Principios básicos y aplicación de seguridad - … · Principios básicos y aplicación de...

Principios básicos y aplicación de

seguridad

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

___________________

SIMATIC NET

Industrial Ethernet Security Principios básicos y aplicación de seguridad

Manual de configuración

12/2014 C79000-G8978-C286-04

Prólogo

Introducción y fundamentos 1

Configuración con Security Configuration Tool

2

Crear módulos y ajustar parámetros de red

3

Configurar el cortafuegos 4

Configuración de otras propiedades de los módulos

5

Comunicación segura en la VPN a través de túnel IPsec

6

Redundancia de router y cortafuegos

7

SOFTNET Security Client 8

Funciones online - Diagnóstico y registro

9

Anexo A

Bibliografía B

Siemens AG Division Process Industries and Drives Postfach 48 48 90026 NÜRNBERG ALEMANIA

Referencia del documento: C79000-G8978-C286-04 Ⓟ 12/2014 Sujeto a cambios sin previo aviso

Copyright © Siemens AG 2012 - 2014. Reservados todos los derechos

Notas jurídicas Filosofía en la señalización de advertencias y peligros

Este manual contiene las informaciones necesarias para la seguridad personal así como para la prevención de daños materiales. Las informaciones para su seguridad personal están resaltadas con un triángulo de advertencia; las informaciones para evitar únicamente daños materiales no llevan dicho triángulo. De acuerdo al grado de peligro las consignas se representan, de mayor a menor peligro, como sigue.

PELIGRO Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones corporales graves.

ADVERTENCIA Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones corporales graves.

PRECAUCIÓN Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse lesiones corporales.

ATENCIÓN Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse daños materiales.

Si se dan varios niveles de peligro se usa siempre la consigna de seguridad más estricta en cada caso. Si en una consigna de seguridad con triángulo de advertencia se alarma de posibles daños personales, la misma consigna puede contener también una advertencia sobre posibles daños materiales.

Personal cualificado El producto/sistema tratado en esta documentación sólo deberá ser manejado o manipulado por personal cualificado para la tarea encomendada y observando lo indicado en la documentación correspondiente a la misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formación y experiencia, el personal cualificado está en condiciones de reconocer riesgos resultantes del manejo o manipulación de dichos productos/sistemas y de evitar posibles peligros.

Uso previsto o de los productos de Siemens Considere lo siguiente:

ADVERTENCIA Los productos de Siemens sólo deberán usarse para los casos de aplicación previstos en el catálogo y la documentación técnica asociada. De usarse productos y componentes de terceros, éstos deberán haber sido recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su transporte, almacenamiento, instalación, montaje, manejo y mantenimiento hayan sido realizados de forma correcta. Es preciso respetar las condiciones ambientales permitidas. También deberán seguirse las indicaciones y advertencias que figuran en la documentación asociada.

Marcas registradas Todos los nombres marcados con ® son marcas registradas de Siemens AG. Los restantes nombres y designaciones contenidos en el presente documento pueden ser marcas registradas cuya utilización por terceros para sus propios fines puede violar los derechos de sus titulares.

Exención de responsabilidad Hemos comprobado la concordancia del contenido de esta publicación con el hardware y el software descritos. Sin embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena concordancia. El contenido de esta publicación se revisa periódicamente; si es necesario, las posibles las correcciones se incluyen en la siguiente edición.

Principios básicos y aplicación de seguridad Manual de configuración, 12/2014, C79000-G8978-C286-04 3

Prólogo

Prólogo

Este manual... …le ayudará a configurar las funciones de seguridad de los siguientes productos de "Security Integrated":

● SCALANCE S: S602 / S612 / S623 / S627-2M

● SOFTNET Security Client

● CPs S7: CP 343-1 Advanced, CP 443-1 Advanced

● PC-CP: CP 1628

● Router de telefonía móvil: SCALANCE M875

● SCALANCE M-800:

– Router ADSL: SCALANCE M81x

– Router SHDSL: SCALANCE M82x

– Router de telefonía móvil: SCALANCE M874-2 y SCALANCE M874-3

Denominación genérica "módulo de seguridad" En la presente documentación los siguientes productos se denominan genéricamente "módulo de seguridad": SCALANCE S602 / SCALANCE S612 / SCALANCE S623 / SCALANCE S627-2M, CP 343-1 Advanced, CP 443-1 Advanced, CP 1628.

Las diferencias en el funcionamiento se marcan con símbolos (véase el apartado "Descripción de los símbolos"). Las descripciones de hardware y las indicaciones relativas a la instalación se encuentran en la documentación correspondiente a cada módulo.

Uso de las denominaciones "interfaz" y "puerto" En la presente documentación se utilizan las siguientes denominaciones para los puertos de los módulos SCALANCE S:

● "Interfaz externa": el puerto externo del SCALANCE S602 / S612 / S623 o bien un puerto externo del SCALANCE S627-2M (marca roja)

● "Interfaz interna": el puerto interno del SCALANCE S602 / S612 / S623 o bien un puerto interno del SCALANCE S627-2M (marca verde)

● "Interfaz DMZ": el puerto DMZ del SCALANCE S623 / S627-2M (marca amarilla)

La denominación "puerto" se utiliza cuando la intención es destacar un puerto específico de una interfaz.

Prólogo

Principios básicos y aplicación de seguridad 4 Manual de configuración, 12/2014, C79000-G8978-C286-04

Denominación genérica "STEP 7" La configuración de las funciones de seguridad de CPs es posible a partir de STEP 7 V5.5 SP2 HF1. Por tanto, en la presente documentación, la denominación "STEP 7" representa a todas las versiones de STEP 7 posteriores a V5.5 SP2 HF1 y anteriores a STEP 7 V10. Consulte cómo configurar las funciones de seguridad de todos los módulos de seguridad en STEP 7 a partir de V12 en el sistema de información de STEP 7 a partir de V12, apartado "Industrial Ethernet Security".

Denominación genérica "CP x43-1 Adv." En la presente documentación los siguientes productos se denominan genéricamente "CP x43-1 Adv.": CP 343-1 Advanced / CP 443-1 Advanced.

Security Configuration Tool V4.1: nuevas funciones La Security Configuration Tool V4.1 incluye las siguientes funciones nuevas:

● Ampliación de la funcionalidad VPN para módulos SCALANCE M

Se soporta el establecimiento activo de una conexión VPN entre un módulo SCALANCE M y un módulo SCALANCE M-800.

● Ampliación de la funcionalidad "Redundancia de router y cortafuegos" para módulos SCALANCE S623/S627-2M con firmware V4.0.1 o superior.

Se soporta la configuración de IDs de router virtuales para las interfaces virtuales de relaciones de redundancia en módulos SCALANCE S623/S627-2M con firmware V4.0.1 o superior.

● Ampliación de la funcionalidad de cortafuegos para módulos SCALANCE S con firmware V3 o superior

Se soporta la configuración de reglas IP sin States de cortafuegos para módulos SCALANCE S con firmware V3 o superior.

Ámbito de validez de este manual Este manual es válido para los siguientes módulos SIMATIC NET:

Módulo Referencia SCALANCE S602 6GK5 602-0BA10-2AA3 SCALANCE S612 6GK5 612-0BA10-2AA3 SCALANCE S623 6GK5 623-0BA10-2AA3 SCALANCE S627-2M 6GK5 627-2BA10-2AA3 CP 343-1 Advanced V3 o superior 6GK7 343-1GX31-0XE0 CP 443-1 Advanced V3 o superior 6GK7 443-1GX30-0XE0 CP 1628 6GK1162-8AA00

Prólogo


Este manual es válido para las siguientes herramientas de configuración SIMATIC NET: Herramienta de configuración Referencia Versión SOFTNET Security Client 6GK1 704-1VW04-0AA0 V4.0 Hotfix 1 Security Configuration Tool (SCT) - V4.1

Destinatarios Este manual está dirigido a las personas encargadas de las funciones Industrial Ethernet Security de una red.

SIMATIC NET Manual Collection (referencia A5E00069051) Los módulos SCALANCE S, el CP S7 y el PC-CP 1628 llevan adjunta la Manual Collection de SIMATIC NET. Esta Manual Collection se actualiza periódicamente; contiene los manuales de producto y las descripciones actuales en el momento de su creación.

Marcas Las siguientes denominaciones y otras no marcadas con el símbolo de protección legal ® son marcas registradas de Siemens AG:

C-PLUG, CP 343-1, CP 443-1, Industrial Ethernet, SCALANCE, SIMATIC NET, SOFTNET

Símbolos utilizados en estas instrucciones

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S a partir de V3.0.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S a partir de V4.0.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE M.

El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos excepto SCALANCE M875.

Prólogo


El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos excepto SCALANCE M.

El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto SCALANCE S602.

El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto SCALANCE S < V3.0.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S602 a partir de V3.1.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S627-2M.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623 y SCALANCE S627-2M.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para SCALANCE S623 a partir de V4.0 y SCALANCE S627-2M a partir de V4.0.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para CP S7.

El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CPs S7.

El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para CP PC.

Prólogo


El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CPs PC.

El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los CP S7 y CP PC.

El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los módulos de seguridad excepto los CPs.

El símbolo hace referencia a bibliografía especialmente recomendada.

Este símbolo indica que se puede obtener una ayuda contextual detallada. Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión.

Referencias bibliográficas /.../ Las referencias a documentación adicional se indican a través de índices bibliográficos escritos entre barras /.../. Por medio de estos números se puede localizar el título de la documentación en la lista de bibliografía que aparece al final del manual.

Consulte también Páginas del Customer Support (http://support.automation.siemens.com/WW/view/sp/18701555/130000)

Glosario de SIMATIC NET Las explicaciones de muchos de los términos utilizados en esta documentación están recogidas en el glosario de SIMATIC NET.

http://support.automation.siemens.com/WW/view/sp/18701555/130000

Prólogo


Encontrará el glosario de SIMATIC NET aquí:

● SIMATIC NET Manual Collection o DVD del producto

Este DVD se adjunta a algunos productos SIMATIC NET.

● En Internet, bajo la siguiente ID de artículo:

50305045 (http://support.automation.siemens.com/WW/view/es/50305045)

http://support.automation.siemens.com/WW/view/es/50305045


Índice

Prólogo ................................................................................................................................................... 3

1 Introducción y fundamentos .................................................................................................................. 15

1.1 Información importante ........................................................................................................... 15

1.2 Introducción y fundamentos .................................................................................................... 18

1.3 Características del producto ................................................................................................... 18 1.3.1 Sinopsis de funciones ............................................................................................................. 18 1.3.2 Capacidades ........................................................................................................................... 20 1.3.3 Reglas para nombres de usuario, roles y contraseñas .......................................................... 21 1.3.4 Cambiar un módulo ................................................................................................................. 23

1.4 Uso del SOFTNET Security Client .......................................................................................... 24

1.5 Uso de SCALANCE S602 ....................................................................................................... 25

1.6 Uso de SCALANCE S612, S623 y S627-2M .......................................................................... 28

1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M ................................. 31

1.8 Uso del puerto de módulo de medios de SCALANCE S627-2M ............................................ 35

1.9 Uso de CP 343-1 Advanced y CP 443-1 Advanced ............................................................... 36

1.10 Uso de CP 1628 ...................................................................................................................... 39

1.11 Configuración y administración ............................................................................................... 41

2 Configuración con Security Configuration Tool ...................................................................................... 43

2.1 Vista general - Prestaciones y funcionamiento ...................................................................... 43

2.2 Instalación de Security Configuration Tool ............................................................................. 45 2.2.1 Sistemas operativos soportados ............................................................................................. 45

2.3 Interfaz de usuario y comandos de menú............................................................................... 47

2.4 Crear y administrar proyectos ................................................................................................. 53 2.4.1 Security Configuration Tool Standalone (versión autónoma) ................................................. 53 2.4.2 Security Configuration Tool en STEP 7 .................................................................................. 53 2.4.3 Migrar datos de STEP 7.......................................................................................................... 57 2.4.4 Resumen ................................................................................................................................. 59 2.4.5 Definición de valores de inicialización estándar para un proyecto ......................................... 63 2.4.6 Check Consistency ................................................................................................................. 63 2.4.7 Asignación de nombre simbólicos para direcciones IP o MAC .............................................. 64

2.5 Administrar usuarios ............................................................................................................... 67 2.5.1 Sinopsis de la administración de usuarios ............................................................................. 67 2.5.2 Crear usuarios ........................................................................................................................ 69 2.5.3 Crear roles .............................................................................................................................. 70 2.5.4 Administrar derechos .............................................................................................................. 72 2.5.5 Configuración de normas para las contraseñas ..................................................................... 76 2.5.6 Autenticación mediante servidor RADIUS .............................................................................. 78

Índice


2.5.6.1 Resumen ................................................................................................................................ 78 2.5.6.2 Definición de servidores RADIUS .......................................................................................... 80 2.5.6.3 Asignación de servidor RADIUS a un módulo de seguridad ................................................. 82

2.6 Administrar certificados .......................................................................................................... 83 2.6.1 Sinopsis .................................................................................................................................. 83 2.6.2 Renovar certificados .............................................................................................................. 85 2.6.3 Reemplazar certificados ........................................................................................................ 87

3 Crear módulos y ajustar parámetros de red ........................................................................................... 89

3.1 Parámetros del área de contenido ......................................................................................... 92

3.2 Configurar interfaces .............................................................................................................. 94 3.2.1 Resumen de posibilidades de conexión ................................................................................ 94 3.2.2 Interfaces ............................................................................................................................... 98 3.2.3 Conexión a Internet .............................................................................................................. 102 3.2.4 DNS dinámico (DDNS) ........................................................................................................ 104 3.2.5 LLDP .................................................................................................................................... 107 3.2.6 Redundancia de medios en topologías de anillo ................................................................. 107 3.2.6.1 Redundancia de medios con MRP/HRP .............................................................................. 107 3.2.6.2 Configuración de MRP/HRP para el módulo de seguridad ................................................. 109 3.2.7 Particularidades del modo Ghost ......................................................................................... 110

4 Configurar el cortafuegos ..................................................................................................................... 115

4.1 CPs en el modo normal ....................................................................................................... 117 4.1.1 CP x43-1-Adv. ...................................................................................................................... 118 4.1.1.1 Ajuste predeterminado del cortafuegos ............................................................................... 118 4.1.1.2 Configurar el cortafuegos ..................................................................................................... 120 4.1.1.3 Configurar una lista de acceso ............................................................................................ 121 4.1.1.4 Agregar una entrada a la lista de acceso ............................................................................ 123 4.1.2 CP 1628 ............................................................................................................................... 124 4.1.2.1 Ajuste predeterminado del cortafuegos ............................................................................... 124 4.1.2.2 Configurar el cortafuegos ..................................................................................................... 126

4.2 SCALANCE S en el modo normal ....................................................................................... 128 4.2.1 Preajuste del firewall ............................................................................................................ 128 4.2.2 Configurar el cortafuegos para SCALANCE S ≥ V3.0 ......................................................... 133 4.2.3 Configurar el cortafuegos para SCALANCE S < V3.0 ......................................................... 136

4.3 Cortafuegos en modo avanzado .......................................................................................... 138 4.3.1 Configuración del cortafuegos en modo avanzado ............................................................. 138 4.3.2 Conjuntos de reglas de cortafuegos globales ...................................................................... 139 4.3.2.1 Conjuntos de reglas de cortafuegos globales - Convenios ................................................. 141 4.3.2.2 Crear y asignar conjuntos de reglas de cortafuegos globales ............................................. 141 4.3.3 Conjuntos de reglas IP específicos de usuario .................................................................... 142 4.3.3.1 Crear y asignar conjuntos de reglas IP específicos del usuario .......................................... 143 4.3.4 Reglas de cortafuegos automáticas referidas a conexiones ............................................... 145 4.3.5 Ajuste de reglas de filtros de paquetes IP locales ............................................................... 148 4.3.6 Reglas de filtrado de paquetes IP ........................................................................................ 149 4.3.7 Definir servicios IP ............................................................................................................... 156 4.3.8 Definir servicios ICMP .......................................................................................................... 157 4.3.9 Ajustar reglas para filtrado de paquetes MAC ..................................................................... 158 4.3.10 Reglas para filtrado de paquetes MAC ................................................................................ 159 4.3.11 Definir servicios MAC ........................................................................................................... 162

Índice


4.3.12 Configurar grupos de servicios ............................................................................................. 164 4.3.13 Adaptar reglas estándar para servicios IP ............................................................................ 165

5 Configuración de otras propiedades de los módulos ............................................................................ 169

5.1 Módulo de seguridad como router ........................................................................................ 169 5.1.1 Sinopsis ................................................................................................................................ 169 5.1.2 Definir un router predeterminado y rutas .............................................................................. 170 5.1.3 Enrutamiento NAT/NAPT ...................................................................................................... 171 5.1.4 Conversión de direcciones con NAT/NAPT .......................................................................... 173 5.1.5 Conversión de direcciones con NAT/NAPT en túneles VPN................................................ 180 5.1.6 Relación entre router NAT/NAPT y cortafuegos ................................................................... 181 5.1.7 Relación entre router NAT/NAPT y cortafuegos específico del usuario ............................... 184

