statically configured nodes?" con "Yes". 6. Azionare il pulsante "Tunnel Overview". Nota Se si vuole raggiungere il modulo MD741-1 tramite un nome DNS, parametrizzare nel passo 3 l'indirizzo DynDNS completo nella casella di inserimento "DNS Name". (Es.: "mydns.dyndns.org") Risultato: collegamento via tunnel attivo Il tunnel tra MD741-1 e SOFTNET Security Client è stato realizzato. Dall'icona blu nella voce "MD741-1" si riconosce che è stata creata una Policy per questo collegamento di comunicazione. Lo stato operativo che indica la raggiungibilità dell'md741-1, viene segnalato dal "cerchio verde" nella voce "MD741-1". Nota Fare attenzione che questa funzione dipende dall'abilitazione della funzione ping sul modulo MD Nella consolle logging della panoramica del tunnel del SOFTNET Security Client si ricevono inoltre alcuni messaggi di risposta dal proprio sistema, dai quali è possibile rilevare: 106 Istruzioni operative, 02/2011, C79000-G8972-C196-07

107 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client Come si è svolto il tentativo di collegamento? È stata creata la Policy per il collegamento di comunicazione? La messa in servizio della configurazione è quindi conclusa. Il modulo MD741-1 e il SOFTNET Security Client hanno realizzato un tunnel di comunicazione con il quale dai nodi della rete interna è possibile comunicare in modo sicuro con PC Test della funzione tunnel (test ping) Come può essere testata la funzione configurata? Eseguire i test della funzione come descritto qui di seguito con un'istruzione ping. Istruzioni operative, 02/2011, C79000-G8972-C

108 GETTING STARTED 3.5 Esempio 5: Accesso remoto - esempio di un tunnel VPN con MD741-1 e SOFTNET Security Client in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test della configurazione. ATTENZIONE Con Windows il Firewall può essere impostato come standard in modo che non possano essere eseguite istruzioni pin. Eventualmente i servizi ICMP del tipo Request e Response devono essere abilitati. Sezione di test Testare ora il funzionamento del collegamento tramite tunnel tra PC1 e PC2 nel modo seguente: 1. Richiamare sul PC2 nella barra di avvio la seguente voce di menu: Start Tutti i programmi Accessori Prompt dei comandi 2. Inserimento dell'istruzione ping da PC2 a PC1 (indirizzo IP ). Direttamente nella riga dell'istruzione della finestra visualizzata "Richiesta di inserimento", sulla posizione del cursore, inserire il comando Ping Compare il seguente messaggio: (risposta positiva da PC1). Risultato Se i telegrammi IP hanno raggiunto PC1, la "Statistica ping" per visualizza quando segue: Inviati = 4 Ricevuti = 4 Persi = 0 (0 % di perdita) Poiché non era ammessa nessuna comunicazione, questi telegrammi possono essere stati trasportati solo tramite il tunnel VPN. 108 Istruzioni operative, 02/2011, C79000-G8972-C196-07

109 Progettazione con Security Configuration Tool 4 Il Security Configuration Tool è lo strumento di progettazione fornito con SCALANCE S. Il presente capitolo semplifica l'approccio con la superficie operativa e il tipo di funzionamento dello strumenti di progettazione. Qui viene descritto come configurare, comandare e gestire i progetti SCALANCE S. Altre informazioni Nei seguenti capitoli di questo manuale viene descritto in modo dettagliato come si configurano i moduli e il tunnel IPsec. F1 Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche nella guida in linea. Alla guida è possibile accedere con il tasto F1 o con il pulsante "Help" nella relativa finestra di dialogo. 4.1 Insieme di funzioni e tipo di funzionamento Potenzialità Lo strumento di progettazione Security Configuration Tool si utilizza per i seguenti compiti: Progettazione di SCALANCE S Progettazione del SOFTNET Security Client (S612 / S613 / MD 741-1) Creazione di dati di configurazione per MD / MD Funzioni di test e di diagnostica, indicazioni di stato Istruzioni operative, 02/2011, C79000-G8972-C

110 Progettazione con Security Configuration Tool 4.1 Insieme di funzioni e tipo di funzionamento Modi operativi Il Security Configuration Tool dispone di due modi operativi: Offline - Visualizzazione di progettazione Nel modo operativo offline viene eseguita la progettazione dei dati di configurazione per i moduli. Prima dell'operazione di caricamento non deve esistere un collegamento con SCALANCE S. Online La modalità online serve al test e alla diagnostica di uno SCALANCE S. Due visualizzazioni di comando Nel modo operativo offline il Security Configuration Tool mette a disposizione due visualizzazioni di comando: Modalità standard Lo Standard Mode è preimpostato nel Security Configuration Tool. Esso offre una rapida e semplice progettazione per il funzionamento di SCALANCE S. Modalità ampliata Nella modalità ampliata esistono possibilità di impostazione ampliate che consentono l'impostazione individuale delle regole del firmware e della funzionalità di sicurezza. 110 Istruzioni operative, 02/2011, C79000-G8972-C196-07

111 Progettazione con Security Configuration Tool 4.2 Installazione Tipo di funzionamento - Sicurezza e coerenza Accesso solo per utenti autorizzati Ciascun progetto può essere protetto contro l'accesso non autorizzato inserendo una password. Dati di progetto coerenti Già durante l'inserimento nelle singole finestra di dialogo vengono eseguiti controlli di coerenza. Inoltre è possibile avviare in qualsiasi momento un controllo di coerenza esteso nel progetto in tutte le finestre di dialogo. Possono essere caricati solo i dati di progetto coerenti. Protezione dei dati del progetto tramite codifica I dati del progetto e di configurazione memorizzati solo protetti sia nel file del progetto, sia nel C-Plug tramite codifica. 4.2 Installazione Lo strumento di progettazione Security Configuration Tool si installa dal CD SCALANCE S fornito. Requisiti richiesti I requisiti richiesti per l'installazione e il funzionamento del Security Configuration Tool su un PC/PG sono: Sistema operativo Windows XP SP2 o SP3 (non Home), Windows 7 (non Home); PC/PG con almeno 128 Mbyte di memoria RAM e una CPU con una frequenza di impulso di almeno 1 GHz. Procedimento ATTENZIONE Prima dell'installazione del Security Configuration Tool leggere assolutamente il file "README" presente sul CD. In questo file sono eventualmente indicate avvertenze importati e le ultime modifiche. Inserire il CD SCALANCE S nel lettore CD-ROM; in caso di funzione Autorun attivata, la superficie operativa dalla quale si effettua l'installazione viene avviata automaticamente. o Avviare l'applicazione "start.exe" presente sul CD SCALANCE S fornito. Istruzioni operative, 02/2011, C79000-G8972-C

112 Progettazione con Security Configuration Tool 4.3 Superficie operativa e voci di menu 4.3 Superficie operativa e voci di menu Struttura della superficie operativa 1 L'area di navigazione funge da Project-Explorer con le seguenti cartelle principali: Regole globali firewall I nodi contengono i blocchi di regole globali firewall progettati Altre cartelle distinguono tra: Blocco regole IP Blocco regole MAC Tutti i moduli Il nodo contiene i moduli progettati SCALANCE S o SOFTNET Security Client del progetto. Tutti i gruppi Il nodo "All Groups" contiene tutte le VPN create. Selezionando un oggetto nell'area di navigazione si ottengono nell'area del contenuto le informazioni dettagliate su questo oggetto. 112 Istruzioni operative, 02/2011, C79000-G8972-C196-07

113 Progettazione con Security Configuration Tool 4.3 Superficie operativa e voci di menu 2 3 Area del contenuto: Selezionando un oggetto nell'area di navigazione, nell'area del contenuto si ottengono informazioni dettagliate su questo oggetto. Qui possono essere inseriti alcuni parametri. Facendo doppio clic sugli oggetti, vengono aperte le finestre di dialogo delle proprietà per l'inserimento di altri parametri. Riga di stato La riga di stato illustra gli stati operativi e i messaggi di stato attuali; di questi fanno parte: L'utente attuale e il tipo di utente La visualizzazione di comando - Standard Mode / Advanced Mode Lo stato operativo - Online / Offline Barra dei menu Qui di seguito è riportata una panoramica delle voci di menu selezionabili e del loro significato. Voce di menu Significato / Osservazioni Shortcut Project New Open... Save Save As... Properties Progetti aperti per ultimi Exit Funzioni per le impostazioni specifiche del progetto, nonché caricamento e salvataggio dei file del progetto. Crea un nuovo progetto Apre un progetto esistente. Salva il progetto aperto nel percorso attuale con il nome del progetto. Salva il progetto aperto nel percorso selezionabile con il nome del progetto. Si apre la finestra di dialogo delle proprietà del progetto. Possibilità di selezione diretta dei progetti elaborati finora. Edit Nota: Le funzioni qui indicate possono in parte essere raggiunte nell'oggetto selezionato anche con il menu di scelta rapida del tasto destro del mouse. Copy Copia l'oggetto selezionato. Ctrl+C Paste Riprende e inserisce l'oggetto dalla memoria intermedia. Ctrl+V Del Cancella l'oggetto selezionato. Del Rename Rinomina l'oggetto selezionato. F2 Properties Apre la finestra di dialogo delle proprietà dell'oggetto selezionato. F4 Online Diagnostics Accede alle funzioni di test e di diagnostica. La voce di menu può essere vista solo nella visualizzazione online. Insert (Voci di menu in modalità offline) Istruzioni operative, 02/2011, C79000-G8972-C

114 Progettazione con Security Configuration Tool 4.3 Superficie operativa e voci di menu Voce di menu Significato / Osservazioni Shortcut Module Group Firewall rule set Crea un nuovo progetto La voce di menu è attiva solo se nell'area di navigazione è selezionato un oggetto modulo o un gruppo. Crea un nuovo gruppo. La voce di menu è attiva solo se nell'area di navigazione è selezionato un oggetto gruppi. Creare un nuovo blocco di regole IP firewall o un blocco di regole MAC von validità globale. La voce di menu è attiva solo se nell'area di navigazione è selezionato un oggetto firewall. Ctrl+M Ctrl+G Ctrl+F Transfer To Module... To All Modules... Configuration Status Firmware Update... Carica i dati nei moduli selezionati. Osservazione: possono essere caricati solo dati di progetto coerenti. Carica i dati nei moduli progettati. Osservazione: possono essere caricati solo dati di progetto coerenti. Visualizza in una lista lo stato di configurazione dei moduli progettati. Carica il nuovo firmware nello SCALANCE S selezionato. View Advanced Mode Commuta dalla modalità Standard alla modalità Advanced. Ctrl+E Attenzione: è possibile annullare una commutazione nella modalità Advanced per il progetto attuale se non sono state eseguite modifiche. È preimpostata la modalità Standard. Offline Rappresenta la preimpostazione. Ctrl+Shift+D Online Ctrl+D Options IP Service Definitions... MAC Service Definitions Project Change Password Network Adapters... Apre la finestra di dialogo per le definizioni dei servizi per le regole IP Firewall. La voce di menu può essere vista solo nella visualizzazione "Advanced Mode". Apre la finestra di dialogo per le definizioni dei servizi per le regole MAC Firewall. La voce di menu può essere vista solo nella visualizzazione "Advanced Mode". Funzione per la modifica della password utente. Funzione per la selezione dell'adattatore di rete locale con il quale deve essere realizzato un collegamento con SCALANCE S. 114 Istruzioni operative, 02/2011, C79000-G8972-C196-07

115 Progettazione con Security Configuration Tool 4.4 Gestione dei progetti Voce di menu Significato / Osservazioni Shortcut Log Files... Symbolic Names... Check Consistency Visualizzazione dei file Log. I file Log possono essere letti e le registrazioni Log possono essere avviate. Impostazione di nomi simbolici per indirizzi IP o MAC. Controllare la coerenza dell'intero progetto. Viene visualizzata una lista dei risultati. Help Contenuto Indice Informazione... Guida alle funzioni e ai parametri che si trovano nel Security Configuration Tool. Guida alle funzioni e ai parametri che si trovano nel Configuration Tool. Informazioni sulla versione del Security Configuration Tool. Ctrl+Shift+F1 Ctrl+Shift+F2 4.4 Gestione dei progetti Informazioni generali Progetto SCALANCE S Un progetto nel Security Configuration Tool comprende tutte le informazioni di configurazione e di gestione per uno o diversi apparecchi SCALANCE S, SOFTNET Security Client o apparecchi MD74x. Creare nel progetto un modulo per ciascun apparecchio SCALANCE S, ciascun SOFTNET Security Client e per ciascun apparecchio MD74x. Le configurazioni di un progetto contengono in generale: Impostazioni valide in tutto il progetto Impostazioni specifiche per il modulo Assegnazione ai gruppi per tunnel IPsec (S612 / S613 / SOFTNET Security Client) Istruzioni operative, 02/2011, C79000-G8972-C

116 Progettazione con Security Configuration Tool 4.4 Gestione dei progetti Inoltre una gestione utenti regola le autorizzazioni di accesso ai dati del progetto e quindi agli apparecchi SCALANCE S. Impostazioni valide in tutto il progetto Proprietà del progetto Oltre all'indicazione di indirizzo e di nome, queste proprietà comprendono indicazioni per i valori di inizializzazione e impostazioni di autorizzazione. Blocchi di regole firewall globali Le regole globali del firewall possono essere assegnate contemporaneamente a diversi moduli. In molti casi questa possibilità semplifica la progettazione rispetto alla progettazioni di blocchi di regole del firewall in caso di impostazioni specifiche per il modulo. Definizione del servizio Con l'aiuto delle definizioni del servizio IP è possibile definire in modo chiaro e compatto le regole del firewall. Impostazioni specifiche per il modulo La maggior parte di funzioni viene configurata nella finestra di dialogo delle proprietà di un modulo. Panoramica delle schede disponibili e relativa funzione: Funzione / scheda nella finestra di dialogo delle proprietà disponibile nella modalità Standard Advanced Network Qui è possibile indicare eventuali indirizzi del router che si trova X X nella propria rete. Firewall Nella modalità standard attivare il firewall con semplici regole X X standard. Inoltre qui è possibile attivare le impostazioni Logging. Nella modalità Advanced è possibile definire regole del filtro pacchetto dettagliate. Inoltre è possibile definire impostazioni di logging esplicite per ogni regola del filtro pacchetto. Certificati SSL In caso di necessità - per esempio con un certificato X compromesso - è possibile importare un certificato o creare un nuovo certificato con il Security Configuration Tool. Sincronizzazione dell'ora Definire il tipo di sincronizzazione per data e ora. X X Impostazioni Log Qui è possibile eseguire indicazioni esatte per la modalità di registrazione e di memorizzazione di eventi Logging. X 116 Istruzioni operative, 02/2011, C79000-G8972-C196-07

117 Progettazione con Security Configuration Tool 4.4 Gestione dei progetti Funzione / scheda nella finestra di dialogo delle proprietà disponibile nella modalità Nodi Per un modulo in modalità Bridge è possibile qui configurare le sotto-reti statiche interne e i nodi IP/MAC e autorizzare o bloccate la programmazione di nodi interni. Per un modulo in modalità Routing è possibile inserire i nodi interni / le sotto-reti complete con le quali deve essere realizzato il tunnel. VPN Se il modulo si trova in un gruppo, qui è possibile configurare la Dead-Peer-Detection, il tipo di realizzazione del collegamento e l'indirizzo IP della WAN. Modalità Routing Nella modalità standard attivare la funzione "Router". Nella modalità Advanced è inoltre possibile attivare la funzione router NAT/NAPT e definire in una lista la conversione di indirizzi. Server DHCP Per la rete interna è possibile attivare il modulo come server DHCP. Standard X Advanced X X X X La descrizione dettagliata di queste funzioni si trova nel capitolo "Firmware, router e altre proprietà del modulo". Assegnazione ai gruppi per tunnel IPsec (S612 / S613 / SOFTNET Security Client) Questo definisce quali moduli SCALANCE S, SOFTNET Security Client e moduli MD74x possono comunicare tra loro tramite il tunnel IPsec. Assegnando i moduli SCALANCE S, SOFTNET Security Client e i moduli MD74x ad un gruppo, questi moduli possono realizzare il tunnel di comunicazione tramite una VPN (virtual private network). Solo i moduli dello stesso gruppo possono comunicare tra loro in modo sicuro tramite il tunnel; i moduli SCALANCE S, i SOFTNET Security Client e i moduli MD74x possono far parte simultaneamente di diversi gruppi Creazione e modifica di progetti Creazione di un progetto Selezionare la voce di menu Project New... Viene richiesto di assegnare un nome utente e una password. L'utente che viene creato è del tipo Administrator. Istruzioni operative, 02/2011, C79000-G8972-C

118 Progettazione con Security Configuration Tool 4.4 Gestione dei progetti Di conseguenza Security Configuration Tool crea come standard un progetto e apre automaticamente la finestra di dialogo "Selection of a module or software configuration" nella quale è possibile configurare il primo modulo. Definizione dei valori di inizializzazione per un progetto Con i valori di inizializzazione si definiscono le proprietà che vengono riprese automaticamente durante la creazione di nuovi moduli. Per l'inserimento dei valori di inizializzazione selezionare la seguente voce di menu: Project Properties, scheda "Dafault Initialization Values" 118 Istruzioni operative, 02/2011, C79000-G8972-C196-07

119 Progettazione con Security Configuration Tool 4.4 Gestione dei progetti Protezione dei dati del progetto tramite codifica I dati del progetto e di configurazione memorizzati solo protetti sia nel file del progetto, sia nel C-Plug tramite codifica. Vedere anche Firewall, router e altre proprietà del modulo (Pagina 131) Istruzioni operative, 02/2011, C79000-G8972-C

120 Progettazione con Security Configuration Tool 4.4 Gestione dei progetti Configurazione utenti Tipi di utente e autorizzazioni L'accesso ai progetti e ai moduli SCALANCE S viene gestito con le impostazioni utente configurabili. SCALANCE S conosce due tipi di utente con diverse autorizzazioni: Amministratori Con il ruolo di utente del tipo "Administrator" si dispone delle autorizzazioni di accesso illimitato a tutti i dati di configurazione e ai moduli SCALANCE S. User Con il ruolo di utente del tipo "user" si dispone delle seguenti autorizzazioni di accesso. Accesso in lettura alla configurazione; eccezione: è ammessa la modifica della propria password. Accesso in lettura agli SCALANCE S nel modo operativo "Online" per test e diagnostica. Autentificazione utenti Gli utenti del progetto devono autentificarsi durante l'accesso. Per ogni utente è possibile definire un'autentificazione con password. ATTENZIONE Le password utente deve essere custodita in modo sicuro. Se si dimenticano le password utente, non si dispone più dell'accesso al progetto interessato e alle configurazioni, nonché ai moduli SCALANCE S. L'accesso ai moduli SCALANCE S può essere eseguito solo con il comando "Ripristino delle impostazioni della fabbrica"; tuttavia si perdono le configurazioni. Finestra di dialogo per la configurazione di utenti Per la configurazione di utenti selezionare la seguente voce di menu: Project Properties, scheda "Authentification Settings". 120 Istruzioni operative, 02/2011, C79000-G8972-C196-07

121 Progettazione con Security Configuration Tool 4.4 Gestione dei progetti Protezione da perdita di accesso accidentale Il sistema assicura che nel progetto rimanga configurato sempre almeno un utente del tipo "Administrator". In questo modo si evita che l'accesso al progetto venga perso per sempre in seguito ad "autocancellazione" accidentale. ATTENZIONE Se si modificano le impostazioni di autentificazione, è necessario ricaricare prima i moduli SCALANCE S in modo che queste impostazioni (ad es. nuovi utenti, modifiche di password) diventino attive nei moduli. Istruzioni operative, 02/2011, C79000-G8972-C

122 Progettazione con Security Configuration Tool 4.4 Gestione dei progetti Controlli di coerenza Informazioni generali Security Configuration Tool distingue: Controlli di coerenza locali Controlli di coerenza in tutto il progetto Per maggiori informazioni sulle regole da osservare per l'immissione nelle finestra di dialogo, consultare le descrizioni delle finestre di dialogo riportate alla voce "controllo della coerenza" del manuale. Controlli di coerenza locali Un controllo della coerenza è definito locale quando si può eseguire direttamente all'interno di una finestra di dialogo. Con le seguenti azioni possono essere eseguiti controlli: dopo essere usciti da un campo dopo essere usciti da una riga in una tabella uscendo dalla finestra di dialogo con "OK" Controlli di coerenza in tutto il progetto I controlli della coerenza in tutto il progetto forniscono informazioni sui moduli configurati correttamente. Poiché i controlli di coerenza continui in tutto il progetto necessitano di troppo tempo, in quanto durante l'impostazione di un progetto vengono configurati dati di progettazione principalmente incoerenti, un controllo automatico viene effettuato solo con le seguenti azioni: durante il salvataggio del progetto durante l'apertura del progetto prima del caricamento di una configurazione ATTENZIONE I dati di progettazione possono essere caricati solo se il progetto è complessivamente coerente. Per eseguire un controllo della coerenza in tutto il progetto, procedere nel modo seguente Il controllo della coerenza può essere avviato in qualsiasi momento per un progetto aperto selezionando la seguente voce di menu: Options Check Consistency 122 Istruzioni operative, 02/2011, C79000-G8972-C196-07

