netzwerksicherheit - siemens.com · industrial security 5 ssc security management objektsicherung...
TRANSCRIPT
Industrial Security
Netzwerksicherheit
Answers for industry.
Broschüre
AusgabeFebruar 2014
01_BR_Titel_NWS_de_02_2014.indd 101_BR_Titel_NWS_de_02_2014.indd 1 17.02.2014 15:27:4517.02.2014 15:27:45
© Siemens AG 2014
Industrial Security2
Industrial SecurityDarum ist Industrial Security so wichtig
Mit der steigenden Verwendung von Ethernet-Verbindun-gen bis in die Feldebene hinein gewinnen in der Industrie auch die damit verbundenen Sicherheitsfragen mehr und mehr an Bedeutung. Denn offene Kommunikation und eine zunehmende Vernetzung von Produktionssystemen bergen nicht nur enorme Chancen, sondern ebenso große
Risiken. Um eine Industrieanlage unter dem Aspekt der Sicherheit umfassend vor Angriffen zu schützen, müssen entsprechende Maßnahmen getroffen werden. Siemens unterstützt Sie dabei, diese Maßnahmen gezielt umzuset-zen – im Rahmen eines durchgängigen Angebotes für In-dustrial Security.
Bedrohungen im Überblick
1) Industrial Control Systems (ICS)
Quelle: BSI-A-CS 004 | Version 1.00 vom 12.04.2012 Seite 2 von 2
Hinweis: Die Auflistung der Bedrohungen ist in enger Zusammenarbeit zwischen BSI und Vertretern der Wirtschaft entstanden.
Mit den BSI-Analysen veröffentlicht das Bundesamt für Sicherheit in der Informationstechnik (BSI) Statistiken und Berichte zu aktuellen Themen der Cyber-Sicherheit. Kommentare und Hinweise richten Sie bitte an:[email protected]
Nr. Bedrohung Erläuterung
1 Unberechtigte Nutzung von Fernwartungszugängen
Wartungszugänge sind bewusst geschaffene Öffnungen des ICS-Netzes 1) nach außen, die häu-fig jedoch nicht hinreichend abgesichert sind.
2 Online-Angriffe über Office-/Enterprise-Netze
Office-IT ist i.d.R. auf vielen Wegen mit dem Internet verbunden. Meist bestehen auch Netzwerkverbindungen vom Office- ins ICS-Netz, sodass Angreifer über diesen Weg eindringen können.
3 Angriffe auf eingesetzte Stan-dardkomponenten im ICS-Netz
IT-Standardkomponenten (commercial off-the-shelf, COTS) wie Betriebssysteme, Application Server oder Datenbanken enthalten in der Regel Fehler und Schwachstellen, die von Angreifern ausgenutzt werden. Kommen diese Standardkomponenten auch im ICS-Netz zum Einsatz, so erhöht dies das Risiko eines erfolgreichen Angriffs auf die ICS-Systeme.
4 (D)DoS Angriffe Durch (Distributed) Denial of Service-Angriffe können Netzwerkverbindungen und benötigte Ressourcen beeinträchtigt und Systeme zum Absturz gebracht werden, z. B. um die Funktions-fähigkeit eines ICS zu stören.
5 Menschliches Fehlverhalten & Sabotage
Vorsätzliche Handlungen – ganz gleich ob durch interne oder externe Täter – sind eine massive Bedrohung für sämtliche Schutzziele. Daneben sind Fahrlässigkeit und menschliches Versagen eine große Bedrohung insbesondere bzgl. der Schutzziele Vertraulichkeit und Verfügbarkeit.
6 Einschleusen von Schadcode über Wechseldatenträger und externe Hardware
Der Einsatz von Wechseldatenträgern und mobilen IT-Komponenten externer Mitarbeiter stellt stets eine große Gefahr bzgl. Malware-Infektionen dar. Dieser Aspekt kam z. B. bei Stuxnet zum Tragen.
7 Lesen und Schreiben von Nachrichten im ICS-Netz
Da die meisten Steuerungskomponenten derzeit über Klartextprotokolle und somit unge-schützt kommunizieren, ist das Mitlesen und Einspielen von Steuerbefehlen oftmals ohne größeren Aufwand möglich.
8 Unberechtigter Zugriff auf Ressourcen
Insbesondere Innentäter oder Folgeangriffe nach einer Penetration von außen haben leichtes Spiel, wenn Dienste und Komponenten im Prozessnetz keine bzw. unsichere Methoden zur Authentisierung und Autorisierung implementieren.
9 Angriffe auf Netzwerk-komponenten
Netzwerkkomponenten können durch Angreifer manipuliert werden, um z. B. Man-in-the-Middle-Angriffe durchzuführen oder um Sniffing zu erleichtern.
10 Technisches Fehlverhalten & höhere Gewalt
Ausfälle durch extreme Umwelteinflüsse oder technische Defekte sind immer möglich – Risiko und Schadenspotential können hier lediglich minimiert werden.
Industrial Security_022013_DE.fm Seite 2 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Industrial Security 3
Netzwerksicherheit als zentraler Bestandteil des Industrial Security Konzeptes von Siemens
Siemens Industrial Security – kontinuierlicher Schutz Ihrer AnlageDie Basis für eine bestmögliche Industrial Security-Lösung zu schaffen erfordert neue Ansätze, da sie kontinuierlich den neuen Bedrohungen angepasst werden muss – denn eine absolute Sicherheit gibt es nicht. Für eine umfassende und dauerhafte Lösung setzen wir auf eine tiefgehende Beratung, ein partnerschaftliches Miteinander und die stetige Weiter-entwicklung unserer Security-Maßnahmen und -Produkte.
Rundumschutz, der auch in die Tiefe gehtMit Defense in Depth bietet Siemens ein vielschichtiges Kon-zept, das Ihre Anlage sowohl rundum als auch in die Tiefe schützt. Das Konzept basiert auf den Komponenten Anlagen-sicherheit, Netzwerksicherheit sowie Systemintegrität nach den Empfehlungen der ISA 99 / IEC 62443 – dem führenden Standard für Security in der industriellen Automatisierung. Während der klassische Anlagenschutz physische Zugriffe abwehrt, bewahren Netzwerkschutz und Schutz der System-integrität vor Cyber-Übergriffen und nicht autorisiertem Zugriff durch Bediener oder betriebsfremde Personen.
Erfolgsfaktor: Netzwerksicherheit Netzwerksicherheit bedeutet Schutz von Automatisierungsnet-zen vor unbefugten Zugriffen. Dies beinhaltet die Kontrolle aller Schnittstellen wie z. B. zwischen Büro- und Anlagennetzwerk oder der Fernwartungszugänge zum Internet und kann mittels Firewalls und gegebenenfalls Aufbau einer DMZ (demilitarisierte Zone = sicherheitstechnisch abgeschirmte Zone) erfolgen. Die DMZ dient zur Bereitstellung von Daten für andere Netze, ohne di-rekten Zugang zum Automatisierungsnetz zu gewähren. Die si-cherheitstechnische Segmentierung des Anlagennetzwerks in einzelne geschützte Automatisierungszellen, dient der Risikomi-nimierung und Erhöhung der Sicherheit. Die Aufteilung der Zellen und Zuordnung der Geräte erfolgt nach Kommunikations- und Schutzbedarf. Die Datenübertragung wird mittels VPN verschlüs-selt und so vor Datenspionage und Manipulation geschützt. Die Kommunikationsteilnehmer werden sicher authentifiziert. Mit "Security Integrated"-Komponenten wie SCALANCE S Security Modules oder Security CPs für SIMATIC kann das Zellenschutzkon-zept realisiert und die Kommunikation gesichert werden.
Erste Risikobewertung und Information im InternetSie wollen jetzt schon wissen, wie es um die Sicherheit Ihrer Industrieanlage bestellt ist? In einem Kundengespräch können Sie sich ausführlich über die speziellen Sicherheitsfragen Ihrer Branche informieren. Nutzen Sie die Möglichkeit, bei offenen Fragen unser Consulting-Team zu kontaktieren. Unsere Fach-leute erstellen gerne ein Sicherheitskonzept, das auf die Bedürfnisse Ihrer Produktionsanlage oder Prozessinfrastruktur abgestimmt ist. Die weiterführenden "Operational Guidelines" mit vielen Empfehlungen für den Schutz Ihrer Produktionsan-lage können Sie auf unserer Internetseite downloaden.