5.2 Módulo de seguridad como servidor DHCP ......................................................................... 186 5.2.1 Sinopsis ................................................................................................................................ 186 5.2.2 Configurar un servidor DHCP ............................................................................................... 187

5.3 Sincronización horaria .......................................................................................................... 191 5.3.1 Sinopsis ................................................................................................................................ 191 5.3.2 Configurar el control de la hora ............................................................................................ 192 5.3.3 Definir un servidor NTP......................................................................................................... 193

5.4 SNMP .................................................................................................................................... 194 5.4.1 Sinopsis ................................................................................................................................ 194 5.4.2 Activar SNMP ........................................................................................................................ 195

5.5 Proxy ARP ............................................................................................................................ 196

6 Comunicación segura en la VPN a través de túnel IPsec .................................................................... 197

6.1 VPN con módulos de seguridad y SCALANCE M ................................................................ 197

6.2 Método de autenticación ....................................................................................................... 200

6.3 Grupos VPN .......................................................................................................................... 201 6.3.1 Reglas para la creación de grupos VPN............................................................................... 201 6.3.2 Relaciones de comunicación tunelada soportadas .............................................................. 202 6.3.3 Crear grupos VPN y asignar módulos .................................................................................. 204

6.4 Configuración de túnel en modo normal ............................................................................... 205

6.5 Configuración de túneles en el modo avanzado .................................................................. 206 6.5.1 Configuración de propiedades del grupo VPN ..................................................................... 206 6.5.2 Incluir un módulo en un grupo VPN configurado .................................................................. 210 6.5.3 Configuración de propiedades VPN específicas del módulo ............................................... 212 6.5.4 Configuración de propiedades VPN conexión a conexión ................................................... 215

6.6 Datos de configuración para módulos SCALANCE M .......................................................... 217

6.7 Datos de configuración para dispositivos VPN ..................................................................... 220

6.8 Datos de configuración para clientes NCP VPN (Android)................................................... 222

6.9 Configuración de nodos de red internos ............................................................................... 224 6.9.1 Configuración de otros dispositivos y subredes para el túnel VPN ...................................... 225 6.9.2 Funcionamiento del modo de aprendizaje ............................................................................ 226 6.9.3 Visualización de los nodos de red internos encontrados ..................................................... 229

7 Redundancia de router y cortafuegos .................................................................................................. 231

Índice


7.1 Resumen .............................................................................................................................. 231

7.2 Crear relaciones de redundancia y asignar módulos de seguridad .................................... 232

7.3 Configuración de relaciones de redundancia ...................................................................... 233

8 SOFTNET Security Client .................................................................................................................... 235

8.1 Uso de SOFTNET Security Client ........................................................................................ 235

8.2 Instalación y puesta en servicio del SOFTNET Security Client ........................................... 238 8.2.1 Instalación e inicio de SOFTNET Security Client ................................................................ 238 8.2.2 Desinstalación de SOFTNET Security Client ...................................................................... 239

8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool ................................................................................................................ 239

8.4 Operación de SOFTNET Security Client ............................................................................. 242

8.5 Configuración y edición de túneles ...................................................................................... 244

9 Funciones online - Diagnóstico y registro ............................................................................................. 255

9.1 Panorámica de funciones del cuadro de diálogo online ...................................................... 257

9.2 Registro de eventos (Logging) ............................................................................................. 259 9.2.1 Registro local - ajustes en la configuración ......................................................................... 261 9.2.2 Network Syslog - Ajustes en la configuración ...................................................................... 263 9.2.3 Configuración del registro de paquetes ............................................................................... 267

A Anexo .................................................................................................................................................. 269

A.1 Conformidad DNS ................................................................................................................ 269

A.2 Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red ........................................................................................................................................ 269

A.3 Dirección MAC ..................................................................................................................... 271

B Bibliografía ........................................................................................................................................... 273

B.1 Introducción - sin CD/DVD ................................................................................................... 273

B.2 CP S7 / para la configuración, puesta en servicio y utilización del CP ............................... 274

B.3 Para la configuración con STEP 7 / NCM S7 ...................................................................... 274

B.4 CP S7 para el montaje y la puesta en servicio del CP ........................................................ 275

B.5 Para el montaje y la operación de una red Industrial Ethernet ............................................ 276

B.6 Principios básicos de SIMATIC y STEP 7 ........................................................................... 276

B.7 Comunicación industrial Tomo 2 .......................................................................................... 277

B.8 Para la configuración de equipos PC / PG .......................................................................... 277

B.9 Para la configuración de CP PC .......................................................................................... 277

B.10 SIMATIC NET Industrial Ethernet Security .......................................................................... 278

Índice alfabético ................................................................................................................................... 279

Índice



Introducción y fundamentos 1

Información de seguridad Siemens suministra productos y soluciones con funciones de seguridad industrial que contribuyen al funcionamiento seguro de instalaciones, soluciones, máquinas, equipos y redes. Dichas funciones son un componente importante de un sistema global de seguridad industrial. En consideración de lo anterior, los productos y soluciones de Siemens son objeto de mejoras continuas. Por ello, le recomendamos que se informe periódicamente sobre las actualizaciones de nuestros productos.

Para el funcionamiento seguro de los productos y soluciones de Siemens, es preciso tomar medidas de protección adecuadas (como el concepto de protección de células) e integrar cada componente en un sistema de seguridad industrial integral que incorpore los últimos avances tecnológicos. También deben tenerse en cuenta los productos de otros fabricantes que se estén utilizando. Encontrará más información sobre seguridad industrial en http://www.siemens.com/industrialsecurity.

Si desea mantenerse al día de las actualizaciones de nuestros productos, regístrese para recibir un boletín de noticias específico del producto que desee. Encontrará más información en http://support.automation.siemens.com.

1.1 Información importante

General

Nota Protección contra el acceso no autorizado

Asegúrese de que el equipo de configuración (PC o PG) y, dado el caso, el proyecto, estén protegidos contra el acceso no autorizado.

Nota Desactivar la cuenta de invitado

Asegúrese de que la cuenta de invitado está desactivada en el equipo de configuración.

http://www.siemens.com/industrialsecurity

http://support.automation.siemens.com/

Introducción y fundamentos 1.1 Información importante


Nota Fecha y hora actuales en los módulos de seguridad

Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados utilizados se considerarán no válidos y la comunicación segura no funcionará.

Nota Software antivirus actualizado

Se recomienda tener instalado y activado siempre un antivirus actualizado en todos los equipos de configuración.

Nota FTPS

Cuando en la presente documentación se utiliza la designación "FTPS", esta hace referencia a FTPS en el modo explícito (FTPES).

Nota No es posible regresar al modo normal

Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede regresar al normal.

Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.

Nota Medidas de seguridad adicionales al utilizar el SOFTNET Security Client

El SOFTNET Security Client ofrece una solución para la comunicación segura con células de automatización a través de VPN. Para la protección intrínseca del PC/la PG y de la célula de automatización conectada al mismo o a la misma, se recomienda emplear medidas adicionales como, p. ej., escáners de virus y el cortafuegos de Windows.

En Windows 7 debe estar activado el cortafuegos del sistema operativo para que se establezca correctamente el túnel VPN.

Introducción y fundamentos 1.1 Información importante


CP x43-1 Adv.

Nota Ajustes de seguridad adicionales

Para evitar que en el CP puedan cargarse datos de configuración no autorizados, hay que realizar ajustes de seguridad adicionales en el cortafuegos del CP (p. ej., bloquear la comunicación S7 o permitir solo comunicación tunelada) o aplicar medidas de seguridad externas.

STEP 7

Nota "Guardar y compilar" tras realizar cambios

Para que los ajustes de seguridad se apliquen en los correspondientes bloques de sistema (offline), tras realizar los cambios elija el menú "Estación" > "Guardar y compilar" en HW Config o bien "Red" > "Guardar y compilar" en NetPro.

Nota Abrir una estación con la Security Configuration Tool abierta

Cierre la Security Configuration Tool antes de abrir otra estación a través del SIMATIC Manager o NetPro.

Nota No hay multiproyectos de STEP 7 referentes a la seguridad

Para cada proyecto de STEP 7 se crea una configuración de seguridad unívoca en el momento de activar la seguridad. Por este motivo no se soportan multiproyectos de STEP 7 relacionados con la seguridad.

Introducción y fundamentos 1.2 Introducción y fundamentos


1.2 Introducción y fundamentos Con los módulos de seguridad SIMATIC NET y SIMATIC NET SOFTNET Security Client se ha decidido por el concepto de seguridad SIEMENS, que satisface los altos requisitos exigidos a la seguridad de la comunicación en la técnica de automatización industrial.

Nota Software antivirus actual

Recomendamos tener siempre instalado un software antivirus actual en todos los equipos de configuración.

Este capítulo le proporciona una visión de conjunto de las funciones de seguridad propias de los equipos y los componentes:

● SCALANCE S

● CP x43-1 Adv.

● CP 1628

● SOFTNET Security Client

Sugerencia:

Encontrará una descripción del acceso rápido a los módulos de seguridad en el documento "SIMATIC NET Security - Getting Started (primeros pasos)".

1.3 Características del producto

1.3.1 Sinopsis de funciones

Sinopsis de funciones de los tipos de módulo Consulte en la tabla siguiente qué funciones soportan los diferentes módulos de seguridad.

Nota

En este manual se describen todas las funciones. Observe en la tabla siguiente qué funciones son aplicables al módulo de seguridad utilizado.

Preste también atención a los datos adicionales indicados en los títulos de capítulo.

Introducción y fundamentos 1.3 Características del producto


Tabla 1- 1 Sinopsis de funciones

Función CP x43-1 Adv. CP 1628 SCALANCE S ≥ V4.0 Configuración mediante Security Configuration Tool - - x Security Configuration Tool integrada en STEP 7

x x x

Compatibilidad con listas IP Access Control (ACL)

x - -

General Router NAT/NAPT x - x Enrutamiento NAT/NAPT en conex-iones VPN

- - x

Servidor DHCP - - x Cortafuegos Reglas de cortafuegos locales x x x Conjuntos de reglas de cortafuegos globales

x x x

Conjuntos de reglas IP específicos de usuario

- - x

IPsec Estructura de túneles IPsec x x x

Administración de usuarios Administración de usuarios x x x Migración de la administración de usuarios actual

x - x

Autenticación de usuario mediante servidor RADIUS

- - x

Protocolos soportados SNMPv3 x x x Servidor HTTPS x - x Servidor FTP x - - Cliente FTPS x - - Cliente NTP x x x Cliente NTP (seguro) x x x Cliente PPPoE - - x Cliente DDNS/cliente DNS - - x LLDP x - x Cliente MRP/HRP - - x

Registro Registro de eventos de sistema x x x Registro de eventos de auditoría x x x



Función CP x43-1 Adv. CP 1628 SCALANCE S ≥ V4.0 Registro de eventos de filtrado de paquetes

x x x

Mensajes de auditoría en los búfers de diagnóstico del módulo de seguridad

x x -

Acceso vía Security Configuration Tool a búfer de registro del módulo de se-guridad

x x x

Diagnóstico mediante la Security Con-figuration Tool

x x x

Envío de los mensajes a un servidor Syslog

x x x

Diagnóstico web x - - Modo Ghost Determinación de la dirección IP del dispositivo interno en el tiempo de ejecución y aplicación de la dirección IP para el puerto externo del módulo de seguridad

- - x

Zona desmilitarizada (DMZ) Creación de una DMZ para desacoplar la red segura de la red no segura

- - x

Redundancia de router y cortafuegos Ejecución redundante de los módulos de seguridad para conservar la fun-cionalidad de router y de cortafuegos en caso de fallo de un módulo de seguridad

- - x

Se soporta la función x - No se soporta la función

1.3.2 Capacidades

Nota

Encontrará una vista general de las capacidades admisibles en la siguiente dirección de Internet: (http://support.automation.siemens.com/WW/view/es/58217657).




Capacidades Función CP x43-1 Adv. CP 1628 SCALANCE S ≥ V4.0 Túneles VPN por cada módulo de seguridad Máx. 32 Máx. 64 Máx. 128

Reglas de cortafuegos por cada módulo de seguridad

Máx. 256

Servidores NTP que pueden crearse para todo el proyecto (servidores NTP asignables por cada módulo de seguridad)

32 (4)

1.3.3 Reglas para nombres de usuario, roles y contraseñas

¿Qué reglas son aplicables para nombres de usuario, nombres de rol y contraseñas? Al crear o modificar un usuario, un rol o una contraseña, observe las siguientes reglas: Caracteres permitidos Se admiten los siguientes caracteres del juego ANSI X 3.4-

1986: 0123456789

A...Z a...z !#$%&()*+,-./:;<=>?@ [\]_{|}~^

Caracteres no permitidos " ' ` § Longitud del nombre de usuario (método de autenticación "Con-traseña")

1 ... 32 caracteres

Longitud del nombre de usuario (método de autenticación "RADIUS")

1 ... 255 caracteres

Longitud de la contraseña 8 ... 32 caracteres Longitud del nombre de rol 1 ... 32 caracteres Número máximo de usuarios por proyecto

128

Número máximo de usuarios en un módulo de seguridad

32 + 1 administrador al crear el proyecto

Número máximo de roles por proy-ecto

128 (122 definidos por el usuario + 6 definidos por el sistema)

Número máximo de roles en un módulo de seguridad

37 (31 definidos por el usuario + 6 definidos por el sistema)



Nota Nombres de usuario y contraseñas

Una medida importante para incrementar la seguridad consiste en asignar nombres de usuario y contraseñas lo más largos posible y que contengan caracteres especiales, mayúsculas, minúsculas y cifras.

Con ayuda de las normas para las contraseñas podrá limitar aún más las restricciones antes mencionadas para las contraseñas. Consulte en el capítulo Configuración de normas para las contraseñas (Página 76) cómo definir las normas para las contraseñas.

Seguridad de la contraseña Al introducir una nueva contraseña se comprobará su nivel de seguridad. Se distinguen los siguientes niveles de seguridad de la contraseña:

● Muy débil

● Débil

● Media

● Buena

● Fuerte

● Muy fuerte

Nota Comprobación de la seguridad de la contraseña de usuarios existentes

Compruebe la seguridad de la contraseña • de usuarios ya existentes en el proyecto, • del primer usuario creado en STEP 7, • de usuarios migrados,

seleccionando el respectivo usuario en la pestaña "Usuarios" de la Administración de usuarios y pulsando el botón "Editar...".



1.3.4 Cambiar un módulo

Cómo se accede a esa función 1. Marque el módulo de seguridad o el SOFTNET Security Client que desee editar.

2. Elija el comando de menú "Edición" > "Sustituir módulo…".

3. Dependiendo del tipo de producto y de la versión de firmware del módulo seleccionado, en el cuadro de diálogo se puede adaptar el tipo de módulo y/o la versión de firmware.

Consulte en la tabla siguiente qué módulos pueden sustituirse sin una posible pérdida de datos.

Nota Sustitución de CPs

Encontrará información sobre la sustitución de CPs en el manual de producto correspondiente.

Módulo inicial Posible sustitución de módulo

S602 V2

S602 V3

S602 V4

S612 V1

S612 V2

S612 V3

S612 V4

S613 V1

S613 V2

S623 V3

S623 V4

S627-2M V4

S602 V2 - x x ! x x x ! x x x x S602 V3 ! - x ! ! ! ! ! ! ! ! ! S602 V4 ! ! - ! ! ! ! ! ! ! ! ! S612 V1 ! ! ! - x x x x x x x x S612 V2 ! ! ! ! - x x ! x x x x S612 V3 ! ! ! ! ! - x ! ! x x x S612 V4 ! ! ! ! ! ! - ! ! x x x S613 V1 ! ! ! ! ! x x - x x x x S613 V2 ! ! ! ! ! x x ! - x x x S623 V3 ! ! ! ! ! ! ! ! ! - x x S623 V4 ! ! ! ! ! ! ! ! ! ! - x S627-2M V4 ! ! ! ! ! ! ! ! ! ! ! - x Sin pérdidas

! Con posibles pérdidas - El tipo de módulo y la versión de firmware no cambian.

Introducción y fundamentos 1.4 Uso del SOFTNET Security Client


Configuración inicial Posible sustitución

SOFTNET Security Cli-ent 2005

SOFTNET Security Cli-ent 2008

SOFTNET Security Client V3.0



- x x x


x* - x x


x* ** x** - x


x* ** x** x -

* Cuando el SOFTNET Security Client no se encuentra en un grupo de enrutamiento. ** Cuando el SOFTNET Security Client no se encuentra en un grupo VPN con un módulo SCALANCE M.

Consulte también Interfaz de usuario y comandos de menú (Página 47)

/2/ (Página 274)

1.4 Uso del SOFTNET Security Client

Comunicación de PG/PC en la VPN - Función del SOFTNET Security Client El software para PC SOFTNET Security Client permite acceder remotamente desde la PG o el PC a autómatas programables protegidos por módulos de seguridad, más allá de los límites de redes públicas.

Mediante el SOFTNET Security Client se configura automáticamente una PG o un PC de manera que pueda establecer con uno o varios módulos de seguridad una comunicación tunelada IPsec protegida en la VPN (Virtual Private Network).

Las aplicaciones de PG/PC, como por ejemplo Diagnóstico NCM o STEP 7, pueden acceder así a través de una conexión por túnel protegida a dispositivos o redes que se encuentren en una red interna protegida por módulos de seguridad.