123 Progettazione con Security Configuration Tool 4.4 Gestione dei progetti Il risultato del controllo viene visualizzato in un elenco. Se il progetto contiene dati incoerenti, nella riga di stato esiste inoltre un rimando al risultato del controllo della coerenza. Posizionando il puntatore del mouse e facendo clic nella riga di stato è possibile nascondere l'elenco del controllo Impostazione di nomi simbolici per indirizzi IP/MAC. Significato e vantaggio In un progetto SCALANCE S al posto di indirizzi IP e indirizzi MAC è possibile assegnare nomi simbolici in una tabella dei simboli. La progettazione dei singoli servizi può quindi essere eseguita in modo più semplice e sicuro. Per le seguenti funzioni e relativa progettazione vengono tenuti in considerazione nomi simbolici all'interno di un progetto: Firewall Router NAT/NAPT Syslog DHCP Validità e univocità La validità dei nomi simbolici indicati nella tabella dei simboli è limitata alla progettazione all'interno di un progetto SCALANCE S. All'interno del progetto ad ogni nome simbolico deve essere assegnato in modo univoco un solo indirizzo IP o un indirizzo MAC. Acquisizione automatica di nomi simbolici nella tabella dei simboli È possibile utilizzare nomi simbolici nelle funzioni indicate al posto di indirizzi IP, ad esempio durante la creazione di regole firewall, senza che essi siano già assegnati nella tabella dei simboli qui descritta. I nomi simbolici assegnati in questo modo vengono ripresi automaticamente nella tabella dei simboli e possono essere assegnati in un secondo momento. Nell'ambito del controllo della coerenza vengono segnalate assegnazioni mancanti. Finestra di dialogo per l'assegnazione di nomi simbolici Per evitare incoerenze tra un'assegnazione "indirizzo IP - nome simbolico" e "indirizzo MAC - nome simbolico", i nomi simbolici vengono gestiti in una singola tabella dei simboli. Selezionare la seguente voce di menu per aprire la tabella dei simboli: Options Symbolic Names.. Istruzioni operative, 02/2011, C79000-G8972-C

124 Progettazione con Security Configuration Tool 4.4 Gestione dei progetti Per registrare le voci nella tabella dei simboli procedere nel modo seguente: Nuove voci 1. Azionare il pulsante "Add" per inserire un nuovo nome simbolico nella successiva riga libera della tabella. 2. Inserire il nome simbolico conforme a DNS. 1) 3. Completare la voce con l'indirizzo IP o l'indirizzo MAC. Possono essere indicati anche entrambi gli indirizzi. Legenda: 1) La conformità DNS secondo RFC1035 comprende le seguenti regole: - limitazione a 255 caratteri complessivi (lettere, numeri, trattino o punto); - il nome deve iniziare con una lettera; - il nome può finire con una lettera o un numero; - un componente del nome all'interno del nome, vale a dire una stringa di caratteri tra due punti, può avere una lunghezza di max. 63 caratteri; - nessun carattere speciale come dieresi, parentesi, sottolineature, barre, spazi vuoti ecc. Voci automatiche Se il nome simbolico è già stato indicato nell'ambito di un servizio, nella tabella dei simboli si trova una relativa voce. 1. Fare clic sulla casella d'immissione per l'indirizzo IP o per l'indirizzo MAC. 2. Completare la voce con l'indirizzo IP o l'indirizzo MAC. Possono essere indicati anche entrambi gli indirizzi. Se si cancella una voce dalla tabella dei simboli, i nomi simbolici utilizzati nei servizi vengono mantenuti. In questo caso il controllo della coerenza riconosce i nomi simbolici non definiti. Questo vale sia per voci create manualmente, sia per voci create automaticamente. Suggerimento: 124 Istruzioni operative, 02/2011, C79000-G8972-C196-07

125 Progettazione con Security Configuration Tool 4.4 Gestione dei progetti Per la tabella dei simboli qui descritta è particolarmente sensato l'impiego del controllo della coerenza in tutto il progetto. In base alla lisa si può riconoscere e correggere ogni incoerenza. Il controllo della coerenza può essere avviato in qualsiasi momento per un progetto aperto selezionando la seguente voce di menu: Options Check Consistency Controllo della coerenza - vanno osservate queste regole Per l'inserimento rispettare le regole riportate qui di seguito. Controllo / Regola Controllo eseguito 1) L'assegnazione di un nome simbolico ad un indirizzo IP o ad un indirizzo MAC deve essere univoco in entrambe le direzioni. I nomi simbolici devono essere conformi a DNS. 2) Ciascuna riga nella tabella dei simboli deve contenere un nome simbolico. Deve essere inserito un indirizzo IP, un indirizzo MAC o entrambi gli indirizzi. Agli indirizzi IP del modulo SCALANCE S non devono essere assegnati nomi simbolici. I nomi simbolici utilizzati nel progetto per gli indirizzi IP o gli indirizzi MAC devono essere trovarsi nella tabella dei simboli. Possono verificarsi incoerenze dovute alla cancellazione delle voci nella tabella dei simboli e alla mancata relativa cancellazione o correzione nelle finestre di dialogo di progettazione. Legenda: 1) Osservare le descrizioni nel capitolo "Controlli delle coerenze". locale x x x in tutto il progetto x x 2) La conformità DNS secondo RFC1035 comprende le seguenti regole: - limitazione complessiva a 255 caratteri (lettere, cifre, trattino o punto); - il nome deve iniziare con una lettera; - il nome deve finire con una lettera o una cifra; - una parte integrante del nome all'interno del nome, vale a dire una stringa di caratteri tra due punti, può essere di max. 63 caratteri; - nessun carattere speciale come dieresi, parentesi, sottolineatura, barra, spazio vuoto ecc. Istruzioni operative, 02/2011, C79000-G8972-C

126 Progettazione con Security Configuration Tool 4.5 Caricamento della configurazione in SCALANCE S 4.5 Caricamento della configurazione in SCALANCE S I dati di configurazione creati offline vengono caricati nello SCALANCE S raggiungibile nella rete tramite relative voci di menu. 126 Istruzioni operative, 02/2011, C79000-G8972-C196-07

127 Progettazione con Security Configuration Tool 4.5 Caricamento della configurazione in SCALANCE S Requisiti richiesti Collegamenti In linea di principio i dati di configurazione possono essere caricati sia tramite la porta 1 dell'apparecchio, sia tramite la porta 2 dell'apparecchio. Configurare i moduli di un gruppo prevalentemente tramite la rete esterna comune di questi moduli (porta apparecchio 1). Se il computer di configurazione si trova in una rete interna, nel firewall di questo SCALANCE S deve essere abilitato in modo esplicito l'indirizzo IP degli altri moduli del gruppo e questo modulo deve essere configurato per primo. (Questo procedimento viene supportato sol quando a tutti i moduli SCALANCE S è già stato assegnato un indirizzo IP. vedere "Particolarità durante la prima configurazione") ATTENZIONE Utilizzo di diversi adattatori di rete durante la prima configurazione Se si utilizzano diversi adattatore di rete in un PC/PG, prima della prima configurazione selezionare l'adattatore di rete con il quale si può raggiungere il modulo SCALANCE S. Utilizzare la voce di menu "Options Network Adapter " Stato operativo Le configurazioni possono essere caricate durante il funzionamento dell'apparecchio SCALANCE S. Dopo il caricamento viene eseguito automaticamente un riavvio degli apparecchi. Dopo il caricamento può verificarsi una breve interruzione della comunicazione tra rete interna ed esterna. ATTENZIONE Particolarità nella prima configurazione Se un modulo non ha impostato ancora i parametri IP - vale a dire prima della prima configurazione - tra il modulo e il computer di configurazione non deve trovarsi nessun Router o SCALANCE S. ATTENZIONE Modifica del collegamento al PC Se si cambia la posizione di un PC dall'interfaccia interna a quella esterna di SCALANCE S, gli accessi di questo PC a SCALANCE S vengono bloccati per ca. 10 min (funzione di sicurezza per la prevenzione di "ARP-Cache-Spoofing"). ATTENZIONE Il progetto deve essere coerente I dati di progettazione possono essere caricati solo se il progetto è complessivamente coerente. In caso di incoerenza viene visualizzato un elenco di controllo dettagliato. Trasferimento sicuro I dati vengono trasferiti con protocollo protetto. Istruzioni operative, 02/2011, C79000-G8972-C

128 Progettazione con Security Configuration Tool 4.6 Dati di configurazione per MD 740 / MD 741 Procedimento Per il caricamento utilizzare in alternativa le voci di menu: Transfer To Module... In questo modo si trasferisce la configurazione a tutti i moduli selezionati. Transfer To All Modules In questo modo si trasferisce la configurazione a tutti i moduli configurati nel progetto. Livellamento della configurazione diversa Non è consentito un ricaricamento dei dati di configurazione dal modulo SCALANCE S al progetto. 4.6 Dati di configurazione per MD 740 / MD 741 Trasmissione ad un modulo Le informazioni VPN per la parametrizzazione di un MD / MD possono essere generate con il Security Configuration Tool. Con i file così generati è possibile configurare il MD / MD Vengono generati i seguenti tipi di file: File di esportazione con dati di configurazione Tipo di file: file ".txt" in formato ASCII Contiene le informazioni di configurazione esportate per il MD 740 / MD 741, compresa un'informazione sui altri certificati creati. Certificato modulo Tipo di file: File ".p12" Il file contiene il certificato del modulo e il materiale di codifica L'accesso è protetto da password. Certificato gruppi Tipo di file: File ".cer" I file di configurazione per l'md / MD possono essere utilizzati anche per configurare altri tipi di client VPN non contenuti nella selezione dei moduli. Il requisito minimo per l'utilizzo di questi client è il supporto di IPsec VPNs nella modalità tunnel. 128 Istruzioni operative, 02/2011, C79000-G8972-C196-07

129 Progettazione con Security Configuration Tool 4.6 Dati di configurazione per MD 740 / MD 741 Figura 4-1 File di esportazione per MD Nota Al modulo non vengono trasmessi file di configurazione. Viene generato solo un file ASCII con il quale si può configurare l'md / MD Tuttavia questo è possibile solo se il modulo si trova in almeno un gruppo VPN nel quale si trova anche un modulo SCALANCE S o un SOFTNET Security Client V3.0. Procedere nel modo seguente 1. Selezionare nel campo del contenuto il modulo "MD 740-1" / "MD 741-1" e selezionare Transfer To Module... Istruzioni operative, 02/2011, C79000-G8972-C

130 Progettazione con Security Configuration Tool 4.6 Dati di configurazione per MD 740 / MD Nella finestra di salvataggio successiva indicare il percorso e il nome del file di configurazione e fare clic su "Save". 3. Alla fine compare la domanda se si vuole creare una password per entrambi i file di certificato creati. Se si seleziona "No", come password viene assegnato il nome della progettazione (p. es. DHCP_senza_Routing_02), non la password del progetto. Se si seleziona "Yes" (raccomandato), è necessario inserire la password nella finestra successiva. Risultato: I file (e i certificati) vengono salvati nella directory specificata. Nota Dopo il salvataggio viene segnalata l'incompatibilità successiva del progetto. I progetti salvati p. es. con il Security Configuration Tool V2.1 non possono essere caricati con il Security Configuration Tool V2. Nota Ulteriori informazioni per la configurazione dell'md / MD si trovano nel manuale di sistema MD / MD Istruzioni operative, 02/2011, C79000-G8972-C196-07

131 Firewall, router e altre proprietà del modulo 5 Questo capitolo descrive come vengono creati i moduli e quali impostazioni sono possibili per i singoli moduli in un progetto. Il ruolo principale per queste operazioni lo hanno le impostazioni per la funzione firewall e la funzione router NAT/NAPT di SCALANCE S. Nota S612/S613 Le impostazioni del firewall che possono essere eseguite per i singoli moduli possono influire anche sulla comunicazione che viene svolta tramite collegamenti via tunnel IPsec nella rete interna (VPN). Altre informazioni Nei seguenti capitoli di questo manuale viene descritto in modo dettagliato come si configura il tunnel IP. Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche nella guida in linea. F1 Alla guida è possibile accedere con il tasto F1 o con il pulsante "Help" nella relativa finestra di dialogo. ATTENZIONE Potenzialità e tipi di apparecchio Osservare le funzioni supportate dal tipo di apparecchio utilizzato. Vedere anche Funzioni online - Test, diagnostica e logging (Pagina 223) Caratteristiche hardware e panoramica delle funzioni (Pagina 17) Istruzioni operative, 02/2011, C79000-G8972-C

132 Firewall, router e altre proprietà del modulo 5.1 Panoramica / Nozioni di base 5.1 Panoramica / Nozioni di base SCALANCE S come firewall Significato La funzionalità Firewall di SCALANCE S ha il compito di proteggere la rete interna da influssi o disturbi provenienti dalla rete esterna. Questo significa che, a seconda della configurazione, sono consentite solo determinate relazioni di comunicazione precedentemente esistenti tra nodi di rete dalla rete interna e nodi di rete dalla rete esterna. Tutti i nodi di rete che si trovano in un segmento di rete interno di uno SCALANCE S sono protetti da questo Firewall. La funzionalità firewall può essere configurata per i seguenti livelli di protocollo: IP Firewall con Stateful Packet Inspection; Firewall anche per telegrammi Ethernet "Non-IP" secondo IEEE (telegrammi layer 2) Limitazione della larghezza di banda Regole firewall Le regole firewall sono regole per il traffico di dati nelle seguenti direzioni: dalla rete interna a quella esterna e viceversa; dalla rete interna ad un tunnel IPsec e viceversa (S612/S613). Progettazione Vanno distinti le due visualizzazioni di comando: Nella modalità standard si accede a regole semplici predefinite. Nella modalità Advanced è possibile definire regole specifiche. Inoltre nella modalità Advanced vanno distinte regole firewall e blocchi di regole firewall per moduli: Le regole firewall locali sono assegnate rispettivamente ad un modulo. Esse vengono progettate nella finestra di dialogo delle proprietà del modulo. Le regole globali del firewall possono essere assegnate contemporaneamente a diversi moduli. Questa possibilità semplifica in molti casi la progettazione. Inoltre esiste la possibilità di definire in modo chiaro e compatto le regole del firewall con l'aiuto delle definizioni del servizio. A queste definizioni del servizio è possibile fare riferimento sia nelle regole firewall locali, sia nei blocchi di regole firewall globali. 132 Istruzioni operative, 02/2011, C79000-G8972-C196-07

133 Firewall, router e altre proprietà del modulo 5.1 Panoramica / Nozioni di base SCALANCE S come Router Significato Utilizzando SCALANCE S come router, si collega la rete interna alla rete esterna. La rete interna collegata tramite SCALANCE S diventa quindi una sotto-rete propria. Esistono le seguenti possibilità: Routing - impostabile nella modalità Standard e nella modalità Advanced NAT/NAPT Routing - impostabile nella modalità Advanced Routing - impostabile nella modalità Standard e nella modalità Advanced Vengono inoltrati telegrammi destinati ad un indirizzo IP esistente nelle relative sotto-reti (interne o esterne). Di conseguenza valgono le regole firewall definite per la rispettiva direzione di trasmissione. Per questo modo operativo è inoltre necessario progettare un indirizzo IP per la sotto-rete interna. Nota: Rispetto ad un funzionamento Bridge di SCALANCE S, nella modalità Routing i tag VLAN vengono persi. NAT/NAPT Routing - impostabile nella modalità Advanced In questo modo operativo viene inoltre eseguita una trasformazione degli indirizzi IP. Gli indirizzi IP degli apparecchi nella sotto-rete interna vengono rappresentati sugli indirizzi IP esterni e quindi non sono "visibili" sulla rete esterna. Per questo modo operativo progettare la trasformazione di indirizzo in un elenco. Assegnare rispettivamente un indirizzo IP interno e un indirizzo IP esterno. A seconda del metodo che si vuole impiegare, per l'assegnazione vale: NAT (Network Address Translation) In questo caso vale: Indirizzo = indirizzo IP NAPT (Network Address Port Translation) In questo caso vale: Indirizzo = indirizzo IP + numero di porta SCALANCE S come server DHCP Significato Sulla rete interna SCALANCE S può essere utilizzato come server DHCP. In questo modo è possibile assegnare automaticamente gli indirizzi IP agli apparecchi collegati alla rete interna. Gli indirizzi IP vengono assegnati dinamicamente da una banda di indirizzi indicata oppure viene assegnato un determinato indirizzo IP di un determinato apparecchio. Istruzioni operative, 02/2011, C79000-G8972-C

134 Firewall, router e altre proprietà del modulo 5.2 Creazione di moduli e impostazione dei parametri di rete Progettazione La configurazione come server DHCP è possibile nella visualizzazione "Advanced Mode". 5.2 Creazione di moduli e impostazione dei parametri di rete Creazione di moduli Creando un nuovo progetto, come standard il Security Configuration Tool apre la finestra di dialogo "Selection of a module or software configuration" nella quale è possibile configurare il primo modulo. Ulteriori moduli si creano con la seguente voce di menu: Insert Module in alternativa: con il menu contestuale nell'oggetto selezionato "All Modules". Nella fase successiva, in questa finestra di dialogo selezionare il tipo di prodotto, l'unità e il release del firmware. 134 Istruzioni operative, 02/2011, C79000-G8972-C196-07

135 Firewall, router e altre proprietà del modulo 5.2 Creazione di moduli e impostazione dei parametri di rete Impostazioni di rete di un modulo Le impostazioni di rete di un modulo comprendono: Parametri di indirizzo del modulo Indirizzi del router esterno Parametri di indirizzo Alcuni parametri di indirizzo possono essere configurati nella finestra di dialogo "Selection of a module or software configuration" durante la creazione di un modulo. I parametri di indirizzo possono essere inseriti anche nell'area del contenuto selezionando l'oggetto "All Modules" nell'area di navigazione: Le seguenti proprietà dei moduli vengono visualizzate per colonne: Tabella 5-1 Parametri IP - Selezione di "All Modules" Proprietà/colonna Significato Commento/selezione Number Numero di modulo progressivo viene assegnato automaticamente Name Denominazione logica tecnologica del selezionabile liberamente modulo. Ext. IP address Indirizzo IP con il quale è raggiungibile assegnazione adatta nell'insieme di reti. l'apparecchio della rete esterna, ad esempio per caricare la configurazione. Maschera sotto-rete est. Finestra della sotto-rete assegnazione adatta nell'insieme di reti. Int. IP address Indirizzo IP con il quale è raggiungibile assegnazione adatta nell'insieme di reti. l'apparecchio della rete interna, se La casella di inserimento può essere editata configurato come router. solo se nelle proprietà del modulo è stato attivato il funzionamento router. Maschera sotto-rete int. Finestra della sotto-rete assegnazione adatta nell'insieme di reti. La casella di inserimento può essere editata solo se nelle proprietà del modulo è stato attivato il funzionamento router. Default Router Indirizzo IP del router in una rete esterna. assegnazione adatta nell'insieme di reti. MAC address Indirizzo hardware del modulo L'indirizzo MAC è stampigliato sulla custodia del modulo. Osservare l'indirizzo MAC supplementare nella modalità Routing (indicazione alla fine di questa tabella). Istruzioni operative, 02/2011, C79000-G8972-C

136 Firewall, router e altre proprietà del modulo 5.2 Creazione di moduli e impostazione dei parametri di rete Proprietà/colonna Significato Commento/selezione Typ Tipo di apparecchio SCALANCE S602 SCALANCE S612 V1 SCALANCE S612 V2 SCALANCE S613 V1 SCALANCE S613 V2 SOFTNET Security Client 2005 SOFTNET Security Client 2008 SOFTNET Security Client V3.0 Comment Informazioni tecnologiche utili per il modulo e sotto-rete protetta dal modulo. MD 74x Per questi tipi di moduli non esiste una "finestra di dialogo delle proprietà". Per MD 74x nell'area del contenuto possono essere impostati gli indirizzi IP e le maschere della sotto-rete. selezionabile liberamente Indirizzo MAC supplementare in modalità Routing In modalità Routing SCALANCE S utilizza un indirizzo MAC supplementare sull'interfaccia verso la sotto-rete interna. Questo secondo indirizzo MAC viene formato dall'indirizzo MAC stampigliato sull'apparecchio nel modo seguente: Indirizzo MAC (interno) = indirizzo MAC stampigliato + 1 Nel funzionamento nelle reti piatte (funzionamento Bridge) è sempre valido l'indirizzo MAC stampigliato sia sull'interfaccia interna, sia su quella esterna. Nella finestra di dialogo online del Security Configuration Tool vengono visualizzati gli indirizzi MAC attualmente validi nella scheda "Status". Finestra di dialogo "Network / External Routers" A seconda della struttura di rete esistente può essere necessario indicare oltre al router standard altri router. Selezionare il modulo da modificare e selezionare la seguente voce di menu per configurare router esterni: Edit Properties.., scheda "Network" 136 Istruzioni operative, 02/2011, C79000-G8972-C196-07