Erkennung von Angriffen
Patch Management
Authentifizierung/Benutzerverwaltung
Systemhärtung
Firewalls & VPN
Zellenschutz und Perimeternetzwerk
Prozesse & Richtlinien
Physischer Zugangsschutz
Security Guidelines
Defense in depth
Systemintegrität
Netzwerksicherheit
Anlagensicherheit
Industrial Security Services G_I
K10
_XX
_103
36
Industrial Security_022013_DE.fm Seite 3 Mittwoch, 19. Februar 2014 3:16 15
© Siemens AG 2014
Industrial Security4
Domain Controller
Anlagensicherheit
Systemintegrität
Netzwerksicherheit
Produktionsnetzwerk
Office Netzwerk
Produktion 1
SIMATIC S7-400 mit CP 443-1 Advanced
ES mit CP 1628
OS mit CP 1628
MRP-Ring
Ring-RedundanzManager SCALANCE X308-2M
Sync-Leitung
SIMATIC TP700
Industrial Ethernet (Fiber optic)
SCALANCE X308-2M
SCALANCE S627-2M
SCALANCE S627-2M
SCALANCE S623
SIMATIC ET 200SP
PROFINET
SCALANCEX204-2
SCALANCEX204-2
Industrial SecurityErfolgsfaktor Netzwerksicherheit
Industrial Security_022013_DE.fm Seite 4 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Industrial Security 5
SSC
Security ManagementObjektsicherung
Produktion nProduktion 3
SIMOTION D4x5 mit SINAMICS S120 (Booksize)
SIMATIC S7-300 mit CP 343-1 Advanced
SIMATIC Field PG mit SOFTNET Security Client
PC mit CP 1628
Server
ZentralerArchiv Server
SIMATIC S7-1500 mit
CP 1543-1
Produktion 2
SIMATIC S7-1200 mit CP 1243-1
SIMATIC S7-1200 mit CP 1243-1
WEB Server
Server
SIMATICTP1200 Comfort
SCALANCE M874-3
GPRS/UMTS
Internet
DMZ
SCALANCE S623
G_I
K10
_XX
_103
62
SINAMICS G120
SIMATIC TP700
T
ET 200SIMATICTP700
SIMATIC S7-1200
PROFINET
InternetRouter
InternetRouter
Sichere Kommunikation, Netzzugangsschutz und Netzsegmentierung mit Security Integrated-Komponenten
Industrial Security_022013_DE.fm Seite 5 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated6
Security IntegratedZellenschutzkonzept
Industrielle Kommunikation ist ein Schlüsselfaktor für den Unternehmenserfolg – solange das Netzwerk geschützt ist.
Als Partner bietet Siemens seinen Kunden zur Realisierung des Zellenschutzkonzeptes deshalb Komponenten mit Security Integrated, die neben ihren Kommunikations-funktionen auch spezielle Security-Funktionen wie Firewall- und VPN-Funktionalität integriert haben.
Sichere Kommunikation zwischen Komponenten mit Security Integrated in getrennen Automatisierungszellen
Zellenschutzkonzept
Beim Zellenschutzkonzept wird ein Anlagennetzwerk in ein-zelne geschützte Automatisierungszellen segmentiert, inner-halb derer alle Geräte sicher untereinander kommunizieren können. Die Anbindung der einzelnen Zellen an das Anlagen-netzwerk erfolgt gesichert per VPN und Firewall.
Der Zellenschutz reduziert die Störungsanfälligkeit der gesam-ten Produktionsanlage und erhöht damit deren Verfügbarkeit. Zur Realisierung können Security Integrated-Produkte wie SCALANCE S, SCALANCE M und die SIMATIC S7/PC-Kommuni-kationsprozessoren eingesetzt werden.
SIMATIC S7-1500 mit CP1543-1
SIMATIC S7-300 mit CP343-1
Advanced
Automatisierungszelle 4
SIMATIC S7-400 mit
CP443-1 Advanced
Automatisierungszelle 3Automatisierungszelle 2Automatisierungszelle 1
SIMATIC S7-1200 mit CP 1243-1
PROFINETPROFINETPROFINET
Industrial Ethernet
PROFINET
G_I
K10
_XX
_103
73
Industrial Security_022013_DE.fm Seite 6 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated 7
Folgende Security Integrated-Produkte stehen zur Verfügung:
SIMATIC S7-1200 / S7-1500:
■ Schutz der Steuerung durch Zugriffsschutz (Authentifizierung) über die S7-1200/S7-1500 CPU:– Know-How-Schutz– Manipulationsschutz– Kopierschutz– Abgestuftes Sicherheitskonzept für HMI- Anbindung
■ Erweiterbarer Zugriffsschutz für S7-1200/S7-1500 (Firewall) über Security CP 1243-1/CP 1543-1 durch – Integrierte Firewall (Kontrolle des Datenflusses)– Schutz vor Datenmanipulation und Spionage durch
VPN
SIMATIC S7-300 und S7-400
■ Schutz von Steuerungen durch Kommunikationsprozes-soren CP 343-1 Advanced und CP 443-1 Advanced, die sowohl Firewall- als auch VPN-Funktionen (Virtual Private Network) beinhalten.
Security-Module SCALANCE S
■ SCALANCE S Module schützen industrielle Netzwerke und Automatisierungssysteme durch sicherheitstechni-sche Segmentierung (Zellenschutz) mit Firewall vor unbefugten Zugriffen und die Datenübertragung mit
VPN vor Manipulation und Spionage.
Industrie PCs
■ Über den Kommunikationsprozessor CP 1628 werden Industrie-PCs durch Firewall und VPN geschützt – für eine sichere Kommunikation ohne Spezialeinstellungen des Betriebssystems. Auf diesem Wege lassen sich mit der Baugruppe ausgestattete Rechner mit geschützten Zellen verbinden.
Software
■ Die Software SOFTNET Security Client ermöglicht über Internet oder ein firmeninternes Netzwerk den Zugriff über VPN auf Automatisierungszellen oder PCs, die durch SCALANCE S oder eine eine andere Security-Kom-ponente mit VPN-Funktion geschützt sind.
Fernzugriff
■ Industrial Router SCALANCE M für den sicheren Fernzu-griff auf Anlagen über Mobilfunknetze, z.B. M874-3 über UMTS.
Security Integrated-Produkte für den industriellen Einsatz mit speziellen Sicherheitsfunktionen zur Verbesserung des Sicherheitsstandards
SC
ALA
NC
E S
Fa
mili
e
SCAL
ANC
E M
- Fa
milie
CP
343
-1 A
dvC
P 4
43-1
Adv
S7-
1200
CP
U 1
) S
7-15
00 C
PU
CP
124
3-1
1)
CP
154
3-1
CP
162
8
SO
FTN
ET
Sec
urity
Clie
nt
Konfigurierbare Copy Protection ●
Zugriffsschutz (Authentifizierung) ●
Erweiterter Zugriffsschutz (Firewall) ● ● ● ● ●
Virtual Private Network mit IPSec ● ● ● ●
Manipulationsschutz (Kommunikation, Projektierung) ● ● ● ● ● ● ●
● trifft zu 1) ab CPU Firmware V4.0ab STEP 7 Professional V13
Industrial Security_022013_DE.fm Seite 7 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated8
Mit den Security Modules der SCALANCE S-Familie können alle Geräte eines Ethernet-Netzwerkes vor unbefugten Zugrif-fen geschützt werden. SCALANCE S Module schützen zudem durch Aufbau von VPN-Tunneln auch die Datenübertragung zwischen Geräten oder Netzsegmenten (z.B. Automatisie-rungszellen) vor Datenmanipulation und Spionage und kön-nen für sichere Fernzugriffe über Internet eingesetzt werden.
Die Sicherheitsmodule SCALANCE S können sowohl im Bridge-Modus, d.h. innerhalb eines IP-Subnetzes, als auch im Router-Modus, d.h. an den IP-Subnetzgrenzen betrieben werden.
SCALANCE S ist für den Einsatz im Automatisierungsumfeld bzw. im industriellen Bereich optimiert und erfüllt die speziel-len Anforderungen der Automatisierungstechnik, wie bei-spielsweise leichte Hochrüstbarkeit bestehender Anlagen, einfache Installierbarkeit oder minimale Stillstandszeiten im Fehlerfall.