El software para PC SOFTNET Security Client también se configura con la herramienta de configuración Security Configuration Tool, lo que garantiza una configuración global.

Introducción y fundamentos 1.5 Uso de SCALANCE S602


1.5 Uso de SCALANCE S602

Cortafuegos y Router - misión de SCALANCE S602 Por combinación de diversas medidas de seguridad, como son cortafuegos y router NAT/NAPT, el módulo de seguridad SCALANCE S602 protege dispositivos concretos o también células de automatización completas de:

● Espionaje de datos

● Accesos no deseados

SCALANCE S602 hace posible esta protección de forma flexible y con un manejo sin complicaciones.

SCALANCE S602 se configura con la herramienta de configuración Security Configuration Tool.

Figura 1-1 Configuración de red con SCALANCE S602



Funciones de seguridad ● Cortafuegos

– Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4)

– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3

(telegramas de nivel 2; no rige para S602 si se utiliza el modo Router);

– Limitación del ancho de banda

– Conjuntos de reglas de cortafuegos globales

– Conjuntos de reglas IP específicos de usuario

Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su cortafuegos.

● Modo Router

Utilizando SCALANCE S como router se desacopla la red interna de la red externa. La red interna conectada por el SCALANCE S se convierte así en una subred propia; el SCALANCE S se tiene que direccionar como Router explícitamente a través de su dirección IP.

● Protección para dispositivos y segmentos de red

La función de protección de cortafuegos se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros.

● Ausencia de retroacciones en caso de instalación en redes planas (modo de puente)

Por lo tanto, al montar un SCALANCE S602 en una infraestructura de red ya existente no se necesita ajustar de nuevo los equipos terminales.

● Módulo de seguridad y dispositivo interno como una sola unidad (modo Ghost)

El módulo de seguridad sale al exterior con la dirección IP del dispositivo interno y la dirección MAC del módulo de seguridad.

● NTP (seguro)

Para la sincronización y transferencia horaria seguras.



Nodos de red internos y externos SCALANCE S602 divide las redes en dos áreas:

● Red interna: áreas protegidas con los "nodos internos"

Los nodos internos son todos aquellos nodos protegidos por un SCALANCE S.

● Red externa: áreas no protegidas con los "nodos externos"

Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas.

Nota

Las redes internas se consideran seguras (fiables).

Conecte un segmento de red interno con los segmentos de red externos solo a través de SCALANCE S.

¡No deben existir otras vías de conexión entre la red interna y la externa!

Introducción y fundamentos 1.6 Uso de SCALANCE S612, S623 y S627-2M


1.6 Uso de SCALANCE S612, S623 y S627-2M

Protección completa - Función de SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M Combinando diversas medidas de seguridad, como cortafuegos, routers NAT/NAPT y VPN (Virtual Private Network) a través de túneles IPsec, los módulos de seguridad SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M protegen dispositivos concretos o células de automatización completas de:


● Manipulación de datos


SCALANCE S hace posible una protección flexible, exenta de repercusiones inversas, independiente de protocolos (a partir de capa 2 según IEEE 802.3) y con un manejo sin complicaciones.

SCALANCE S y SOFTNET Security Client se configuran con la herramienta Security Configuration Tool.

Figura 1-2 Configuración de red con SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M





– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3

(Telegramas de capa 2; no está disponible si se utiliza el modo de router)



– Conjuntos de reglas IP específicos de usuario

Todos los nodos de red que se encuentran en el segmento de red interno de un SCALANCE S son protegidos por su cortafuegos.

● Comunicación protegida por túnel IPsec

SCALANCE S puede agruparse con otros módulos de seguridad mediante configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec (VPN, Virtual Private Network). Todos los nodos internos de estos módulos de seguridad se pueden comunicar entre sí por estos túneles de forma protegida.

● Independencia de protocolo

El establecimiento de túneles comprende también telegramas Ethernet según IEEE 802.3 (telegramas Layer 2; no es válido si se usa el modo de router)

A través de los túneles IPsec se transmiten tanto telegramas IP como también No-IP.

● PPPoE

Point to Point Protocol over Ethernet (RFC 2516) para la adquisición automática de direcciones IP del proveedor, con lo que se prescinde del uso de un router DSL aparte.

● Cliente para DNS dinámico (cliente DDNS)

Domain Name Service dinámico para el uso de direcciones IP dinámicas si se utiliza un SCALANCE S como servidor VPN para telemantenimiento en combinación con el SOFTNET Security Client, módulos SCALANCE M, módulos SCALANCE S u otros clientes VPN.

● SNMPv3

Para la transferencia antiescucha de información de análisis de la red.

● Modo Router

Utilizando SCALANCE S como router conecta la red interna con la red externa. La red interna conectada a través de SCALANCE S se convierte así en una subred propia.


La función de protección de cortafuegos y VPN se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros.

● Interfaz DMZ adicional

En una zona desmilitarizada (DMZ) es posible colocar servidores para los que pueda controlarse y restringirse el acceso desde otras redes (red externa no segura, red interna



segura). Esto permite poner a disposición de ambas redes servicios y datos de forma segura sin dejar que las dos redes se comuniquen directamente entre sí.

● Ausencia de retroacciones en caso de instalación en redes planas (modo de puente)

Nodos de red internos se pueden localizar sin configuración. Por lo tanto, al montar un SCALANCE S en una infraestructura de red ya existente no es necesario configurar de nuevo los dispositivos terminales.

El módulo de seguridad intenta encontrar dispositivos internos; sin embargo, se tienen que configurar los dispositivos internos que no se localicen por este procedimiento.

● Autenticación de usuario mediante servidor RADIUS

En un servidor RADIUS pueden almacenarse de forma centralizada nombres de usuario, contraseñas y roles de usuario. La autenticación de estos usuarios se realiza entonces a través del servidor RADIUS.

● NTP (seguro)


Nodos de red internos, externos y DMZ SCALANCE S divide las redes en varias áreas:


Los nodos internos son todos aquellos nodos protegidos por un SCALANCE S.



● Red DMZ: áreas protegidas con los "nodos DMZ"

Los nodos DMZ son todos aquellos nodos que están en la DMZ y están protegidos por un SCALANCE S.

Nota

Las redes conectadas a la interfaz interna se consideran seguras (fiables).

Conecte un segmento de red interno con segmentos de red de otro nivel de seguridad (red externa, red DMZ) solo a través de SCALANCE S.

No deben existir otras vías de conexión entre la red interna y una red con otro nivel de seguridad.

Introducción y fundamentos 1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M


1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M

Escenarios de aplicación de la interfaz DMZ Además de las funciones del SCALANCE S612, el SCALANCE S623 y el SCALANCE S627-2M están equipados con una tercera interfaz (DMZ) a la que se puede conectar una red adicional. La interfaz puede cumplir diferentes funciones (no simultáneamente) dependiendo del entorno de uso:

● Instalación de una DMZ

● Punto final de una conexión por túnel VPN

● Interfaz de sincronización para redundancia de router y cortafuegos

● ...

Instalación de una DMZ Con SCALANCE S623 y SCALANCE S627-2M puede instalarse una DMZ (zona desmilitarizada) en la interfaz adicional. Una DMZ suele utilizarse para poner servicios a disposición de una red insegura, pero la red segura que proporciona los datos debe permanecer desacoplada de la red insegura.

Así, por ejemplo, en la red DMZ puede haber servidores terminales con software de mantenimiento y diagnóstico instalado para que lo utilicen usuarios autorizados de la red externa.

En los casos de aplicación típicos de DMZ, el usuario debe configurar las reglas de cortafuegos de tal forma que se permitan accesos desde Internet (externos) a los servidores de la DMZ (dado el caso, protegidos además con un túnel VPN), pero no a dispositivos del área segura (interna).



Figura 1-3 Instalación de una DMZ

En el capítulo "4.2 SCALANCE S como cortafuegos entre red externa y DMZ" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza para instalar una DMZ.



Punto final de una conexión por túnel VPN La interfaz DMZ puede utilizarse como punto final de un túnel VPN. En este escenario, la interfaz DMZ está conectada a Internet a través de un módem DSL y se opera mediante PPPoE. El túnel VPN permite la comunicación segura, por ejemplo, con una unidad de automatización conectada a la interfaz interna de otro módulo de seguridad.

Figura 1-4 Punto final de una conexión por túnel VPN

En el capítulo "5.2 Túnel VPN entre SCALANCE S623 y SCALANCE S612" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza como punto final de un túnel VPN.



Interfaz de sincronización para redundancia de router y cortafuegos Con el uso de dos módulos de seguridad del tipo SCALANCE S623 o SCALANCE S627-2M se puede compensar el fallo de un módulo de seguridad mediante la redundancia de router y de cortafuegos. A tal efecto, ambos módulos de seguridad funcionan en modo de enrutamiento y se conectan respectivamente con la red externa y la interna, estando activo siempre un único módulo de seguridad. Si falla el módulo de seguridad activo, el módulo de seguridad pasivo asumirá su función de router o cortafuegos. Para garantizar un comportamiento funcionalmente idéntico de los dos módulos de seguridad, los dos se conectarán entre sí mediante sus interfaces DMZ, y su configuración se sincronizará durante el funcionamiento.

Figura 1-5 Redundancia de router y cortafuegos

Introducción y fundamentos 1.8 Uso del puerto de módulo de medios de SCALANCE S627-2M


1.8 Uso del puerto de módulo de medios de SCALANCE S627-2M

Integración en topologías de anillo Además de las funciones de SCALANCE S623, el SCALANCE S627-2M posee dos slots de módulo de medio, en los que se puede usar respectivamente un módulo de medio eléctrico u óptico de dos puertos. Las interfaces externa e interna se amplían de esta forma con dos puertos cada una. En el modo de enrutamiento se pueden utilizar los puertos adicionales del módulo de seguridad para la conexión de las interfaces externa e interna a topologías de anillo.

Redundancia en anillo con MRP o HRP El SCALANCE S627-2M soporta los protocolos MRP y HRP en los puertos de módulo de medios de las interfaces externa e interna como cliente. Como dispositivo de un anillo MRP/HRP, un SCALANCE S627-2M puede proteger una célula de automatización o un anillo subordinados. Esta protección también puede realizarse de forma redundante. Los fallos en los cables serán detectados por un gestor de anillo aparte, por ejemplo, un SCALANCE X308, y se compensarán mediante una desviación en la vía de comunicación.

Introducción y fundamentos 1.9 Uso de CP 343-1 Advanced y CP 443-1 Advanced


1.9 Uso de CP 343-1 Advanced y CP 443-1 Advanced

Concepto de protección de celda - Función de CP x43-1 Adv. Industrial Ethernet Security permite proteger diferentes dispositivos, células de automatización o segmentos de una red Ethernet. Adicionalmente, es posible proteger la transferencia de datos mediante la combinación de diferentes medidas de seguridad, como cortafuegos, routers NAT/NAPT y VPN (Virtual Private Network) utilizando un túnel IPsec, concretamente de:




Las funciones de seguridad del CP x43-1 Adv. se configuran con la herramienta de configuración Security Configuration Tool integrada en STEP 7.

Figura 1-6 Configuración de red con CP x43-1 Adv.





– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3 (capa 2)



Todos los nodos de red que se encuentran en el segmento de red interno de un CP x43-1 Adv. están protegidos por su cortafuegos.


El CP x43-1 Adv. puede agruparse con otros módulos de seguridad por medio de la configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec (VPN). Todos los nodos internos de estos módulos de seguridad se pueden comunicar entre sí por estos túneles de forma protegida.

● Registro

Para fines de vigilancia es posible guardar eventos en archivos de registro que se leen utilizando la herramienta de configuración o se envían automáticamente a un servidor Syslog.

● HTTPS

Para la transmisión cifrada de páginas web, p. ej. en el control de procesos.

● FTPS

Para la transferencia cifrada de archivos.

● NTP (seguro)


● SNMPv3



La función de protección de cortafuegos y VPN se puede extender al uso de dispositivos concretos, de varios dispositivos o también de segmentos de red enteros.



Nodos de red internos y externos: CP x43-1 Adv. divide las redes en dos áreas:


Los nodos internos son todos aquellos nodos protegidos por un CP x43-1 Adv.



Nota

Las redes internas se consideran seguras (fiables).

Para conectar un segmento de red interno con los segmentos de red externos utilice solo CP x43-1 Adv.

¡No deben existir otras vías de conexión entre la red interna y la externa!

Información sobre las funciones generales del CP x43-1 Adv. El presente manual contiene información sobre las funciones de seguridad del CP x43-1 Adv. Para conocer las descripciones de las funciones generales, véase:

● /1/ (Página 274)

● /2/ (Página 274)

Introducción y fundamentos 1.10 Uso de CP 1628


1.10 Uso de CP 1628

Concepto de protección de celda - Función de CP 1628 Los mecanismos de seguridad integrados en el CP 1628 permiten proteger sistemas informáticos, incluida la comunicación de datos dentro de una red de automatización o el acceso remoto seguro a través de Internet. El CP 1628 permite acceder a dispositivos de forma individualizada o a células de automatización completas protegidas con módulos de seguridad, y permite conexiones seguras a través de estructuras de red no seguras.

Mediante la combinación de diferentes medidas de seguridad, como cortafuegos y VPN (Virtual Private Network) a través de túneles IPsec el CP 1628 protege de:




Las funciones de seguridad del CP 1628 se configuran con la herramienta de configuración Security Configuration Tool integrada en STEP 7.

Figura 1-7 Configuración de red con CP 1628

Introducción y fundamentos 1.10 Uso de CP 1628




– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3 (capa 2)


– Reglas de cortafuegos globales


El CP 1628 puede agruparse con otros módulos de seguridad mediante configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec (VPN, Virtual Private Network).

● Registro

Para fines de vigilancia es posible guardar eventos en archivos de registro que se leen utilizando la herramienta de configuración o se envían automáticamente a un servidor Syslog.

● NTP (seguro)


● SNMPv3


Información sobre las funciones generales del CP 1628 El presente manual contiene información sobre las funciones de seguridad del CP 1628. Para conocer las descripciones de las funciones generales, véase

● /11/ (Página 277)

Introducción y fundamentos 1.11 Configuración y administración


1.11 Configuración y administración

Lo más importante, en resumen Con la herramienta de configuración Security Configuration Tool se logra una aplicación sencilla y segura de los módulos de seguridad:

● Configuración sin conocimientos de experto en materia de IT con la Security Configuration Tool

Con la Security Configuration Tool pueden configurar un módulo de seguridad incluso personas que no sean expertas en materia de TI. En el modo avanzado se pueden realizar ajustes más complejos, si es necesario.

● Comunicación administrativa segura

La transferencia de los ajustes está firmada y cifrada y solo puede ser realizada por personal autorizado.

● Protección de acceso en la Security Configuration Tool

La administración de usuarios de la Security Configuration Tool garantiza una protección de acceso para los módulos de seguridad y los datos de configuración.

● Medio intercambiable C-PLUG utilizable

El C-PLUG es un medio intercambiable, enchufable, en el que están almacenados datos de configuración en forma codificada. Al sustituir un módulo de seguridad, permite realizar la configuración sin PG o PC siempre que el módulo de seguridad soporte la administración de datos en C-PLUG.

Introducción y fundamentos 1.11 Configuración y administración



Configuración con Security Configuration Tool 2

Security Configuration Tool es la herramienta de configuración suministrada junto con los módulos de seguridad.

El presente capítulo le familiariza con la interfaz de operación y el funcionamiento de la herramienta de configuración.

En él se describen la instalación, el manejo y la administración de proyectos de seguridad.

Otras informaciones En los capítulos sucesivos de este manual se explica con detalle la configuración de módulos de seguridad y de túneles IPsec.

La ayuda en pantalla le proporcionará también información detallada sobre los diálogos y los parámetros ajustables. Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión.

2.1 Vista general - Prestaciones y funcionamiento

Prestaciones La herramienta de configuración Security Configuration Tool se utiliza para las siguientes tareas:

● Configuración de los módulos de seguridad

● Configuración de SOFTNET Security Client

● Creación de datos de configuración VPN para SCALANCE M

● Creación de archivos de configuración VPN para dispositivos VPN de otros fabricantes

● Funciones de test y diagnóstico, indicaciones de estado

Configuración con Security Configuration Tool 2.1 Vista general - Prestaciones y funcionamiento


Dos modos de operación de la Security Configuration Tool La Security Configuration Tool puede iniciarse en los siguientes modos de operación:

● Security Configuration Tool Standalone (en versión autónoma):

– Se puede iniciar independientemente de STEP 7

– La configuración de seguridad de CP no es posible

● Security Configuration Tool integrada en STEP 7:

– Solo se puede iniciar desde STEP 7

– En el proyecto debe haber al menos un CP con función de seguridad activada

– El alcance de Security Configuration Tool Standalone (versión autónoma) se amplía con la posibilidad de configurar funciones de seguridad para CP

Vista de configuración offline y vista de diagnóstico online La Security Configuration Tool dispone de una vista de configuración offline y una vista de diagnóstico online:

● Vista de configuración offline

En el modo offline se ajustan los datos de configuración para el módulo correspondiente. Antes de la carga no es necesario establecer para esto una conexión con este módulo.