137 Firewall, router e altre proprietà del modulo 5.3 Firewall - Proprietà del modulo in modalità Standard Figura 5-1 Finestra di dialogo "Network" Vedere anche Panoramica delle funzioni della finestra di dialogo online (Pagina 224) 5.3 Firewall - Proprietà del modulo in modalità Standard Progettazione del firewall Protezione da disturbi provenienti dalla rete esterna La funzionalità Firewall di SCALANCE S ha il compito di proteggere la rete interna da influssi o disturbi provenienti dalla rete esterna. Questo significa che sono consentite solo determinate relazioni di comunicazione precedentemente esistenti tra nodi di rete dalla rete interna e nodi di rete dalla rete esterna. Istruzioni operative, 02/2011, C79000-G8972-C

138 Firewall, router e altre proprietà del modulo 5.3 Firewall - Proprietà del modulo in modalità Standard Con le regole del filtro pacchetti si definisce l'abilitazione o la limitazione del traffico di dati continuo in base alle proprietà dei pacchetti di dati. In SCALANCE S612 / S613 il firewall può essere impiegato per il traffico di dati (via tunnel IPsec) codificato e il traffico di dati non codificato. Nella modalità standard possono essere eseguite solo impostazioni per il traffico di dati non codificato. Nota Modalità Routing Se per il modulo SCALANCE S è stata attivata la modalità Routing, le regole MAC non vengono utilizzate. Finestra di dialogo Selezionare il modulo da modificare e selezionare la seguente voce di menu per configurare il firewall: Edit Properties, scheda "Firewall" 138 Istruzioni operative, 02/2011, C79000-G8972-C196-07

139 Firewall, router e altre proprietà del modulo 5.3 Firewall - Proprietà del modulo in modalità Standard Area di selezione "Configuration" - Regole predefinite ATTENZIONE Osservare che il potenziale di pericolo aumenta più si abilitano opzioni. La modalità Standard comprende per il firewall le seguenti regole predefinite che possono essere selezionate nell'area di immissione "Configuration": Tabella 5-2 Regole predefinite del firewall semplice Regola/opzione Funzionamento Impostazione di default Solo comunicazione via tunnel (S612/S613) Tunnel Communication only Consenti traffico IP dalla rete interna alla rete esterna Allow outgoing IP traffic Consenti traffico IP con protocollo S7 dalla rete interna alla rete esterna. Allow outgoing S7 protocol Consenti accesso al server DHCP dalla rete interna alla rete esterna. Allow access to external DHCP server Consenti accesso al server NTP dalla rete interna alla rete esterna. Allow access to external NTP server Consenti telegrammi dell'ora SiClock dalla rete esterna alla rete interna. Allow access to external SiClock server Rappresenta l'impostazione standard. On Con questa impostazione viene autorizzato solo il traffico di dati IPsec codificato; possono comunicare tra loro solo nodi in reti interne di SCALANCE S. Questa opzione può essere selezionata solo se il modulo si trova in un gruppo. Se questa opzione è disattivata, è autorizzata la comunicazione via tunnel e inoltre il tipo di comunicazione selezionato nelle altre caselle delle opzioni. I nodi interni possono inizializzare un collegamento di off comunicazione con nodi in una rete esterna. Solo i telegrammi di risposta vengono inoltrati dalla rete esterna alla rete interna. Dalla rete esterna non può essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna. I nodi interni possono inizializzare un collegamento di off comunicazione S7 (protocollo S7 - TCP/Port 102) con nodi in una rete esterna. Solo i telegrammi di risposta vengono inoltrati dalla rete esterna alla rete interna. Dalla rete esterna non può essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna. I nodi interni possono inizializzare un collegamento di off comunicazione con un server DHCP in una rete esterna. Solo i telegrammi di risposta del server DHCP vengono inoltrati nella rete interna. Dalla rete esterna non può essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna. I nodi interni possono inizializzare un collegamento di off comunicazione con un server NTP (Network Time Protocol) in una rete esterna. Solo i telegrammi di risposta del server NTP vengono inoltrati nella rete interna. Dalla rete esterna non può essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna. Con questa opzione vengono abilitati i telegrammi dell'ora off SiClock da una rete esterna in una interna. (L'opzione non può essere utilizzata in modalità Routing.) Istruzioni operative, 02/2011, C79000-G8972-C

140 Firewall, router e altre proprietà del modulo 5.3 Firewall - Proprietà del modulo in modalità Standard Regola/opzione Funzionamento Impostazione di default Consenti accesso al server DNS dalla rete interna alla rete esterna. Allow access to external DNS server Consenti la configurazione dei nodi di rete interni tramite DCP dalla rete esterna alla rete interna. Allow access from external or internal nodes via DCP server I nodi interni possono inizializzare un collegamento di comunicazione con un server DNS in una rete esterna. Solo i telegrammi di risposta del server DNS vengono inoltrati nella rete interna. Dalla rete esterna non può essere inizializzato nessun collegamento di comunicazione con nodi nella rete interna. Il protocollo DCP viene utilizzato dal tool PST, per eseguire nei componenti di rete SIMATIC Net la denominazione dei nodi (impostazione dei parametri IP). Con questa regola viene consentito ai nodi nella rete esterna di accedere ai nodi nella rete interna tramite protocollo DCP. off off (L'opzione non può essere utilizzata in modalità Routing.) Area di selezione "Log" - Impostazione di registrazioni È possibile consentire una compilazione del protocollo sul traffico di dati in ingresso e in uscita Preimpostazione del firewall Comportamento con preimpostazione La preimpostazione per il firewall è selezionata in modo da non consentire un traffico di dati IP. La comunicazione tra i nodi nelle reti interne dei moduli SCALANCE S è autorizzata solo tramite tunnel IPsec configurati. I seguenti diagrammi illustrano le impostazioni standard in dettaglio rispettivamente per il filtro pacchetto IP e il filtro pacchetto MAC. 140 Istruzioni operative, 02/2011, C79000-G8972-C196-07

141 Firewall, router e altre proprietà del modulo 5.3 Firewall - Proprietà del modulo in modalità Standard Impostazione standard per filtro pacchetto IP Tutti i tipi di telegramma dall'interno all'esterno sono bloccati. 2 Tutti i telegrammi dall'interno a SCALANCE S sono autorizzati (sensato solo HTTPS). 3 Tutti i telegrammi dall'esterno all'interno e a SCALANCE S sono bloccati (anche ICMP Echo Request). 4 Sono autorizzati telegrammi dall'esterno (nodi esterni e SCALANCE S esterni) a SCALANCE S del seguente tipo: HTTPS (SSL) Protocollo ESP (codifica) IKE (protocollo per la realizzazione del tunnel IPsec) NAT-Traversal (protocollo per la realizzazione del tunnel IPsec) 5 È autorizzata la comunicazione IP tramite tunnel IPsec. 6 I telegrammi del tipo Syslog e NTP sono autorizzati da SCALANCE S verso l'esterno. Istruzioni operative, 02/2011, C79000-G8972-C

142 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Impostazione standard per filtro pacchetto MAC l 1 Tutti i tipi di telegramma dall'interno all'esterno sono bloccati. 2 Tutti i telegrammi dall'interno a SCALANCE S sono autorizzati. 3 Sono autorizzati i telegrammi ARP dall'interno all'esterno. 4 Tutti i telegrammi dall'esterno all'interno e a SCALANCE S sono bloccati. 5 Sono autorizzati telegrammi dall'esterno all'interno del seguente tipo: ARP con limitazione banda larga 6 Sono autorizzati telegrammi dall'esterno a SCALANCE S del seguente tipo: ARP con limitazione banda larga DCP 7 Sono autorizzati i protocolli MAC che vengono inviati attraverso il tunnel IPsec. 5.4 Firewall - Proprietà del modulo in modalità Advanced Nella modalità ampliata esistono possibilità di impostazione ampliate che consentono l'impostazione individuale delle regole del firmware e della funzionalità di sicurezza. Commutazione nella modalità Advanced Commutare il modo operativo per tutte le funzioni descritte in questo capitolo con la seguente voce di menu: 142 Istruzioni operative, 02/2011, C79000-G8972-C196-07

143 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced View Advanced Mode... Nota Non è più possibile annullare una commutazione nella modalità Advanced per il progetto attuale non appena sono state eseguite modifiche. Sono supportati i nomi simbolici Nelle funzioni descritte di seguito è possibile inserire indirizzi IP o indirizzi MAC anche come nomi simbolici Progettazione del firewall Rispetto alla progettazione di regole del filtro pacchetto preimpostate in modo fisso nella modalità standard, nella modalità Advanced Mode è possibile progettare regole del filtro pacchetto individuali di Security Configuration Tool. Le regole del filtro pacchetto si impostato nelle schede selezionabili per i seguenti protocolli: Protocollo IP (livello/layer 3) Protocollo MAC (livello/layer 2) Se nelle finestre di dialogo descritte di seguito non si inseriscono regole, valgono le impostazioni standard in base alla descrizione nel capitolo "Preimpostazione del firewall". Nota Modalità Routing Se per il modulo SCALANCE S è stata attivata la modalità Routing, le regole MAC non vengono utilizzate (le finestre non sono attive). Definizione globale e locale possibili Regole firewall globali Una regola globale del firewall può essere assegnata contemporaneamente a diversi moduli. Questa possibilità semplifica in molti casi la progettazione. Regole firewall locali Una regola firewall locale è assegnata rispettivamente ad un modulo. Essa viene progettata nella finestra di dialogo delle proprietà del modulo. Ad un modulo possono essere assegnate diverse regole firewall locali e diverse regole firewall globali. La definizione delle regole globali e locali viene eseguita allo stesso modo. La segeuente descrizione vale quindi per entrambi e metodi indicati. Istruzioni operative, 02/2011, C79000-G8972-C

144 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Regole firewall globali Impiego Le regole Firewall globali vengono progettate sul livello del progetto fuori dal modulo. Come i moduli, esse sono visibili nell'area di navigazione del Security Configuration Tool. Selezionando un modulo progettato e trascinandolo sulla regola firewall globale (Drag and Drop), si assegna al modulo questa regola firewall. Questa regola firewall globale viene quindi visualizzata automaticamente nell'elenco specifico del modulo delle regole firewall. Le regole firewall globali possono essere definite per: Blocchi di regole IP Blocchi di regole MAC La seguente rappresentazione descrive la relazione tra blocchi di regole definiti globalmente e blocchi di regole utilizzati localmente. 144 Istruzioni operative, 02/2011, C79000-G8972-C196-07

145 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Quando vanno utilizzate le regole firewall globali? Le regole firewall globali vanno utilizzate se per diverse sotto-reti protette da moduli SCALANCE S si possono definire criteri di filtraggio identici per la comunicazione con la rete esterna. È tuttavia necessario fare attenzione che questa progettazione semplificata può comportare risultati indesiderati in caso assegnazione errata del modulo. Di conseguenza è necessario verificare sempre nel risultato le regole firewall locali specifiche per il modulo. Un'assegnazione della regola eseguita inavvertitamente può non essere riconosciuta nell'ambito del controllo automatico della coerenza! Le regole firewall globali vengono utilizzate localmente - Accordi Per la creazione di un blocco di regole firewall globale e per l'assegnazione ad un modulo valgono i seguenti accordi: Visualizzazione nel Security Configuration Tool Le regole firewall globali possono essere create solo nell'impostazione della modalità Advanced. Priorità Le regole definite localmente hanno come standard priorità superiore rispetto alle regole globali; per questo motivo le regole globali assegnate vengono inserire nell'elenco dopo le regole locali. La priorità può essere modificata cambiando la posizione nell'elenco delle regole. Istruzioni operative, 02/2011, C79000-G8972-C

146 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Granularità Le regole firewall globali possono essere assegnate ad un modulo solo come blocco di regole intero. Inserimento, modifica o cancellazione delle regole Le regole firewall globali non possono essere editate nell'elenco delle regole locali nelle proprietà del modulo. Esse possono essere solo visualizzate e posizionate in base alla priorità desiderata. Da un blocco di regole assegnato non può essere cancellata una singola regola. Dall'elenco di regole locali può essere ripreso solo un blocco di regole intero; in questo modo la definizione nell'elenco di regole globali non viene modificata. Creazione e assegnazione di regole globali del filtro pacchetto Se si si vuole definire e assegnare un blocco di regole firewall procedere nel modo seguente: 1. Selezionare nell'area di navigazione una delle seguenti cartelle: Blocchi di regole firewall globali / blocchi di regole IP firewall. Blocchi di regole firewall globali / blocchi di regole MAC firewall. 2. Per la configurazione di un blocco di regole globali selezionare la seguente voce di menu: Insert Firewall rule set 146 Istruzioni operative, 02/2011, C79000-G8972-C196-07

147 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced 3. Inserire in sequenza le regole del firewall nell'elenco; osservare la descrizione dei parametri e l'analisi nel seguente capitolo o nella guida in linea. 4. Assegnare la regola firewall globale ai moduli nei quali deve essere utilizzata questa regola. Selezionare quindi nell'area di navigazione un modulo e trascinarlo sul blocco di regole globale adatto nell'area di navigazione (Drag and Drop). Risultato: Il modulo assegnato utilizza il blocco di regole globali come blocco di regole locali Impostazione delle regole del filtro pacchetto IP locali Tramite le regole del filtro pacchetto IP è possibile filtrare sui telegrammi IP come per esempio telegrammi UDP, TCP, ICMP. All'interno di una regola del filtro pacchetto IP è possibile accedere alle definizioni del servizio e mantenere quindi la limitazione dei criteri di filtraggio. Se non si indicano servizi, la regola del filtro pacchetto IP vale per tutti i servizi. Si apre la finestra di dialogo delle regole locali del filtro pacchetto IP. Selezionare il modulo da modificare e selezionare la seguente voce di menu per configurare il firewall: Edit Properties... Istruzioni operative, 02/2011, C79000-G8972-C

148 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Inserire le regole del filtro pacchetto IP Inserire in sequenza le regole del firewall nell'elenco; osservare la descrizione dei parametri e gli esempi nel seguente capitolo o nella guida in linea. Utilizzo di blocchi di regole globali I blocchi di regole globali assegnati al modulo vengono registrati automaticamente nel blocco di regole locali. Essi si trovano dapprima alla fine dell'elenco delle regole e vengono quindi elaborati con priorità più bassa. La priorità può essere modificata modificando la posizione di un blocco di regole locali o globali nell'elenco delle regole. La guida in linea descrive il significato dei singoli pulsanti. F1 148 Istruzioni operative, 02/2011, C79000-G8972-C196-07

149 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Regole del filtro pacchetto IP L'elaborazione delle regole del filtro pacchetto IP avviene in base alle seguenti analisi: parametri inseriti nella regola; sequenza e priorità della regola ad essa collegata all'interno del blocco di regole. Parametri La progettazione di una regola IP comprende i seguenti parametri: Denominazione Significato / Commento Possibilità di selezione / campi dei valori Action Definizione delle autorizzazioni (abilitazione/disabilitazione) Allow Autorizzazione di telegrammi in base alla definizione. Drop Disabilitazione di telegrammi in base alla definizione. Direction Indica la direzione del traffico di dati ("Tunnel / Any" solo per S612 / S613) Internal External Internal External Tunnel Internal Tunnel Internal Internal any Internal any Source IP Destination IP Service Indirizzo IP sorgente Indirizzo IP di destinazione Nome del servizio IP/ICMP o del gruppo di servizi utilizzato. Con l'aiuto delle definizioni del servizio è possibile definire in modo chiaro e compatto le regole del filtro pacchetto Qui si seleziona un servizio definito nella finestra di dialogo dei servizi IP: Servizi IP o Servizi ICMP Se non si è ancora definito un servizio o se non si intende definire altri servizi, azionare il pulsante "IP/MAC Services Definitions..". Consultare la sezione "Indirizzi IP nelle regole filtro pacchetto IP" in questo capitolo. In alternativa è possibile inserire nomi simbolici. La casella di riepilogo a discesa offre per la selezione i servizi progettati e i gruppi dei servizi. Nessuna indicazione significa: non viene controllato nessun servizio, la regola vale per tutti i servizi. Istruzioni operative, 02/2011, C79000-G8972-C

150 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Denominazione Significato / Commento Possibilità di selezione / campi dei valori Larghezza di banda (Mbit/s) Logging Commento Possibilità di impostazione per una limitazione banda larga. Un pacchetto passa dal firewall, quando la regola di pass è giusta e la larghezza di banda ammessa per questa regola non è ancora stata superata. Attivazione e disattivazione del logging per questa regola Spazio per la spiegazione della regola Campo dei valori: Mbit/s Indirizzi IP nelle regole del filtro pacchetto IP L'indirizzo IP è composto da 4 numeri decimali dell'area di valori da 0 a 255, divisi tra loro da un punto; esempio: Nella regola del filtro pacchetto esistono le seguenti possibilità per indicare gli indirizzi IP: nessuna indicazione Non viene eseguito nessun controllo, la regola vale per tutti gli indirizzi IP. un indirizzo IP La regola vale esattamente per l'indirizzo indicato. Banda indirizzo La regola vale per tutti indirizzi IP che si trovano nella banda di indirizzi. Una banda di indirizzi viene definita indicando il numero di posizioni di bit valide nell'indirizzo IP nella seguente forma: [Indirizzo IP]/[Numero dei bit da considerare] [Indirizzo IP]/24 significa quindi che vengono considerati nella regola del filtro solo i 24 bit con valore maggiore dell'indirizzo IP; sono le prime tre posizioni dell'indirizzo IP. [Indirizzo IP]/25 significa che vengono considerati nella regola del filtro solo le prime tre posizioni e il bit con valore maggiore della quarta posizione dell'indirizzo IP. Tabella 5-3 Esempi per la banda di indirizzi per indirizzi IP IP sorgente e IP di destinazione Banda indirizzo Numero indirizzi *) da a / / / / / / / Istruzioni operative, 02/2011, C79000-G8972-C196-07

151 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced IP sorgente e IP di destinazione Banda indirizzo Numero indirizzi *) da a / *) Nota: Fare attenzione che i valori di indirizzo 0 e 255 nell'indirizzo IP hanno funzioni speciali (0 rappresenta un indirizzo della rete, 255 rappresenta un indirizzo broadcast). Di conseguenza il numero degli indirizzi realmente disponibili si riduce. Sequenza per l'analisi delle regole con SCALANCE S SCALANCE S analizza le regole del filtro pacchetto nel modo seguente: La lista viene analizzata dall'alto verso il basso; in caso di regole contrastanti vale sempre la voce più in alto. Per le regole per la comunicazione tra rete interna ed esterna valgono le seguenti regole: tutti i telegrammi, eccetto i telegrammi autorizzati in modo esplicito nella lista, sono disabilitati. Per le regole per la comunicazione tra rete interna ed esterna e IPsec Tunnel valgono le seguenti regole: tutti i telegrammi, eccetto i telegrammi disabilitati in modo esplicito nella lista, sono autorizzati. Istruzioni operative, 02/2011, C79000-G8972-C

152 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Esempio Le regole del filtro pacchetto rappresentate come esempio nella finestra di dialogo riportata sopra provocano il seguente comportamento: 152 Istruzioni operative, 02/2011, C79000-G8972-C196-07

153 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Tutti i tipi di telegramma dall'interno all'esterno sono bloccati come standard, eccetto quelli autorizzati in modo esplicito. Tutti i tipi di telegramma dall'esterno all'interno sono bloccati come standard, eccetto quelli autorizzati in modo esplicito. La regola del filtro pacchetto IP 1 consente i telegrammi con la definizione di servizio "Service X1" dall'interno all'esterno. La regola del filtro pacchetto IP 2 consente i telegrammi dall'esterno all'interno se viene soddisfatta la seguente condizione: Indirizzo IP del mittente: Indirizzo IP del destinatario: Definizione del servizio: "Service X2" La regola del filtro pacchetto IP 3 blocca i telegrammi con la definizione di servizio "Service X2" nella VPN (IPsec Tunnel). Come standard la comunicazione IPsec Tunnel è autorizzata, eccetto i tipi di telegrammi bloccati in modo esplicito definizione dei servizi IP Con l'aiuto delle definizioni del servizio IP è possibile definire in modo chiaro e compatto le regole del firewall che vengono utilizzate su determinati servizi. Per questo si assegna un nome e si assegnano al nome i parametri del servizio. Istruzioni operative, 02/2011, C79000-G8972-C