Produktvarianten
SCALANCE S602 • Schützt Netzsegmente mittels Stateful Inspection Firewall
vor unbefugtem Zugriff;• Anschluss über 10/100/1000 Mbit/s Ports; • "Ghost-Mode" zum Schutz einzelner, auch wechselnder
Geräte durch dynamische Übernahme der IP-Adresse
SCALANCE S612• Schützt Netzsegmente mittels Stateful Inspection Firewall
vor unbefugtem Zugriff; • Bis zu 128 VPN-Tunnel können gleichzeitig betrieben
werden;• Anschluss über 10/100/1000 Mbit/s Ports
SCALANCE S623 • Schützt Netzsegmente mittels Stateful Inspection Firewall
vor unbefugtem Zugriff; • Bis zu 128 VPN-Tunnel können gleichzeitig betrieben
werden;• Anschluss über 10/100/1000 Mbit/s Ports;• Zusätzlicher RJ45 DMZ-Port (DMZ: „demilitarisierte Zone“)
für den sicheren Anschluss, z.B. von Fernwartungsmo-dems, Laptops oder einem zusätzlichen Netz. Dieser gelbe Port ist mittels Firewalls zum roten und grünen Port hin abgesichert und kann ebenfalls VPNs terminieren;
• Redundanter Schutz von Automatisierungszellen durch Router- und Firewallredundanz und Stand-by-Betrieb des redundanten Gerätes und Status Abgleich über Synchroni-sationsleitung zwischen den gelben Ports
SCALANCE S627-2M• Schützt Netzsegmente mittels Stateful Inspection Firewall
vor unbefugtem Zugriff;• Bis zu 128 VPN-Tunnel können gleichzeitig betrieben
werden; • Anschluss über 10/100/1000 Mbit/s Ports; • Zusätzlicher RJ45 DMZ-Port (DMZ: „demilitarisierte Zone“)
für den sicheren Anschluss, z.B. von Fernwartungsmo-dems, Laptops oder einem zusätzlichen Netz. Dieser gelbe Port ist mittels Firewalls zum roten und grünen Port hin abgesichert und kann ebenfalls VPNs terminieren;
• Redundanter Schutz von Automatisierungszellen durch Router- und Firewallredundanz und Stand-by-Betrieb des redundanten Gerätes und Status Abgleich über Synchroni-sationsleitung zwischen den gelben Ports;
• Zwei zusätzliche Steckplätze für 2-Port Medienmodule (von SCALANCE X300) zur direkten Einbindung in Ringstruktu-ren und FO-Netze mit zwei zusätzlichen geswitchten roten bzw. grünen Ports pro Modul;
• Überbrückung größerer Leitungslängen bzw. Nutzung bestehender 2-Drahtleitungen (z.B. PROFIBUS) durch Ein-satz der Medienmodule MM992-2VD (Variable Distance)
Security IntegratedSchutz der Automatisierungszelle mit SCALANCE S Modules
Industrial Security_022013_DE.fm Seite 8 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated 9
Anschluss eines lokalen oder entfernten Service-PCs (mittels Internetzugang) über den DMZ-Port des SCALANCE S623
SCALANCE S Security-Funktionen
VPN (Virtual Private Network) (nur für SCALANCE S612, S623 und SCALANCE S627-2M); zur sicheren Authentifizierung (Identifikation) der Netzteil-nehmer, zur Verschlüsselung der Daten und Überprüfung der Datenintegrität.• Authentifizierung;
Jeder eingehende Datenverkehr wird überwacht und kontrolliert. Da IP-Adressen gefälscht werden können (IP-Spoofing), reicht eine Kontrolle der IP-Adresse (des Client-Zugriffes) nicht aus. Hinzu kommt, dass Client-PCs wechselnde IP-Adressen haben können. Deshalb erfolgt die Authentifizierung mittels bewährter VPN-Mechanismen;
• Datenverschlüsselung; Zum Schutz des Datenverkehrs vor Spionage und Manipu-lation ist eine sichere Verschlüsselung erforderlich. So bleibt der Datenverkehr für jeden Lauscher im Netzwerk unverständlich. Hierzu baut das SCALANCE Security Module VPN-Tunnel zu anderen Security Modules auf.
Firewallkann zur flexiblen Zugriffskontrolle alternativ oder ergänzend zu VPN eingesetzt werden. Die Firewall filtert Datenpakete und sperrt bzw. lässt Kommunikationsverbindungen gemäß Filter-liste zustandsabhängig zu (Stateful Inspection). Sowohl eingehende, als auch ausgehende Kommunikation kann gefiltert werden, nach IP- und MAC-Adressen sowie Kom-munikationsprotokollen (Ports) oder anwenderspezifisch. • Logging;
Zugriffsdaten werden vom Security Module in einem Log-file gespeichert. Sowohl um zu wissen wie, wann und von wem darauf zugegriffen wurde, als auch um Angriffsversu-che zu erkennen und entsprechende vorbeugende Maß-nahmen ergreifen zu können.
Projektierung
Die Projektierung erfolgt mit dem Security Configuration Tool (SCT). Damit können von zentraler Stelle alle SIMATIC NET Security-Produkte konfiguriert und diagnostiziert werden. Die gesamte Projektierung kann auf dem optionalen Wechselme-dium C-PLUG (nicht im Lieferumfang enthalten) gesichert werden, so dass im Fehlerfall das Security Module schnell und ohne Programmiergerät ausgetauscht werden kann.
LokalerService-PC Entfernter
Service-PC mit SOFTNET Security Client
Servicezugang
Anlagennetzwerk/geschützte Automatisierungszelle
Unternehmensnetzwerk
InternetSCALANCES623Industrial Ethernet
G_I
K10
_XX
_103
03
Internet Router
Internet Router
Vorteile auf einen Blick
■ Hohe IT-Sicherheit für Maschinen und Anlagen durch Realisierung des Zellenschutzkonzepts
■ Durchgängige Netzwerkdiagnose durch Einbindung in IT-Infrastrukturen und Netzwerkmanagementsysteme über SNMP
■ Einfache Fernwartung über Internet durch PPPoE und DNS unter Verwendung dynamischer IP-Adressen
■ Problemlose Integration in vorhandene Netzwerke ohne Rekonfiguration von Endteilnehmern oder Einrichtung neuer IP-Subnetze
■ Gerätetausch ohne PG durch Einsatz des Wechselmedi-ums C-PLUG zur Sicherung der Konfigurationsdaten
Industrial Security_022013_DE.fm Seite 9 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated10
Sicherer Fernzugriff ohne direkte Verbindung zum Automatisierungsnetzwerk mit SCALANCE S623
Aufgabenstellung
Ein Systemintegrator möchte für Servicezwecke gesichert über Internet auf seine Maschine oder einen Anlagenteil beim Endanwender zugreifen. Er soll jedoch keinen Zugriff auf das Anlagennetzwerk bekommen und auch nur auf bestimmte Ge-räte Zugriff haben. Zudem soll eine gesicherte Verbindung von der Anlage zu einer abgesetzten Station über mobile Netze (z. B. UMTS) aufgebaut werden.
Lösung
Ausgangspunkte sind (z. B. Systemintegrator) mit VPN Client (SOFTNET Security Client, CP 1628, SCALANCE M874-3)
Endpunkt (Automatisierungsanlage): SCALANCE S623 als VPN Server
• Roter Port: Verbindung mit Anlagennetzwerk• Gelber Port: Anschluss von Internet-Modem/Router• Grüner Port: Anschluss an gesicherter Zelle
SSCInternet Router
Anlagennetzwerk
Automatisierungsanwendung
Automatisierungszelle 1
Automatisierungsanlage
Remote-Stationen
Automatisierungszelle n-1Automatisierungszelle n
SIMATIC Field PG mit
SOFTNET Security
Client
VPN-Tunnel
VPN-Tunnel
G_I
K10
_XX
_103
39
SCALANCE S623
PROFINETPROFINETPROFINET
Industrial Ethernet
Security ModuleSCALANCE S
Security ModuleSCALANCE S
...
InternetRouter
SCALANCE M874-3
SIMATIC S7-1200
GPRS/UMTS
Internet
Vorteile auf einen Blick
■ Sichere Fernzugriffe über Internet oder mobilen Netzen wie UMTS durch Sicherung der Datenübertragung mit VPN (IPSec)
■ Einschränkung der Zugriffsmöglichkeiten mit integrierter Firewall-Funktion
■ Sicherer Fernzugriff auf Anlagenteile ohne direkten Zugang zum Anlagennetzwerk mit 3-Port Firewall SCALANCE S623
Security IntegratedAnwendungsbeispiele mit SCALANCE S Modules
Industrial Security_022013_DE.fm Seite 10 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated 11
Einrichtung einer Demilitarisierten Zone (DMZ) mit SCALANCE S623
Aufgabenstellung
Netzwerkteilnehmer oder Server (z.B. MES-Server) sollen so-wohl aus dem gesicherten wie aus dem ungesicherten Netz erreichbar sein, ohne dass eine direkte Verbindung zwischen den Netzwerken besteht.
Lösung
Eine DMZ kann am gelben Port mithilfe eines SCALANCE S623 eingerichtet werden. In dieser DMZ können die Server plat-ziert werden.
Unsichere Zone
Datenbank-Server
Server mit Web-Applikation
eingeschränkte Zugriffegeblockte Zugriffeerlaubte Zugriffe
Sichere Zone
DMZ-Zone
Office Netzwerk
G_I
K10
_XX
_103
40
SCALANCE S623
Domain Controller
Vorteile auf einen Blick
■ Sicherheit beim Datenaustausch durch Einsatz einer „Demilitarisierten Zone“ für den Datenaus-tausch zwischen Unternehmens- und Anlagennetz durch 3-Port Firewall SCALANCE S623
■ Schutz von Automatisierungsnetzen vor unbefugten Zugriffen bereits an den Netzwerkgrenzen
Industrial Security_022013_DE.fm Seite 11 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated12
Sichere, redundante Verbindung zweier MRP-Ringe mit SCALANCE S627-2M
Aufgabenstellung
Zwei Ringe sollen sicher und redundant miteinander verbun-den werden.
Lösung
Ring A ist mit den Ports des ersten Medienmoduls (rote Ports) und Ring B mit den Ports des zweiten Medienmoduls (grüne Ports) mit SCALANCE S627-2M verbunden. S627-2M fungiert als Router und Firewall. Ein zweiter SCALANCE S627-2M ist ebenso angebunden und im Stand-by-Betrieb. Kopplung für Abgleich des Firewall Zustandes zwi-schen den beiden SCALANCE S erfolgt über eine Synchronisa-tions-Leitung zwischen den gelben Ports.