● Online

El modo online sirve para comprobar y diagnosticar un módulo de seguridad.

Dos modos de operación En la vista de configuración offline, la Security Configuration Tool proporciona dos modos de operación:

● Modo normal

El modo normal está preajustado en la Security Configuration Tool. Este modo permite una configuración rápida y sin complicaciones para el uso de los módulos de seguridad.

● Modo avanzado

En el modo avanzado existen otras posibilidades de ajuste que permiten configurar de forma personalizada, entre otros, las reglas de cortafuegos, los ajustes de registro, las reglas NAT/NATP, los nodos VPN y funcionalidades avanzadas de seguridad.

Configuración con Security Configuration Tool 2.2 Instalación de Security Configuration Tool


Funcionamiento - Seguridad y coherencia ● Acceso solo para usuarios autorizados

Cada proyecto está protegido contra accesos no autorizados mediante nombres de usuario y contraseñas. Con ayuda de las normas para las contraseñas es posible definir reglas específicas del proyecto para la asignación de contraseñas.

● Datos de proyecto coherentes

Ya durante la entrada en los distintos cuadros de diálogo se realizan comprobaciones de la coherencia. Además puede realizar en todo momento una prueba de coherencia a nivel de proyecto, en la que se incluyen todos los cuadros de diálogo.

En los módulos de seguridad solo se pueden cargar datos de proyecto coherentes.

● Protección de datos de proyecto por cifrado

Los datos de proyecto y configuración están protegidos por cifrado tanto en el archivo de proyecto como en el C-PLUG, si existe (no es válido para el CP 1628).

2.2 Instalación de Security Configuration Tool

2.2.1 Sistemas operativos soportados

Sistemas operativos soportados Se soportan los siguientes sistemas operativos:

● Microsoft Windows XP 32 bits + Service Pack 3

● Microsoft Windows 7 Professional 32/64 bits

● Microsoft Windows 7 Professional 32/64 bits + Service Pack 1

● Microsoft Windows 7 Ultimate 32/64 bits

● Microsoft Windows 7 Ultimate 32/64 bits + Service Pack 1

● Windows Server 2008 R2 64 bits

● Windows Server 2008 R2 64 bits + Service Pack 1

Nota

Antes de proceder a la instalación de la Security Configuration Tool, lea el archivo "README.htm" del DVD que viene adjunto. En este archivo encontrará informaciones importantes así como referencias a las últimas modificaciones.

Configuración con Security Configuration Tool 2.2 Instalación de Security Configuration Tool


SCALANCE S - Procedimiento La herramienta de configuración Security Configuration Tool se instala desde el DVD de producto que viene adjunto.

● Introduzca el DVD de producto en la unidad de DVD-ROM. Si está activada la función Autorun, se iniciará automáticamente la interfaz desde la que puede realizar la instalación.

o

● Inicie la aplicación "start.exe" existente en el DVD de producto que viene adjunto.

CP x43-1 Adv. - Proceda del siguiente modo La herramienta de configuración Security Configuration Tool se instala desde el soporte de datos de STEP 7. Encontrará el archivo de instalación en el soporte de datos de STEP 7, en el directorio de componentes de software opcionales.

CP 1628 - Proceda del siguiente modo La herramienta de configuración Security Configuration Tool se instala desde el soporte de datos suministrado que contiene los datos de drivers del CP 1628.

● Introduzca el soporte de datos en la unidad de DVD-ROM. Si está activada la función Autorun, se iniciará automáticamente la interfaz desde la que puede realizar la instalación.

o bien

● Inicie la aplicación "setup.exe" existente en el soporte de datos que viene adjunto.

Configuración con Security Configuration Tool 2.3 Interfaz de usuario y comandos de menú


2.3 Interfaz de usuario y comandos de menú

Estructura de la interfaz de usuario en el modo avanzado

① Área de navegación:

• Conjuntos de reglas de cortafuegos globales

El objeto contiene los conjuntos de reglas globales de cortafuegos configurados. Otras carpetas se distinguen en: – Conjuntos de reglas IP de cortafuegos – Conjuntos de reglas MAC de cortafuegos

• Conjuntos de reglas IP personalizados • Todos los módulos

El objeto contiene todos los módulos configurados y configuraciones SOFTNET del proy-ecto.

• Grupos VPN

El objeto contiene todos los grupos VPN generados.

• Relaciones de redundancia

El objeto contiene todas las relaciones de redundancia generadas del proyecto. ② Índice:

Si selecciona un objeto en el área de navegación obtendrá en el área de contenido infor-maciones detalladas sobre ese objeto. Para algunos módulos de seguridad es posible visualizar en esta área extractos de las config-uraciones de interfaz para adaptarlas. Haciendo doble clic en los módulos de seguridad es posible abrir diálogos de propiedades para introducir más parámetros, siempre que las correspondientes posibilidades de configura-ción lo ofrezcan.



③ Ventana de detalles: La ventana de detalles contiene información adicional sobre el objeto seleccionado y permite configurar propiedades de VPN conexión a conexión en los diferentes contextos de un grupo VPN. La ventana de detalles puede mostrarse y ocultarse a través del menú "Vista".

④ Barra de estado: La barra de estado muestra los estados de manejo y mensajes de estado actuales: Aquí se incluyen: • Los usuarios actuales y el tipo de usuario • La vista de manejo - Modo normal / modo avanzado • El tipo de operación - Online / Offline

Barra de herramientas A continuación se muestra una vista general de los botones disponibles en la barra de herramientas y su significado.

Icono Significado / observaciones

Crear un proyecto.

Abrir un proyecto ya existente.

Guardar un proyecto abierto en la ruta y con el nombre de proyecto actuales.

Copiar el objeto seleccionado.

Insertar un objeto del portapapeles.

Borrar el objeto seleccionado.

Crear un módulo. El símbolo solo está activo si el usuario está en la carpeta "Todos los módulos" del área de navegación.

Crear un grupo VPN. El símbolo solo está activo si el usuario está en la carpeta "Grupos VPN" del área de navegación.

Crear un nuevo conjunto de reglas IP o MAC de validez global o bien un conjunto de reglas IP específico del usuario. El símbolo solo está activo si el usuario está en una subcarpeta de "Conjuntos de reglas de cortafuegos globales" en el área de navegación o en la carpeta "Conjuntos de reglas IP específicos de usuario".

Crear una relación de redundancia. El símbolo solo está activo si el usuario está en la carpeta "Relaciones de redundancia" del área de navegación.



Icono Significado / observaciones

Cargar una configuración en los módulos de seguridad seleccionados o crear datos de configuración para SOFTNET Security Client / SCALANCE M / dispositivo VPN / cliente NCP VPN (Android).

Cambiar al modo offline.

Cambiar al modo online.



Barra de menús A continuación se ofrece un cuadro general de los comandos de menú seleccionables y su significado.

Comando de menú Significado / observaciones Combinación de teclas Project ▶… Funciones para ajustes específicos del proyecto, así

como la carga y el almacenamiento del archivo del proyecto.

Nuevo... Crear un proyecto.

Para CP: Los proyectos se crean mediante configu-ración con STEP 7.

Abrir... Abrir un proyecto ya existente.

Para CP: Los proyectos existentes solo pueden abrirse a través de proyectos STEP 7.

Guardar Guardar un proyecto abierto en la ruta y con el nom-bre de proyecto actuales.

Ctrl + S

Guardar como... Guardar un proyecto abierto en una ruta y con un

nombre de proyecto seleccionables. Para CP: El proyecto es parte del proyecto STEP 7. La ruta no puede cambiarse.

Propiedades... Abrir un cuadro de diálogo para propiedades del proyecto.

Recent Projects Posibilidad de seleccionar directamente los proyectos

procesados hasta el momento Para CP: Los proyectos existentes solo pueden abrirse a través de STEP 7.

Quit Cerrar proyecto. Edit ▶… Comandos de menú solo en el modo offline

Nota Con el objeto seleccionado, algunas de las funciones también pueden elegirse a través del menú contextu-al.

Copy Copiar el objeto seleccionado. Ctrl + C Paste Traer el objeto del portapapeles e insertarlo ("pegar-

lo"). Ctrl + V

Eliminar Borrar el objeto seleccionado. Supr Rename Cambiar de nombre el objeto seleccionado. F2 Nuevo certificado... Crear nuevo certificado de grupo para el módulo

seleccionado tras elegir el correspondiente grupo VPN en el área de contenidos.

Sustituir módulo... Sustituir el módulo de seguridad seleccionado. Propiedades ... Abrir el cuadro de diálogo de propiedades del objeto

seleccionado. F4

Diagnóstico online ... Acceder a las funciones de test y diagnóstico.



Comando de menú Significado / observaciones Combinación de teclas Insert ▶… Comandos de menú solo en el modo offline Módulo Crear un módulo de seguridad.

Este comando de menú solo está activo si está se-leccionado un módulo de seguridad o un grupo VPN en el área de navegación.

Ctrl + M

Group Crear un grupo VPN. Este comando solo está activo si está seleccionado un objeto Grupos en el área de navegación.

Ctrl + G

Conjunto de reglas de cortafuegos

Crear un nuevo conjunto de reglas IP de cortafuegos o MAC de validez global o bien un conjunto de reglas IP específico del usuario. Este comando solo está activo si está seleccionado un objeto Firewall en el área de navegación. Este comando de menú solo está visible en el modo avanzado.

Ctrl + F

Relación de redundancia Crear una relación de redundancia. El comando de menú solo está activo si el usuario está en la carpeta "Relaciones de redundancia" del área de navegación.

Ctrl + R

Transfer ▶…

A módulo(s)... Cargar una configuración en los módulos de seguri-

dad seleccionados o crear datos de configuración para SOFTNET Security Client / SCALANCE M / dispositivos VPN / clientes NCP VPN (Android). Observación: Solo se pueden cargar datos de proy-ecto coherentes. Para CPs: Los datos del proyecto solo pueden car-garse a través de STEP 7.

A todos los módulos... Cargar una configuración en todos los módulos de seguridad. Observación: Solo se pueden cargar datos de proy-ecto coherentes.

Estado de la configura-ción…

Mostrar en una lista el estado de configuración de los módulos de seguridad configurados.

Transferir firmware ... Cargar firmware nuevo en el módulo de seguridad seleccionado. Para CPs S7: El firmware se carga en el CP a través del centro de actualización del diagnóstico web.

View ▶… Modo avanzado Cambiar del modo normal (predeterminado) al modo

avanzado. Atención Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede regresar al nor-mal.

Ctrl + E



Comando de menú Significado / observaciones Combinación de teclas Mostrar ventana de

detalles Mostrar y ocultar los detalles adicionales del objeto seleccionado.

Ctrl + Alt + D

Offline Ajuste predeterminado. Cambiar a la vista de config-uración offline.

Ctrl + Mayús + D

Online Cambiar a la vista de diagnóstico online. Ctrl + D Options ▶… Servicios IP... Abrir cuadro de diálogo para definiciones de los ser-

vicios para las reglas IP Firewall. Este comando de menú solo está visible en el modo avanzado.

Servicios MAC... Abrir cuadro de diálogo para definiciones de los ser-vicios para las reglas MAC Firewall. Este comando de menú solo está visible en el modo avanzado.

Adaptador de red… A través del adaptador de red seleccionado se

asigna una dirección IP al SCALANCE S.

Idioma... Seleccionar un idioma para la visualización de la interfaz SCT. Para SCT en STEP 7, el idioma de la interfaz SCT se define seleccionando el idioma en STEP 7.

Archivos de registros... Visualización de archivos de registro guardados. Symbolic Names... Asignar nombres simbólicos para direcciones IP o

MAC.

Configuración del servidor NTP...

Crear y editar servidores NTP

Configuración del servidor RADIUS...

Crear y editar servidores RADIUS.

Verificaciones de consis-tencia...

Comprobación de la coherencia de todo el proyecto. Al finalizar se muestra una lista de resultados.

Administración de usuari-os...

Crear y editar usuarios y roles, asignar derechos y definir normas para las contraseñas.

Administrador de certifica-dos...

Mostrar, importar o exportar certificados.

Help ▶… Temas de ayuda... Ayuda para las funciones y los parámetros que en-

contrará en la SCT. F1

Acerca de... Información sobre la versión de SCT.

Configuración con Security Configuration Tool 2.4 Crear y administrar proyectos


2.4 Crear y administrar proyectos

2.4.1 Security Configuration Tool Standalone (versión autónoma)

Configuración con la Security Configuration Tool en versión autónoma La Security Configuration Tool en versión autónoma se utiliza para crear proyectos de seguridad en los que no se configuren módulos de seguridad que deban que crearse y configurarse en STEP 7.

Un proyecto nuevo se crea con el comando de menú "Proyecto" > "Nuevo…". Este abarca todas las informaciones de configuración y administración para uno o varios SCALANCE S, SOFTNET Security Clients, equipos SCALANCE M, dispositivos VPN, así como clientes NCP VPN (Android). Para cada dispositivo o configuración se crea un módulo en el proyecto.

2.4.2 Security Configuration Tool en STEP 7

Configuración La Security Configuration Tool integrada en STEP 7 se utiliza para elaborar proyectos de seguridad en los que se configuran módulos de seguridad que deban crearse y configurarse en STEP 7. Además se soportan todos los módulos de seguridad de la variante Standalone.

En cuanto en STEP 7 se activa la función de seguridad para un módulo de seguridad, automáticamente se crea un proyecto de SCT, en el que se guardan y gestionan los datos de la configuración de seguridad. Todos los datos de la configuración de seguridad se procesan internamente en la SCT y el resultado se devuelve a STEP 7.



Interacción entre STEP 7 y SCT La interacción entre STEP 7 y SCT se describe a partir de la siguiente representación:

① Al realizar ajustes de seguridad a través de STEP 7, se abre la SCT, ya que en ella se actualizan y administran los datos para seguridad. Si en NetPro hay configuradas conexiones especificadas, tras guardar y compilar se crean para ellas automáticamente reglas de cortafuegos en SCT.

② En SCT se realizan los ajustes de seguridad necesarios. SCT procesa los datos inter-namente y devuelve el resultado a STEP 7.

③ Las acciones como "Guardar como" y "Compilar" se desarrollan dentro de STEP 7. Los datos de seguridad se guardan automáticamente como proyecto SCT con un nombre asignado automáticamente en una subcarpeta del proyecto STEP 7. El nom-bre y la ruta de almacenamiento no pueden cambiarse. Para un proyecto STEP 7 se puede crear exactamente un proyecto SCT. Un proyecto SCT creado con la Security Configuration Tool en STEP 7 no puede abrirse con la Security Configuration Tool en versión standalone.

④ Los datos de seguridad del CP configurados se cargan en el módulo a través de STEP 7.

¿Qué datos se migran de STEP 7 a SCT y se muestran en el área de contenido? Los siguientes datos de configuración creados en STEP 7 se aplican automáticamente en SCT, pero no pueden modificarse:

● Nombre del dispositivo

● Dirección IP PROFINET IO



● Dirección IP GBit

● Máscara de subred PROFINET IO

● Máscara de subred GBit

● Dirección MAC de la interfaz GBit

● Router estándar

● Dirección MAC PROFINET IO

¿Qué datos pueden migrarse a SCT y modificarse allí? Las siguientes funciones utilizadas en STEP 7 pueden migrarse a SCT y editarse allí:

● Listas Access Control (Página 121)

● Usuario (Página 67)

● Servidores NTP (Página 191)

Encontrará información detallada al respecto en la Ayuda en pantalla de SCT:

Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión de la SCT.

Reglas de cortafuegos automáticas para conexiones configuradas Para conexiones especificadas configuradas en STEP 7 se crean automáticamente reglas de cortafuegos en SCT, que habilitan el establecimiento de la conexión. Encontrará más información al respecto en el capítulo siguiente:

● Reglas de cortafuegos automáticas referidas a conexiones (Página 145).

Para conexiones no especificadas deben crearse manualmente reglas de cortafuegos en SCT, que habiliten el establecimiento de la conexión. Encontrará más información al respecto en el capítulo siguiente:

● Cortafuegos en modo avanzado (Página 138).

Realizar ajustes de seguridad en STEP 7 Los ajustes de seguridad se realizan como sigue:

● A través de las distintas fichas de las propiedades de objeto

En las diferentes fichas se pueden activar y ejecutar funciones de seguridad específicas de CP. Durante la ejecución se abre el cuadro de diálogo SCT correspondiente, en el que pueden realizarse los ajustes de seguridad. Los ajustes de seguridad se pueden realizar en las siguientes fichas:



Ficha Función Descripción Seguridad Activar seguridad • Las funciones de seguridad se activan en

las diferentes fichas. • Se activa el menú "Editar" > "Security Con-

figuration Tool", a través del cual se abre la Security Configuration Tool. En ella se pueden realizar otros ajustes comunes para varios módulos de seguridad, como crear grupos VPN o agregar módulos de seguri-dad que no pueden configurarse en STEP 7.

• Si ha configurado en STEP 7 usuarios para el módulo de seguridad, se abre la ventana "Migración de datos del proyecto relevantes para la seguridad", a través de la cual se pueden migrar los usuarios de STEP 7 a la Security Configuration Tool.

Inicio de la configura-ción de seguridad

SCT se abre en una vista general, en la que se pueden configurar propiedades específicas para este módulo de seguridad.