154 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Inoltre è possibile riunire in gruppi i servizi definiti in un sottogruppo. Per la progettazione delle regole del filtro pacchetto globali o locali utilizzare semplicemente questo nome. Finestra di dialogo / scheda La finestra di dialogo si apre nel modo seguente: Con la voce di menu Options IP Service Definitions... o Dalla scheda "Firewall/IP Rules" con il pulsante "IP Services Definitions." 154 Istruzioni operative, 02/2011, C79000-G8972-C196-07

155 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Parametri per servizi IP La definizione dei servizi IP viene eseguita con i seguenti parametri: Tabella 5-4 Servizi IP: Parametri Denominazione Significato / Commento Possibilità di selezione / campi dei valori Name Nome definibile liberamente per il servizio che viene utilizzato Immissione libera per l'identificazione nella definizione della regola o nel raggruppamento. Protocollo Nome del tipo di protocollo: TCP UDP Any (TCP e UDP) Porta sorgente Viene eseguito un filtraggio in base al numero di porta qui Esempi: indicato; esso definisce l'accesso al servizio nel mittente del *: La porta non viene controllata telegramma. 20 o 21: FTP Service Porta di destinazione Viene eseguito un filtraggio in base al numero di porta qui indicato; esso definisce l'accesso al servizio nel destinatario del telegramma. Esempi: *: La porta non viene controllata 80: Web-HTTP-Service 102: Protocollo S7 - TCP/Port definizione dei servizi ICMP Con l'aiuto delle definizioni del servizio ICMP è possibile definire in modo chiaro e compatto le regole del firewall che vengono utilizzate su determinati servizi. Per questo si assegna un nome e si assegnano al nome i parametri del servizio. Inoltre è possibile riunire in gruppi i servizi definiti in un sottogruppo. Per la progettazione delle regola del filtro pacchetto utilizzare semplicemente questo nome. Istruzioni operative, 02/2011, C79000-G8972-C

156 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Finestra di dialogo / scheda La finestra di dialogo si apre nel modo seguente: Tramite la voce di menu Options IP Service Definitions... o Dalla scheda "Firewall" con il pulsante "IP Services Definitions." Parametri per servizi ICMP La definizione dei servizi ICMP viene eseguita con i seguenti parametri: Tabella 5-5 Servizi ICMP: Parametri Denominazione Significato / Commento Possibilità di selezione / campi dei valori Name Nome definibile liberamente per il servizio che viene utilizzato per l'identificazione nella definizione della regola o nel raggruppamento. Immissione libera Typ Tipo del messaggio ICMP vedere la visualizzazione della finestra di dialogo Code Codice del tipo ICMP I valori sono in base al tipo selezionato. 156 Istruzioni operative, 02/2011, C79000-G8972-C196-07

157 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Impostazione di regole del filtro pacchetto MAC Con le regole del filtro pacchetto MAC è possibile filtrare i telegrammi MAC. Nota Modalità Routing Se per il modulo SCALANCE S è stata attivata la modalità Routing, le regole MAC non vengono utilizzate (le finestre non sono attive). Finestra di dialogo / scheda Selezionare il modulo da modificare e selezionare la seguente voce di menu per configurare il firewall: Edit Properties.., scheda "Firewall", tab "MAC Rules" Figura 5-2 Finestra di dialogo "MAC Rules" nell'esempio per SCALANCE S602 Istruzioni operative, 02/2011, C79000-G8972-C

158 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Inserimento delle regole del filtro pacchetto Inserire in sequenza le regole del firewall nell'elenco; osservare la descrizione dei parametri e gli esempi nel seguente capitolo o nella guida in linea. Utilizzo di blocchi di regole globali I blocchi di regole globali assegnati al modulo vengono registrati automaticamente nel blocco di regole locali. Essi si trovano dapprima alla fine dell'elenco delle regole e vengono quindi elaborati con priorità più bassa. La priorità può essere modificata modificando la posizione di un blocco di regole locali o globali nell'elenco delle regole. La guida in linea descrive il significato dei singoli pulsanti. F Regole del filtro pacchetto MAC L'elaborazione delle regole del filtro pacchetto MAC avviene in base alle seguenti analisi: Parametri inseriti nella regola; Priorità della regola all'interno del blocco di regole. Regole del filtro pacchetto MAC La progettazione di una regola MAC comprende i seguenti parametri: Tabella 5-6 Regole MAC: Parametri Denominazione Significato / Commento Possibilità di selezione / campi dei valori Aktion Definizione delle autorizzazioni (abilitazione/disabilitazione) Allow Autorizzazione di telegrammi in base alla definizione. Drop Direzione Quelle MAC MAC di destinazione Indica la direzione e il tipo del traffico di dati ("Tunnel / Any" solo per S612 / S613) Indirizzo MAC sorgente Indirizzo MAC di destinazione Disabilitazione di telegrammi in base alla definizione. Internal External Internal External Tunnel Internal Tunnel Internal Internal any Internal any In alternativa all'indicazione dell'indirizzo MAC è possibile inserire nomi simbolici. 158 Istruzioni operative, 02/2011, C79000-G8972-C196-07

159 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Denominazione Significato / Commento Possibilità di selezione / campi dei valori Servizio Nome del servizio MAC o del gruppo di servizi utilizzato. La casella di riepilogo a discesa offre per la selezione i servizi progettati e i gruppi dei servizi. Nessuna indicazione significa: non viene controllato nessun servizio, la regola vale per tutti i servizi. Larghezza di banda (Mbit/s) Log Commento Possibilità di impostazione per una limitazione banda larga. Un pacchetto passa dal firewall, quando la regola di pass è giusta e la larghezza di banda ammessa per questa regola non è ancora stata superata. Attivazione e disattivazione del logging per questa regola Spazio per la spiegazione della regola Campo dei valori: Mbit/s Analisi della regola con SCALANCE S SCALANCE S analizza le regole del filtro pacchetto nel modo seguente: La lista viene analizzata dall'alto verso il basso; in caso di regole contrastanti vale sempre la voce più in alto. Nelle regole per la comunicazione in direzione interno->esterno e interno<-esterno, per tutti i telegrammi rilevati in modo non esplicito vale: tutti i telegrammi sono disabilitati, eccetto i telegrammi autorizzati in modo esplicito nella lista. Nelle regole per la comunicazione in direzione interno-> IPsec Tunnel e interno<- IPsec Tunnel, per tutti i telegrammi rilevati in modo non esplicito vale: tutti i telegrammi sono autorizzati, eccetto i telegrammi disabilitati in modo esplicito nella lista. ATTENZIONE Nella modalità Bridge: Regole IP applicate ai pacchetti IP, regole MAC applicate ai pacchetti Layer 2 Se un modulo si trova nella modalità Bridge, per il firewall possono essere definite sia regole IP, sia regole MAC. La modifica nel firewall è regolato in base al tipo Ethertype del pacchetto. I pacchetti IP vengono inoltrato o bloccati in base alle regole IP mentre i pacchetti Layer 2 in base alle regole MAC. Non è possibile filtrare un pacchetto IP utilizzando una regola firewall MAC, ad es. basato su un indirizzo MAC. Esempi L'esempio per il filtro pacchetto IP nel capitolo può essere logicamente utilizzato sulle regole del filtro pacchetto MAC. Istruzioni operative, 02/2011, C79000-G8972-C

160 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced definizione dei servizi MAC Con l'aiuto delle definizioni del servizio MAC è possibile definire in modo chiaro e compatto le regole del firewall che vengono utilizzate su determinati servizi. Per questo si assegna un nome e si assegnano al nome i parametri del servizio. Inoltre è possibile riunire in gruppi i servizi definiti in un sottogruppo. Per la progettazione delle regole del filtro pacchetto globali o locali utilizzare semplicemente questo nome. Finestra di dialogo La finestra di dialogo si apre nel modo seguente: Tramite la seguente voce di menu: Options MAC Service Definitions... o Dalla scheda "Firewall/MACRules" con il pulsante "MAC Services Definitions." 160 Istruzioni operative, 02/2011, C79000-G8972-C196-07

161 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced Parametri per servizi MAC Una definizione di servizio MAC contiene una categoria di parametri MAC specifici per il protocollo: Tabella 5-7 Parametri dei servizi MAC Denominazione Significato / Commento Possibilità di selezione / campi dei valori Name Protocollo Nome definibile liberamente per il servizio che viene utilizzato per l'identificazione nella definizione della regola o nel raggruppamento. Nome del tipo di protocollo: ISO ISO contrassegna i telegrammi con le seguenti proprietà: Lengthfield <= 05DC (hex), DSAP= userdefined SSAP= userdefined CTRL= userdefined Immissione libera ISO SNAP 0x (immissione codice) SNAP SNAP contrassegna i telegrammi con le seguenti proprietà: Lengthfield <= 05DC (hex), DSAP=AA (hex), SSAP=AA (hex), CTRL=03 (hex), OUI=userdefined, OUI-Type=userdefined DSAP Destination Service Access Point: Indirizzo destinatario LLC SSAP Source Service Access Point: Indirizzo mittente LLC CTRL LLC Control Field OUI Organizationally Unique Identifier (i primi 3 byte dell'indirizzo MAC = identificazione costruttore) OUI-Type Tipo di protocollo/identificazione *) Le indicazioni del protocollo 0800 (hex) e 0806 (hex) non vengono accettate in quanto questi valori valgono per i telegrammi IP e ICMP. Questi telegrammi vengono filtrati con le regole IP. Impostazioni specifiche per servizi SIMATIC NET Per il filtraggio di servizi SIMATIC NET specifici utilizzare le seguenti impostazioni SNAP: DCP (Primary Setup Tool) : PROFINET SiClock : OUI= (hex), OUI-Type= (hex) Istruzioni operative, 02/2011, C79000-G8972-C

162 Firewall, router e altre proprietà del modulo 5.4 Firewall - Proprietà del modulo in modalità Advanced configurazione di gruppi di servizi Formazioni di gruppi di servizi È possibile riunire diversi servizi formando gruppi di servizi. In questo modo è possibile realizzare servizi complessi che possono essere utilizzati nelle regole del filtro pacchetti selezionando semplicemente il nome. Finestre di dialogo / scheda La finestra di dialogo si apre nel modo seguente: Tramite la seguente voce di menu: Options IP/MAC Service Definitions... o Dalla scheda "Firewall/IP Rules" e "Firewall/MACRules" con il pulsante "IP/MAC Services Definitions.." 162 Istruzioni operative, 02/2011, C79000-G8972-C196-07

163 Firewall, router e altre proprietà del modulo 5.5 Sincronizzazione dell'ora 5.5 Sincronizzazione dell'ora Significato Per il controllo della validità dell'ora di un certificato e per il timbro dell'ora di registrazioni log, sul modulo SCALANCE S viene indicata la data e l'ora. Nota La sincronizzazione dell'ora si riferisce solo al modulo SCALANCE S e non può essere utilizzata per la sincronizzazione di apparecchi nella rete interna di SCALANCE S. In alternativa all'indicazione dell'ora Sono progettabili le seguenti alternative: Ora locale del PC Posizioni automatiche dell'ora del modulo con l'ora del PC durante il caricamento di una configurazione. NTP Server Posizioni automatiche e sincronizzazione periodica dell'ora tramite un server NTP (Network Time Protocol). Apertura della finestra di dialogo per la configurazione della sincronizzazione dell'ora Selezionare il modulo da modificare e selezionare la seguente voce di menu: Edit Properties.., scheda "Time synchronization" Istruzioni operative, 02/2011, C79000-G8972-C

164 Firewall, router e altre proprietà del modulo 5.5 Sincronizzazione dell'ora Sincronizzazione con un server dell'ora NTP Per la sincronizzazione con un server dell'ora NTP è necessario indicare i seguenti parametri durante la configurazione: Indirizzo IP del server NTP l'intervallo di update in secondi ATTENZIONE Se il server NTP di Scalance S non è raggiungibile tramite un collegamento via tunnel IPsec, è necessario abilitare in modo esplicito i telegrammi del server NTP nel firewall (UDP, Port 123). Telegrammi dell'ora esterni I telegrammi dell'ora esterni non sono protetti e possono essere falsificati nella rete esterna. Questo può per esempio compromettere l'ora locale nella rete interna nei moduli SCALANCE S. Di conseguenza i server NTP dovrebbero essere posizionati possibilmente nelle reti interne. 164 Istruzioni operative, 02/2011, C79000-G8972-C196-07

165 Firewall, router e altre proprietà del modulo 5.6 Creazione di certificati SSL 5.6 Creazione di certificati SSL Significato Per l'autentificazione della comunicazione tra un apparecchio e SCALANCE S è necessario includere i certificati SSL nella comunicazione online. Apertura della finestra di dialogo per la gestione dei certificati SSL Selezionare il modulo da modificare e selezionare la seguente voce di menu: Edit Properties.., scheda "SSL certificates" Istruzioni operative, 02/2011, C79000-G8972-C

166 Firewall, router e altre proprietà del modulo 5.7 Modalità Routing 5.7 Modalità Routing Routing Significato Se si è attivata la modalità Routing vengono inoltrati telegrammi destinati ad un indirizzo IP esistente nelle relative sotto-reti (interne o esterne). Di conseguenza valgono le regole firewall interessate dalla relativa direzione di trasmissione. Per il modo operativo è necessario progettare nella finestra indicata qui di seguito un indirizzo IP interno e una maschera di sotto-rete interna per l'indirizzamento del router sulla sotto-rete interna. Visualizzazione di comando Questa funzione può essere progettata in modo identico nella modalità Standard e nella modalità Advanced. Attivazione del funzionamento router 1. Selezionare il modulo da modificare e selezionare la seguente voce di menu: 166 Istruzioni operative, 02/2011, C79000-G8972-C196-07

167 Firewall, router e altre proprietà del modulo 5.7 Modalità Routing Edit Properties..., scheda "Routing Mode" 2. Selezionare l'opzione routing "active". 3. Inserire un indirizzo IP interno e una maschera di sotto-rete interna per l'indirizzamento del router sulla sotto-rete interna nelle caselle di immissione ora attive NAT/NAPT Routing Significato Progettando nella finestra di dialogo "Routing Mode" una conversione di indirizzo, si comanda SCALANCE S come router NAT/NAPT. Grazie a questa tecnica gli indirizzi dei nodi nella rete interna non vengono resi noti all'esterno nella rete esterna; i nodi interni sono visibili nella rete esterna solo tramite gli indirizzi IP esterni definiti nella tabella di conversione indirizzi (tabella NAT e tabella NAPT) e quindi protetti da accesso diretto. NAT: Network Adress Translation NAPT: Network Address Port Translation Istruzioni operative, 02/2011, C79000-G8972-C

168 Firewall, router e altre proprietà del modulo 5.7 Modalità Routing Visualizzazione di comando Questa funzione è disponibile nella modalità Advanced. Commutare il modo operativo per tutte le funzioni descritte in questo capitolo con la seguente voce di menu: View Advanced Mode Il modo operativo qui descritto comprende il funzionamento come router standard. Osservare quindi le indicazioni nel capitolo "Routing". Relazione tra router NAT/NAPT e firewall Per entrambe le direzioni vale che i telegrammi attraversano dapprima la conversione di indirizzo nel router NAT/NAPT e successivamente il firewall. Le impostazioni per il router NAT/NAPT e le regole firewall devono essere concordi in modo che i telegrammi possano attraversare il firewall con l'indirizzo convertito. Firewall e router NAT/NAPT supportano il dispositivo "Stateful Packet Inspection". Di conseguenza i telegrammi di risposta possono attraversare il router NAT/NAPT e il firewall, senza che i relativi indirizzi debbano essere ulteriormente acquisiti nella regola firewall e nella conversione di indirizzo NAT/NAPT. SCALANCE S Osservare gli esempi nei seguenti capitoli. Limitazioni Nell'elenco qui descritto viene eseguita una conversione di indirizzo definita in modo statico per i nodi sulla rete interna (sotto-rete). 168 Istruzioni operative, 02/2011, C79000-G8972-C196-07

169 Firewall, router e altre proprietà del modulo 5.7 Modalità Routing Modificare la finestra di dialogo per l'attivazione del funzionamento router NAT/NAPT 1. Selezionare il modulo da modificare e selezionare la seguente voce di menu: Edit Properties..,, scheda "Routing Mode" 2. A seconda dell'esigenza, attivare una conversione di indirizzo in base a NAT(Network Adress Translation) o NAPT (Network Address Port Translation). 3. Progettare la conversione di indirizzo in base alle seguenti indicazioni. Campo di immissione "NAT" (Network Adress Translation) In questo caso vale: Indirizzo = indirizzo IP Tabella 5-8 Opzioni NAT Casella opzione NAT active Allow Internal- >External for all user Significato Il campo di immissione per NAT viene attivato. Le conversioni di indirizzo NAT vengono attivate solo con l'opzione e le registrazioni descritte di seguito nell'elenco di conversione di indirizzi. Inoltre è necessario configurare adeguatamente il firewall (vedere esempi). Selezionando questa opzione, per tutti i telegrammi dall'interno all'esterno viene eseguita una conversione dell'indirizzo IP interno su un indirizzo IP modulo esterno e una anche conversione del numero di porta indicato dal modulo. Questo comportamento è visibile nella riga evidenziata in basso nella tabella NAT. Qui con un simbolo "*" nella colonna "Internal IP address" viene visualizzato che vengono convertiti tutti i telegrammi direzionati dall'interno all'esterno. Osservazione: A causa di questo effetto sull'elenco delle conversioni di indirizzo, questa opzione è assegnata al campo di immissione NAT nonostante l'assegnazione supplementare di un numero di porta. Istruzioni operative, 02/2011, C79000-G8972-C

170 Firewall, router e altre proprietà del modulo 5.7 Modalità Routing Tabella 5-9 Tabella NAT Parametri Significato / Commento Possibilità di selezione / campi dei valori external IP address Per la direzione di telegramma "Interno esterno": nuovo indirizzo IP assegnato Per la direzione di telegramma "Esterno interno": indirizzo IP conosciuto Consultare la sezione "Indirizzi IP nelle regole filtro pacchetto IP" in questo capitolo. In alternativa è possibile inserire nomi simbolici. Internal IP address Per la direzione di telegramma "Esterno interno": nuovo indirizzo IP assegnato Per la direzione di telegramma "Interno esterno": indirizzo IP conosciuto Direzione Assegnare qui la direzione del telegramma. Effetto nell'esempio "Interno esterno": Nei telegrammi provenienti dalla sotto-rete interna viene controllato l'indirizzo IP interno indicato e i telegrammi vengono inoltrati alla rete esterna con l'indirizzo IP esterno indicato. Internal External Esterno interno Bidirezionale Campo di immissione "NAPT" (Network Address Port Translation) In questo caso vale: Indirizzo = indirizzo IP + numero di porta Tabella 5-10 Opzioni NAPT Casella opzione NAPT active external IP address Significato Il campo di immissione per NAPT viene attivato. Le conversioni di indirizzo NAPT diventano efficaci solo con le registrazioni nell'elenco di conversione di indirizzi. Inoltre è necessario configurare adeguatamente il firewall (vedere esempi). Visualizzazione dell'indirizzo IP del modulo SCALANCE S che viene utilizzato dai nodi sulla rete esterna come indirizzo router. 170 Istruzioni operative, 02/2011, C79000-G8972-C196-07

171 Firewall, router e altre proprietà del modulo 5.7 Modalità Routing Tabella 5-11 Tabella NAPT Parametri Significato / Commento Possibilità di selezione / campi dei valori Porta esterna Internal IP address Porta interna Un nodo nella rete esterna può rispondere ad un nodo nella sotto-rete interna o inviare un telegramma utilizzando questo numero di porta. Indirizzo IP del nodo interrogato sulla sotto-rete interna. Il numero di porta di un servizio nel nodo interrogato sulla sotto-rete interna. Porta o aree della porta. Esempio per l'inserimento di un'area della porta: 78:99 Consultare la sezione "Indirizzi IP nelle regole filtro pacchetto IP" in questo capitolo. In alternativa è possibile inserire nomi simbolici. Porta (nessuna area di porta) Controllo della coerenza - vanno osservate queste regole Per l'assegnazione di indirizzo osservare le seguenti regole per ottenere registrazioni coerenti: Controllo / Regola Controllo eseguito L'ID della sotto-rete interna deve essere diversa dall'id della sotto-rete esterna. Gli indirizzi IP interni non devono essere identici agli indirizzi IP del modulo. Riprendere la parte definita per l'id di rete dalla maschera della sotto-rete. locale in tutto il progetto x x x Nell'indirizzo IP esterno deve essere ripresa la parte di indirizzo determinata dalla maschera di sotto-rete esterna dall'indirizzo IP SCALANCE S esterno. Nell'indirizzo IP interno deve essere ripresa la parte di indirizzo determinata dalla maschera di sotto-rete interna dall'indirizzo IP SCALANCE S interno. Un indirizzo IP, che viene utilizzato nell'elenco di conversione di indirizzi NAT/NAPT, non deve essere un indirizzo Multicast e un indirizzo Broadcast. Il router di default deve trovarsi in una delle sotto-reti di SCALANCE S, cioè deve essere corrispondere all'indirizzo IP esterno o a quello interno. Le porte esterne assegnate per la conversione NAPT si trova nel campo > 0 e <= Port123 (NTP), 443 (HTTPS), 514 (Syslog) e (IPsec; solo per S612 e S613) sono escluse. L'indirizzo IP esterno di SCALANCE S deve essere utilizzato nella tabella NAT solo per la direzione "interno esterno". L'indirizzo IP interno di SCALANCE S non deve essere utilizzato nella tabella NAT e nella tabella NAPT. Controllo duplicato nella tabella NAT Un indirizzo IP esterno, che viene utilizzato con direzione "esterno interno" o "bidirezionale" deve comparire una sola volta nella tabella NAT. x x x x x x Istruzioni operative, 02/2011, C79000-G8972-C