MRP-Ring A
MRP-Ring B
Ring-Redundanz Manager
Ring-Redundanz Manager
CU oder LWL
Sync-Leitung
Industrial Ethernet (Fiber optic)
Industrial Ethernet
SCALANCE S627-2MSCALANCE S627-2M
G_I
K10
_XX
_103
66
Vorteile auf einen Blick
■ Sichere redundante Kopplung redundanter Ringe
■ Kontrolle der Datenkommunikation zwischen redundanten Ringen
■ Hohe Verfügbarkeit durch redundante Auslegung der SCALANCE S627-2M
Security IntegratedAnwendungsbeispiele mit SCALANCE S Modules
Industrial Security_022013_DE.fm Seite 12 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated 13
Sichere, redundante Verbindung einer Automatisierungszelle an redundanten Ring mit SCALANCE S627-2M
Aufgabenstellung
Eine Automatisierungszelle soll sicher und redundant an einen übergeordneten Ring angebunden werden.
Lösung
Der Ring ist mit den Ports des ersten Medienmoduls (rote Ports) und die unterlagerte Zelle mit den Ports des zweiten Medienmoduls (grüne Ports) mit SCALANCE S627-2M verbun-den. Ein zweiter SCALANCE S627-2M ist ebenso angebunden und im Stand-by-Betrieb. Kopplung für Abgleich des Firewall Zustandes zwischen den beiden SCALANCE S erfolgt über eine Synchronisations-Leitung zwischen den gelben Ports.
Alternativ:Der Ring ist mit dem roten RJ45-Port gekoppelt und die unter-lagerte Automatisierungszelle ist mit den Ports des zweiten Medienmoduls (grüne Ports) mit SCALANCE S627-2M verbun-den. Ein zweiter SCALANCE S627-2M ist ebenso angebunden und im Stand-by-Betrieb. Kopplung für Abgleich des Firewall Zustandes zwischen den beiden SCALANCE S erfolgt über eine Synchronisations-Leitung zwischen den gelben Ports.
MRP-Ring
Ring-Redundanz Manager
MRP-Ring
Ring-Redundanz Manager
Automatisierungszelle
Automatisierungszelle
CU oder LWLSync-Leitung
CU oder LWL
Sync-Leitung Industrial Ethernet (Fiber optic)
Industrial Ethernet
SCALANCE S627-2MSCALANCE S627-2M
MRP-Switch CU
SCALANCE S627-2MSCALANCE S627-2M
G_I
K10
_XX
_103
67
Vorteile auf einen Blick
■ Sichere redundante Anbindung einer Automatisie-rungszelle an einen übergeordneten Ring
■ Kontrolle der Datenkommunikation zwischen einem redundanten Ring und einer unterlagerten Automati-sierungszelle
■ Hohe Verfügbarkeit durch redundante Auslegung der SCALANCE S627-2M
Industrial Security_022013_DE.fm Seite 13 Donnerstag, 27. Februar 2014 12:25 12
© Siemens AG 2014
Security Integrated14
Sichere, redundante Anbindung eines redundanten Ringes an Anlagennetz mit SCALANCE S627-2M
Aufgabenstellung
Der Ring soll sicher und redundant an das Anlagennetz verbun-den werden.
Lösung
Der Ring ist mit den Ports des zweiten Medienmoduls (grüne Ports) und Produktionsnetz mit den Ports des ersten Medien-moduls (rote Ports) mit SCALANCE S627-2M verbunden. Ein zweiter SCALANCE S627-2M ist ebenso angebunden und im Stand-by-Betrieb. Kopplung für Abgleich des Firewall Zustan-des zwischen den beiden SCALANCE S erfolgt über eine Syn-chronisations-Leitung zwischen den gelben Ports.
Alternativ:Der Ring ist mit den Ports des zweiten Medienmoduls (grüne Ports) und Produktionsnetz am roten RJ45-Port mit SCALANCE S627-2M verbunden. Ein zweiter SCALANCE S627-2M ist ebenso angebunden und im Stand-by-Betrieb. Kopplung für Abgleich des Firewall Zu-standes zwischen den beiden SCALANCE S erfolgt über eine Synchronisations-Leitung zwischen den gelben Ports.
MRP-Ring
Ring-Redundanz Manager
MRP-Ring
Ring-Redundanz Manager
CU oder LWL
Sync-Leitung
CU oder LWL
Sync-Leitung
MRP-Switch
CU
SCALANCE S627-2MSCALANCE S627-2M
G_I
K10
_XX
_103
68
SCALANCE S627-2MSCALANCE S627-2M
Industrial Ethernet (Fiber optic)
Industrial Ethernet
Vorteile auf einen Blick
■ Sichere redundante Anbindung eines redundanten Ringes an das Anlagennetz
■ Kontrolle der Datenkommunikation zwischen Anlagennetz und redundanten Ring
■ Hohe Verfügbarkeit durch redundante Auslegung der SCALANCE S627-2M
Security IntegratedAnwendungsbeispiele mit SCALANCE S Modules
Industrial Security_022013_DE.fm Seite 14 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated 15
SCALANCE M874SCALANCE M874-3 und SCALANCE M874-2 sind Mobilfunk-router für die kostengünstige und sichere Anbindung von Ethernet-basierten Subnetzen und Automatisierungsgeräten über UMTS (Mobilfunknetz der 3. Generation) bzw. GSM (Mobilfunknetz der 2. Generation)
SCALANCE M874-3; unterstützt HSPA+ (High Speed Packet Access) und ermöglicht dadurch hohe Übertragungsraten von bis zu 14,4 Mbit/s im Downlink und bis zu 5,76 MBit/s im Uplink (in Abhängigkeit von der Infrastruktur des Mobilfunkproviders).
SCALANCE M874-2; unterstützt GPRS (General Packet Radio Service) und EDGE (Enhanced Data Rates for GSM Evolution).
Schutz vor unbefugten Zugriffen und der Datenübertragung wird durch die integrierten Security Funktionen Firewall und VPN (IPSec) geboten.
SCALANCE M875Der UMTS Router SCALANCE M875 bietet IP-Routing, Stateful Inspection Firewall und ein VPN Gateway zum Schutz unterla-gerter Geräte vor Sicherheitsrisiken wie Manipulation oder Spionage.
SCALANCE M875 hat die Typgenehmigung als Fahrzeugbauteil gemäß der Richtlinie 72/245/EWG in der Fassung 2009/19/EG und Typgenehmigung zur Verwendung auf Bahnfahrzeugen gemäß EN 50155
Sicherer Zugriff auf Anlagenteile über Mobilfunknetze
Industrial Security_022013_DE.fm Seite 15 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated16
VPN für die gesicherte Fernwartung mit SCALANCE M874
Aufgabenstellung
Ein Servicecenter soll über das Internet angebunden sein und klassische Anwendungen wie Fernprogrammierung, -parame-trierung und -diagnose, aber auch die Überwachung von weltweit installierten Maschinen und Anlagen durchführen können.
Lösung
Es können alle IP-basierten Geräte und vor allem die Automati-sierungsgeräte im lokalen Netzwerk hinter dem SCALANCE M875 oder SCALANCE M874 erreicht werden. Dank der erhöh-ten Bandbreite im Uplink können Multimedia-Anwendungen wie Videostreaming realisiert werden. Durch die VPN-Funktio-nalität ist die weltweit gesicherte Datenübertragung möglich.
S7-1500 mit CP 1543-1 Service Rechner mit
Software SOFTNET Security Client
Smartphone oder Tablet
IP-Kamera
SIMATIC S7-300 mitCPU 315-2DPund CP 343-1Lean
Servicezentrale
VPN-Tunnel 1
VPN-Tunnel 2
Remote Station 1
Remote Station 2Mobilfunk
Industrial Ethernet
InternetPROFIBUS
Industrial Ethernet
G_I
K10
_XX
_301
88
SCALANCE M874-3
SCALANCE M874-2
SCALANCES612
SCALANCE M812-1
Vorteile auf einen Blick
■ Geringe Investitions- und Betriebskosten für den sicheren Fernzugriff auf Maschinen und Anlagen.
■ Niedrigere Reisekosten oder Telefongebühren durch Fernprogrammierung und Ferndiagnose über 3G/UMTS
■ Komfortable Diagnose über Web-Interface
■ Kurze Übertragungszeiten durch die hohe Geschwin-digkeit mit HSDPA und HSUPA
■ Schutz durch integrierte Firewall und VPN
■ Nutzung der bestehenden (3G)UMTS-Infrastruktur der Mobilfunkprovider
■ Einfache Planung und Inbetriebnahme von Telecontrol-Unterstationen ohne spezielle Funkkenntnisse
■ Weltweit einsetzbar durch UMTS/GSM (Quadband);Länderspezifische Zulassungen beachten
Security IntegratedSicherer Zugriff auf Anlagenteile über Mobilfunknetze
Industrial Security_022013_DE.fm Seite 16 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated 17
CP 1243-1Der Kommunikationsprozessor CP 1243-1 verbindet die Steu-erung SIMATIC S7-1200 sicher mit Ethernet-Netzwerken.