Carga posterior online de reglas de corta-fuegos

Los ajustes de cortafuegos adaptados se gen-eran y se cargan en el CP sin provocar una parada del CP.

Cargar a posteriori reglas de cortafuegos online (CP 1628)

Se generan los ajustes de cortafuegos adapta-dos y se cargan en el CP.

Usuario Inicio de la adminis-tración de usuarios

Se abre la administración de usuarios de SCT, en la que se crean usuarios y roles y se asignan derechos.

Protección de acceso IP Inicio de la configura-ción de cortafuegos

Al activar la seguridad se migra a la Security Configuration Tool una lista de acceso IP ya disponible convertida en reglas de cortafuegos.

FTP Permitir acceso solo vía FTPS

Se abre la administración de usuarios SCT, en la que se pueden asignar derechos FTP a un rol. Inicio de la adminis-

tración de usuarios Web Permitir acceso solo

vía HTTPS Se abre la administración de usuarios de SCT, en la que se pueden asignar derechos web a un rol. Inicio de la adminis-

tración de usuarios Sincronización horaria Configuración NTP

avanzada Abre la SCT en el modo de configuración NTP.

SNMP Inicio de la configura-ción de SNMP

Abre la SCT en el modo de configuración SNMP. Se puede elegir entre SNMPv1 y SNMPv3.

Inicio de la adminis-tración de usuarios

Se abre la administración de usuarios de SCT, en la que se pueden asignar derechos SNMP a un rol.



● Directamente en SCT

Para abrir SCT en STEP 7, elija el comando de menú "Edición" > "Security Configuration Tool". Además de los ajustes realizados en las fichas de las propiedades de objeto, aquí se crean p. ej. grupos VPN o se agregan módulos SCALANCE S. Los módulos SCALANCE S se pueden configurar y cargar en SCT, pero los datos no se devuelven a STEP 7. Además, los módulos no se muestran en STEP 7 tras cerrar la SCT.

Nota

Encontrará información más detallada en la ayuda en pantalla de STEP 7 y de SCT.

Encontrará información general sobre STEP 7 en /9/ (Página 276).

2.4.3 Migrar datos de STEP 7

Migrar usuarios de dispositivo de STEP 7 a la administración de usuarios de SCT En el cuadro de diálogo de migración, seleccione cómo desea migrar a la administración de usuarios de SCT los usuarios creados en STEP 7. Para ello se puede elegir entre las diferentes acciones: Acción Descripción Aceptar como... El usuario se migra a la administración de usuarios de SCT con

otro nombre. Introduzca el nombre en la columna "Nombre de usuario migrado". En SCT al usuario migrado se le asigna automát-icamente un rol generado.

Juntar Si en el proyecto SCT ya se ha creado un usuario con el mismo nombre, ambos usuarios se juntan. El rol del usuario de SCT se amplía con los derechos seleccionados del usuario migrado.

Rechazar El usuario del módulo de seguridad no se migra a la administración de usuarios de SCT. La migración a posteriori no es posible.

Nota

Los siguientes datos no se migran • Contraseñas de usuarios ya creados en STEP 7. Por ello, para cada usuario hay que

seleccionar el modo en que debe migrarse y asignar una nueva contraseña con el botón "Asignar contraseña".

• El usuario disponible en STEP 7 definido por el sistema "everybody". Tampoco se aplican sus derechos para usuarios migrados.



Nota

Los usuarios y sus roles se pueden adaptar tras la migración en la administración de usuarios de la Security Configuration Tool.

Migrar derechos de dispositivo de STEP 7 a la administración de usuarios de SCT Se migran los siguientes derechos: Derecho en STEP 7 Derecho tras la migración a SCT Servicio Acceder a los símbolos configura-dos

Applet: Leer variables de símbolos configu-rados

PLC

Applet: Escribir variables de símbolos con-figurados

Leer variables de direcciones absolutas

Applet: Leer variables de direcciones ab-solutas

Escribir variables de direcciones absolutas

Applet: Escribir variables de direcciones absolutas

Acceder a archivos de la estación S7 con FTP

FTP: Leer archivos (DB) de la CPU S7 FTP: Escribir archivos (DB) de la CPU S7 FTP: Leer archivos del sistema de archivos del CP

Sistema de ar-chivos

FTP: Escribir archivos del sistema de ar-chivos del CP Web: Formatear el sistema de archivos de CP

Enviar un mail de prueba a través de la página del sistema

Web: Acceder a diagnóstico web y al sistema de archivos de CP

Web

Web: Enviar mail de prueba Consultar el estado de módulos Applet: Leer estado de los módulos en el

bastidor PLC

Consultar el número de referencia de módulos

Applet: Leer referencia de los módulos en el bastidor

Consulte también Sincronización horaria (Página 191)

Configurar una lista de acceso (Página 121)



2.4.4 Resumen

Contenidos generales Tanto en la versión independiente de la Security Configuration Tool como en la versión integrada en STEP 7, al crear un proyecto nuevo se pide la asignación de un nombre de usuario y una contraseña. El usuario aquí creado es del tipo "administrator". Una vez introducidos, se pueden realizar configuraciones en el proyecto.

En general, las configuraciones de un proyecto contienen:

● Ajustes válidos para todo el proyecto

● Ajustes específicos de módulo

● Asignaciones a grupos para túneles IPsec

Además, una administración de usuarios regula los derechos de acceso a los datos del proyecto y a los módulos de seguridad.

Ajustes válidos para todo el proyecto ● Propiedades del proyecto

Estas comprenden, además de informaciones generales sobre direcciones y nombres, especificaciones predeterminadas para valores de inicialización.

● Conjuntos de reglas de cortafuegos globales

Un conjunto de reglas globales para cortafuegos se puede asignar a varios módulos de seguridad a un tiempo. Esta posibilidad simplifica en muchos casos la configuración, a diferencia de la configuración de reglas de cortafuegos locales en los ajustes específicos de los módulos.

● Conjuntos de reglas IP personalizados

Un conjunto de reglas IP específico del usuario se asigna a un usuario y a un módulo de seguridad. A un módulo SCALANCE S V4 también se le puede asignar un conjunto de reglas IP específico del usuario que tenga a su vez un rol asignado.

Los conjuntos de reglas IP específicos del usuario permiten definir derechos de acceso personalizados y concretos.

● Relaciones de redundancia

Una relación de redundancia se crea para dos módulos de seguridad. Si falla uno de los dos módulos de seguridad durante el funcionamiento, el otro módulo de seguridad asumirá su función como cortafuegos y router (NAT/NATP).

● Dominio MRP

Con ayuda de los dominios MRP se definen las estaciones de un anillo MRP. Para las interfaces de todos los módulos que deban estar conectados a un anillo MRP, debe estar seleccionado el mismo dominio MRP.



● Definiciones de servicios

Definiendo servicios IP o MAC se pueden definir reglas de cortafuegos de forma compacta y clara.

● Servidores NTP

Los servidores NTP se crean para todo el proyecto, por lo que pueden asignarse a varios módulos de seguridad en la SCT.

● Servidor RADIUS

Los servidores RADIUS se crean para todo el proyecto, por lo que pueden asignarse a varios módulos de seguridad en la SCT.

● Administrador de certificados

En el administrador de certificados se gestionan todos los certificados del proyecto y de los módulos de seguridad incluidos.

● Administración de usuarios

En la administración de usuarios se pueden gestionar todos los usuarios del proyecto y sus derechos, y también definir reglas para las contraseñas.

● Nombres simbólicos

En un proyecto se pueden asignar nombres simbólicos en una tabla en lugar de direcciones IP y MAC.



Ajustes específicos de módulo La mayoría de las funciones se configuran en las fichas del diálogo de propiedades, que se puede abrir para un módulo de seguridad seleccionado a través del comando de menú "Editar" > "Propiedades...". En el diálogo de propiedades se pueden organizar las diferentes fichas a voluntad mediante Arrastrar y soltar. En la tabla siguiente se describen las funciones de las diferentes fichas.

Función / ficha en el diálogo de propiedades se ofrece en el modo …

Standard Avanzado Interfaces

Vista general de los diferentes ajustes de interfaces y puertos. Para CPs: Los ajustes se adoptan desde STEP 7 y no pueden cambiarse.

X X

Cortafuegos Aquí se activa en el modo normal el cortafuegos con reglas estándar sencillas. Además, aquí se pueden activar ajustes de registro. En el modo avanzado se pueden definir reglas detalladas para el filtrado de paquetes. También se pueden definir ajustes de registro explícitos para cada regla de filtrado de paquetes. Para CPs: Si se ha migrado una lista Access Control, esta se muestra aquí y puede editarse.

X X

Conexión a Internet Si se ha ajustado una conexión a través de PPPoE, realice aquí los ajustes para el Internet Service Provider.

X X

DNS Ajustes del DNS dinámico que permiten el acceso a direcciones IP siempre cambiantes utilizando un nombre fijo (FQDN). DNS dinámico está permitido en la interfaz externa y en la interfaz DMZ.

- X

Enrutamiento Indique aquí los datos del router estándar y/o especifique una ruta específica de la subred. Para CPs: La especificación de un router estándar se aplica desde STEP 7, y solo puede cambiarse en STEP 7. La in-dicación aparece en el área de contenido de SCT. Por eso, la ficha no está incluida en las propiedades del módulo.

X X

NAT/NAPT Active la funcionalidad NAT/NAPT y defina la conversión de direcciones en una lista.

- X

Sincronización horaria Defina aquí el tipo de sincronización para fecha y hora. Para CPs: la sincronización horaria solo puede configurarse en SCT si se ha activado la configuración NTP avanzada en STEP 7.

X X

Ajustes de registro Aquí se pueden realizar indicaciones precisas sobre el modo de registro y de almacenamiento de eventos de registro y configu-rar la transferencia a un servidor Syslog.

- X



Función / ficha en el diálogo de propiedades se ofrece en el modo …

Standard Avanzado

VPN Si el módulo de seguridad se encuentra en un grupo VPN, aquí se puede configurar la Dead-Peer-Detection, la forma de esta-blecimiento de la conexión y, dado el caso, el punto de acceso para WAN (dirección IP o FQDN). En el área de diálogo "Nodos VPN" podrá realizar además, dependiendo del módulo de seguridad, ajustes para las sub-redes, nodos IP/MAC y nodos NDIS a los que deba accederse adicionalmente a través del túnel VPN. Para SCALANCE S: El aprendizaje de nodos internos puede activarse y desactivarse. El área de diálogo "Nodos VPN" solo se muestra si el proyecto está en el modo avanzado.

X X

Servidor DHCP Para la red interna y para la red DMZ (solo SCALANCE S623/S627-2M) podrá utilizar el módulo de seguridad como servidor DHCP.

- X

SNMP Ajuste en esta ficha la versión de protocolo SNMP y el método de autenticación y codificado.

X X

Proxy ARP Ajuste en esta ficha entradas estáticas para Proxy ARP en la interfaz externa.

- X

MRP/HRP Ajuste en esta ficha los parámetros para la conexión del módulo de seguridad a anillos MRP/HRP.

X X

RADIUS Asigne al módulo de seguridad en esta ficha un servidor RADIUS que realice la autenticación del usuario en lugar del módulo de seguridad en caso de activarse conjuntos de reglas IP específicos del usuario.

X X

Asignaciones a grupos para túneles VPN

Los grupos VPN determinan qué módulos de seguridad, SOFTNET Security Clients, módulos SCALANCE M, dispositivos VPN y clientes NCP VPN (Android) deben comunicarse entre sí a través de túneles IPsec.

Al asignar estos dispositivos de red a un grupo VPN, estos podrán establecer túneles de comunicación a través de una VPN (Virtual Private Network).

Solo los módulos del mismo grupo VPN pueden comunicarse entre sí de forma segura a través de túneles, pudiendo pertenecer los módulos a varios grupos VPN simultáneamente.



Consulte también Configuración de otras propiedades de los módulos (Página 169)

2.4.5 Definición de valores de inicialización estándar para un proyecto

Definición de valores de inicialización estándar para un proyecto Con los valores de inicialización estándar se definen propiedades que se adoptan automáticamente al crear módulos nuevos. Además, mediante la casilla de verificación "Guardar selección" se determina si al crear un módulo nuevo debe abrirse una ventana para ajustar las propiedades o si el módulo debe insertarse directamente.

Elija el comando de menú "Proyecto" > "Propiedades...", ficha "Valores de inicialización predeterminados".

Protección de datos de proyecto mediante codificación Los datos de proyecto y configuración almacenados están protegidos por codificación tanto en el archivo de proyecto como en el C-PLUG (no para CP 1628).

2.4.6 Check Consistency

Resumen Security Configuration Tool distingue:

● Pruebas de coherencia locales

● Pruebas de coherencia a nivel de proyecto

Para más información sobre las reglas comprobadas que debe tener en cuenta al realizar entradas, consulte las descripciones de los cuadros de diálogos correspondientes bajo el término clave "Check Consistency" (prueba de coherencia).

Pruebas de coherencia locales Una prueba de coherencia se considera local si se puede realizar directamente dentro de un cuadro de diálogo. Se pueden producir comprobaciones con motivo de las siguientes acciones:

● al salir de un campo

● al salir de una fila de una tabla

● al salir del cuadro de diálogo con "OK" ("Aceptar").



Pruebas de coherencia a nivel de proyecto Las pruebas de coherencia a nivel de proyecto informan sobre la configuración correcta de los módulos. Para las acciones siguientes se comprueba automáticamente la coherencia en todo el proyecto:

● al guardar el proyecto

● al abrir el proyecto

● antes de cargar una configuración

Nota

Solo se pueden cargar datos de proyecto si el proyecto es coherente en su conjunto.

Cómo lanzar una prueba de coherencia a nivel de proyecto Para realizar una prueba de coherencia para un proyecto abierto, proceda del siguiente modo:

Comando de menú: "Opciones" > "Verificaciones de consistencia...".

El resultado de la comprobación se emite en una lista que se puede filtrar por tipos de aviso "Errores" o "Advertencias". Si el proyecto contiene datos incoherentes, el estado se visualiza en la barra de estado de la ventana SCT. Haga clic en la barra de estado para visualizar la lista de pruebas.

2.4.7 Asignación de nombre simbólicos para direcciones IP o MAC

Cómo se accede a esa función Comando de menú: "Opciones" > "Nombres simbólicos ...".

Significado y ventaja En un proyecto de seguridad se pueden asignar nombres simbólicos en una tabla en lugar de direcciones IP y MAC.

La configuración de los distintos servicios se puede realizar así de manera sencilla y segura.

Para las siguientes funciones y su configuración se tienen en cuenta nombres simbólicos dentro del proyecto:

● Cortafuegos

● Router NAT/NAPT

● Syslog

● DHCP

● NTP



Formación de nombres simbólicos Los nombres simbólicos deben llevar antepuesto el carácter de almohadilla (#) tanto en la definición como en su utilización. Los nombres simbólicos han de ser conformes con DNS.

Validez y carácter inequívoco La validez de los nombres simbólicos indicados en la tabla está limitada a la configuración dentro de un proyecto de seguridad.

Dentro del proyecto, cada nombre simbólico ha de estar asignado de forma inequívoca a una única dirección IP y/o MAC.

Cuadro de diálogo para definición de nombres simbólicos Para evitar una incoherencia en una correspondencia "Dirección IP - Nombre simbólico" así como "Dirección MAC - Nombre simbólico", los nombres simbólicos se administran en una sola tabla.

Definición de nombres simbólicos 1. Pulse el botón "Agregar" para añadir un nuevo nombre simbólico en la siguiente línea

libre de la tabla.

2. Introduzca un carácter de almohadilla (#) seguido del nombre simbólico deseado conforme a las normas de DNS.

3. Complete la entrada con la dirección IP y/o MAC.



Utilización de nombres simbólicos no definidos En el marco de la configuración de los módulos de seguridad, también pueden utilizarse nombres simbólicos que aún no estén definidos. Tras la introducción de un nombre simbólico aún no definido y la confirmación del correspondiente cuadro de diálogo, el nombre simbólico elegido se adopta en la tabla de nombres simbólicos. A continuación, en este diálogo se puede definir la correspondiente dirección IP y/o MAC para el nombre simbólico.

Si borra una entrada de la tabla de, los nombres simbólicos utilizados en los servicios siguen existiendo en los mismos. En tales casos, la prueba de coherencia reconoce nombres simbólicos no definidos. Esto no depende de si el nombre simbólico ha sido definido a posteriori o no.

Sugerencia:

Para la tabla aquí descrita es particularmente conveniente la aplicación de una verificación de consistencia para todo el proyecto. A partir de la lista se pueden detectar y corregir irregularidades.

Inicie la prueba de coherencia para un proyecto abierto con el comando de menú "Opciones" > "Verificaciones de consistencia...".

Reglas que deben considerarse en la comprobación de coherencia Al realizar sus entradas debe tener en cuenta las reglas indicadas a continuación:

● Los nombres simbólicos deben llevar antepuesto un carácter de almohadilla (#).

● La asignación de un nombre simbólico a una dirección IP o MAC tiene que ser unívoca. El nombre simbólico y la dirección solo pueden asignarse una vez y no pueden utilizarse en otra entrada de la lista.