172 Firewall, router e altre proprietà del modulo 5.7 Modalità Routing Controllo / Regola Controllo eseguito Controllo duplicato nella tabella NAPT locale x in tutto il progetto Un numero di porta esterno deve essere inserito una sola volta. Poiché viene sempre utilizzato l'indirizzo IP di SCALANCE S come indirizzo IP esterno, in caso di impiego multiplo non sarebbe garantita l'univocità. I numeri o le aree delle porte esterne non devono sovrapporsi. Non appena è stata attivata la modalità Routing, a SCALANCE S devono essere assegnati i secondi indirizzi (IP/sotto-rete). x Le porte NAPT interne possono trovarsi nel campo > 0 e <= x Dopo la conclusione delle immissioni eseguire un controllo della coerenza. Selezionare quindi la seguente voce di menu: Options Check Consistency NAT/NAPT Routing - Esempi per la configurazione parte 1 Informazioni generali In questo capitolo si trovano i seguenti esempi per la configurazione del router NAT/NAPT: Esempio 1: Conversione di indirizzi NAT "esterno interno" Esempio 2: Conversione di indirizzi NAT "interno esterno" Esempio 3: Conversione di indirizzi NAT "bidirezionale" Esempio 4: Conversione di indirizzi NAPT 172 Istruzioni operative, 02/2011, C79000-G8972-C196-07

173 Firewall, router e altre proprietà del modulo 5.7 Modalità Routing Progettazione Nella seguente progettazione di routing si trovano assegnazioni di indirizzi secondo la conversione di indirizzi NAT e NAPT: Descrizione Istruzioni operative, 02/2011, C79000-G8972-C

174 Firewall, router e altre proprietà del modulo 5.7 Modalità Routing Esempio 1: Conversione di indirizzi NAT "esterno interno" Un nodo nella rete esterna può inviare al nodo con l'indirizzo IP interno un telegramma nella sotto-rete interna utilizzando l'indirizzo IP esterno come indirizzo di destinazione. Esempio 2: Conversione di indirizzi NAT "interno esterno" I telegrammi di un nodo interno con l'indirizzo IP interno vengono inoltrati alla sotto-rete esterna con l'indirizzo IP esterno come indirizzo sorgente. Nell'esempio il firewall viene impostato in modo che i telegrammi con l'indirizzo IP sorgente vengano autorizzati dall'interno all'esterno e che i nodi con indirizzo IP vengano raggiunti. Esempio 3: Conversione di indirizzi NAT "bidirezionale" In questo esempio la conversione di indirizzo viene eseguita nel modo seguente per telegrammi in arrivo sia internamente, sia esternamente: Un nodo nella rete esterna può inviare al nodo con l'indirizzo IP interno un telegramma nella sotto-rete interna utilizzando l'indirizzo IP esterno come indirizzo di destinazione. I telegrammi di un nodo interno con l'indirizzo IP interno vengono inoltrati alla sotto-rete esterna con l'indirizzo IP esterno come indirizzo sorgente. Il firewall è impostato in modo che i telegrammi con indirizzo IP sorgente siano ammessi dall'interno all'esterno. Esempio 4: Conversione di indirizzi NAPT Le conversioni di indirizzo vengono eseguite secondo NAPT in modo che vengano assegnati rispettivamente altri numeri di porta. Vengono controllati tutti gli indirizzi IP di destinazione e i numeri di porta di destinazione di tutti i telegrammi TCP UDP inviati alla rete esterna. Un nodo nella rete esterna può inviare al nodo con l'indirizzo IP interno e numero di porta 345 un telegramma nella sotto-rete interna utilizzando come indirizzo di destinazione l'indirizzo IP esterno del modulo e il numero di porta esterno NAT/NAPT Routing - Esempi per la configurazione parte 2 Informazioni generali In questo capitolo si trovano i seguenti esempi per la configurazione del router NAT/NAPT: Esempio 1: Autorizza tutti i nodi interni alla comunicazione esterna Esempio 2: Autorizza anche telegrammi indirizzati dall'esterno all'interno. 174 Istruzioni operative, 02/2011, C79000-G8972-C196-07

175 Firewall, router e altre proprietà del modulo 5.7 Modalità Routing Progettazione Nella seguente progettazione di routing si trovano assegnazioni di indirizzi secondo la conversione di indirizzi NAT: Istruzioni operative, 02/2011, C79000-G8972-C

176 Firewall, router e altre proprietà del modulo 5.8 Server DHCP Descrizione Esempio 1 - Autorizza tutti i nodi interni alla comunicazione esterna Nel campo della finestra di dialogo "NAT" è attivata la casella opzione "Allow Internal- >External for all user". In questo modo è possibile la comunicazione dall'interno verso l'esterno. La conversione di indirizzi viene qui eseguita in modo che tutti gli indirizzi interni vengano convertiti nell'indirizzo IP esterno di SCALANCE S e rispettivamente di un numero di porta assegnato dinamicamente. In questo modo non è più rilevante un'indicazione di direzione nell'elenco di conversione di indirizzi NAT. Tutte le altre indicazioni si riferiscono alla direzione di comunicazione dall'esterno all'interno. Inoltre il firewall è impostato in modo che i telegrammi possano transitare dall'interno all'esterno. Esempio 2 - Autorizza anche telegrammi indirizzati dall'esterno all'interno. Per consentire la comunicazione dall'esterno all'interno oltre all'esempio 1, vanno inserite le indicazioni nell'elenco di conversione di indirizzi NAT o NAPT. L'inserimento nell'esempio indica che i telegrammi sul nodo con l'indirizzo IP vengono convertiti nell'indirizzo IP interno Il firewall deve essere rispettivamente impostato. Poiché dapprima viene eseguita la conversione NAT/NAPT e solo nella successiva operazione viene controllato l'indirizzo convertito nel firewall, nell'esempio è inserito l'indirizzo IP interno come indirizzo IP di destinazione nel firewall. 5.8 Server DHCP Informazioni generali Sulla rete interna SCALANCE S può essere utilizzato come server DHCP. In questo modo è possibile assegnare automaticamente gli indirizzi IP agli apparecchi collegati alla rete interna. Gli indirizzi IP vengono assegnati dinamicamente da una banda di indirizzi indicata oppure viene assegnato un determinato indirizzo IP di un determinato apparecchio. Commutazione nella modalità Advanced La configurazione come server DHCP presuppone la visualizzazione "Advanced Mode" nel Security Configuration Tool. Commutare il modo operativo con la seguente voce di menu: View Advanced Mode 176 Istruzioni operative, 02/2011, C79000-G8972-C196-07

177 Firewall, router e altre proprietà del modulo 5.8 Server DHCP Requisito richiesto Sulla rete interna l'apparecchio deve essere configurato in modo che esso rilevi l'indirizzo IP da un server DHCP. A seconda del modo operativo, SCALANCE S trasmette ai nodi nella sotto-rete un indirizzo IP router oppure è necessario comunicare ai nodi nella sotto-rete un indirizzo IP router. L'indirizzo IP del router viene trasmesso Nei seguenti casi dal protocollo DHCP di SCALANCE S viene trasmesso ai nodi un indirizzo IP del router: SCALANCE S è configurato per la modalità router; SCALANCE S trasmette in questo caso il proprio indirizzo IP come indirizzo IP del router SCALANCE S non è configurato per la modalità Router, ma nella configurazione di SCALANCE S è indicato un router di default; SCALANCE S trasmette in questo caso l'indirizzo IP router di default come indirizzo IP del router L'indirizzo IP del router non viene trasmesso Nei seguenti casi inserire manualmente l'indirizzo IP router nel nodo: SCALANCE S non è configurato per la modalità router; Nella configurazione di SCALANCE S non è indicato nessun router di default. Istruzioni operative, 02/2011, C79000-G8972-C

178 Firewall, router e altre proprietà del modulo 5.8 Server DHCP Varianti Per la configurazione esistono le due seguenti possibilità: Assegnazione statica dell'indirizzo Agli apparecchi con un determinato indirizzo MAC o ID client vengono assegnati rispettivamente indirizzi IP preimpostati. Inserire quindi questi apparecchi nell'elenco di indirizzi nel campo di immissione "Indirizzi IP statici". Assegnazione dinamica dell'indirizzo Gli apparecchi il cui indirizzo MAC o ID client non sono stati indicati in modo esplicito ottengono un indirizzo IP qualsiasi da una banda di indirizzi indicata. Questa banda di indirizzi si imposta nel campo di immissione "indirizzi IP dinamici". ATTENZIONE Assegnazione dinamica dell'indirizzo - Comportamento dopo l'interruzione della tensione di alimentazione Fare attenzione che gli indirizzi IP assegnati dinamicamente non vengono salvati se la tensione di alimentazione viene interrotta. Al ripristino della tensione di alimentazione i nodi devono richiedere di nuovo un indirizzo IP. Di conseguenza è necessario prevedere l'assegnazione dinamica di indirizzo solo per i seguenti nodi: nodi che vengono usati temporalmente nella sotto-rete (come per esempio apparecchi di service); nodi che trasmettono al server DHCP un indirizzo IP assegnato una volta come "indirizzo primario" ad una nuova richiesta (come per esempio stazioni PC). Per i nodi in esercizio permanente l'assegnazione statica dell'indirizzo deve essere eseguita tramite indicazione di un'id client (raccomandata per CP S7 a causa della sostituzione semplice dell'unità) o dell'indirizzo MAC Sono supportati i nomi simbolici Nella funzione qui descritta è possibile inserire indirizzi IP o indirizzi MAC anche come nomi simbolici. Controllo della coerenza - vanno osservate queste regole Per l'inserimento rispettare le regole riportate qui di seguito. Controllo / Regola Controllo eseguito 1) Gli indirizzi IP assegnati nell'elenco di indirizzi nel campo di immissione "Static IP adresses" non devono trovarsi nel campo degli indirizzi IP dinamici. I nomi simbolici devono disporre di un'assegnazione di indirizzo numerica. Se si reinserisce un nome simbolico è necessario eseguire l'assegnazione di indirizzo nella finestra di dialogo "Symbolic Names". locale In tutto il progetto/modulo x x 178 Istruzioni operative, 02/2011, C79000-G8972-C196-07

179 Firewall, router e altre proprietà del modulo 5.8 Server DHCP Controllo / Regola Controllo eseguito 1) Gli indirizzi IP, gli indirizzi MAC e gli ID client devono esistere una sola volta nella tabella "Static IP adresses" (riferiti al modulo SCALANCE S). Per gli indirizzi IP assegnati staticamente è necessario inserire l'indirizzo MAC o l'id client (nome computer). L'ID client è una stringa di caratteri con max. 63 caratteri. Posso essere utilizzati solo i seguenti caratteri: a-z, A-Z, 0-9 e - (trattino). Avvertenza: In SIMATIC S7 è possibile assegnare un'id client agli apparecchi sull'interfaccia Ethernet per ottenere un indirizzo IP tramite DHCP. Per i PC il procedimento dipende dal sistema operativo utilizzato; in questo caso si raccomanda di utilizzare per l'assegnazione l'indirizzo MAC. Per gli indirizzi IP assegnati staticamente è necessario indicare l'indirizzo IP. I seguenti indirizzi IP non devono trovarsi nel campo della banda di indirizzo IP libera (indirizzi IP dinamici): locale x x x In tutto il progetto/modulo x x tutti gli indirizzo Router nella scheda "Network" NTP server Syslog server Default router SCALANCE S adress(es) SCALANCE S supporta DHCP sull'interfaccia verso la sotto-rete interna. Da questo comportamento di esercizio dello SCALANCE S risultano inoltre i seguenti requisiti per gli indirizzi IP nel campo della banda di indirizzi IP libera (indirizzi IP dinamici): x Funzionamento in reti piatte Il campo della banda di indirizzi IP libera deve trovarsi nella rete definita da SCALANCE S. Router operation Il campo della banda di indirizzi IP libera deve trovarsi nella sotto-rete interna definita da SCALANCE S. La banda di indirizzi IP libera deve essere indicata completamente inserendo l'indirizzi IP iniziale e l'indirizzo IP finale. L'indirizzo IP finale deve essere maggiore dell'indirizzo IP iniziale. Gli indirizzi IP che si inseriscono nel campo di immissione "Static IP adresses" devono trovarsi nel campo di indirizzo della sotto-rete interna del modulo SCALANCE S. Legenda: 1) Osservare le descrizioni nel capitolo "Controlli delle coerenze". x x Istruzioni operative, 02/2011, C79000-G8972-C

180 Firewall, router e altre proprietà del modulo 5.8 Server DHCP 180 Istruzioni operative, 02/2011, C79000-G8972-C196-07

181 Comunicazione protetta nella VPN tramite tunnel 6 IPsec (S612/S613) Questo capitolo tratta il collegamento di sotto-reti IP protette da SCALANCE S con una Virtual Private Network tramite Drag and Drop. Come già descritto nel capitolo 5 per le proprietà del modulo, anche in questo caso è possibile consentire impostazioni standard per utilizzare una comunicazione sicura nelle reti interne. Altre informazioni Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche nella guida in linea. F1 Alla guida è possibile accedere con il tasto F1 o con il pulsante "Help" nella relativa finestra di dialogo. Vedere anche Funzioni online - Test, diagnostica e logging (Pagina 223) 6.1 VPN con SCALANCE S Collegamento protetto tramite rete non protetta Per le reti interne protette da SCALANCE S, i tunnel IPsec mettono a disposizione un collegamento di dati protetto attraverso la rete esterna non sicura. Lo scambio dei dati degli apparecchi tramite tunnel IPsec nella VPN ha quindi le seguenti proprietà: Riservatezza I dati scambiati sono protetti dall'ascolto; Integrità I dati scambiati sono protetti dalla falsificazione; Autenticità Il tunnel può essere realizzato solo da chi ha l'autorizzazione. Per la realizzazione dei tunnel SCALANCE S utilizza il protocollo IPsec (modalità tunnel di IPsec). Istruzioni operative, 02/2011, C79000-G8972-C

182 0 1 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.1 VPN con SCALANCE S External Internal SCALANCE S SCALANCE S SCALANCE S External External External Internal Internal Internal HMI IE/PB Link ET 200X OP 270 S7-400 S7-300 Collegamenti tramite tunnel in atto tra moduli dello stesso gruppo (VPN) In SCALANCE S le proprietà di una VPN vengono riunite in un gruppo per tutti i tunnel IPsec. I tunnel IPsec vengono realizzati automaticamente tra tutti i moduli SCALANCE S e moduli SOFTNET Security Client appartenenti allo stesso gruppo. 182 Istruzioni operative, 02/2011, C79000-G8972-C196-07

183 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.1 VPN con SCALANCE S I moduli SCALANCE S in un progetto possono appartenere parallelamente a diversi gruppi. ATTENZIONE Se viene modificato il nome di un modulo SCALANCE S, è necessario riconfigurare tutti i moduli SCALANCE S dei gruppi dei quali fa parte il modulo SCALANCE S modificato (voce di menu Transfer To All Modules...). Se viene modificato il nome di un gruppo, è necessario riconfigurare tutti i moduli SCALANCE S di questo gruppo (voce di menu Transfer To All Modules...). ATTENZIONE I telegrammi layer 2 vengono trasmessi via tunnel se tra due moduli SCALANCE S non si trovano router. In generale vale quanto segue: i telegrammi non-ip vengono trasmessi attraverso il tunnel solo se gli apparecchi, che inviano e ricevono telegrammi, potevano comunicare già prima senza l'impiego di SCALANCE S. La possibilità o meno da parte dei nodi della rete di comunicare prima dell'impiego di SCALANCE S viene definita in base alla rete IP nella quale si trovano gli apparecchi SCALANCE S. Se gli SCALANCE S sono nella stessa sotto-rete IP, si parte dal presupposto che gli apparecchi terminali nelle reti protette di SCALANCE S potessero comunicare anche prima dell'impiego di SCALANCE S con telegrammi non-ip. I telegrammi non-ip vengono quindi trasmessi via tunnel. Metodo di autentificazione Il metodo di autentificazione viene definito all'interno di un gruppo (di una VPN) e determina il tipo di autentificazione utilizzato. Vengono supportati metodi di autentificazione basati su codifica o basati su certificato: Istruzioni operative, 02/2011, C79000-G8972-C

184 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.2 Gruppi Preshared Keys La Preshared Key viene ripartita a tutti i moduli che si trovano in un gruppo. Per questa operazione inserire dapprima una password nella finestra di dialogo "Group Proprerties" nella casella "Preshared Key". Certificato L'autorizzazione basata sul certificato "Certificate" è l'impostazione di default, attivata anche nel Standard Mode. Il comportamento è il seguente: Durante la creazione di un gruppo viene generato automaticamente un certificato del gruppo (certificato del gruppo = certificato CA). Ogni SCALANCE S, che si trova nel gruppo, riceve un certificato contrassegnato con il codice del CA del gruppo. Tutti i certificati sono basati sullo standard ITU X.509v3 (ITU, International Telecommunications Union). I certificati vengono generati da una posizione di certificazione contenuta in un Security Configuration Tool. ATTENZIONE Limitazioni in caso di funzionamento VLAN All'interno di un tunnel VPN realizzato con SCALANCE S non viene trasmesso nessun VLAN. Motivo: le contrassegnature VLAN contenute nei telegrammi (VLAN Tags) vengono perse nei telegrammi Unicast durante il passaggio di SCALANCE S, in quanto per la trasmissione dei telegrammi IP viene utilizzato IPsec. In un tunnel IPSec vengono trasmessi solo telegrammi IP (nessun pacchetto Ethernet), di conseguenza viene perso il VLAN Tagging. Come standard, con IPsec non è possibile trasmettere telegrammi Broadcast o Mulitcast. In SCALANCE S gli IP Broadcast vengono trasmessi "impacchettati" esattamente come pacchetti MAC nell'udp, completi di Ethernet. Di conseguenza in questi pacchetti viene mantenuto anche il VLAN Tagging. 6.2 Gruppi Creazione di gruppi e assegnazione di moduli Per configurare una VPN procedere nel modo seguente Creare con la voce di menu Insert Group un gruppo. 184 Istruzioni operative, 02/2011, C79000-G8972-C196-07

185 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.2 Gruppi Assegnare al gruppo i moduli SCALANCE S e i moduli SOFTNET Security Client che devono appartenere ad una rete interna. Tirare quindi con il mouse il modulo sul gruppo desiderato (Drag and Drop). Progettazione delle proprietà Come per la configurazione dei moduli, anche per la configurazione dei gruppi le due visualizzazioni di comando selezionabili hanno effetto nel Security Configuration Tool: (voce di menu View Advanced Mode) Modalità standard Nello Standard Mode lasciare le preimpostazioni eseguite dal sistema. Anche come non esperti IT è possibile configurare tunnel IPsec e utilizzare una comunicazione di dati sicura nelle proprie reti interne. Advanced Mode L'Advanced Mode offre le possibilità di impostazioni per la configurazione specifica della comunicazione via tunnel. Nota Parametrizzazione di MD 740 / MD 741 e di altri client VPN Per la parametrizzazione di MD 740 / MD 741 o altri client VPN è necessario configurare le proprietà VPN specifiche del modulo nella modalità Advanced. Istruzioni operative, 02/2011, C79000-G8972-C