Mit den integrierten Sicherheitsfunktonen Firewall (Stateful Inspection) und VPN Protokoll (IPSec) schützt der Kommunika-tionsprozessor S7-1200-Stationen und unterlagerte Netze vor unberechtigten Zugriffen, sowie die Datenübertragung durch Verschlüsselung gegen Manipulation und Spionage.
Außerdem kann der CP auch für die Einbindung der S7-1200-Station an die Leitstellensoftware TeleControl Server Basic über IP-basiertes Remote Netzwerke genutzt werden.
Schutz einer S7-1200 und unterlagerter Automatisierungszelle mit CP1243-1
Aufgabenstellung
Die Kommunikation zwischen Automatisierungsnetz und un-terlagerten Netzwerken mit S7-1200 soll kontrolliert und gesi-chert werden.
Lösung
Der CP 1243-1 wird im Rack der S7-1200 vor den zu schützen-den Automatisierungszellen platziert. Dadurch wird die Kom-munikation von und zur S7-1200 und unterlagerter Automati-sierungszelle mithilfe von Firewall-Regeln auf die erlaubten Ver-bindungen eingeschränkt und bei Bedarf durch Aufbau von VPN-Tunneln gegen Manipulation oder Spionage geschützt.
SIMATIC S7-1200 mit CP 1243-1
Produktion
Mobiler TeleserviceEngineering Zentrale
Industrial Ethernet
Industrial Ethernet
G_I
K10
_XX
_103
71
Field PG
TIA Portal
Engineering
LAN
ET 200SIMATICTP700
SIMATIC S7-1200
PROFINET
Vorteile auf einen Blick
■ Sicherer Anschluss der SIMATIC S7-1200 an Industrial Ethernet mittels integrierter Stateful Inspection Firewall und VPN
■ Einsatz in einer IPv6-basierten Infrastruktur
■ Anschluss an Leitstellen mit TeleControl Server Basic
Schutz von Steuerungen durch Kommunikationsprozessoren
Industrial Security_022013_DE.fm Seite 17 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated18
CP 1543-1Der Kommunikationsprozessor CP 1543-1 verbindet die Steu-erung SIMATIC S7-1500 sicher mit Ethernet-Netzwerken.
Mit den integrierten Sicherheitsfunktonen Firewall (Stateful Inspection), VPN Protokoll (IPSec) und Protokollen zur Daten-verschlüsselung wie FTPS und SNMPv3 schützt der Kommuni-kationsprozessor S7-1500-Stationen und unterlagerte Netze vor unberechtigten Zugriffen, sowie die Datenübertragung durch Verschlüsselung gegen Manipulation und Spionage.
Segmentierung von Netzwerken und Schutz der S7-1500 mit CP1543-1
Aufgabenstellung
Die Kommunikation zwischen Automatisierungsnetz und un-terlagerten Netzwerken mit S7-1500 soll per Zugriffskontrolle gesichert werden.
Lösung
Der CP 1543-1 wird im Rack der S7-1500 vor den zu schützen-den Automatisierungszellen platziert. Dadurch wird die Kom-munikation von und zur S7-1500 und unterlagerter Automati-sierungszelle mithilfe von Firewall-Regeln auf die erlaubten Verbindungen eingeschränkt und bei Bedarf durch Aufbau von VPN-Tunneln gegen Manipulation oder Spionage ge-schützt.
Automatisierungszelle SIMATIC S7-1500 mit CP 1543-1
S7-300 mit CP 343-1 Lean
Automatisierungszelle SIMATIC S7-1500 mit CP 1543-1
S7-300 mit CP 343-1 Lean
PROFINET
SINAMICS
ET 200S
Industrial Ethernet
Industrial Ethernet
G_I
K10
_XX
_103
50
TIA Portal Field PG
PROFINET
SINAMICS
ET 200S
Industrial Ethernet
Vorteile auf einen Blick
■ Sicherer Anschluss der SIMATIC S7-1500 an Industrial Ethernet mittels integrierter Stateful Inspection Firewall und VPN
■ Zusätzliche Kommunikationsmöglichkeiten: File-Transfer und E-Mail
■ Einsatz in einer IPv6-basierten Infrastruktur
Security IntegratedSchutz von Steuerungen durch Kommunikationsprozessoren
Industrial Security_022013_DE.fm Seite 18 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated 19
CP 343-1 Advanced und CP 443-1 AdvancedDie Industrial Ethernet Kommunikationsprozessoren CP 343-1 Advanced und CP 443-1 Advanced für SIMATIC S7-300 bzw. S7-400 beinhalten neben den bekannten Kommunikations-funktionen, einem integrierten Switch und Layer 3 Routing-Funktionalität auch „Security Integrated“, d.h. eine Stateful Inspection Firewall und ein VPN Gateway zum Schutz der Steu-erung und unterlagerter Geräte gegen Sicherheitsrisiken.
Aufgabenstellung
Die Kommunikation zwischen dem Verwaltungssystem auf Office-Ebene und unterlagerten Netzwerken der Automatisie-rungsebene soll per Zugriffskontrolle gesichert werden.
Lösung
CP 343-1 Advanced und CP 443-1 Advanced werden vor den zu schützenden Automatisierungszellen platziert. Dadurch wird die Kommunikation mithilfe von Firewall-Regeln auf die erlaubten Verbindungen eingeschränkt.
Vorteile auf einen Blick
■ Firewall, VPN Gateway und CP in einem Gerät: mit der aktuellen Generation der Advanced-CPs erhält der Anwender ohne Aufpreis gegenüber der Vorgän-gerversion die integrierten Security Funktionen Firewall und VPN zur Realisierung einer geschützten Automatisierungszelle und Schutz der Datenübertra-gung.
■ Durchgängigkeit bei der sicheren Kommunikation: Projektierung der CPs erfolgt einfach mit STEP 7; VPN-Tunnel können zwischen CPs untereinander oder zu der Security Appliance SCALANCE S, der VPN Soft-ware SOFTNET Security Client, der sicheren PC-Bau-gruppe CP 1628 und dem Mobilfunk-Router SCALANCE M aufgebaut werden.
Besonders Anwendern, die heute schon Advanced-CPs einsetzen, wird ein einfacher Einstieg in den Aufbau eines sicheren Netzwerks ermöglicht. Alle Anwender von CP 343-1 Advanced und CP 443-1 Advanced erhalten "Security Integrated" und benötigen zur Projektierung der Sicherheit industrieller Anlagen keine separate Hardware oder spezielle Tools, außerhalb der SIMATIC S7.
Industrial Security_022013_DE.fm Seite 19 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated20
Segmentierung von Netzwerken und Schutz der Steuerungen S7-300 bzw. S7-400 mit CP 343-1 Advanced bzw. CP 443-1 Advanced
PC mit Management-System und Datenbank (z.B. Oracle)
SIMATIC S7-300 mit
CP 343-1 Advanced
SIMATIC S7-400 mitCP 443-1 Advanced
G_I
K10
_XX
_103
37
Field PG
ET 200S
ET 200S
PROFINET
Industrial Ethernet
PROFINET
Industrial Ethernet
Security IntegratedSchutz von Steuerungen durch Kommunikationsprozessoren
Industrial Security_022013_DE.fm Seite 20 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated 21
CP 1628Über den Industrial Ethernet Kommunikationsprozessor CP 1628 werden Industrie-PCs durch Firewall und VPN geschützt – für eine sichere Kommunikation ohne Spezialeinstellungen des Betriebs-systems. Auf diesem Wege lassen sich mit der Baugruppe ausgestattete Rechner mit geschützten Zellen verbinden.
Der CP 1628 ermöglicht den Anschluss an Industrial Ethernet (10/100/1000 Mbit/s) für SIMATIC PG/PC und PCs mit PCI Express-Steckplatz. Weitere Feldgeräte sind über den integrierten Switch flexibel an Industrial Ethernet anschließbar.
Der Kommunikationsprozessor beinhaltet neben den vom CP 1623 bekannten Automatisierungsfunktionen auch „Security Integrated“, d.h. eine Stateful Inspection Firewall und ein VPN Gateway zum Schutz des PG/PC-Systems gegen Sicherheitsrisiken.
Vorteile auf einen Blick
■ Firewall, VPN Gateway und CP in einem Gerät: mit dieser neuen Produktvariante erhält der Anwender ein voll-wertiges integriertes Security-Modul und schützt so den PC vor Manipulation und unberechtigten Zugriffen.
■ Durchgängigkeit bei der sicheren Kommunikation:die Projektierung des CPs erfolgt einfach mit STEP 7/NCM PC (ab V5.5 SP3) bzw. mit TIA Portal (ab V12 SP1).
Industrial Security_022013_DE.fm Seite 21 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated22
Sichere redundante Kopplung mit CP 1628 und CP 443-1 Advanced
Aufgabenstellung
Schutz für die redundanten Verbindungen zwischen einem PC-System und den S7-400H-Steuerungen in einer hochver-fügbaren Anlage.
Lösung
Zwischen den Security-Kommunikationsprozessoren CP 1628 und CP 443-1 Advanced werden VPN-Tunnel aufgebaut, in denen die H-Kommunikation gesichert übertragen werden kann. Darüberhinaus schützt der CP 1628 mit seiner integrier-ten Firewall das PC-System vor unbefugten Zugriffen.