● Los nombres simbólicos han de ser conformes con DNS.

● Cada nombre simbólico debe tener asignada una dirección IP, una dirección MAC o ambas.

● No se deben asignar nombres simbólicos a las direcciones IP de los módulos de seguridad.

● Los nombres simbólicos utilizados en el proyecto para direcciones IP o MAC tienen que estar incluidos en la tabla.

Se pueden producir incoherencias si se borran entradas de la tabla y no se eliminan o corrigen correspondientemente en los cuadros de diálogo del proyecto.

Consulte también Check Consistency (Página 63)

Conformidad DNS (Página 269)

Configuración con Security Configuration Tool 2.5 Administrar usuarios


2.5 Administrar usuarios

2.5.1 Sinopsis de la administración de usuarios

¿Cómo está estructurada la administración de usuarios? El acceso a la configuración de seguridad se gestiona mediante ajustes de usuario configurables. Configure usuarios con las contraseñas correspondientes para la autenticación. Asigne al usuario un rol definido por el sistema o por usuario. Los roles tienen asignados derechos de configuración y específicos de módulo. Observe las capacidades (Página 20) indicadas al crear los usuarios.

Los usuarios ya existentes se migran de STEP 7 a SCT

Los usuarios ya creados en STEP 7 pueden migrarse a SCT. En ese caso, las contraseñas deben volver a asignarse. Encontrará información detallada al respecto en la Ayuda en pantalla.


Orden de entrada al crear usuarios y roles Elija una de las siguientes secuencias de introducción:

● Cree primero un usuario, a continuación defina un rol y, en el último paso, asigne el rol al usuario.

● Defina primero un rol nuevo, a continuación cree un usuario y, en el último paso, asigne el rol al usuario.

Nota

Guarde las contraseñas de usuario de forma segura.

Si olvida las contraseñas de usuario, ya no podrá acceder al proyecto en cuestión ni al módulo de seguridad en cuestión.

En este caso deberá crear un proyecto nuevo y ejecutar el comando "Restablecer configuración de fábrica". En ese caso perderá la configuración.



Nota

Si se modifican los ajustes de la autenticación, se tienen que cargar de nuevo los módulos de seguridad para que se activen estos ajustes (p. ej. nuevos usuarios, cambios de contraseña) en los módulos de seguridad.

Autenticación del usuario al activar conjuntos de reglas IP específicos del usuario La autenticación de usuarios que inician sesión en la página web del módulo de seguridad para activar un conjunto de reglas IP específico del usuario se puede llevar a cabo desde el módulo de seguridad o bien desde un servidor RADIUS.

En el siguiente capítulo aprenderá cómo definir el método de autenticación "RADIUS" para un usuario:

● Crear usuarios (Página 69)

Encontrará información detallada sobre la autenticación de usuarios mediante servidor RADIUS en el siguiente capítulo:

● Autenticación mediante servidor RADIUS (Página 78)



2.5.2 Crear usuarios

Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios...", ficha "Usuario", botón "Agregar...".

Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón "Ejecutar". La administración de usuarios se puede abrir además desde diferentes fichas. Parámetro Significado Nombre de usuario Nombre de usuario de libre elección. Método de autenticación • Contraseña: utilice este método de autenticación para usuarios que

deban editar y cargar el proyecto SCT y diagnosticar el módulo de seguridad. La autenticación del usuario se realizará a través del módulo de seguridad en caso de activarse conjuntos de reglas IP específicos del usuario.

• RADIUS : la autenticación del usuario se realizará a través de un servidor RADIUS en caso de activarse conjuntos de reglas IP específicos del usuario. En este método de autenticación, la contraseña del usuario no se configura en SCT, sino que debe guardarse en el servidor RADIUS. Utilice este método de autenticación exclusivamente para usuarios que deban iniciar sesión únicamente en la página web de un módu-lo de seguridad. Un usuario con el método de autenticación "RADIUS" no puede iniciar sesión en proyectos SCT.

Contraseña (solo para el método de autenticación "Contraseña")

Introducción de la contraseña para el usuario. Al introducirse la con-traseña se comprobará su nivel de seguridad. Encontrará más infor-mación sobre el nivel de seguridad de la contraseña en el capítulo siguiente: Reglas para nombres de usuario, roles y contraseñas (Página 21)

Repetir la contraseña (solo para el método de autenti-cación "Contraseña")

Repetición de la contraseña introducida.

Comentario Introducción de un comentario adicional. Duración máxima de la sesión

Introducción de la duración tras la cual se cierra automáticamente la sesión de un usuario que ha iniciado sesión en la página web para conjuntos de reglas IP específicos del usuario de módulos SCALANCE S. La duración aquí indicada comienza tras el inicio de sesión y tras renovarse esta en la página web del módulo de seguridad. • Ajuste estándar: 30 minutos • Valor mínimo: 5 minutos • Valor máximo: 480 minutos

Rol asignado Según la asignación realizada.



Tabla 2- 1 Botones de la ficha "Usuario"

Denominación Significado / repercusión Editar... Seleccione una entrada y haga clic en el botón. En el diálogo que se

abre se pueden modificar los ajustes antes mencionados. Agregar... Agregue un nuevo usuario con el botón. Eliminar Elimine la entrada seleccionada con el botón.

Nota En el proyecto siempre debe haber como mínimo un usuario en el rol "administrator". El "administrator", que se crea automáticamente al generar el proyecto, solo puede borrarse mientras exista como mínimo un usuario con plenos derechos de configuración.

2.5.3 Crear roles

¿Qué roles existen? A cada usuario se le puede asignar un rol definido por el sistema o por el usuario. Los derechos de módulos de un rol definido por el usuario se definen para cada módulo de seguridad.

Roles definidos por el sistema Están predefinidos los siguientes roles definidos por el sistema. Los roles tienen asignados determinados derechos, que son iguales en todos los módulos y que el administrador no puede cambiar ni borrar.

Administrar derechos (Página 72)

● administrator

Rol predeterminado al crear un proyecto SCT.

Derechos de acceso ilimitados a todos los datos de configuración.

● standard

Rol con derechos de acceso restringidos.

● diagnostics

Rol predeterminado al crear un usuario.

Solo acceso de lectura.

● remote access

Ningún derecho, salvo inicio de sesión en la página web para conjuntos de reglas IP específicos del usuario.



● radius

Rol que se puede utilizar para activar conjuntos de reglas IP específicos del usuario con autenticación a través de servidor RADIUS.

Solo acceso de lectura.

● administrator (radius)

Rol que se puede utilizar para activar conjuntos de reglas IP específicos del usuario con autenticación a través de servidor RADIUS.

Derechos de acceso a todos los datos de configuración excepto a SNMP MIB.

Nota

Encontrará más información sobre los conjuntos de reglas IP específicos del usuario en el siguiente capítulo:

Conjuntos de reglas IP específicos de usuario (Página 142)

Nota

Encontrará más información sobre la autenticación mediante servidor RADIUS en el siguiente capítulo:

Autenticación mediante servidor RADIUS (Página 78)

Rol definido por el usuario Además de los roles definidos por el sistema, se pueden crear roles definidos por el usuario. Para un rol definido por el usuario se seleccionan los derechos de configuración o de módulo, y se crean los derechos correspondientes para cada módulo de seguridad utilizado en el proyecto. Los roles definidos por usuario se asignan manualmente al usuario en cuestión.

Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios", ficha "Roles".

Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón "Ejecutar". La administración de usuarios se puede abrir además desde diferentes fichas.



Tabla 2- 2 Datos de la ficha "Roles"

Parámetro Significado Nombre del rol Nombre de rol de libre elección. Comentario Introducción de un comentario adicional.

Duración máxima de la sesión

Introducción de la duración tras la cual se cierra automáticamente la sesión para un usuario con el rol asignado en la página web para con-juntos de reglas IP específicos del usuario de módulos SCALANCE S. La duración aquí indicada comienza tras el inicio de sesión y tras reno-varse esta en la página web del módulo de seguridad. • Ajuste estándar: 30 minutos • Valor mínimo: 5 minutos • Valor máximo: 480 minutos

Tabla 2- 3 Botones de la ficha "Roles"

Denominación Significado / repercusión Propiedades... / Editar... Seleccione un rol definido por usuario de la lista y haga clic en el botón.

En el cuadro de diálogo que se abre, modifique las propiedades del rol, como el nombre del rol, los derechos que tiene asignados y la duración máxima de la sesión. Los roles definidos por el sistema no se pueden editar.

Agregar... Agregue un nuevo rol definido por el usuario con el botón. En el cuadro de diálogo que aparece, introduzca el nombre del rol y asigne al rol los derechos que desee de la lista de derechos. Se muestran los derechos del rol definido por el sistema seleccionado en la asignación de derech-os (asignación estándar: "diagnostics").

Eliminar Elimine la entrada seleccionada con el botón. Nota • Un rol definido por el usuario ya creado solo puede borrarse si no

está asignado a ningún usuario. Dado el caso, asigne un rol diferente al usuario.

• Los roles definidos por el sistema no se pueden borrar.

2.5.4 Administrar derechos

Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administración de usuarios...", ficha "Roles", botón "Propiedades…" o "Agregar…".

Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón "Ejecutar". La administración de usuarios se puede abrir además desde diferentes fichas.



Crear y asignar un rol definido por usuario 1. Introduzca un nombre de rol.

2. Seleccione un rol definido por el sistema en la asignación de derechos (asignación estándar: "diagnostics"). Los roles definidos por usuario no se muestran en la selección.

Resultado: Según el rol seleccionado, se muestran para cada módulo de seguridad utilizado en el proyecto los derechos correspondientes en la lista de derechos. Los derechos de los módulos de seguridad no utilizados en el proyecto se muestran en gris.

3. Active o desactive para cada módulo de seguridad los derechos que deben asignarse al rol definido por usuario.

4. Si lo desea, introduzca un comentario, así como la duración máxima de la sesión para el rol que se va a crear.

5. Haga clic en el botón "Aplicar" para guardar la selección o en "Aceptar" para guardar y cerrar la ventana.

6. Asigne el rol a un usuario.

Copia de permisos de rol de un módulo de seguridad En el menú contextual de un módulo de seguridad, elija en la lista de objetos el comando "Copiar permisos..." y asigne los permisos a otro módulo de seguridad con el comando "Insertar permisos...".

Derechos de configuración Dependiendo del tipo de rol, por cada proyecto de seguridad dispone de los siguientes derechos de configuración:

Tabla 2- 4 Derechos de configuración para accesos al proyecto de seguridad

Derecho de configuración administrator standard diagnostics Diagnosticar seguridad x x x Configurar seguridad x x - Administrar usuarios y roles x - - x El derecho está activado

- El derecho está desactivado

Derechos de módulos En la columna "Servicio" se muestra el sistema al que afecta el derecho en cuestión.

Dependiendo del tipo de rol, por cada proyecto de seguridad se dispone de los siguientes derechos de módulo:



Tabla 2- 5 Derechos de módulo CP x43-1 Adv.

Derecho dentro del servicio administrator standard diagnostics Servicio Web: Formatear el sistema de archivos del CP * x - - Sistema de archivos FTP: Leer archivos del sistema de archivos del CP x x x FTP: Escribir archivos del sistema de archivos del CP

x x -

FTP: Leer archivos (DB) de la CPU S7 ** x x x PLC FTP: Escribir archivos (DB) de la CPU S7 *** x x - Applet: Leer variables de símbolos configurados * x x x Applet: Escribir variables de símbolos configurados * Applet: Leer variables de direcciones absolutas * x x x Applet: Escribir variables de direcciones absolutas *

x x -

Applet: Leer estado de los módulos en el bastidor * x x x Applet: Leer referencia de los módulos en el bas-tidor *

x x x

SNMP: Leer MIB-II x x x SNMP SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer LLDP MIB x x x SNMP: Leer SNMPv2 MIB x x x SNMP: Leer MRP MIB x x x SNMP: Escribir MRP MIB x x - SCT: Ejecutar diagnóstico del módulo de seguri-dad ****

x x x Seguridad

Web: Ampliar lista de control de acceso IP * x - - Web: Acceder a diagnóstico web y al sistema de archivos de CP

x x x Web

Web: Enviar mail de prueba * x x x Web: Actualizar el firmware * x x - Mantenimiento Web: Cargar textos de diagnóstico * x x - x El derecho está activado


* Para utilizar la función, también debe estar activado el derecho de módulos "Web: Ac-

ceder al diagnóstico web y al sistema de archivos de CP". ** Para utilizar la función, también debe estar activado el derecho de módulos "FTP: Leer

archivos del sistema de archivos del CP". *** Para utilizar la función, también debe estar activado el derecho de módulos "FTP:

Escribir archivos del sistema de archivos del CP". **** Para utilizar la función también debe estar activado el derecho de configuración "Diag-

nosticar seguridad".



Tabla 2- 6 Derechos de módulo CP 1628

Derecho dentro del servicio administrator standard diagnostics Servicio SNMP: Leer MIB-II x x x SNMP SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer SNMPv2 MIB x x x SCT: Ejecutar diagnóstico del módulo de seguridad x x x Seguridad x El derecho está activado


Tabla 2- 7 Derechos de módulo SCALANCE S ≥ V3.0

Derecho dentro del servicio administrator standard diagnostics Servicio SNMP: Leer MIB-II x x x SNMP SNMP: Escribir MIB-II x x - SNMP: Leer Automation MIB x x x SNMP: Leer SNMPv2 MIB x x x

SNMP: Leer MRP MIB x x x

SNMP: Escribir MRP MIB x x -

SCT: Ejecutar diagnóstico del módulo de seguridad x x x Seguridad Carga de los archivos de configuración x x - Web: Actualizar el firmware x x - Manten-

imiento x El derecho está activado


Tabla 2- 8 Derechos de módulo SCALANCE S < V3.0

Derecho dentro del servicio administrator standard diagnostics Servicio Carga de los archivos de configuración x x - Seguridad SCT: Ejecutar diagnóstico del módulo de seguridad x x x x El derecho está activado




Ajuste de derechos de módulos antes y después de crear módulos de seguridad Dentro de un rol definido por el usuario, los derechos de módulo se definen por separado para cada módulo de seguridad. Si un módulo de seguridad para el que deban definirse los derechos de módulo dentro de un rol se ha creado antes de agregar los roles, los derechos de este módulo de seguridad se ajustarán automáticamente según la asignación de derechos elegida y podrán adaptarse en caso necesario. Si un módulo de seguridad se ha añadido tras haber creado un rol, la SCT no definirá derecho alguno. En este caso, deberá ajustar por sí mismo todos los derechos para el módulo de seguridad.

Los derechos de módulo ya existentes también pueden aplicarse a otro módulo de seguridad copiándolos y adaptándolos en él si fuera necesario. Para ello, elija el comando "Copiar permisos..." e "Insertar permisos..." del menú contextual de un módulo de seguridad, en los derechos de módulo.

2.5.5 Configuración de normas para las contraseñas

Significado Mediante las normas para contraseñas pueden definirse unas reglas que deberán tenerse en cuenta a la hora de asignar contraseñas a los nuevos usuarios.

Cómo se accede a esa función Elija el comando de menú "Opciones" > "Administración de usuarios...", ficha "Normas de contraseña". Al activar una casilla de verificación, la norma correspondiente se activa y se puede adaptar, si es necesario, a través del correspondiente campo de entrada.

Parámetros Significado Longitud mínima de contraseña Número de caracteres que deben contener las contraseñas

como mínimo. La correspondiente casilla de verificación está activada de forma predeterminada y no se puede de-sactivar. • Valor mínimo: 8 caracteres • Valor máximo: 32 caracteres

Número mínimo de cifras Número de cifras que deben contener las contraseñas co-mo mínimo. • Valor mínimo: 1 cifra • Valor máximo: 32 cifras

Número mínimo de caracteres especiales Número de caracteres especiales que deben contener las contraseñas como mínimo. Un carácter especial es todo aquel que no sea una letra ni una cifra. • Valor mínimo: 1 carácter especial • Valor máximo: 32 caracteres especiales



Parámetros Significado Número de contraseñas bloqueadas para la reutilización Número de contraseñas ya utilizadas que no están disponi-

bles como nueva contraseña en caso de cambiar la con-traseña. • Valor mínimo: 1 contraseña • Valor máximo: 10 contraseñas

Al menos una letra mayúscula y otra minúscula Si se activa esta casilla de verificación, las contraseñas deben contener como mínimo una letra mayúscula y otra minúscula.



2.5.6 Autenticación mediante servidor RADIUS

2.5.6.1 Resumen

Significado RADIUS (Remote Authentication Dial-In User Service) es un protocolo de autenticación de usuarios mediante servidores en los que se pueden almacenar los datos de usuario de forma centralizada. El uso de servidores RADIUS permite aumentar la protección de nombres de usuario, roles asignados y contraseñas.

Entorno de uso de los servidores RADIUS La autenticación mediante servidor RADIUS se puede realizar en el marco de la activación de conjuntos de reglas IP específicos del usuario.



1 Introducción de los datos de usuario en la página web del módulo de seguridad 2 Autenticación mediante servidor RADIUS y activación del conjunto de reglas IP específico del

usuario 3 Acceso a célula de automatización

La estructura de red representada arriba constituye un ejemplo. El servidor RADIUS también puede encontrarse en la red interna o en la red DMZ del módulo de seguridad.

