Industry Automation USO ESTERNO Nr. 2012/5.1/16 Data: 27.7.12 SIMATIC NET: Ethernet Rilascio nuovi Scalance S versione 3 Con la presente si comunica che è ufficialmente rilasciato alla vendita il nuovo Scalance S612v3 per il collegamento sicuro di reti di automazione attraverso collegamenti VPN per il Teleservice attraverso Internet. Il nuovo Scalance S612 v3 (6GK5 612-0BA10-2AA3) sostiturà la vecchia versione dello Scalance S612 (6GK5 612-0BA00-2AA3) mantenendo lo stesso prezzo, ed ingloba le peculiarità anche del vecchio Scalance S613. Viene inoltre rilasciato alla vendita il nuvo Scalance S602v3 (6GK5 602-0BA10-2AA3) che sostituira il vecchio S602 (6GK5 602-0BA00-2AA3) mantenendo lo stesso prezzo. Questo modulo è l analogo dell S612 ma senza funzionalità VPN (solo router/firewall). Descrizione del prodotto La famiglia Scalance S nasce per applicazioni di sicurezza, e fornisce protezione per le celle di automazione e più in generale per i segmenti di rete Ethernet. Questo prodotto permette alla rete di produzione di essere effettivamente protetta da minacce esterne, come ad esempio accessi non autorizzati o sovraccarichi di traffico non necessari. Inoltre permette di rendere più sicure le comunicazioni per mezzo di trasmissioni criptate (ad esempio via WAN), che evitano la possibile manipolazione dei dati. Caratteristiche Gli Scalance S V3 forniscono le stesse caratteristiche presenti nei precedenti modelli:
VPN (Virtual Private Network con S612): Permette l autenticazione sicura (identificazione) dei partecipanti della rete, così come il criptaggio dei dati ed il check sul integrità degli stessi. Il criptaggio sicuro è richiesto per proteggere il traffico dei dati contro lo spionaggio e la manipolazione. Grazie a questo meccanismo diventa impossibile decifrare il traffico sniffato sulla rete. Il modulo di sicurezza è in grado di stabilire un tunnel VPN di tipo IPSec verso un altro dispositivo con capacità di VPN analoghe. Stateful inspection firewall: Filtraggio dei pacchetti ed abilitazione/disabilitazione della comunicazione in base ad una filter list. Entrambe le comunicazioni in ingresso ed in uscita possono essere filtrate in base a regole su base. IP address, MAC address e protocollo (porte). Il firewall può essere usato in altrnativa o in aggiunta alla VPN. Stateful inspection significa anche che la comunicazione può essere filtrata in base allo direzione, ovvero lo stesso tipo di messaggio può passare in uscita ma essere bloccato in ingresso Logging (Syslog): Al fine di monitorare gli accessi ed individuare possibili attacchi esterni alle reti di automazione, tutti i tentativi di connessione vengono salvati in un file di log che può essere successivamente letto tramite il software Security Configuration o mostrato in diretta tramite un Syslog Server NAT/NAPT (Network Address and Port Translation): E possible usare indirizzi IP privati sulla rete interna, ed usare un indirizzo IP pubblico su quella esterna che va a mascherare e proteggere quelli privati. Questo meccanismo di NAPT può permettere la connessione diretta (tra loro) di celle che hanno lo stesso indirizzamento IP. Nomi simbolici per indirizzi IP: Semplifica la configurazione e la leggibilità delle regole di firewall. Global firewall rules: Commissioning facile e veloce, grazie alla possibilità di applicare a Scalance S multipli le stesse regole semplicemente raggruppandoli nello stesso progetto.. Design robusto, adatto all installazione in ambienti indstriali. Le seguenti funzioni sono invece disponisbili solo sui nuovi SCALANCE S V3: Regole di firewall User-specific ed autenticazione utenti tramite login e password. Gli utenti possono fare login sullo SCALANCE S e solo dopo l identificazione le regole di firewall specifche vengono assegnate al collegamento, in modo da poter limitare l accesso via VPN solo a determinate porzioni dell impianto. Per esempio, in un impianto complesso realizzato da più produttori di macchine, è possibile
limitare l accesso alla sola macchina di competenza e non più tutta la rete.ulteriore grado di sicurezza con le regole user-specific firewall che permettono di impostare anche solo traffico VPN, costringendo quindi l operatore ad instaurare una connessione VPN se vuole passare attraverso lo Scalance S. SNMP (V1 + V3): Simple Network Management Protocol per la diagnostica e l analisi del traffico di rete, con sicurezza maggiore rispetto all SNMP V1 PPPoE: Point-to-point protocol over Ethernet per ottenere automaticamente l indirizzo IP dal provider, rendendo non necessaria la configurazione del router DSL DynDNS: Dynamic Domain Name per permettere la creazione di connessioni VPN anche in assenza di un IP pubblico su Internet Adesso lo Scalance S612 supporta fino a 128 tunnel (non più 64), rendendo inutile la suddivisione tra S612 ed S613 (che di fatto non esisterà più ) Range di temperature più esteso (-40 C to +60 C) per tutti I moduli La configurazione dei moduli avviene tramite Security Configuration Tool (SCT), software gratuito fornito con ogni Scalance S612 e che verrà incluso all interno di Step7 dalla versione V5.5 SP2 HF1. Design SCALANCE S V3 ha tutte le caratteristiche tipiche degli SCALANCE: Case robusto di metallo per il montaggio all interno del quadro su guida standard, guida S7-300 o montaggio a muro Porte RJ45 industriali con collare di protezione per aumentare la robustezza Alimentazione ridondante Contatti di segnalazione dei Fault LEDs di diagnostica del dispositivo (alimentazione, link status, data traffic) C-PLUG (Configuration Plug) memoria removibile per una veloce sostituzione dei moduli in caso di guasti
Possibili applicazioni Gli SCALANCE S vengono utilizzati per cotrollare gli accessi ad una rete di impianto e per proteggere la trasmissione in modo da renderla più sicura. La sicurezza è indipendente dal tipo di protocollo, che può essere IP-based (Layer 3) oppure MAC-based (Layer 2) Benefici per il cliente: Protezione da accessi indesiderati a componenti di una rete Ethernet Realizzazione di connessioni Teleservice via Internet, anche senza l uso di IP pubblico (solo versione S612, non S602)! Integrazione nella diagnostica SNMP (V1 + V3) dell impianto Gli Scalance S possono lavorare anche in modalità Bridge, in cui funzionano da semplice firewall senza bisogno di creare una nuova subnet da proteggere (si integrano direttamente nelle reti esistenti) Creazione e uso di indirizzi IP private tramite NAT o NAPT (Network Address and Port Translation) functionality
maintenance center 2 SCALANCE S612 v3 maintenance center 3 SCALANCE S612 v3 Internet Indirizzo IP pubblico o DynDNS "Mobile" service technician Il cliente finale (VPN server) può limitare l accesso a singole parti dell impianto, a seconda di chi si collega, grazie alle nuove regole firewall user-based!! Plant IP Dinamico ma DynDNS attivo VPN tunnt nel SOFTNET Security Client IP Dinamico Internet PG/PC SIMATIC maintenance IP Dinamico ma DynDNS attivo maintenance cell maintenan ce cell
Pacchetti Descrizione MLFB SCALANCE S602 v3 6GK5 602-0BA10-2AA3 6GK5 612-0BA10-2AA3 Accessori Descrizione MLFB C-Plug 6GK1900-0AB00 Product Manager