PC mit 4 x CP 1628 und HARDNET-IE S7-REDCONNECT
(ISO on TCP)
Leitstelle SIMATIC PCS 7 Client
S7-400H mit CP 443-1 Advanced
S7-400H mit CP 443-1 Advanced
S7-400H mit CP 443-1 Advanced
S7-400H mit CP 443-1 Advanced
VPN-Tunnel
Internet Router Internet Router
PROFINET
Industrial Ethernet
Terminalbus (Ethernet)
Industrial Ethernet
G_I
K10
_XX
_103
54
PROFIBUS
Internet
Security IntegratedSchutz von Steuerungen durch Kommunikationsprozessoren
Industrial Security_022013_DE.fm Seite 22 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated 23
Produkttyp-Bezeichnung SCALANCE S602 SCALANCE S612 SCALANCE S623 SCALANCE S627-2M
Artikelnummer 6GK5602-0BA10-2AA3 6GK5612-0BA10-2AA3 6GK5623-0BA10-2AA3 6GK5627-2BA10-2AA3
Übertragungsrate
Übertragungsrate 1 / 2 / 3 10 / 100 / 1000 Mbit/s 10 / 100 / 1000 Mbit/s 10 / 100 / 1000 Mbit/s 10 / 100 / 1000 Mbit/s
Schnittstellen
Eektrischer Anschluss■ für internes Netzwerk■ für externes Netzwerk■ für DMZ■ für Meldekontakt■ für Spannungsversorgung
Wechselmediums C-PLUG
1 x RJ45-Port1 x RJ45-Port–1 x 2-poliger Klemmenblock1 x 4-poliger Klemmenblock
Ja
1 x RJ45-Port1 x RJ45-Port–1 x 2-poliger Klemmenblock1 x 4-poliger Klemmenblock
Ja
1 x RJ45-Port1 x RJ45-Port1 x RJ45-Port1 x 2-poliger Klemmenblock1 x 4-poliger Klemmenblock
Ja
3 x RJ45-Port+Medienmodul3 x RJ45-Port+Medienmodul1 x RJ45-Port1 x 2-poliger Klemmenblock1 x 4-poliger KlemmenblockJa
Versorgungsspannung, Stromaufnahme, Verlustleistung
Versorgungsspannung extern
Bereich
DC 24 V
DC 19,2 V ... 28,8 V
DC 24 V
C 19,2 V ... 28,8 V
DC 24 V
C 19,2 V ... 28,8 V
DC 24 V
C 19,2 V ... 28,8 V
Zulässige Umgebungsbedingungen
Umgebungstemperatur■ während Betrieb■ während Lagerung■ während Transport
Schutzart
-40 °C ... +60 °C-40 °C ... +80 °C-40 °C ... +80 °C
IP20
-40 °C ... +60 °C-40 °C ... +80 °C-40 °C ... +80 °C
IP20
-40 °C ... +60 °C-40 °C ... +80 °C-40 °C ... +80 °C
IP20
-40 °C ... +60 °C-40 °C ... +70 °C-40 °C ... +70 °C
IP20
Bauform, Maße und Gewicht
Bauform
Breite / Höhe / Tiefe
Nettogewicht
kompakt
60 mm / 125 mm / 124 mm
0,8 kg
kompakt
60 mm / 125 mm / 124 mm
0,8 kg
kompakt
60 mm / 125 mm / 124 mm
0,81 kg
kompakt
120 mm / 125 mm / 124 mm
1,3 kg
Produktfunktion Security
Ausführung Firewall
Produktfunktion bei VPN-Verbindung
Produktfunktion■ Passwortschutz■ Bandbreitenbegrenzung■ NAT/NAPT
Verschlüsselungsalgorithmen
Authentifizierungsverfahren
Hashingalgorithmen
stateful inspection
–
JaJaJa
–
–
–
stateful inspection
IPSec
JaJaJa
AES-256, AES-192, AES-128, 3DES-168, DES-56
Preshared Key, X.509v3 Zertifikate
MD5, SHA-1
stateful inspection
IPSec
JaJaJa
AES-256, AES-192, AES-128, 3DES-168, DES-56
Preshared Key, X.509v3 Zertifikate
MD5, SHA-1
stateful inspection
IPSec
JaJaJa
AES-256, AES-192, AES-128, 3DES-168, DES-56
Preshared Key, X.509v3 Zertifikate
MD5, SHA-1
Technische Daten im Überblick
Industrial Security_022013_DE.fm Seite 23 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated24
Produkttyp-Bezeichnung SCALANCE M874-2/M874-3 SCALANCE M875
Artikelnummer 6GK5874-2AA00-2AA26GK5874-3AA00-2AA2
6GK5875-0AA10-1AA2
Übertragungsrate
1 bei Industrial Ethernet / 2 bei Industrial Ethernet
bei GSM-Übertragung
bei GPRS-Übertragung
bei eGPRS-Übertragung
bei UMTS-Übertragung
10 Mbit/s / 100 Mbit/s
–
max. 42,8/85.6 kbit/s Uplink/Downlink
max. 118/236,8 kbit/s Uplink/Downlink
max. 5,76/14,4 Mbit/s Uplink/Downlink(Nur für M874-3)
10 Mbit/s / 100 Mbit/s
9 600 bit/s
max. 42,8/85.6 kbit/s Uplink/Downlink
max. 118/236,8 kbit/s Uplink/Downlink
max. 5,76/14,4 Mbit/s Uplink/Downlink
Schnittstellen
Eektrischer Anschluss■ für Netzkomponenten / Endgeräte■ für externe Antenne(n)■ für Spannungsversorgung
RJ45-Port (10/100 Mbit/s, TP, Auto-Crossover)SMA-Antennenbuchsen (50 Ohm)
RJ45-Port (10/100 Mbit/s, TP, Auto-Crossover)SMA-Antennenbuchsen (50 Ohm)Klemmleiste
Versorgungsspannung, Stromaufnahme, Verlustleistung
Versorgungsspannung
Bereich 12 V ... 28,8 V 12 V ... 30 V
Zulässige Umgebungsbedingungen
Umgebungstemperatur■ während Betrieb■ während Lagerung
Schutzart
-20 °C ... +60 °C-40 °C ... +85 °C
IP20
-40 °C ... +75 °C-40 °C ... +85 °C
IP20
Bauform, Maße und Gewicht
Bauform
Breite / Höhe / Tiefe
Nettogewicht
kompakt
35 mm / 147 mm / 127 mm
–
kompakt
45 mm / 99 mm / 114 mm
280 g
Produktfunktion Security
Ausführung Firewall
Produktfunktion■ Passwortschutz■ Packet Filter
Eignung zum Einsatz VPN
Produktfunktion bei VPN-Verbindung
Anzahl der möglichen Verbindungen bei VPN-Verbindung
Art der Authentifizierung bei VPN PSK
Protokoll wird unterstützt IPsec Tunnel und Transport Mode
Schlüssellänge■ bei IPsec DES bei VPN■ 1 bei IPsec AES bei VPN■ 2 bei IPsec AES bei VPN■ 3 bei IPsec AES bei VPN
Art des Internet Key Exchange bei VPN Main Mode
Schlüssellänge bei IPsec 3DES bei VPN
Art des Internet Key Exchange bei VPN Quick Mode
Art der Paket-Authentifizierung bei VPN
stateful inspection
JaJa
Ja
Ja
10
Ja
Ja
56 bit128 bit192 bit256 bit
Ja
168 bit
Ja
MD5, SHA-1
stateful inspection
JaJa
Ja
Ja
10
Ja
Ja
56 bit128 bit192 bit256 bit
Ja
168 bit
Ja
MD5, SHA-1
Security IntegratedTechnische Daten im Überblick
Industrial Security_022013_DE.fm Seite 24 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated 25
Produkttyp-Bezeichnung CP 1243-1 CP 1543-1
Artikelnummer 6GK7243-1BX30-0XE0 6GK7543-1AX00-0XE0
Übertragungsrate
■ an der Schnittstelle 1 / 2 10 … 100 Mbit/s / – 10 … 1 000 Mbit/s / –
Schnittstellen
Eektrischer Anschluss■ an Schnittstelle 1 gem. IE■ an Schnittstelle 2 gem. IE■ für Spannungsversorgung
Wechselmediums C-PLUG
1 x RJ45-Port––
–
1 x RJ45-Port––
–
Versorgungsspannung, Stromaufnahme, Verlustleistung
Versorgungsspannung ■ 1 aus Rückwandbus■ extern
DC 5 V–
DC 15 V–
Zulässige Umgebungsbedingungen
Umgebungstemperatur■ während Betrieb
- bei senkrechter Installation- bei waagerechter Installation
■ während Lagerung■ während Transport
Schutzart
-20 °C … +60 °C-20 °C … +70 °C-40 °C … +70 °C-40 °C … +70 °C
IP20
0 °C … +40 °C 0 °C … +60 °C-40 °C … +70 °C-40 °C … +70 °C
IP20
Bauform, Maße und Gewicht
Baugruppenformat
Breite / Höhe / Tiefe
Nettogewicht
Kompaktbaugr. S7-1200 einfach breit
30 mm / 110 mm / 75 mm
0,122 kg
Kompaktbaugr. S7-1500 einfach breit
35 mm / 142 mm / 129 mm
0,35 kg
Produktfunktion Security
Ausführung Firewall
Produktfunktion bei VPN-Verbindung
Art der Verschlüsselungsalgorithmen bei VPN-Verbindung