Para las posibilidades de configuración descritas a continuación se presupone siempre que se ha configurado un servidor RADIUS en la SCT y que se ha asignado al correspondiente módulo de seguridad. Además, debe haberse configurado un usuario o un rol con el método de autenticación "RADIUS". Encontrará información al respecto en los capítulos siguientes:

● Definición de servidores RADIUS (Página 80)

● Asignación de servidor RADIUS a un módulo de seguridad (Página 82)

● Crear usuarios (Página 69)

● Crear roles (Página 70)

Encontrará información general sobre los conjuntos de reglas IP específicos del usuario en el siguiente capítulo:

● Conjuntos de reglas IP específicos de usuario (Página 142)

Configuraciones posibles Para la autenticación del usuario mediante un servidor RADIUS se dispone de dos posibilidades de configuración:

● El módulo de seguridad conoce el usuario y su rol, a través del servidor RADIUS solamente se realiza la gestión de la contraseña para el usuario. En el servidor RADIUS está configurado el usuario con la contraseña correspondiente.

– Se configura un usuario con el método de autenticación "RADIUS".

– El usuario se asigna al conjunto de reglas IP específico del usuario.

Resultado:

– Cuando un usuario inicia sesión en la página web del módulo de seguridad, la consulta de autenticación se transmite al servidor RADIUS.

– El servidor RADIUS comprueba la contraseña y devuelve el resultado al módulo de seguridad.

– Si se ha superado la comprobación de la contraseña, se activa el conjunto de reglas IP específico del usuario.

● El módulo de seguridad conoce el rol, y la gestión de usuarios se realiza a través del servidor RADIUS. En el servidor RADIUS está configurado el usuario con la contraseña correspondiente.

– Al conjunto de reglas IP específico del usuario se le asigna un rol definido por el usuario o bien un rol definido por el sistema.

– En la pestaña "RADIUS" del módulo de seguridad se activan las casillas de verificación "Permitir autenticación de RADIUS para usuarios no configurados" y "La ID de filtro es necesaria para la autenticación".



Resultado:

– Cuando un usuario inicia sesión en la página web del módulo de seguridad, las consultas de autenticación y de autorización se transmiten al servidor RADIUS.

– El servidor RADIUS comprueba la contraseña y devuelve el resultado al módulo de seguridad.

– Caso a: si el nombre del rol está configurado adicionalmente en el servidor RADIUS:

El servidor RADIUS devuelve al módulo de seguridad el nombre del rol asignado al usuario.

– Caso b: si el nombre del rol no está configurado en el servidor RADIUS:

El módulo de seguridad asigna al usuario un rol definido por el sistema, "radius".

– Si se ha superado la comprobación de la contraseña, se activa el conjunto de reglas IP específico del usuario.

Convenios para servidores RADIUS ● Los servidores RADIUS se pueden encontrar en cualquier red conectada con el módulo

de seguridad.

● Se pueden configurar como máximo dos servidores RADIUS por módulo de seguridad. Durante el funcionamiento está entonces activo uno solo de los servidores RADIUS.

● En la definición de un servidor RADIUS se puede utilizar también un FQDN en lugar de una dirección IP.

2.5.6.2 Definición de servidores RADIUS

Significado Antes de que pueda tener lugar la autenticación mediante un servidor RADIUS, este deberá guardarse en un proyecto de SCT. A continuación, el servidor RADIUS definido debe asignarse al módulo de seguridad para el cual dicho servidor debe asumir la autenticación de usuario.



Procedimiento 1. Elija el comando de menú "Opciones" > "Configuración del servidor RADIUS...".

2. Haga clic en el botón "Agregar...".

3. Introduzca los parámetros necesarios según la tabla siguiente.

Parámetros Significado Nombre Nombre de libre elección para el servidor

RADIUS. Dirección IP / FQDN Dirección IP o FQDN del servidor RADIUS. Puerto Puerto UDP bajo el que es accesible el servidor

RADIUS. De forma predefinida se reciben da-tos de autenticación en el puerto 1812.

Shared Secret Introducción de la contraseña utilizada para el cifrado al transferir los datos de inicio de sesión entre servidores RADIUS y módulos de seguri-dad. Se admiten los siguientes caracteres del juego ANSI X 3.4-1986:

0123456789 A...Z a...z

!#$%&()"*'+`,-./:;<=>?@ [\]_{|}~^ Longitud del Shared Secret: 1 ... 31 caracteres

Repetir Shared Secret Confirmación de la contraseña. Método de autenticación Indicación del método utilizado para comprobar

los datos de usuario. Se soporta exclusivamen-te el método "PAP" (Password Authentication Protocol).

Comentario Introducción opcional de comentarios.

Resultado Ha definido un servidor RADIUS y ahora lo puede asignar a los módulos de seguridad deseados.



2.5.6.3 Asignación de servidor RADIUS a un módulo de seguridad

Requisitos Ha definido un servidor RADIUS.

Procedimiento 1. Seleccione el módulo de seguridad que desee asignar a un servidor RADIUS.

2. Elija el comando de menú "Editar" > "Propiedades...".

3. Elija la ficha "RADIUS".

4. Active la casilla de verificación "Activar autenticación de RADIUS".

Nota

Cambio del método de autenticación con servidor web en módulo de seguridad

Cuando se activa la autenticación RADIUS en el módulo de seguridad, cambia el método de autenticación con el servidor web de "Digest Access Authentication" a "Basic Access Authentication".

5. Indique en el campo de entrada "Timeout de RADIUS" el tiempo en segundos que el módulo de seguridad debe esperar como máximo una respuesta del servidor RADIUS.

6. Indique en el campo de entrada "Repeticiones de RADIUS" el número de intentos de conexión con el servidor RADIUS.

7. Active la casilla de verificación "Permitir autenticación de RADIUS para usuarios no configurados" cuando se haya asignado un rol en lugar de un usuario al conjunto de reglas IP específico del usuario que se desea activar.

8. Active la casilla de verificación "La ID de filtro es necesaria para la autenticación" cuando el rol asignado sea un rol definido por el usuario.

9. Haga clic en el botón "Agregar".

Resultado: el servidor RADIUS configurado en primer lugar se asigna al módulo de seguridad.

10.En caso necesario, elija en la lista desplegable "Nombre" el servidor RADIUS que desee asignar al módulo de seguridad.

Encontrará información general sobre la autenticación mediante servidor RADIUS en el siguiente capítulo: Autenticación mediante servidor RADIUS (Página 78)

Consulte también Crear usuarios (Página 69)

Configuración con Security Configuration Tool 2.6 Administrar certificados


2.6 Administrar certificados

2.6.1 Sinopsis

¿Cómo se administran los certificados? En el administrador de certificados se puede obtener una vista general de todos los certificados y certificados CA utilizados en el proyecto, con la información correspondiente al solicitante, al emisor, a la validez, al uso en SCT y a la existencia de una clave privada.

El certificado CA es un certificado emitido por una entidad emisora, llamada "Certificate Authority", y de él se derivan los certificados de dispositivo. Entre los certificados de dispositivo se encuentran los certificados SSL, necesarios para la autenticación en la comunicación online entre un módulo de seguridad y otro dispositivo de red. Otros certificados de dispositivos son los certificados de grupos VPN de módulos de seguridad que se encuentran en grupos VPN. Las posibles entidades emisoras pueden ser:

● La propia SCT. Si el solicitante y el emisor son iguales, se trata de un certificado autofirmado, es decir, emitido por SCT.

● Una entidad emisora superior. Los certificados externos al proyecto de otros emisores se importan y se guardan en la memoria de certificados de la SCT.

Los certificados creados por una de las dos entidades emisoras, siempre cuentan con una clave privada, que permite derivar los certificados de dispositivo.

El administrador de certificados incluye, además, las siguientes funciones:

● Importación de certificados y entidades emisoras nuevas.

● Importación de certificados FTPS cuando el CP se utiliza como cliente FTP.

● Exportar los certificados y entidades emisoras utilizados en el proyecto.

● Renovación de certificados y entidades emisoras caducados.

● Sustitución de entidades emisoras ya existentes.

Nota Cargar el proyecto

Tras sustituir o renovar certificados es necesario cargar el proyecto en el módulo de seguridad correspondiente.

Tras sustituir o renovar certificados CA es necesario cargar el proyecto en todos los módulos de seguridad.



Nota Fecha y hora actuales en los módulos de seguridad

Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados utilizados se considerarán no válidos y la comunicación segura no funcionará.

Cómo se accede a esa función Comando de menú SCT: "Opciones" > "Administrador de certificados...".

En las diferentes fichas se dispone de los siguientes botones: Botón Descripción Importar.../Exportar... Importar y exportar certificados de dispositivo o CA que no se

crearon en la SCT. Los certificados se transmiten al módulo de seguridad. Son posibles los siguientes formatos: *.pem (solo certificado) *.crt (solo certificado) *.p12 (certificado con las claves privadas correspondientes) Nota • Los usuarios con el rol "diagnostics" definido por el sistema no

pueden realizar exportaciones.

Mostrar... Abre el cuadro de diálogo de certificados de Windows, en el que se muestra una vista general de todos los datos de certificado.

Ficha "Entidades emisoras" Los certificados que se muestran aquí son generados por una entidad emisora.

● Entidad emisora de un proyecto: Al crear un proyecto SCT nuevo, se genera un certificado CA para el proyecto. A partir de este certificado se derivan los certificados SSL para los diferentes módulos de seguridad.

● Entidad emisora de un grupo VPN: Al crear un grupo VPN nuevo, se genera un certificado CA para el grupo VPN. A partir de este certificado se derivan los certificados de grupos VPN de módulos de seguridad que se encuentren en el correspondiente grupo VPN.



Ficha "Certificados de dispositivos" Visualización de los certificados específicos de dispositivo que genera la SCT para un módulo de seguridad. Aquí se incluyen:

● Certificado SSL de un módulo de seguridad: para cada módulo de seguridad creado se genera un certificado SSL derivado del certificado CA del proyecto. Se recurre a los certificados SSL para autenticar la comunicación entre PG o PC y el módulo de seguridad al cargar la configuración (no en el caso de CP) y durante el registro.

● Certificado de grupo VPN de un módulo de seguridad: además se genera un certificado de grupo VPN para cada módulo de seguridad por cada grupo VPN en el que se encuentra.

Ficha "Certificados de confianza y entidades emisoras de certificados de origen" Visualización de los certificados externos importados a SCT. Se pueden importar p. ej. certificados de servidor de servidores FTP externos o certificados de proyecto de otros proyectos SCT.

El certificado externo importado se transmite a todos los CPs administrados en el proyecto SCT. El módulo de seguridad se identifica entonces con ese certificado, p. ej., al acceder a un servidor FTPS. La configuración SCT en sí no utiliza el certificado importado.

Visualización de las entidades emisoras necesarias para la verificación de servicios externos como proveedores de dyn. DNS mediante módulos de seguridad.

2.6.2 Renovar certificados

Significado En este cuadro de diálogo se renuevan certificados CA y certificados de dispositivos. De ser necesario, por ejemplo en caso de un certificado comprometido, es posible importar un certificado o bien crear un certificado nuevo mediante la Security Configuration Tool.



Cómo se accede a esa función 1. Haga clic con la tecla derecha del ratón en una entrada de la lista en el administrador de

certificados.

2. Elija la entrada "Renovar certificado ...".

3. Seleccione si el nuevo certificado debe ser firmado por el usuario o por una entidad

emisora.

4. Si el certificado debe ser firmado por una entidad emisora, seleccione con el botón "Seleccionar..." la entidad emisora que debe utilizarse. Para tal fin solo están disponibles las entidades emisoras que están guardadas en la memoria de certificados del proyecto SCT actual.

5. Elija un período de validez para el certificado. Por defecto, se introduce en los campos "Válido desde:" y "Válido hasta:" el valor del certificado actual.

6. Introduzca los valores siguientes en función del certificado:

Certificado a renovar Parámetros

Solicitante Nombre alternativo del solicitante Certificado CA del proyecto Nombre del certificado CA - Certificado CA de grupo VPN

Nombre del certificado CA -

Certificado SSL para CP S7 Nombre del módulo de se-guridad

Direcciones IP de las interfaces Gi-gabit y PROFINET, separadas por una coma.

Certificado SSL para CP PC Nombre del módulo de se-guridad

Dirección IP del módulo de seguri-dad.



Certificado a renovar Parámetros

Solicitante Nombre alternativo del solicitante Certificado SSL para SCALANCE S, SCALANCE M y SOFTNET Security Client

Nombre del módulo de se-guridad

-

Certificado de grupo VPN de un módulo de seguridad

Nombre del certificado del grupo VPN

Derivado del CA.

2.6.3 Reemplazar certificados

Significado En este cuadro de diálogo se reemplaza el certificado CA existente en el proyecto o el certificado CA de un grupo VPN por uno nuevo.

Cómo se accede a esa función 1. Haga clic con la tecla derecha del ratón en una entrada de la lista en la ficha "Entidades

emisoras".

2. Elija la entrada "Reemplazar certificado...".

3. Aparece el cuadro de diálogo "Cambiar entidad emisora".

Todos los certificados que aparecen en el campo "Certificados afectados" se vuelven a derivar. De este modo es posible reemplazar el certificado CA de un grupo VPN configurado previamente dentro del proyecto SCT por el certificado CA de un grupo VPN de otro proyecto SCT. Los certificados de grupos VPN para los dispositivos del grupo VPN se derivan por tanto en ambos proyectos del mismo certificado CA.

Si al cerrar el administrador de certificados aparece un cuadro de diálogo de advertencia, vuelva a cargar la configuración modificada en el módulo de seguridad.

¿Qué formato puede tener el certificado? Del certificado CA importado se derivan otros certificados en SCT. Por lo tanto solo se pueden seleccionar certificados con clave privada:

● *.p12


Crear módulos y ajustar parámetros de red 3

El presente capítulo le familiariza con la creación de módulos y con los ajustes que se pueden efectuar en un proyecto para los distintos módulos.

Otras informaciones La ayuda en pantalla le proporcionará también información detallada sobre los diálogos y los parámetros ajustables.


Nota Prestaciones y tipos de equipos

Tenga en cuenta cuáles son las funciones asistidas por el tipo de equipo que utilice.

Consulte también Funciones online - Diagnóstico y registro (Página 255)

Cómo se accede a esa función 1. En el área de navegación, seleccione el objeto "Todos los módulos".

2. Elija el comando de menú "Insertar" > "Módulo".

3. Realice los siguientes ajustes.



Parámetro Significado Tipo de producto Tipo de producto utilizado al crear un módulo.

SCALANCE S SCALANCE M SOFTNET Configuration (SOFTNET Security Client, dispositivo VPN, cliente NCP VPN)

Módulo Dependiendo de la selección del tipo de producto, aquí se puede indicar el tipo de módulo que se utilizará al crear un módulo nuevo. Elija la opción "Cliente NCP VPN para Android" para agregar un dispositivo cliente VPN que represente a un dispositivo que tenga instalado el software NCP Secure VPN Client for Android. Elija la opción "Dispositivo VPN" para insertar un dispositivo cliente VPN como sustituto de un dispositivo de otro fabricante. Nota El archivo de configuración derivado solamente representa una ayuda para la configuración de la conexión VPN, pero no gar-antiza la compatibilidad con productos de otros fabricantes.

Versión del firmware Para los módulos SCALANCE S y el SOFTNET Security Client se pueden indicar aquí las versiones de firmware o software.

Nombre del módulo Nombre del módulo de libre elección. Dirección MAC Introducción de la dirección MAC del módulo. Dirección IP (ext.) Dirección IP de la interfaz externa.

La dirección IP consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto, p. ej. 141.80.0.16

Máscara de subred (ext.) Rango de valores de la máscara de subred. Se propone de acuerdo con la dirección IP introducida. La máscara de subred consta de 4 números decimales com-prendidos entre 0 y 255 y separados por un punto; p. ej. 255.255.0.0

Enrutamiento por interfaz exter-no/interno

Selección del modo de operación para el módulo de seguridad. Para SCALANCE S están disponibles los modos de operación siguientes: • Modo de puente • Modo de enrutamiento Si se selecciona el modo de enrutamiento, hay que configurar una dirección IP y una máscara de subred para la interfaz inter-na del módulo de seguridad.

Dirección IP (int.) Solo debe indicarse si está activa-do el modo de enrutamiento

Dirección IP de la interfaz interna. La dirección IP consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej., 141.90.10.10



Parámetro Significado Máscara de subred (int.) Solo debe indicarse si está activa-do el modo de enrutamiento

Rango de valores de la máscara de subred. La máscara de subred se propone acorde con la dirección IP indicada. La máscara de subred consta de 4 números decimales com-prendidos entre 0 y 255 y separados por un punto; p. ej. 255.255.0.0

Guardar selección Si activa esta función, la configuración ajustada en ese momen-to se aplicará en los valores de inicialización estándar. Al in-sertar módulos nuevos ya no se abrirá el cuadro de diálogo "Selección de un módulo o configuración de software", sino que en el proyecto se insertará directamente un módulo acorde con los ajustes definidos. Para cancelar de nuevo esta función y seleccionar otro tipo de módulo, desactive la función en la siguiente ruta de menú: "Proyecto" > "Propiedades..." > "Valores de inicialización prede-terminados"

Nota Ajustes adicionales

Realice otros ajustes de interfaz en la pestaña "Interfaces" de las propiedades de módulo. Encontrará información al respecto en el capítulo: • Configurar interfaces (Página 94)

Crear CPs en STEP 7 Los CPs solo se crean en STEP 7. Aparecen en la lista de módulos configurados en SCT después de crear el módulo y definirlo como módulo de seguridad en las propiedades de módulo de STEP 7. Los datos de dirección se adoptan desde STEP 7 y no pueden modificarse en SCT.