186 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.2 Gruppi Visualizzazione di tutti i gruppi progettati con relative proprietà Selezionare nell'area di navigazione "All Modules" Le seguenti proprietà dei gruppi vengono visualizzate per colonne: Tabella 6-1 Proprietà dei gruppi Proprietà/colonna Significato Commento/selezione Group name Nome del gruppo selezionabile liberamente Authentification Tipo di autentificazione Preshared Key Certificato Group membership until... Durata dei certificati vedere in basso Comment Commento selezionabile liberamente Creazione della durata dei certificati Aprire la finestra di dialogo, nella quale è possibile inserire la data di scadenza del certificato, nel modo seguente: facendo doppio clic su un modulo della finestra delle proprietà o con il tasto destro del mouse tramite la voce di menu Properties. ATTENZIONE Dopo la scadenza del certificato la comunicazione via tunnel viene conclusa Tipi di moduli all'interno di un gruppo Tipi di modulo I seguenti tipi di modulo possono essere progettati in gruppi con il Security Configuration Tool: SCALANCE S612 SCALANCE S Istruzioni operative, 02/2011, C79000-G8972-C196-07

187 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.3 Configurazione del tunnel nella modalità Standard SOFTNET Security Client MD 74x (sta per MD740-1 o MD741-1) Regole per la formazione di gruppi Osservare le seguenti regole se si vogliono formare gruppi VPN: Il primo modulo assegnato in un gruppo VPN determina i moduli aggiuntivi che possono essere inseriti. Se il primo apparecchio aggiunto è in modalità Routing, possono essere aggiunti solo moduli con Routing attivato. Se il primo apparecchio è in modalità Bridge, possono essere aggiunti solo moduli in modalità Bridge. Se deve essere modificata la "Modalità" di un gruppo VPN è necessario rimuovere e riaggiungere tutti i moduli contenuti nel gruppo. Non è possibile aggiungere un modulo MD 740-1/MD ad un gruppo VPN che contiene un modulo in modalità Bridge. Rilevare dalla seguente tabella quali modulo possono essere racchiusi insieme in un gruppo VPN: Modulo Modo operativo modulo in modalità Bridge... in modalità Routing S612 V1 x - S612 V2 *) x x S613 V1 x - S613 V2 *) x x SOFTNET Security Client 2005 x - SOFTNET Security Client 2008 x x SOFTNET Security Client V3.0 x x MD 74x - x 6.3 Configurazione del tunnel nella modalità Standard Proprietà del gruppo Nella modalità Standard valgono le seguenti proprietà: Tutti i parametri del tunnel IPsec e il metodo di autentificazione sono impostati in modo fisso. Nella finestra di dialogo delle proprietà per i gruppi è possibile visualizzare i valori standard impostati. La modalità di programmazione è attivata per tutti i moduli. Istruzioni operative, 02/2011, C79000-G8972-C

188 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.4 Configurazione del tunnel in modalità Advanced Apertura della finestra di dialogo per la visualizzazione dei valori standard Con il gruppo evidenziato, selezionare la seguente voce di menu: Edit Properties... La visualizzazione è identica alla finestra di dialogo nell'advanced Mode; i valori non possono tuttavia essere modificati. 6.4 Configurazione del tunnel in modalità Advanced L'Advanced Mode offre le possibilità di impostazioni per la configurazione specifica della comunicazione via tunnel. Commutazione nella modalità Advanced Commutare il modo operativo per tutte le funzioni descritte in questo capitolo con la seguente voce di menu: View Advanced Mode Nota Non è più possibile annullare una commutazione nella modalità Advanced per il progetto attuale, oppure si esce dal progetto senza salvare e lo si riapre Progettazione delle proprietà dei gruppi Proprietà del gruppo Nella visualizzazione di comando "Advanced Mode" possono essere impostate le seguenti proprietà dei gruppi: Metodo di autentificazione Impostazioni IKE (campo finestra di dialogo: Advanced Settings Phase 1) Impostazioni IPsec (campo finestra di dialogo: Advanced Settings Phase 2) ATTENZIONE Per poter impostare questi parametri è necessario conoscere IPsec. Se non si eseguono o modificano impostazioni, valgono le impostazioni predefinite della modalità Standard. 188 Istruzioni operative, 02/2011, C79000-G8972-C196-07

189 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.4 Configurazione del tunnel in modalità Advanced Apertura della finestra di dialogo per l'inserimento delle proprietà dei gruppi Con il gruppo evidenziato, selezionare la seguente voce di menu: Edit Properties... Parametri per impostazioni ampliate Phase 1 - Impostazioni IKE Phase 1: Scambio delle codifiche (IKE, Internet Key Exchange): Qui è possibile impostare i parametri per il protocollo del management delle codifiche IPsec. Lo scambio delle codifiche viene eseguito con il metodo standartizzato IKE. È possibile impostare i seguenti parametri di protocollo IKE, Istruzioni operative, 02/2011, C79000-G8972-C

190 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.4 Configurazione del tunnel in modalità Advanced Tabella 6-2 Parametri di protocollo IKE (gruppo di parametri "Advanced Settings Phase 1'" nella finestra di dialogo) Parametri Valori/selezione Commento IKE Mode Main Mode Aggressive Mode Fase 1 gruppo DH Group 1 Phase 1 DH Group Group 2 Group 5 Metodo di scambio codifiche La differenza tra Main Mode e Aggressive Mode è la "identity protection" che viene utilizzata nel Main Mode. L'identità viene trasmessa codificata nel Main Mode, mentre nell'aggressive Mode non viene trasmessa. Accordo di codifica Diffie-Hellman Gruppi Diffie-Hellman (algoritmi crittografici selezionabili nel protocollo di scambio codifiche Oakley) Tipo di durata SA SA Lifetype Durata SA SA Life Fase 1 codifica Phase 1 Encryption Time Phase 1 Security Association (SA) Limitazione di tempo (min., default: ) La durata utile per il materiale attuale codificato viene limitata a tempo. Allo scadere del tempo il materiale codificato viene di nuovo concordato. Valore numerico ("Time" Min., ) Campo di valori: DES Algoritmo codifica 3DES-168 Data Encryption Standard (lunghezza codice 56 bit, AES-128 modalità CBC) AES-192 DES triplo (lunghezza codice 168 bit, modalità CBC) AES-256 Advanced Encryption Standard (lunghezza codice 128 bit, 192 bit o 256 bit, modalità CBC) Fase 1 autentificazione Phase 1 Authentication MD5 SHA1 Algoritmo di autentificazione Message Digest Version 5 Secure Hash Algorithm 1 Parametri per impostazioni ampliate fase 2 - Impostazioni IPsec Fase 2: Scambio dei dati (ESP, Encapsulating Security Payload) Qui è possibile impostare i parametri per il protocollo del management dei dati IPsec. Lo scambio dei dati viene eseguito con il protocollo di sicurezza ESP. È possibile impostare i seguenti parametri di protocollo ESP: 190 Istruzioni operative, 02/2011, C79000-G8972-C196-07

191 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.4 Configurazione del tunnel in modalità Advanced Tabella 6-3 Parametri di protocollo IPsec (gruppo di parametri "Advanced Settings Phase 2'" nella finestra di dialogo) Parametri Valori/selezione Commento Tipo di durata SA SA Lifetype Time Phase 2 Security Association (SA) Limitazione di tempo (min., default: 2880) La durata utile per il materiale attuale codificato viene limitata a tempo. Allo scadere del tempo il materiale codificato viene di nuovo concordato. Limit Volume di dati limitato (mbyte, default 4000) Durata SA SA Life Fase 2 codifica Phase 2 Encryption Valore numerico 3DES-168 DES AES-128 ("Time" Min., "Limit" mbyte) Campo di valori (Time): Campo di valori (Limit): Algoritmo codifica DES triplo specifico (lunghezza codice 168 bit, modalità CBC) Data Encryption Standard (lunghezza codice 56 bit, modalità CBC) Advanced Encrypting Standard (lunghezza codice 128 bit, modalità CBC) Fase 2 autentificazione Phase 2 Authentication MD5 SHA1 Algoritmo di autentificazione Message Digest Version 5 Secure Hash Algorithm 1 Perfect Forward Secrecy On Off Prima di ogni nuovo accordo di un IPsec-SA avviene un nuovo accordo delle codifiche con l'aiuto del metodo Diffie- Hellman Assunzione di SCALANCE S nel gruppo configurato Le proprietà dei gruppi progettate, per gli SCALANCE S nuovi, inseriti in un gruppo esistente, vengono riprese. Procedimento Indipendentemente dal fatto che si siano modificate o meno le proprietà dei gruppi, è necessario procedere nel modo seguente: Caso a: se non si sono modificare le proprietà del gruppo 1. Aggiungere i nuovi SCALANCE S del gruppo. 2. Caricare la configurazione nel nuovo modulo. Caso b:se si sono modificate le proprietà del gruppo 1. Aggiungere i nuovi SCALANCE S del gruppo. 2. Caricare la configurazione in tutti i moduli che appartengono al gruppo. Istruzioni operative, 02/2011, C79000-G8972-C

192 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.4 Configurazione del tunnel in modalità Advanced Vantaggio Gli SCALANCE S già esistenti e messi in servizio non devono essere riprogettati e caricati. Non risulta nessun influsso o interruzione della comunicazione in atto SOFTNET Security Client Impostazioni compatibili per SOFTNET Security Client Se si includono nel gruppo progettato moduli del tipo SOFTNET Security Client, osservare le seguenti particolarità: Parametri Fase 1 gruppo DH Phase 1 DH Group Fase 1 codifica Phase 1 Encryption Fase 1 autentificazione Phase 1 Authentication Fase 1 durata SA Fase 1 lifetime SA Tipo di durata SA SA Lifetype Fase 2 codifica Phase 2 Encryption Fase 2 durata SA Fase 2 lifetime SA Fase 2 autentificazione Phase 2 Authentication Impostazione / particolarità DH Group1 e 5 può essere utilizzato solo per la comunicazione tra i moduli SCALANCE S. Nessun DES, AES-128 e AES-192 possibile. Nessun MD5 possibile. Campo di valori: (solo SOFTNET Security Client V3.0) Deve essere selezionato identico per entrambe le fasi. nessun AES-128 possibile. Campo di valori: (solo SOFTNET Security Client V3.0) Nessun MD5 possibile. 192 Istruzioni operative, 02/2011, C79000-G8972-C196-07

193 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.4 Configurazione del tunnel in modalità Advanced ATTENZIONE Le impostazioni dei parametri per una configurazione SOFTNET Security Client devono corrispondere ai suggerimenti predefiniti dei moduli SCALANCE S. Poiché un SOFTNET Security Client si trova principalmente in impiego mobile e rileva il suo indirizzo IP dinamicamente, SCALANCE S può consentire un collegamento solo tramite questi suggerimenti predefiniti. Assicurarsi che la propria fase 1 corrisponda alle impostazione di una delle due seguenti proposte per poter realizzare un tunnel con uno SCALANCE S. Se nel Security Configuration Tool si utilizzano altre impostazioni, tentando di esportare la configurazione il controllo della coerenza riconosce un errore di coerenza. La configurazione per il SOFTNET Security Client non può quindi essere esportata fino a quando le impostazioni non sono state adattate in modo corrispondente. Authentification Modalità Gruppo DH Codifica Hash Durata (min) IKE Certificato Mainmode Gruppo DH 2 3DES-168 SHA Preshared Key Mainmode Gruppo DH 2 3DES-168 SHA Certificato Mainmode Gruppo DH 2 AES256 SHA Configurazione delle proprietà VPN specifiche per il modulo Per lo scambio dei dati tramite IPsec-Tunnel nella VPN è possibile configurare le seguenti proprietà specifiche per il modulo: Dead Peer Detection Autorizzazione per l'inizializzazione della realizzazione del collegamento Indirizzo IP pubblico per la comunicazione tramite Internet Gateway Apertura della finestra di dialogo per la configurazione delle proprietà del modulo VPN Selezionare il modulo da modificare e selezionare la seguente voce di menu nella modalità Advanced: Edit Properties..., scheda "VPN" Nota La scheda "VPN" può essere selezionata solo se il modulo da configurare si trova in un gruppo VPN. Istruzioni operative, 02/2011, C79000-G8972-C

194 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.4 Configurazione del tunnel in modalità Advanced Dead Peer Detection (DPD) Con il DPD attivato i modulo scambiano messaggi supplementari ad intervalli di tempo impostabili. In questo modo è possibile riconoscere se sussiste ancora un collegamento in VPN. Se il collegamento non sussiste più, la "Security Associations" (SA) viene terminata prima. Con DPD disattivato, la "Security Association" (SA) viene conclusa allo scadere della durata dell'sa (impostazione della durata SA: vedere la configurazione delle proprietà dei gruppi). Come standard DPD è disattivato. Autorizzazione per l'inizializzazione della realizzazione del collegamento L'autorizzazione per l'inizializzazione di realizzazione del collegamento VPN può essere limitato a determinati moduli nella VPN. Per l'impostazione del parametro qui descritto è indicativa l'assegnazione dell'indirizzo IP per il Gateway del modulo da progettare. Con un indirizzo IP statico, il modulo può essere trovato dal punto opposto. Con un indirizzo IP dinamico, e quindi sempre diverso, il punto opposto non può realizzare un collegamento. 194 Istruzioni operative, 02/2011, C79000-G8972-C196-07

195 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.4 Configurazione del tunnel in modalità Advanced Modalità Avvio del collegamento senza punto opposto (standard) Attesa del punto opposto Significato Con questa opzione il modulo è "attivo", cioè tenta di realizzare un collegamento con il punto opposto. Questa opzione è raccomandata se viene assegnato un indirizzo IP dinamico dal proprio provider per il gateway del modulo SCALANCE S da progettare. L'indirizzamento del punto opposto viene eseguito tramite il relativo indirizzo IP WAN progettato o il relativo indirizzo IP modulo esterno. Con questa opzione il modulo è "passivo", cioè attende fino alla realizzazione del collegamento del punto opposto. Questa opzione è raccomandata se viene assegnato un indirizzo IP statico dal proprio provider per il gateway del modulo da progettare. In questo modo si ottiene che i tentativi di realizzazione del collegamento vengano eseguito solo dal punto opposto. ATTENZIONE Non impostare tutti i moduli di un gruppo VPN su "Attesa del punto opposto", in quanto altrimenti non viene realizzato nessun collegamento. Indirizzo IP WAN - Indirizzi IP dei moduli e Gateway in una VPN tramite Internet Nel funzionamento di una VPN con IPsec Tunnel tramite Internet sono normalmente necessari indirizzi IP supplementari per gli Internet Gateway come per esempio il DSL Router. I singoli moduli SCALANCE S o i moduli MD / MD devono conoscere gli indirizzi IP esterni dei moduli partner nella VPN. Nota Se si utilizza un router DSL come Internet Gateway, su questo devono essere abilitate almeno le seguenti porte: Porta 500 (ISAKMP) Porta 4500 (NAT-T) Nei download di configurazione (tramite WAN senza tunnel attivo) deve inoltre essere abilitata la porta 443 (HTTPS). Per questo esiste la possibilità di assegnare questo indirizzo IP come "Indirizzo IP WAN" nella configurazione nel modulo. Durante il caricamento della configurazione del modulo vengono trasmessi ai moduli questi indirizzi IP WAN dei moduli partner. Se non viene assegnato nessun indirizzo WAN IP, viene utilizzato l'indirizzo IP esterno del modulo. La seguente rappresentazione illustra la relazione degli indirizzi IP. Istruzioni operative, 02/2011, C79000-G8972-C

196 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.5 Configurazione di nodi di rete interni External External Internal Internal 1 Indirizzo IP interno - di un modulo 2 Indirizzo IP esterno - di un modulo 3 Indirizzo IP interno - di un Internet Gateway (p. es. GPRS-Gateway) 4 Indirizzo IP esterno (indirizzo IP WAN) - di un Internet Gateway (p. es. DSL-Router) 6.5 Configurazione di nodi di rete interni Per poter comunicare al partner del tunnel i propri nodi interni, uno SCALANCE S deve conoscere i propri nodi interni. Inoltre esso deve conosce anche i nodi interni dello SCALANCE S con il quale è in un gruppo. Questa informazione viene impiegata su uno SCALANCE S per determinare quale pacchetto dati deve essere trasmesso in quale tunnel. SCALANCE S offre la possibilità di programmare automaticamente o configurare staticamente i nodi della rete nelle reti piatte. Nella modalità Routing viene eseguito un tunnel con sotto-reti complete, qui non è necessaria la programmazione e la configurazione statica dei nodi di rete Tipo di funzionamento della modalità di programmazione Ricerca automatica dei nodi per la comunicazione via tunnel (solo modalità Bridge) Un grande vantaggio per la comunicazione e il funzionamento della comunicazione via tunnel consiste nel fatto che SCALANCE S può trovare autonomamente i nodi nelle reti interne. 196 Istruzioni operative, 02/2011, C79000-G8972-C196-07

197 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.5 Configurazione di nodi di rete interni I nuovi nodi vengono riconosciuti da SCALANCE S durante il funzionamento. I nodi riconosciuti vengono segnalati ai moduli SCALANCE S, appartenenti allo stesso gruppo. In questo modo lo scambio dei dati all'interno di un tunnel di un gruppo viene garantito in qualsiasi momento in entrambe le direzioni. Requisiti richiesti Vengono riconosciuti i seguenti nodi: Nodi di rete con funzione IP I nodi di rete con funzione IP vengono trovati se trasmettono una risposta ICMP al ICMP- Subnet-Broadcast. I nodi IP a valle dei router possono essere trovati se il router inoltra ICMP Broadcast. Nodi di rete ISO Anche i nodi di rete che non hanno funzione IP, ma che sono interrogabili tramite protocolli ISO, possono essere programmati. Il presupposto è che essi rispondano a telegrammi XID o TEST. TEST e XID (Exchange Identification) sono protocolli ausiliari per lo scambio di informazioni sul livello layer 2. Inviando questi telegrammi con un indirizzo Broadcast, questi nodi di rete possono essere trovati. Nodi PROFINET DCP (Discovery and basic Configuration Protocol) consente di trovare nodi PROFINET. I nodi di rete che non soddisfano queste condizioni devono essere configurati. Sotto-reti Devono essere configurate anche le sotto-reti che si trovano a valle di router interni. Attivazione/disattivazione della modalità di programmazione Come standard la funzione di programmazione è attivata nella configurazione con il software di progettazione Security Configuration Tool per ogni modulo SCALANCE S. La programmazione può essere anche completamente disattivata. In questo caso tutti i nodi interni che devono partecipare alla comunicazione via tunnel devono essere configurati manualmente. La finestra di dialogo, nella quale è possibile selezionare questa opzione, si apre nel modo seguente: Istruzioni operative, 02/2011, C79000-G8972-C

198 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.5 Configurazione di nodi di rete interni Con il modulo selezionato tramite la voce di menu Edit Properties..,, scheda "Nodes" Quando è consigliabile disattivare la modalità di programmazione automatica? Le impostazioni standard per SCALANCE S presuppongono che le reti interne siano già "sicure"; vale a dire che anche normalmente nella rete interna non vengono attivati nodi di rete che non sono riservati. La disattivazione della modalità di programmazione può essere sensata se la rete interna è statica, vale a dire se il numero di nodi interni e i relativi indirizzi non si modificano. Disattivano la modalità di programmazione, nella rete viene eliminato il carico del mezzo e dei nodi dovuto ai telegrammi di programmazione. Anche le prestazioni di SCALANCE S aumentano in quanto esso non viene caricato con l'elaborazione dei telegrammi di programmazione. 198 Istruzioni operative, 02/2011, C79000-G8972-C196-07

199 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.5 Configurazione di nodi di rete interni Osservazione: nella modalità Learning tutti i nodi vengono registrati nella rete interna. Le indicazioni per la configurazione di VPN si riferiscono solo ai nodi che comunicano nella rete interna tramite VPN. ATTENZIONE Se nella rete interna vengono elaborati più di 64 (in SCALANCE S613) o 32 (in SCALANCE S612) nodi interni, viene superata la configurazione ammessa e creato uno stato di funzionamento non consentito. A causa della dinamica nel traffico di rete si verifica inoltre che i nodi interni già programmati vengano sostituiti con nuovi nodi interni finora sconosciuti Visualizzazione dei nodi di rete interni trovati Tutti i nodi di rete trovati possono essere visualizzati nel Security Configuration Tool, nel modo operativo "Online", scheda "Internal Nodes". Richiamare la seguente voce di menu: Edit Online Diagnostics.. Istruzioni operative, 02/2011, C79000-G8972-C

200 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.5 Configurazione di nodi di rete interni Configurazione manuale dei nodi di rete Nodi di rete non programmabili Nella rete interna esistono nodi che non possono essere programmati. Questi nodi devono essere configurati. Per configurare i moduli è necessario attivare la modalità Advanced nel Security Configuration Tool. È anche necessario configurare sotto-reti che si trovano nella rete interna di SCALANCE S. 200 Istruzioni operative, 02/2011, C79000-G8972-C196-07