Art der der Authentifizierungsverfahren bei VPN-Verbindung
Art der Hashingalgorithmen bei VPN-Verbindung
Anzahl der möglichen Verbindungen bei VPN-Verbindung
Produktfunktion■ Passwortschutz für Web-Applikationen■ ACL – IP-based■ ACL – IP-based für PLC/Routing■ Abschaltung nicht benötigter Dienste■ Sperren der Kommunikation über
physikalische Ports■ Logfile für unberechtigten Zugriff
stateful inspection
IPSec
AES-256, AES-192, AES-128, 3DES-168
Preshared Key (PSK), X.509v3 Zertifikate
MD5, SHA-1
8
NeinNeinNeinJaNein
Nein
stateful inspection
IPSec
AES-256, AES-192, AES-128, 3DES-168, DES-5
Preshared Key (PSK), X.509v3 Zertifikate
MD5, SHA-1
16
NeinNeinNeinJaNein
Ja
Industrial Security_022013_DE.fm Seite 25 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated26
Produkttyp-Bezeichnung CP 343-1 Advanced CP 443-1 Advanced
Artikelnummer 6GK7343-1GX31-0XE0 6GK7443-1GX30-0XE0
Übertragungsrate
■ an der Schnittstelle 1 / 2 10 ...1000 Mbit/s / 10 ...100 Mbit/s 10 ...1000 Mbit/s / 10 ...100 Mbit/s
Schnittstellen
Eektrischer Anschluss■ an Schnittstelle 1 gem. IE■ an Schnittstelle 2 gem. IE■ für Spannungsversorgung
Wechselmediums C-PLUG
1 x RJ45-Port2 x RJ45-Ports2-polige steckbare Klemmleiste
Ja
1 x RJ45-Port4 x RJ45-Ports–
Ja
Versorgungsspannung, Stromaufnahme, Verlustleistung
Versorgungsspannung ■ 1 aus Rückwandbus■ extern
DC 5 VDC 24 V
DC 5 V–
Zulässige Umgebungsbedingungen
Umgebungstemperatur■ während Betrieb
- bei senkrechter Installation- bei waagerechter Installation
■ während Lagerung■ während Transport
Schutzart
0 °C … +40 °C 0 °C … +60 °C-40 °C ... +70 °C-40 °C ... +70 °C
IP20
0 °C … +60 °C––-40 °C ... +70 °C-40 °C ... +70 °C
IP20
Bauform, Maße und Gewicht
Baugruppenformat
Breite / Höhe / Tiefe
Nettogewicht
Kompaktbaugruppe
80 mm / 125 mm / 120 mm
0,8 kg
Kompaktbaugr. S7-400 einfach breit
25 mm / 290 mm / 210 mm
0,7 kg
Produktfunktion Security
Ausführung Firewall
Produktfunktion bei VPN-Verbindung
Art der Verschlüsselungsalgorithmen bei VPN-Verbindung
Art der der Authentifizierungsverfahren bei VPN-Verbindung
Art der Hashingalgorithmen bei VPN-Verbindung
Anzahl der möglichen Verbindungen bei VPN-Verbindung
Produktfunktion■ Passwortschutz für Web-Applikationen■ ACL – IP-based■ ACL – IP-based für PLC/Routing■ Abschaltung nicht benötigter Dienste■ Sperren der Kommunikation über physikalische
Ports■ Logfile für unberechtigten Zugriff
stateful inspection
IPSec
AES-256, AES-192, AES-128, 3DES-168, DES-56
Preshared Key (PSK), X.509v3 Zertifikate
MD5, SHA-1
32
JaJaJaJaJa
Nein
stateful inspection
IPSec
AES-256, AES-192, AES-128, 3DES-168, DES-56
Preshared Key (PSK), X.509v3 Zertifikate
MD5, SHA-1
32
JaJaJaJaJa
Nein
Security IntegratedTechnische Daten im Überblick
Industrial Security_022013_DE.fm Seite 26 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Security Integrated 27
Produkttyp-Bezeichnung CP 1628 SOFTNET Security Client
Artikelnummer 6GK1162-8AA00 6GK1704-1VW04-0AA0
Schnittstellen
Eektrischer Anschluss■ an Schnittstelle 1 gem. IE■ des Rückwandbusses■ für Spannungsversorgung
2 x RJ45-PortPCI Express x11 x 2-poliger Klemmenblock
Versorgungsspannung, Stromaufnahme, Verlustleistung
Art der Spannung der Versorgungsspannung
Optionale Fremdeinspeisung
Versorgungsspannung ■ 1 aus Rückwandbus■ 2 aus Rückwandbus■ extern■ Bereich
DC
Ja
3,3 V12 V24 V10,5 V ... 32 V
Zulässige Umgebungsbedingungen
Umgebungstemperatur■ während Betrieb■ während Lagerung■ während Transport
+5 °C ... +55 °C-20 °C ... +60 °C-20 °C ... +60 °C
Bauform, Maße und Gewicht
Baugruppenformat
Breite / Höhe / Tiefe
Nettogewicht
PCI Express x1 (halbe Länge)
18 mm / 111 mm / 167 mm
0,124 kg
Produktfunktion Security
Ausführung Firewall
Produktfunktion bei VPN-Verbindung
Art der Verschlüsselungsalgorithmen bei VPN-Verbindung
Art der der Authentifizierungsverfahren bei VPN-Verbindung
Art der Hashingalgorithmen bei VPN-Verbindung
Anzahl der möglichen Verbindungen bei VPN-Verbindung
Anzahl nutzbarer IP-Adressen bei VPN-Verbindung maximal
stateful inspection
IPSec
AES-256, AES-192, AES-128, 3DES-168, DES-56
Preshared Key (PSK), X.509v3 Zertifikate
MD5, SHA-1
64
16
–
IPSec
AES-256, AES-192, AES-128, 3DES-168, DES-56
Preshared Key (PSK), X.509v3 Zertifikate
MD5, SHA-1
unbegrenzt bzw. abhängig von der Rechnerkonfiguration
abhängig von Rechnerkonfiguration
Industrial Security_022013_DE.fm Seite 27 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Industrial Security28
Das datentechnische Zusammenrücken von Produktion und Office hat viele Prozesse einfacher und schneller gemacht und die Verwendung der gleichen EDV Programme schafft Syner-gien. Durch diese Entwicklung steigen allerdings auch die Risiken.
Viren, Trojaner, Hacker, etc. bedrohen heute nicht mehr nur die Verwaltungsebene, sondern es besteht auch für Anlagen die Gefahr von Störungen und Know-how-Verlust. Viele Secu-rity-Schwachstellen sind nicht auf den ersten Blick zu erken-nen. Deshalb ist es sinnvoll, eine bestehende Anlage bezüg-lich Sicherheit zu überprüfen und zu optimieren, um die Anla-genverfügbarkeit auf einem hohen Level zu halten. Für die Er-höhung der Ausfallsicherheit einer Anlage durch Angriffe steht ein stufenweises Servicekonzept für Industrial Security von Siemens Industry zur Verfügung.
Dabei erfolgt im ersten Schritt der "Beurteilung" - zunächst die Untersuchung der bestehenden Anlage. Eventuelle Schwach-stellen oder Abweichungen zu Standards oder Normen wer-den identifiziert. Das Ergebnis dieser Untersuchung ist ein de-taillierter Bericht über den Ist-Zustand der Anlage mit Be-schreibung der Schwachstellen und Bewertung der Risiken. Ebenfalls enthalten sind hierauf basierende Maßnahmen zur Verbesserung des Sicherheitsniveaus.
Im zweiten Schritt der "Umsetzung" - werden die in der Beurteilung definierten Maßnahmen umgesetzt, d. h.:• Schulung:
Die Mitarbeiter werden zielgerichtet trainiert und verste-hen, was IT- und Infrastruktur-Sicherheit im industriellen Umfeld bedeuten.
• Prozessverbesserung:Security relevante Richtlinien und - Vorschriften bezogen auf die bestehenden Anlagenbedürfnisse werden verfasst und implementiert.
• Sicherheitstechnologien:Schutzmaßnahmen an Hard- und Software sowie im Netz-werk der Anlage werden umgesetzt, ebenso wie der Lang-zeitschutz durch Monitoring.