201 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.5 Configurazione di nodi di rete interni Finestra di dialogo / scheda La finestra di dialogo, nella quale è possibile configurare i nodi di rete, si apre nel modo seguente: Con il modulo selezionato tramite la voce di menu Edit Properties..,, scheda "Nodes" Inserire nelle schede qui selezionabili i relativi parametri di indirizzamento necessari per tutti i nodi di rete che devono essere protetti dal modulo SCALANCE S selezionato. Scheda "Nodi IP interni" (solo in modalità Bridge) Parametri progettabili: l'indirizzo IP e opzionalmente l'indirizzo MAC; Scheda "Nodi MAC interni" (solo in modalità Bridge) Parametri progettabili: MAC adress Istruzioni operative, 02/2011, C79000-G8972-C

202 Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) 6.5 Configurazione di nodi di rete interni Scheda "Internal Subnets" In caso di una sotto-rete interna (un router nella rete interna) è necessario indicare il seguente parametro di indirizzo: Parametri Funzionamento Valore di esempio ID rete Finestra della sotto-rete ID di rete della sotto-rete: in base all'id di rete il router riconosce se un indirizzo di destinazione si trova nella sotto-rete o fuori dalla sotto-rete. Finestra della sotto-rete: La finestra della sotto-rete struttura la rete e serve per la formazione dell'id della sotto-rete Router IP Indirizzo IP del router: Effetto durante l'impiego del SOFTNET Security Client Se durante l'impiego di SCALANCE S612 / S613 si devono configurare staticamente nodi come descritto sopra, è necessario ricaricare anche la configurazione per un SOFTNET Security Client utilizzato nel gruppo VPN. 202 Istruzioni operative, 02/2011, C79000-G8972-C196-07

203 SOFTNET Security Client (S612/S613) 7 Con il software PC SOFTNET Security Client sono possibili accessi remoti sicuri dal PC/PG agli apparecchi di automazione protetti da SCALANCE S, in tutte le reti pubbliche. Questo capitolo descrive come eseguire la progettazione del SOFTNET Security Client nel Security Configuration Tool e successiva messa in servizio sul PC/PG. Altre informazioni Le informazioni dettagliate sulle finestre di dialogo e i parametri impostabili si trovano anche nella guida in linea del SOFTNET Security Client. F1 Alla guida è possibile accedere con il tasto F1 o con il pulsante "Help" nella relativa finestra di dialogo. Vedere anche Comunicazione protetta nella VPN tramite tunnel IPsec (S612/S613) (Pagina 181) 7.1 Impiego del SOFTNET Security Client Campo d'impiego - Accesso tramite VPN Con il SOFTNET Security Client un PC/PG viene configurato automaticamente in modo che esso possa realizzare una comunicazione sicura tramite tunnel IPsec nella VPN (Virtual Private Network) con uno o diversi SCALANCE S. Le applicazioni PG/PC come diagnostica NCM o STEP7 possono in questo modo accedere con un collegamento sicuro tramite tunnel ad apparecchi o reti che si trovano in una rete interna protetta con SCALANCE S. Istruzioni operative, 02/2011, C79000-G8972-C

204 SOFTNET Security Client (S612/S613) 7.1 Impiego del SOFTNET Security Client External External External Internal Internal Internal Comunicazione automatica tramite VPN Per la propria applicazione è importante che il SOFTNET Security Client riconosca autonomamente se avviene l'accesso agli indirizzi IP di un nodo VPN. I nodi si indirizzano semplicemente tramite un indirizzo IP come se si trovassero nella sotto-rete locale alla quale è collegato anche il PC/PG con applicazioni. ATTENZIONE Fare attenzione che tramite il tunnel IPsec può essere eseguita solo la comunicazione basata su IP tra SOFTNET Security Client e SCALANCE S. Comando Il software per PC SOFTNET Security Client dispone di una superficie operativa facilmente comandabile per la configurazione delle proprietà Security, necessarie per la comunicazione con apparecchi protetti da SCALANCE S. Dopo la configurazione il SOFTNET Security Client funziona sullo sfondo, visibile da un'icona nel SYSTRAY sul proprio PG/PC. Dettagli nella guida in linea F1 Le informazioni dettagliate sulle finestre di dialogo e le caselle di immissione si trovano anche nella guida in linea della superficie operativa del SOFTNET Security Client. 204 Istruzioni operative, 02/2011, C79000-G8972-C196-07

205 SOFTNET Security Client (S612/S613) 7.1 Impiego del SOFTNET Security Client La guida in linea si richiama con il pulsante "Help" o premendo il tasto F1. Come funziona il SOFTNET Security Client? Il SOFTNET Security Client legge la configurazione creata dallo strumento di progettazione Security Configuration Tool e trasmette dai file i certificati da importare. Il certificato Root e le Private Keys vengono importati e memorizzati nel PG/PC locale. Successivamente con i dati della configurazione vengono eseguite le impostazioni Security in modo che le applicazioni possano accedere agli indirizzi IP a valle dei moduli SCALANCE-S. Se la modalità di programmazione è attivata per i nodi o gli apparecchi di automazione interni, il modulo di configurazione imposta dapprima una direttiva di sicurezza per l'accesso protetto ai moduli SCALANCE S. Successivamente il SOFTNET Security Client interroga i moduli SCALANCE S per determinare gli indirizzi IP dei relativi nodi interni. SOFTNET Security Client inserisce questi indirizzi IP nelle liste di filtri specifiche di questa direttiva di sicurezza. Successivamente le applicazioni come, p. es. STEP 7, possono comunicare con gli apparecchi di automazione tramite VPN. ATTENZIONE Su un sistema Windows sono definite in modo specifico per l'utente le direttive di sicurezza IP. In un utente può essere valida rispettivamente solo una direttiva di sicurezza IP. Se una direttiva di sicurezza IP esistente non deve essere sovrascritta con l'installazione del SOFTNET Security Client, l'installazione e l'utilizzo del SOFTNET Security Client devono essere eseguiti da un utente configurato in modo specifico. Ambiente di impiego Il SOFTNET Security Client è previsto per l'impiego nei sistemi operativi Windows XP SP2 e SP3 (non "Home-Edition") e Windows 7 (non "Home-Edition"). Comportamento in caso di disturbi Al verificarsi di disturbi sul proprio PG/PC, il SOFTNET Security Client presenta il seguente comportamento: Le direttive di sicurezza configurate vengono mantenute tramite disinserimento e inserimento del proprio PG/PC; In caso di configurazione errata vengono emessi messaggi. Istruzioni operative, 02/2011, C79000-G8972-C

206 SOFTNET Security Client (S612/S613) 7.2 Installazione e messa in servizio del SOFTNET Security Client 7.2 Installazione e messa in servizio del SOFTNET Security Client Installazione e avvio del SOFTNET Security Client Il software PC SOFTNET Security Client si installa da SCALANCE S CD. 1. Leggere dapprima le indicazioni riportate nel file README del CD SCALANCE S e osservare eventuali istruzioni di installazione supplementari. 2. Eseguire il programma di setup; Aprire quindi il sommario del contenuto sul CD SCALANCE S CD viene avviato automaticamente inserendo il CD o può essere aperto con il file start.exe. Selezionare direttamente la voce "Installation SOFTNET Security Client" Dopo l'installazione e l'avvio del SOFTNET Security Client compare l'icona per il SOFTNET Security Client nella barra delle applicazioni di Windows: Configurazione del SOFTNET Security Client Una volta attivate, le funzioni più importanti funzionano in background nel proprio PG/PC. La progettazione del SOFTNET Security Client viene eseguita in 2 passi: Esportare una configurazione Security dallo strumento di progettazione SCALANCE S Security Configuration Tool. Importare la configurazione Security nella propria superficie operativa, come descritto nel sotto-capitolo successivo. Comportamento all'avvio Per una progettazione massima il SOFTNET Security Client necessita, in base al sistema, di max. 15 minuti per il caricamento delle regole di sicurezza. In questo tempo la CPU del proprio PG/PC viene caricata fino al 100%. Uscire dal SOFTNET Security Client - Effetti Se si esce dal SOFTNET Security Client viene disattivata anche la direttiva di sicurezza. 206 Istruzioni operative, 02/2011, C79000-G8972-C196-07

207 SOFTNET Security Client (S612/S613) 7.3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool È possibile uscire dal SOFTNET Security Client nel modo seguente: con la voce di menu nello SYSTRAY di Windows; selezionare con il tasto destro del mouse l'icona del SOFTNET Security Client e selezionare l'opzione "Shut Down SOFTNET SEcurity Client". con la superficie operativa aperta tramite il pulsante "Quit" Disinstallazione del SOFTNET Security Client Durante la disinstallazione vengono ripristinate le proprietà Security impostate dal SOFTNET Security Client. 7.3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool Configurazione del modulo SOFTNET Security Client nel progetto Il SOFTNET Security Client viene creato nel progetto come modulo. Rispetto ai moduli SCALANCE S non vanno progettate altre proprietà. Si assegna il modulo SOFTNET Security Client solo al o ai gruppi di moduli nei quali deve essere configurato il tunnel IPsec verso il PC/PG. Sono quindi indicative le proprietà dei gruppi per i gruppi che sono stati progettati. ATTENZIONE Osservare le indicazioni dei parametri descritti nella sezione "Impostazioni compatibili per SOFTNET Security Client" del capitolo 6.4. Nota Se si creano più SOFTNET Security Client all'interno di un gruppo non vengono realizzati tunnel tra questi client, ma solo dal relativo client ai moduli SCALANCE S! Istruzioni operative, 02/2011, C79000-G8972-C

208 SOFTNET Security Client (S612/S613) 7.3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool File di configurazione per il SOFTNET Security Client L'interfaccia tra lo strumento di progettazione Security Configuration Tool e il SOFTNET Security Client viene comandata con i file di configurazione. La configurazione viene memorizzata nei 3 seguenti tipi di file: *.dat *.p12 *.cer Procedimento Eseguire nello strumento di progettazione Security Configuration Tool i seguenti passi per generare i file di configurazione: 1. Creare dapprima nel proprio progetto un modulo del tipo SOFTNET Security Client. 208 Istruzioni operative, 02/2011, C79000-G8972-C196-07

209 SOFTNET Security Client (S612/S613) 7.3 Impostazione dei file di configurazione con lo strumento di progettazione Security Configuration Tool 2. Assegnare il modulo ai gruppi di moduli nei quali il PC/PG deve comunicare tramite tunnel IPsec. 3. Selezionare il SOFTNET Security Client desiderato con il tasto destro del mouse e successivamente la seguente voce di menu: Transfer To Module Selezionare nella finestra di dialogo visualizzata la posizione di memorizzazione per i file di configurazione. 5. Se come metodo di autentificazione è stato selezionato certificato, al passo successivo viene richiesto di indicare una password per il certificato della configurazione VPN. Qui esiste la possibilità di assegnare una password. Se non si assegna nessuna password, come password viene applicato il nome del progetto. L'inserimento della password viene eseguito come di consueto con ripetizione. In questo modo l'esportazione dei file di configurazione è conclusa. 6. Riprendere i file del tipo *.dat, *.p12, *.cer sul PC/PG sul quale si intende utilizzare il SOFTNET Security Client. Istruzioni operative, 02/2011, C79000-G8972-C

210 SOFTNET Security Client (S612/S613) 7.4 Comando del SOFTNET Security Client 7.4 Comando del SOFTNET Security Client Proprietà configurabili In particolare si possono utilizzare i seguenti servizi: Configurazione di comunicazione sicura tramite tunnel IPsec (VPN) tra il PC/PG e tutti i moduli SCALANCES di un progetto o di singoli moduli SCALANCE S. Tramite questo tunnel IPsec il PC/PG può accedere ai nodi interni della VPN. Disattivazione e attivazione di collegamenti sicuri già configurati; Configurazione di collegamenti per apparecchi terminali aggiunti successivamente; (per questa operazione deve essere attivata la modalità di programmazione) Controllo di una configurazione, vale a dire quali collegamenti sono configurati o possibili. Per la configurazione il SOFTNET Security Client si richiama nel modo seguente Aprire la superficie operativa del SOFTNET Security Client facendo doppio clic sull'icona nel SYSTRAY o selezionare con il tasto destro del mouse la voce di menu "Open SOFTNET Security Client": 210 Istruzioni operative, 02/2011, C79000-G8972-C196-07

211 SOFTNET Security Client (S612/S613) 7.4 Comando del SOFTNET Security Client Con i pulsanti si accede alle seguenti funzioni: Pulsante Load Configuration Data Panoramica del tunnel Disable Minimize Quit Significato Importazione della configurazione In questo modo si apre una finestra di dialogo per la selezione di un file di configurazione. Dopo la chiusura della finestra di dialogo viene letta la configurazione e richiesta una password per ogni file di configurazione. Nella finestra di dialogo viene richiesto se il tunnel deve essere configurato immediatamente per tutti gli SCALANCE S. Se nella configurazione sono inseriti indirizzi IP di SCALANCE S o se è attiva la modalità di programmazione, vengono configurati i tunnel per tutti gli indirizzi configurati o rilevati. Il procedimento è particolarmente rapido ed efficiente per piccole configurazioni. Nella finestra di dialogo "Tunnel Overview" possono inoltre essere configurati tutti i tunnel. Osservazione: è possibile importare in successione i file di configurazione da diversi progetti creati nel Security Configuration Tool (vedere anche la seguente descrizione del procedimento). Finestra di dialogo per la configurazione e la modifica del tunnel. Con questa finestra di dialogo si esegue la configurazione vera e propria del SOFTNET Security Client. In questa finestra di dialogo si trova una lista per i tunnel protetti configurati. Qui è possibile visualizzare/controllare gli indirizzi IP per i moduli SCALANCE S. Se sul proprio PG/PC esistono diversi adattatori di rete, il SOFTNET Security Client ne seleziona automaticamente uno con il quale viene eseguito un tentativo di realizzazione del tunnel. Se eventualmente il SOFTNET Security Client non trova un adattatore adatto al proprio nodo, ne inserisce uno qualsiasi. In questo caso è necessario adattare manualmente l'impostazione dell'adattatore di rete tramite la finestra di dialogo "Network Adapters" nel menu contestuale del nodo e del modulo SCALANCE S Disattiva tutti i tunnel protetti. Caso di impiego: Se viene modificata e ricaricata la configurazione di un modulo SCALANCE S612 / S613, è necessario disattivare il tunnel verso il SOFTNET Security Client. In questo modo viene accelerata la nuova realizzazione del tunnel. La superficie operativa del SOFTNET Security Client viene chiusa. L'icona per il SOFTNET Security Client si trova inoltre nella barra delle applicazioni di Windows. Annulla configurazione; SOFTNET Security Client viene chiuso; tutti i tunnel vengono disattivati. Istruzioni operative, 02/2011, C79000-G8972-C

212 SOFTNET Security Client (S612/S613) 7.4 Comando del SOFTNET Security Client Pulsante Help.. Informazione Significato Richiama la guida in linea. Informazioni sulla versione del SOFTNET Security Client Dettagli: Elenco di tutti i file necessari per il funzionamento del SOFTNET Security Client con messaggi di risposta se questi file sono stati trovati nel sistema 212 Istruzioni operative, 02/2011, C79000-G8972-C196-07

213 SOFTNET Security Client (S612/S613) 7.5 Configurazione e modifica del tunnel 7.5 Configurazione e modifica del tunnel Configurazione di collegamenti protetti con tutti i SCALANCE S Nella finestra di dialogo per l'importazione della configurazione è possibile selezionare se il tunnel deve essere configurato immediatamente per tutti gli SCALANCE S. Di conseguenza risultano le seguenti possibilità: Attivazione automatica del tunnel Se nella configurazione sono inseriti indirizzi IP di SCALANCE S o se è attiva la modalità di programmazione, vengono configurati i tunnel per tutti gli indirizzi configurati o rilevati. Solo lettura della configurazione del tunnel Opzionalmente i tunnel configurati possono essere solo letti e successivamente attivati singolarmente nella finestra di dialogo per la configurazione del tunnel. Configurazione dei collegamenti tramite tunnel Istruzioni operative, 02/2011, C79000-G8972-C

214 SOFTNET Security Client (S612/S613) 7.5 Configurazione e modifica del tunnel 1. Aprire con il pulsante "Load Configuration Data" la finestra di dialogo per l'importazione dei file di configurazione. 2. Selezionare il file di configurazione creato con il Security Configuration Tool. 3. Se nel SOFTNET Security Client esistono già dati di configurazione viene richiesto di decidere il trattamento dei file di configurazione nuovi da assumere. Selezionare dalle opzioni proposte: Avvertenze relative a questa finestra di dialogo: In linea di principio i dati di configurazione possono essere letti da diversi progetti. Questa finestra di dialogo tiene in considerazione le condizioni marginali di diversi progetti. Di conseguenza le opzioni hanno il seguente effetto: In "deleted" sono presenti solo i dati di configurazione caricati per ultimi. Il secondo punto di selezione "imported ad replaced" ha senso in caso di dati di configurazione modificati, ad esempio è modificata solo la configurazione nel progetto a, il progetto b e c vengono mantenuti. Il terzo punto di selezione "not imported" ha senso se in un progetto è stato aggiunto uno Scalance S, senza che vengano persi i nodi interni già programmati. 4. Se durante la configurazione nel Security Configuration Tool come metodi di autentificazione è stato selezionato Certificato, viene richiesto di inserire la password. 214 Istruzioni operative, 02/2011, C79000-G8972-C196-07

215 SOFTNET Security Client (S612/S613) 7.5 Configurazione e modifica del tunnel 5. Selezionare se per i nodi progettati nella configurazione (nodi configurati staticamente) devono essere attivati collegamenti tramite tunnel. Se non si avvia ancora l'attivazione, quest'ultima può essere eseguita in qualsiasi momento nella finestra di dialogo descritta di seguito. Dopo aver selezionato l'attivazione dei collegamenti tramite tunnel, vengono realizzati i collegamenti tramite tunnel tra il SOFTNET Security Client e i moduli SCALANCE S. Questa operazione può durare alcuni secondi. Istruzioni operative, 02/2011, C79000-G8972-C

216 SOFTNET Security Client (S612/S613) 7.5 Configurazione e modifica del tunnel 6. Aprire quindi la finestra di dialogo "Tunnel Overview". Nella tabella visualizzata si possono vedere i moduli e i nodi con le informazioni di stato sui collegamenti tramite tunnel. 216 Istruzioni operative, 02/2011, C79000-G8972-C196-07

217 SOFTNET Security Client (S612/S613) 7.5 Configurazione e modifica del tunnel 7. Se si constata che i nodi desiderati non vengono visualizzati nella tabella, procedere nel modo seguente: Trasferire nella riga di comando un comando PING sul nodo desiderato. In questo modo si consente che il nodo venga programmato da SCALANCE S e inoltrato al SOFTNET Security Client. Osservazione: Se la finestra di dialogo non è aperta essa si apre automaticamente registrando un nodo. Nota Nodi e sotto-reti configurati staticamente Se durante l'impiego di SCALANCE S612 / S613 si devono configurare staticamente nodi o sotto-reti, è necessario ricaricare anche la configurazione per un SOFTNET Security Client utilizzato nel gruppo VPN. 8. Attivare i nodi per i quali viene visualizzata l'indicazione di stato di collegamento tramite tunnel non ancora realizzato. Dopo la realizzazione del collegamento è possibile avviare solo la propria applicazione - p. es. STEP 7 - e realizzare un collegamento di comunicazione con un nodo. ATTENZIONE Se sul proprio PG/PC esistono diversi adattatori di rete, il SOFTNET Security Client ne seleziona automaticamente uno con il quale viene eseguito un tentativo di realizzazione del tunnel. Se eventualmente il SOFTNET Security Client non trova un adattatore adatto al proprio progetto, ne inserisce uno qualsiasi. In questo caso è necessario adattare manualmente l'impostazione dell'adattatore di rete tramite il menu contestuale del nodo e del modulo SCALANCE S. Significato dei parametri Tabella 7-1 Parametri nella finestra di dialogo "Tunnel Overview" Parametri Status Name IP int. nodo / sotto-rete IP punto terminale del tunnel Tunnel over.. Significato / Campo dei valori Nella tabella 7 2 si trovano gli indicatori di stato possibili Nome del modulo o del nodo ripreso dalla configurazione con Security Configuration Tool. Indirizzo IP del nodo interno, o ID rete della sotto-rete interna se sono presenti nodi interni / sotto-reti Indirizzo IP del modulo SCALANCE S assegnato o del modulo MD741-1 Se nel PC si utilizzano diverse schede di rete, qui viene visualizzato l'indirizzo IP assegnato. Istruzioni operative, 02/2011, C79000-G8972-C

218 SOFTNET Security Client (S612/S613) 7.5 Configurazione e modifica del tunnel Tabella 7-2 Indicatori di stato Icona Significato Non esiste nessun collegamento con il modulo o il nodo. Esistono altri nodi che non vengono visualizzati. Fare doppio clic sull'icona per visualizzare altri nodi. Il nodo non è attivato. Il nodo è attivato. Modulo SCALANCE S disattivato. Modulo SCALANCE S attivato. Modulo MD741-1 disattivato. Modulo MD741-1 attivato. Il modulo / nodo non è raggiungibile. Il modulo / nodo è raggiungibile. Casella opzione "enable active learning" Se nella configurazione dei moduli SCALANCE S è attivata la modalità di programmazione, è possibile utilizzare questa modalità anche per il SOFTNET Security Client; si ottengono quindi automaticamente le informazioni dei moduli SCALANCES. In caso contrario la casella di selezione "Activate learing mode" viene disattivata e rappresentata in grigio. 218 Istruzioni operative, 02/2011, C79000-G8972-C196-07

219 SOFTNET Security Client (S612/S613) 7.5 Configurazione e modifica del tunnel Selezione e comando della voce tunnel Nella finestra di dialogo "Tunnel" è possibile selezionare una voce e aprire altre voci di menu con il tasto destro del mouse. ATTENZIONE Se per un adattatore di rete vengono utilizzati diversi indirizzi IP, è eventualmente necessario assegnare per ogni singola voce gli indirizzi IP da utilizzare nella finestra di dialogo "Tunnel". Pulsante "Delete All" In questo modo si cancellano completamente le direttive di sicurezza IP - comprese le voci supplementari non configurate da SOFTNET Security Client. Istruzioni operative, 02/2011, C79000-G8972-C

220 SOFTNET Security Client (S612/S613) 7.5 Configurazione e modifica del tunnel Disattivazione e attivazione di collegamenti sicuri già configurati I collegamenti protetti configurati possono essere disattivati con il pulsante "Disable". Se è stato selezionato il pulsante, il testo nel pulsante diventa "Activate" e l'icona nella barra di stato viene sostituita. Ora sul PC è disattivata la Security Policy. Facendo di nuovo clic sul pulsante è possibile annullare le modifiche eseguite precedentemente, riattivando così il tunnel configurato. Consolle logging La consolle logging si trova nella parte inferiore della finestra di dialogo "Tunnel Overview" e fornisce informazioni di diagnostica sulla realizzazione del collegamento con i moduli SCALANCE S / MD741-1 configurati e i nodi interni /sotto-reti. Con il timbro di data e ora è possibile registrare i momenti dei relativi eventi. Viene visualizzata una realizzazione e un'interruzione di una Security Association. Allo stesso tempo viene visualizzato l'evento di un ping di test (test di raggiungibilità) per il nodo configurato se questo è negativo. Nella finestra di dialogo "Settings" è possibile configurare le indicazioni che devono essere visualizzate. Pulsante "Clear" Azionando questo tasto si cancellano le voci dalla consolle logging della panoramica del tunnel. Impostazioni globali per il SOFTNET Security Client Nella finestra principale del SOFTNET Security Client aprire la voce di menu: Options Settings Qui è possibile effettuare le impostazioni globali che devono essere mantenute dopo la chiusura e l'apertura del SOFTNET Security Client. Le funzioni sono riportate nella seguente tabella. Funzionamento Dimensione file Log (consolle logging) Numero di messaggi da visualizzare nella consolle logging della panoramica del tunnel Descrizione / Opzioni La dimensione del file Log sorgente, che contiene i messaggi che vengono visualizzati filtrati e che vengono limitati ad un determinato numero nella consolle logging Numero di messaggi che vengono estratti dal file Log del file sorgente e visualizzati nella consolle logging 220 Istruzioni operative, 02/2011, C79000-G8972-C196-07

221 SOFTNET Security Client (S612/S613) 7.5 Configurazione e modifica del tunnel Visualizzazione dei seguenti messaggi Log nella consolle logging della panoramica del tunnel: Visualizzazione del test di raggiungibilità negativo (ping) Creazione / cancellazione di Security Associations (modalità Quick) Creazione / cancellazione di modalità Main Caricamento di file di configurazione Apprendimento di nodi interni Dimensione file Log (file log di debug) Test di raggiungibilità, tempo di attesa di una risposta Disattivazione globale del test di raggiungibilità I messaggi, che possono essere visualizzati opzionalmente nella consolle logging, possono essere attivati e disattivati Dimensione del file Log dei file sorgente per messaggio di debug del SOFTNET Security Client (possono essere richiesti dal Customer Support per semplificare l'analisi) Tempo di attesa impostabile per il ping che deve indicare la raggiungibilità di un partner del tunnel. È importante impostarlo soprattutto nei tunnel su percorsi di trasmissione lenti (UMTS, GPRS, ecc.) per i quali il tempo di esecuzione dei pacchetti di dati è decisamente superiore. Influisce quindi direttamente la visualizzazione della raggiungibilità nella panoramica del tunnel. Avvertenza Nelle reti mobili selezionare un tempo di attesa di almeno 1500 ms. Se si attiva questa funzione, viene disattivato il test di raggiungibilità globale per tutte le configurazioni contenute nel SOFTNET Security Client. Il vantaggio consiste nel fatto che nessun pacchetto supplementare crei volumi di dati, mentre lo svantaggio è che nella panoramica del tunnel non si ottiene più nessun messaggio di risposta se un partner del tunnel è raggiungibile o meno. Diagnostica del modulo estesa Nella finestra principale del SOFTNET Security Client aprire la voce di menu: Options Advanced Module Diagnostics Qui è possibile rilevare lo stato attuale del proprio sistema in relazione ad un modulo configurato. Questa panoramica serve solo alla diagnostica dello stato del sistema e può essere d'aiuto in caso di richieste da parte del Customer Support. SCALANCE S / modulo MD741-1 Selezionare qui il modulo per il quale si vuole diagnosticare lo stato attuale del sistema. Impostazioni routing (parametri specifici per il modulo) Qui vengono visualizzate le impostazioni del modulo rilevate dalla configurazione, riguardanti le interfacce e i nodi interni / sotto-reti. Istruzioni operative, 02/2011, C79000-G8972-C

222 SOFTNET Security Client (S612/S613) 7.5 Configurazione e modifica del tunnel Modalità Main attiva / modalità Quick attiva Qui vengono visualizzate dettagliatamente le modalità Main o le modalità Quick attive, non appena queste sono state configurate nel PG/PC per il modulo selezionato. Inoltre viene visualizzato quante modalità Main e modalità Quick relative al modulo selezionato sono state trovate nel sistema. Impostazioni routing (impostazioni di rete del computer) Qui vengono visualizzate le impostazioni attuali di routing del computer. Per motivi di chiarezza, con l'opzione "Show all routing settings" è possibile mostrare le impostazioni routing nascoste. Indirizzi IP assegnati Qui è disponibile un elenco sulle interfacce di rete conosciute sul computer in combinazione con gli indirizzi IP configurati e assegnati. 222 Istruzioni operative, 02/2011, C79000-G8972-C196-07

223 Funzioni online - Test, diagnostica e logging 8 Per scopi di test e di sorveglianza SCALANCE S dispone di funzioni di diagnostica e di logging. Funzioni di diagnostica Sono intese diverse funzioni di sistema e di stato che possono essere utilizzate nella modalità online. Funzioni di logging Si tratta della registrazione degli eventi di sistema e di sicurezza. La registrazione degli eventi viene eseguita nelle aree di buffer dello SCALANCE S o di un server. La parametrizzazione e l'analisi di queste funzioni presuppone un collegamento di rete sul modulo SCALANCE S selezionato. Registrazione di eventi con funzioni Logging Gli eventi che devono essere registrati si definiscono con le impostazioni Log per il relativo modulo SCALANCE S. Per la registrazione è possibile configurare le seguenti varianti: Local log In questa variante si registrano gli eventi nel buffer locale del modulo SCALANCE S. Nella finestra di dialogo Online del Security Configuration Tool è possibile quindi accedere a queste registrazioni, visualizzarle o archiviarle nella stazione di service. Syslog rete Con Network Syslog si utilizza un server Syslog esistente nella rete. Esso registra gli eventi in base alla configurazione nelle impostazioni Log del relativo modulo SCALANCE S. Altre informazioni Per informazioni dettagliate sulle finestre di dialogo e sui parametri contrassegnati nella diagnostica e nel logging consultare la guida in linea del Security Configuration Tool. F1 Alla guida è possibile accedere con il tasto F1 o con il pulsante "Help" nella relativa finestra di dialogo. Vedere anche Panoramica delle funzioni della finestra di dialogo online (Pagina 224) Istruzioni operative, 02/2011, C79000-G8972-C

224 Funzioni online - Test, diagnostica e logging 8.1 Panoramica delle funzioni della finestra di dialogo online 8.1 Panoramica delle funzioni della finestra di dialogo online SCALANCE S offre le seguenti funzioni nella finestra di dialogo online del Security Configuration Tool: Tabella 8-1 Funzioni e logging nella diagnostica online Funzione / scheda nella finestra di dialogo online Significato Funzioni di sistema e di stato Status Comunication status (S612/S613) Date and time Internal nodes (S612/S613) Funzioni di logging System Log Audit Log Paket Filter Log Visualizzazione dello stato dell'apparecchio del modulo SCALANCE S selezionato nel progetto. Visualizzazione dello stato della comunicazione e nei nodi di rete interni verso altri moduli SCALANCE S appartenenti al gruppo VPN. Impostazione di data e ora Visualizzazione dei nodi di rete interni del modulo SCALANCE S. Visualizzazione di eventi di sistema registrati. Visualizzazione di eventi di sicurezza registrati. Visualizzazione del pacchetti di dati logging, avvio e arresto del logging pacchetto. Osservazione: Osservare le avvertenze sui tipi di apparecchi. Requisiti per l'accesso Per poter eseguire le funzione online su un modulo SCALANCE S devono essere soddisfatti i seguenti requisiti: il modo operativo Online è attivato nel Security Configuration Tool; è in atto un collegamento di rete con il modulo selezionato il relativo progetto, con il quale è stato configurato il modulo, è aperto Apertura della finestra di dialogo online Commutare con la seguente voce di menu il modo operativo del Security Configuration Tool: View Online Selezionare il modulo da modificare e selezionare la seguente voce di menu per aprire la finestra di dialogo online: Edit Online Diagnostics Istruzioni operative, 02/2011, C79000-G8972-C196-07

225 Funzioni online - Test, diagnostica e logging 8.1 Panoramica delle funzioni della finestra di dialogo online Messaggio di avvertimento in caso di configurazione non attuale o di un altro progetto Se si richiama la finestra di dialogo online si controlla se la configurazione attuale sul modulo SCALANCE S e la configurazione del progetto caricato corrispondono. Se le configurazioni sono diverse, viene visualizzato un messaggio di avvertimento. In questo modo viene segnalato che la configurazione non è (ancora) stata aggiornata o che si utilizza il progetto errato. Le impostazioni online non vengono memorizzate nella configurazione Le impostazioni che si eseguono nel modo operativo online non vengono memorizzate nella configurazione sul modulo SCALANCE S. Per questo motivo dopo un nuovo avvio del modulo diventano sempre attive le impostazioni nella configurazione. Istruzioni operative, 02/2011, C79000-G8972-C

226 Funzioni online - Test, diagnostica e logging 8.2 Registrazione di eventi (logging) 8.2 Registrazione di eventi (logging) Informazioni generali Gli eventi sullo SCALANCE S possono essere registrati. La registrazione viene eseguita nelle aree del buffer volatili o permanenti, a seconda del tipo di evento. In alternativa una registrazione può essere eseguita in un server di rete. Configurazione nella modalità standard e nella modalità Advanced Anche nel logging le possibilità di selezione nel Security Configuration Tool dipendono dalla visualizzazione selezionata: Modalità standard Nella modalità standard il Log è attivato come standard; gli eventi del filtro pacchetto possono essere attivati globalmente nella scheda "Firewall". In questa visualizzazione non è possibile il Network Syslog. Advanced Mode Tutte le funzione di logging possono essere attivate o disattivate in modo mirato; gli eventi del filtro pacchetto devono essere attivati in modo selettivo nella scheda "Firewall" (regole locali o globali). Metodi di registrazione e classi di evento Nella configurazione è possibile definire i dati che devono essere registrati. In questo modo la registrazione si attiva già durante il caricamento della configurazione nel modulo SCALANCE S. Inoltre selezionare nella configurazione uno o entrambi i metodi di registrazione possibili: Log locale Network Syslog Per entrambi i metodi di registrazione SCALANCE S conosce rispettivamente i tre seguenti tipi di eventi: 226 Istruzioni operative, 02/2011, C79000-G8972-C196-07

227 Funzioni online - Test, diagnostica e logging 8.2 Registrazione di eventi (logging) Tabella 8-2 Logging - Panoramica degli eventi selezionabili Funzione / scheda nella finestra di dialogo online Eventi filtro pacchetto (firewall) / Log filtro pacchetto Eventi Audit / Audit Log Eventi di sistema / Log sistema Tipo di funzione Il Log filtro pacchetto registra determinati pacchetti del traffico di dati. Vengono registrati solo pacchetti di dati interessati da una regola filtro pacchetto progettata (firewall) o sui quali reagisce la protezione di base (pacchetti corrotti o non validi). Come presupposto la registrazione per la regola del filtro pacchetto deve essere attivata. L'Audit Log registra automaticamente eventi sequenziali rilevanti per la sicurezza. Per esempio azioni dell'utente come l'attivazione o la disattivazione del logging pacchetto o azioni nelle quali un utente non si è autentificato tramite password corretta. Il System Log registra automaticamente eventi di sistema progressivi come, ad es. l'avvio di un processo. La registrazione è scalabile in base alle classi di evento. Inoltre è progettabile una diagnostica del cavo. La diagnostica del cavo fornisce messaggi non appena il numero di pacchetti di telegramma errati ha superato il valore limite impostabile. Metodo di memorizzazione per la registrazione dei dati nel logging locale La memorizzazione per la registrazione dei dati viene eseguita in base a due metodi selezionabili: Ring Buffer Al raggiungimento della fine del buffer la registrazione all'inizio del buffer viene proseguita sovrascrivendo le voci meno recenti. One Shot Buffer La registrazione di arresta quando il buffer è pieno. Attivazione e disattivazione del logging Con le impostazioni Log, nel modo operativo Offline è possibile attivare il logging locale per le classi di evento e definire il metodo di memorizzazione. Queste impostazioni Log vengono caricate nel modulo con la configurazione e attivate all'avvio di SCALANCE S. In caso di necessità, nelle funzioni online è possibile attivare o disattivare il logging locale per gli eventi del filtro pacchetto e gli eventi del sistema. Durante questa operazione le impostazioni nella configurazione del progetto non vengono modificate Impostazioni Log locale nella configurazione Con le impostazioni Log, nel modo operativo Offline è possibile attivare le classi di evento e definire il metodo di memorizzazione. Queste impostazioni Log vengono caricate nel modulo con la configurazione e attivate all'avvio di SCALANCE S. In caso di necessità, le impostazioni Log progettate possono essere modificate nelle funzioni online. Durante questa operazione le impostazioni nella configurazione del progetto non vengono modificate. Istruzioni operative, 02/2011, C79000-G8972-C

228 Funzioni online - Test, diagnostica e logging 8.2 Registrazione di eventi (logging) Impostazioni Log nello Standard Mode Le impostazioni Log nello Standard Mode corrispondono alle preimpostazioni nell'advanced Mode. Nello Standard Mode non è tuttavia possibile modificare le impostazioni. Impostazioni Log nello Advanced Mode Selezionare il modulo da modificare e selezionare la seguente voce di menu: Project Properties, scheda "Log Settings". La seguente finestra di dialogo illustra le impostazioni Standard per SCALANCE S; inoltre è aperta la finestra di dialogo per la configurazione della registrazione degli eventi di sistema: 228 Istruzioni operative, 02/2011, C79000-G8972-C196-07

229 Funzioni online - Test, diagnostica e logging 8.2 Registrazione di eventi (logging) Configurazione delle classi di evento Tabella 8-3 Log locale - Panoramica delle funzioni Funzione / scheda nella finestra di dialogo online Packet filter events (firewall) / packet filter log (progettabile) Progettazione Osservazioni L'attivazione avviene tramite casella opzionale. La selezione del metodo di memorizzazione avviene tramite campi opzione. I dati Log non sono ritentivi I dati vengono depositati in una memoria volatile di SCALANCE S, per questo motivo essi non sono più disponibili dopo un disinserimento della tensione di alimentazione. I dati Audit Log sono ritentivi Audit events / Audit log (sempre attivato) Il Logging è sempre attivato. La memorizzazione avviene sempre nel buffer circolare. I dati Audit Log vengono depositati in una memoria ritentiva di SCALANCE S. Per questo motivo, questi dati Audit Log sono disponibili anche dopo un disinserimento della tensione di alimentazione. I dati System Log non sono ritentivi System event / System log (progettabile) L'attivazione avviene tramite casella opzionale. La selezione del metodo di memorizzazione avviene tramite campi opzione. Per la configurazione del filtro evento e della diagnostica del cavo aprire un'altra finestra di dialogo con il pulsante "Configure...". In questa sotto-finestra si imposta un livello di filtro per gli eventi di sistema. Come standard è impostato il livello più alto, in modo che vengano registrati solo eventi critici. La diagnostica del cavo crea un evento di sistema specifico. Viene generato un evento di sistema in una percentuale di telegrammi errati impostabile dall'utente. A questo evento di sistema viene assegnata una priorità e un significato (Facility) impostabili in questa sottofinestra di dialogo. I dati System Log vengono depositati in una memoria volatile di SCALANCE S. Per questo motivo, questi dati non sono più disponibili dopo un disinserimento della tensione di alimentazione. Filtraggio degli eventi di sistema Selezionare come livello del filtro "Error" o un valore superiore per escludere la registrazione di eventi generali non critici. Priorità dell'evento di sistema della diagnostica del cavo Fare attenzione a non assegnare agli eventi di sistema della diagnostica del cavo una priorità più bassa di quella impostata per il filtro. Con una priorità inferiore questi eventi non verrebbero filtrati e registrati. Istruzioni operative, 02/2011, C79000-G8972-C

230 Funzioni online - Test, diagnostica e logging 8.2 Registrazione di eventi (logging) Network Syslog - Impostazioni nella configurazione SCALANCE S può essere configurato in modo che invii come Client Syslog informazioni ad un Syslog Server. Il Syslog Server può trovarsi in una sotto-rete interna o esterna. L'implementazione corrisponde a RFC Nota Firewall - Syslog Server non attivo nella rete esterna Se il Syslog Server non è attivo sul computer indirizzato, questo computer restituisce telegrammi di risposta ICMP "port not reachable". Se a causa della configurazione firewall questi telegrammi di risposta vengono registrati come eventi di sistema e inviati al server Syslog, questa operazione può proseguire all'infinito (valanga di eventi). Rimedi: Avviare il Syslog server; Modificare le regole del firewall; Togliere dalla rete il computer con il server Syslog disattivato; Commutazione nella modalità Advanced La configurazione del server Syslog presuppone la visualizzazione "Advanced Mode" nel Security Configuration Tool. Commutare il modo operativo con la seguente voce di menu: View Advanced Mode Eseguire le impostazioni Log Selezionare il modulo da modificare e selezionare la seguente voce di menu: Project Properties, scheda "Log Settings". La seguente finestra di dialogo illustra le impostazioni standard per SCALANCE S con Logging attivato per la rete Syslog: 230 Istruzioni operative, 02/2011, C79000-G8972-C196-07

231 Funzioni online - Test, diagnostica e logging 8.2 Registrazione di eventi (logging) Realizzazione del collegamento al server Syslog SCALANCE S utilizza il nome di modulo progettato come nome host rispetto al server Syslog. L'indirizzo IP del server Syslog deve essere indicato. L'indirizzo IP può essere inserito in alternativa come nome simbolico o numerico. SCALANCE S deve accedere al server Syslog tramite l'indirizzo IP indicato o eventualmente tramite la progettazione del router nella scheda "Network". Se il server Syslog non viene raggiunto, l'invio delle informazioni Syslog viene disattivata. Questo stato operativo può essere riconosciuto dai relativi messaggi del sistema. Per riattivare l'invio delle informazioni Syslog è eventualmente necessario aggiornare le informazioni di routing e riavviare SCALANCE S. Utilizzo del nome simbolico nel Logging Le indicazioni di indirizzo nei telegrammi Log trasmessi al server Syslog possono essere sostituite con nomi simbolici. Con l'opzione attivata, SCALANCE S verifica la progettazione dei relativi nomi simbolici e li inserisce nel telegramma Log. Fare attenzione che questo non comporti un aumento del tempo di elaborazione nel modulo SCALANCE S. Per gli indirizzi IP del modulo SCALANCE S vengono utilizzati automaticamente i nomi dei moduli come nomi simbolici. Nella modalità Routing questi nomi vengono ampliati con una sigla di porta nel modo seguente: "Modulename-P1", "Modulename-P2" ecc. Istruzioni operative, 02/2011, C79000-G8972-C