Die in den ersten beiden Phasen definierten und umgesetzten Maßnahmen werden im dritten Schritt "Betrieb & Manage-ment" kontinuierlich weitergeführt, d.h. Überwachung des Si-cherheitszustandes der Anlage, Überprüfung des Sicherheitsni-veaus, Neudefinition und Optimierung von Maßnahmen, eben-so wie regelmäßige Berichte und Funktionen wie Updates, Backup & Restore. Auch bei Änderungen im Anlagen-netzwerk, der Softwarelandschaft oder der Verwaltung von Zugriffsrech-ten für Nutzer und Administratoren, wird sichergestellt, dass die entsprechenden Daten in der Anlage bleiben und Angreifer wenig Chancen haben die Anlage zu stören. Die Implementie-rungs- und Betrieb- & Management- Phasen werden genau auf die vorhandenen Bedürfnisse zugeschnitten.
Industrial SecurityIndustrial Security Services
Industrial Security_022013_DE.fm Seite 28 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Industrial Security 29
Informieren über den Sicherheitsstatus und
Entwickeln eines Security Maßnahmenplans
Schritt 1:Beurteilen
Nachhaltigen Schutz durch pro-aktive Maßnahmen
Schritt 3:Betrieb &
Management
Planen, Entwickeln und Realisieren eines ganz-
heitlichen Cyber Security Programms
Schritt 2:Umsetzen
Cyber Security TrainingEntwicklung von Security Richtlinien und ProzedurenImplementieren von Security Technologien
Global Threat IntelligenceErkennen von Vorfällen und deren BeseitigungFrühzeitige Antworten auf eine sich ändernde Bedrohungslage
Schwachstellen AnalyseÜberprüfung der BedrohungslageRisikoanalyse
G_I
K10
_XX
_103
76
Vorteile auf einen Blick
■ Bestimmung des Sicherheitsniveaus und basierend dar-auf Erarbeitung eines Maßnahmenplans zur Reduzie-rung der Risiken
■ Gezieltes Training zum Aufbau von technischem Wissen
■ Erhöhung der Anlagensecurity durch abgestimmte Prozesse und Vorgaben
■ Implementierung einer umfassenden Securitylösung zum Schutz der Automatisierungsanlage
■ Anbindung an ein Managed Service Center zur kontinu-ierlichen Überwachung des Sicherheitszustandes der Anlage
■ Kontinuierliche Überwachung des Securityzustandes der Anlage
■ Erkennen von Vorfällen und Anpassung der Umgebung an die Bedrohungslage
■ Aktuell-halten der Anlage durch Updates (Pattern, Patches, Signaturen).
Industrial Security_022013_DE.fm Seite 29 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Industrial Security30
Industrial SecurityBegriffe, Definitionen
DDNS
DDNS (dynamischer Domain-Name-System-Eintrag) ist ein System in der Informationstechnik, das Domain-Name-Ein-träge aktualisieren kann.
Demilitarized Zone (DMZ)
DMZ, auch ent- oder demilitarisierte Zone, bezeichnet ein Computernetz mit sicherheitstechnisch kontrollierten Zugriff-möglichkeiten auf die daran angeschlossenen Server.
Die in der DMZ aufgestellten Systeme werden durch eine oder mehrere Firewalls gegen andere Netze (z. B. Internet, LAN) ab-geschirmt. Durch diese Trennung kann der Zugriff auf öffent-lich erreichbare Dienste (z. B. E-Mail) gestattet und gleichzeitig das interne Netz (LAN) vor unberechtigten Zugriffen geschützt werden. Der Sinn besteht darin, auf möglichst sicherer Basis Dienste des Rechnerverbundes sowohl dem WAN (Internet) als auch dem LAN (Intranet) zur Verfügung zu stellen.
Ihre Schutzwirkung entfaltet eine DMZ durch die Isolation eines Systems gegenüber zwei oder mehreren Netzen.
Firewall
Security-Module, die den Datenaustausch zwischen miteinan-der verbundenen Netzwerken entsprechend gegebener Sicherheitsbeschränkungen ermöglichen oder ausschließen. Hierzu werden Firewall-Regeln projektiert. Somit kann fest-gelegt werden, dass z.B. nur ein bestimmter PC auf eine bestimmte Steuerung zugreifen darf.
Port Security
Mithilfe der Access Control-Funktion lassen sich einzelne Ports für unbekannte Teilnehmer sperren. Ist die Funktion Access Control auf einem Port aktiviert, werden Pakete, die von unbe-kannten MAC-Adressen kommen, sofort verworfen. Lediglich Pakete von bekannten Teilnehmern werden angenommen.
RADIUS: Authentifizierung über einen externen Server
Das Konzept von RADIUS basiert auf einem externen Authen-tifizierungs-Server. Für ein Endgerät ist der Zugang zum Netz-werk erst möglich, nachdem der Industrial Ethernet Switch die Anmeldedaten des Geräts beim Authentifizierungs-Server ve-rifiziert hat. Sowohl das Endgerät als auch der Authentifizie-rungs-Server müssen das EAP-Protokoll (Extensive Authentica-tion Protocol) unterstützen.
System Hardening
Das System Hardening schließt nicht benötigte Schnittstellen und Ports und reduziert so die Anfälligkeit des Netzwerks ge-genüber Angriffen von außen und von innen. Dabei werden alle Ebenen eines Automatisierungssystems betrachtet: Leit-system, Netzwerkkomponenten, PC-basierte Systeme und speicherprogrammierbare Steuerungen.
Virtual Private Network (VPN)
Ein sogenannter VPN-Tunnel verbindet zwei oder mehrere Netz-werkteilnehmer (z.B. Security-Module) und die dahinter liegen-den Netzwerksegmente. Durch die Verschlüsselung der Daten innerhalb dieses Tunnels wird sichergestellt, dass die Daten bei der Übertragung über ein an sich unsicheres Netzwerk (z.B. Inter-net) durch Dritte nicht abgehört und verfälscht werden können.
Virtual LAN (VLAN)
Das besondere Merkmal eines VLANs: Per Projektierung kön-nen Geräte einer Gerätegruppe zugeordnet werden – unab-hängig von ihrer räumlichen Lage. Mehrere dieser Geräte-gruppen nutzen dabei eine physikalisch nur einmal vorhande-ne Netzwerkinfrastruktur. Auf dem physikalisch nur einmal vorhandenen Netz entstehen damit mehrere "virtuelle" Netze. Datenaustausch findet nur innerhalb eines VLAN statt.
Whitelisting
Ob Personen, Unternehmen oder Programme: Eine Weiße Liste – oder auch Positivliste – bezeichnet eine Sammlung gleicher Elemente,die als vertrauenswürdig einge-stuft werden. Whitelisting für PCs sorgt dafür, dass nur erwünschte Programme ausgeführt werden können.
Industrial Security_022013_DE.fm Seite 30 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
31
Folgen Sie uns auf:
www.twitter.com/siemensindustry
www.youtube.com/siemens
Industrial Security auf einen Blick
Erfahren Sie alles über Industrial Security:
■ Unsere Security-Produkte und Leistungenim Überblick
■ Aktuelle Neuigkeiten aus dem Umfeld von Industrial Security
Industrial Security_022013_DE.fm Seite 31 Dienstag, 18. Februar 2014 2:48 14
© Siemens AG 2014
Weitere InformationenInformationsmaterial zum Download:www.siemens.de/automation/infocenter
Service & Support:www.siemens.de/automation/servive&support
SIMATIC NET Ansprechpartner:www.siemens.de/automation/partner
Industry Mall zum elektronischen Bestellen:www.siemens.de/industrymall
Die Informationen in dieser Broschüre ent halten lediglich allgemeine Beschreib ungen bzw. Leistungs merk male, welche im konkreten Anwendungsfall nicht immer in der beschriebenen Form zutreffen bzw. welche sich durch Weiterentwicklung der Produkte ändern können. Die gewünschten Leistungs merkmale sind nur dann ver-bindlich, wenn sie bei Vertragsschluss ausdrück lich ver einbart werden. Liefermöglichkeiten und technische Änderungen vorbehalten.Alle Erzeugnisbezeich nungen können Marken oder Erzeugnis namen der Siemens AG oder anderer, zu liefern der Unternehmen sein, deren Benutzung durch Dritte für deren Zwecke die Rechte der Inhaber verletzen kann.
Siemens AGIndustry SectorIndustrial Automation SystemsPostfach 48 4890026 NÜRNBERGDEUTSCHLAND
Änderungen vorbehaltenArtikel-Nr. 6ZB5530-1AP01-0BA3DR.PN.SC.14.XXBR.95.30 / Dispo 26000BR 0214 2. PES DePrinted in Germany © Siemens AG 2014
www.siemens.com/automation
Security-HinweiseSiemens bietet Produkte und Lösungen mit Indus-trial Security-Funktionen an, die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder Netzwerken unterstützen. Sie sind wichtige Komponenten in einem ganzheit-lichen Industrial Security-Konzept. Die Produkte und Lösungen von Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren.
Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es erforderlich, geeignete Schutzmaßnahmen (z. B. Zellen-schutzkonzept) zu ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch eingesetzte Produkte von anderen Herstellern zu berücksichtigen. Weitergehende Informationen über Industrial Security finden Sie unter:http://www.siemens.com/industrialsecurity
Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie unter: http://support.automation.siemens.com
01_BR_Titel_NWS_de_02_2014.indd 1601_BR_Titel_NWS_de_02_2014.indd 16 17.02.2014 15:28:0017.02.2014 15:28:00
© Siemens AG 2014