Consulte también Parámetros del área de contenido (Página 92)

Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 269)

Dirección MAC (Página 271)

Crear módulos y ajustar parámetros de red 3.1 Parámetros del área de contenido


3.1 Parámetros del área de contenido

Cómo abrir la vista En el área de navegación, seleccione el objeto "Todos los módulos".

Para los CP solamente se pueden editar los contenidos de la columna "Comentario".

Se visualizan por columnas las siguientes propiedades de los módulos: Propiedad/columna Significado Comentario/selección N.º Número de módulo correlativo se asigna automáticamente Nombre Denominación unívoca del módulo de libre elección Tipo Tipo de dispositivo Nota

Para dispositivos del tipo "SOFTNET Security Client" y "Cli-ente NCP VPN para Android" no existe diálogo de propiedades. Para dispositivos VPN se pueden adaptar únicamente los tipos de archivo de los archivos de configu-ración que se van a exportar en las propiedades de módulo.

Dirección IP ext. Dirección IP a través de la cual se puede acceder al dispositivo en la red externa, p. ej. para cargar la configuración

Asignación adecuada para la red.

Máscara de subred ext. Máscara de subred para la direc-ción IP externa

Asignación adecuada para la red.

Dirección IP int. Dirección IP a través de la cual se puede acceder al dispositivo en la red interna si está configurado co-mo router

Asignación adecuada para la red. El campo de entrada solo puede editarse si está activado el modo de enrutamiento.

Máscara de subred int. Máscara de subred para la direc-ción IP interna

Asignación adecuada para la red. El campo de entrada solo puede editarse si está activado el modo de enrutamiento.

Router estándar Dirección IP del router estándar Asignación adecuada para la red. Dirección MAC Dirección de hardware del módulo La dirección MAC está impresa en

la carcasa del módulo. Comentario Información sobre el módulo y la

subred protegida por el módulo de libre elección

Modificar los parámetros de dirección para SCALANCE S / M Para módulos SCALANCE S / M es posible introducir y modificar algunos parámetros de dirección en el área de contenido.

Crear módulos y ajustar parámetros de red 3.1 Parámetros del área de contenido


Significado de los parámetros de dirección para CPs

Para los CPs se muestran las siguientes direcciones de STEP 7: Campo en SCT CP x43-1 Adv. CP 1628 Dirección IP ext. Dirección IP Gigabit Dirección IP IE (Industrial Ethernet) Máscara de subred ext

Máscara de subred Gigabit Máscara de subred IE

Dirección IP int. Dirección IP PROFINET No se muestra Máscara de subred int.

Máscara de subred PROFINET No se muestra

Router estándar Router estándar configurado en STEP 7

Router estándar configurado en STEP 7

Dirección MAC Dirección MAC Gigabit (si está configurada)

Dirección MAC IE (si está configurada)

También se muestran los datos de dirección en la ficha "Interfaces".

Dirección IP asignada dinámicamente

Si en STEP 7 se ha configurado que la dirección IP se asigne dinámicamente, dependiendo de los ajustes en SCT se indicará lo siguiente:

Tabla 3- 1 Interfaz Gigabit

Modo de operación en STEP 7 Dirección IP ext. / máscara de subred ext. (campos en SCT) Obtener la dirección IP de un servidor DHCP

dinámica

Tabla 3- 2 Interfaz PROFINET

Modo de operación en STEP 7 Dirección IP int. / máscara de subred int. (campos en SCT) Obtener la dirección IP de un servidor DHCP

dinámica

Ajustar la dirección IP en el pro-grama de usuario Ajustar la dirección IP por otra vía

Crear módulos y ajustar parámetros de red 3.2 Configurar interfaces


3.2 Configurar interfaces

3.2.1 Resumen de posibilidades de conexión

Posibilidades de conexión admisibles Cada módulo de seguridad dispone de un número concreto de puertos a los que se conectan los dispositivos de red. En función de la interfaz correspondiente, los dispositivos de red reciben un tratamiento distinto.

Módulo de seguridad

Interfaz Dirección MAC de la interfaz*

Puerto de la interfaz

Tipo de puerto Dirección MAC del puerto*

SCALANCE S602 / S612 / S613

Externa Dirección MAC (ver impresión)

P1 Conector hembra RJ45 fijo (cobre)

Dirección MAC + 2

Interna Dirección MAC + 1


Dirección MAC + 3

SCALANCE S623



Dirección MAC + 3



Dirección MAC + 4

DMZ Dirección MAC + 2


Dirección MAC + 5

SCALANCE S627-2M



Dirección MAC + 3

P4 Puerto para módulo de medios (cobre/FO)

Dirección MAC + 4


Dirección MAC + 5



Dirección MAC + 6


Dirección MAC + 7


Dirección MAC + 8

DMZ Dirección MAC + 2


Dirección MAC + 9

* Durante el funcionamiento en el modo de puente, la dirección MAC impresa es válida siempre tanto en la interfaz externa como en la interna.

Las direcciones MAC de las interfaces se utilizan para todos los servicios excepto LLDP.



Las direcciones MAC de los puertos se utilizan para detectar la topología con LLDP (solo para módulos en el modo de enrutamiento).

Nota

Las interfaces Ethernet no deben intercambiarse a la hora de conectarlas a la red de comunicación: • Interfaz X1 - externa

Marca roja = área de red no protegida; • Interfaz X2 - interna

Marca verde = red protegida por SCALANCE S; • Interfaz X3 - DMZ (interfaz de red universal)

Marca amarilla = área de red no protegida o área de red protegida mediante SCALANCE S.

Si se intercambian las interfaces, el dispositivo pierde su función de protección.

Funciones de la interfaz DMZ La zona desmilitarizada (DMZ) se utiliza para poner servicios a disposición de una red externa, pero la red interna que proporciona los datos debe permanecer desacoplada de la red externa. En el DMZ puede haber p. ej. servidores de terminal con programas de mantenimiento y diagnóstico instalados que permitan accesos definidos a sistemas determinados en la red segura. Solo tienen acceso usuarios autorizados o clientes de la red no segura o clientes conectados vía VPN. Las reglas de cortafuegos pueden configurarse de tal forma que sea posible acceder desde Internet a dispositivos en la DMZ, pero no a la red interna. Para una mayor protección, los accesos permitidos solo pueden limitarse al tráfico de datos por VPN. En el capítulo "4.2 SCALANCE S como cortafuegos entre red externa y DMZ" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza para instalar una DMZ. Para poder asignar una dirección IP dinámica también a dispositivos de la DMZ, se puede activar en la interfaz DMZ un servidor DHCP. No obstante, en ese caso hay que garantizar que los dispositivos de la DMZ reciban por DHCP siempre la misma dirección IP, ya que esas son las direcciones IP que deben utilizarse en la configuración de cortafuegos. Así, en la configuración DHCP no se puede utilizar la asignación dinámica de direcciones, sino solo la estática a partir de la dirección MAC o de la ID de cliente.

La interfaz DMZ puede utilizarse como punto final VPN. En combinación con un módem DSL, la interfaz DMZ funciona entonces en modo PPPoE o bien en combinación con un router DSL previo con dirección IP estática. En el capítulo "5.2 Túnel VPN entre SCALANCE S623 y SCALANCE S612" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza para el acceso remoto a través de un túnel VPN.



Puertos para módulo de medios de las interfaces externa e interna Además de las funciones de SCALANCE S623, el SCALANCE S627-2M posee dos slots de módulo de medio, en los que se puede usar respectivamente un módulo de medio eléctrico u óptico de 2 puertos. Las interfaces externa e interna se amplían de esta forma con dos puertos cada una. Si para una interfaz se utiliza el módulo de medio "MM992-2SFP", en el módulo de medio de esta interfaz se pueden utilizar hasta dos transceptores SFP (Small Form-factor Pluggable Transceiver) eléctricos u ópticos. Los puertos adicionales se pueden utilizar para la conexión de las interfaces externa e interna del SCALANCE S627-2M a anillos MRP/HRP.

Los puertos para módulos de medios están conectados al puerto fijo de la interfaz correspondiente a través de un bloque switch. Entre los puertos conectados a través de un bloque switch no existe funcionalidad de cortafuegos (nivel 2/nivel 3). A todos los puertos conectados a través de un bloque switch se accede por la misma dirección IP.



Funciones de las diferentes interfaces Las siguientes funciones pueden utilizarse en las distintas interfaces: Función Verde (interno) Rojo (externo) Amarillo (DMZ)

Dirección IP estática x x x Acceso WAN con rout-er DSL

- x x

Acceso WAN con rout-er DSL (PPPoE, direc-ción IP dinámica del ISP)

- x (si no es en la interfaz

amarilla)

x (si no es en la interfaz

roja)

Modo de puente x - Modo de enrutamiento x x x Modo Ghost

- x

-

Servidor DHCP x - x Punto final de una conexión por túnel VPN (con módem DSL y router DSL)

- x x

Cliente MRP/HRP (en modo de enrutamiento, puertos en anillo en los módulos de medio)

x x -

LLDP (en modo de enrutamiento)

x x x

Passive Listening (en modo de enrutamiento, si hay módulos de medio insertados)

x x -

x se soporta

- no se soporta

Modo dúplex/semidúplex Para un puerto existe la posibilidad de seleccionar un modo dúplex o semidúplex:

● Semidúplex: el módulo de seguridad solo puede o recibir o enviar datos en un momento determinado.

● Dúplex: el módulo de seguridad puede recibir y enviar datos simultáneamente en un momento determinado.



Nota Modo dúplex y velocidad de transferencia en puertos ópticos

Para puertos del tipo "Óptico", el modo de puerto está predeterminado por el módulo de medio o el SFP utilizados y no se puede adaptar.

3.2.2 Interfaces

Cómo se accede a esa función: 1. Seleccione el módulo que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Interfaces".

Enrutamiento de interfaz - Posibilidades de selección Si el módulo SCALANCE S no se encuentra ni en un grupo VPN ni en una relación de redundancia, es posible modificar el enrutamiento de interfaz en este campo. La selección es válida para el enrutamiento de interfaces entre la interfaz externa y la interna. La interfaz DMZ (solo SCALANCE S623 y SCALANCE S627-2M) siempre está conectada en el modo de enrutamiento. Modo de puente Para el uso en redes planas Las interfaces externa e interna

están en la misma subred IP. Para S623 / S627-2M: las interfaces externa e interna están en la misma subred IP, la interfaz DMZ está en otra subred IP o está desactivada.

Modo de enrutamiento Todas las interfaces están en diferentes subredes IP. Nota Si ha activado el modo de enrutamiento para el módulo SCALANCE S, no podrán definirse reglas para cortafuegos MAC.

Modo Ghost Durante el funcionamiento, el módulo SCALANCE S adopta para la interfaz externa la dirección IP del dispositivo que está conectado a la interfaz interna del módulo SCALANCE S. Los datos de dirección IP que deben indicarse para la interfaz exter-na sirven únicamente para cargar la configuración antes del funcionamiento en modo Ghost. Nota El modo Ghost solo puede seleccionarse en la ficha "Interfaces" si el proyecto está en modo avanzado.



Configuración de las interfaces Si debe configurarse la interfaz de un módulo, primero debe activarse mediante la casilla de verificación "Activar interfaz". Defina las direcciones IP de cada interfaz y los ajustes de los puertos individuales (solo para SCALANCE S V3 o superior). Para asignar una dirección IP están disponibles los modos de asignación siguientes para la interfaz externa y la interfaz DMZ (solo SCALANCE S623 / S627-2M):

● Dirección IP estática con máscara de subred

● Asignación de dirección mediante PPPoE

La interfaz interna y la interfaz de túnel (solo para SCALANCE S S612/S623/S627-2M V4 o superior) solo pueden configurarse utilizando una dirección IP estática.

Si se han registrado direcciones IP alias en una interfaz mediante la configuración de una regla NAT/NAPT para un módulo SCALANCE S, se mostrarán en el campo "Direcciones IP alias".

Nota Interfaz externa e interfaz DMZ (solo SCALANCE S S623/S627-2M) como acceso a Internet

No es posible el funcionamiento simultáneo de PPPoE en la interfaz externa y en la interfaz DMZ (Dual-ISP).

Significado de la dirección IP de túnel Si utiliza la función "NAT/NAPT en túnel VPN", debe asignar una dirección IP de túnel para el módulo de seguridad. Con ello se garantiza la accesibilidad de los módulos de seguridad a través del túnel VPN, así como la posibilidad de configuración y diagnóstico. La dirección IP de túnel configurada se puede completar con direcciones IP alias de túnel con ayuda de las correspondientes reglas NAT/NAPT. La máscara de subred está predefinida de forma fija con 32 bits para la dirección IP de túnel y no se puede modificar. La dirección IP de túnel solo se puede configurar si se cumplen los siguientes requisitos:

● El módulo de seguridad se encuentra en un grupo VPN.

● El proyecto se encuentra en el modo avanzado.

Encontrará más información sobre la conversión de direcciones con NAT/NAPT en túneles VPN en el siguiente capítulo: Conversión de direcciones con NAT/NAPT en túneles VPN (Página 180)

Point to Point Protocol over Ethernet (PPPoE) Para permitir una conexión Internet/WAN directamente a través de un módem DSL, la asignación de la dirección IP se realiza en la interfaz externa o en la interfaz DMZ mediante PPPoE. PPPoE es un protocolo de llamada para la obtención de direcciones IP desde un Internet Service Provider (ISP). SCALANCE S funciona en ese caso en modo de enrutamiento.



Para utilizar este método de asignación de dirección IP, introduzca los datos del ISP en la ficha "Conexión a Internet". La dirección IP, la máscara de subred, el router estándar y el servidor DNS de la interfaz son entonces predefinidos por el ISP.

Nota

Si hay configurado un router predeterminado, este no se tiene en cuenta si se utiliza PPPoE. Será preasignado dinámicamente al módulo por el ISP.

Nota Ningún componente de red entre SCALANCE S y el módem DSL

Si la interfaz de un módulo SCALANCE S funciona mediante PPPoE, no debe haber ningún otro componente de red entre dicha interfaz y el módem DSL conectado, ya que los datos de marcación del Internet Service Provider se transfieren en su caso sin codificar en este tramo. Si se utiliza el protocolo de autenticación "CHAP", los datos se transfieren cifrados.



Ajustes de puertos Columna Significado ID de puerto ID asignada automáticamente para el puerto de la interfaz. Tipo de puerto Propiedad física del puerto (cobre/fibra óptica) Modo de puerto Autonegotiation La velocidad de transferencia y el modo dúplex/semidúplex

se negocian automáticamente entre puertos compatibles con IEEE 802.3. Nota Solo si Autonegotiation está seleccionada se soportan una velocidad de transferencia de 1000 Mbits/s y la función Autocrossing.

10 Mbits/s, dúplex y semidúplex Velocidad de transferencia de 10 Mbits/s. 100 Mbits/s, dúplex y semidúplex Velocidad de transferencia de 100 Mbits/s. Long Distance Signalling (LDS) La velocidad de transferencia y el modo dúplex/semidúplex

se negocian automáticamente entre puertos compatibles con BroadR-Reach.

Desactivado (solo puerto externo o puerto DMZ con SCALANCE S623 y SCALANCE S627-2M)

El puerto se desactiva.

Nota Los puertos para módulos de medios que utilizan cables de fibra óptica como medio de transmisión siempre funcionan en modo dúplex a la máxima velocidad de transmisión. Por tanto, el modo de los puertos de los módulos de medios ópticos no se puede configurar.

Modo LLDP (en modo de enrutamiento)

RxTx Enviar y recibir telegramas LLDP

Encontrará más información sobre LLDP en el capítulo siguiente: LLDP (Página 107)

Off Recibir telegramas LLDP

Puerto MRP (en modo de enrutamiento para los puertos de módulo de medios de las interfaces exter-na e interna)

Se indica si los puertos de módulo de medios de la interfaz están conectados a un anillo MRP. Si es el caso, se muestran las cadenas de caracteres "RingportOne" y "RingportTwo" en las filas de las tablas de los puertos del módulo de medios. Para los puertos con la ID "X1 P1" y "X2 P1" se muestra de for-ma predeterminada la cadena de caracteres "None" (ninguno), pues estos puertos no pueden participar en un anillo MRP. Encontrará información general sobre la redundancia de medios con MRP en el siguiente capítulo: Redundancia de medios con MRP/HRP (Página 107) Encontrará información sobre la configuración de MRP para el módulo de seguridad en el siguiente capítulo: Configuración de MRP/HRP para el módulo de seguridad (Página 109)

Puerto HRP (en modo de enrutamiento para los puertos de módulo de medios de las interfaces exter-na e interna)

Se indica si los puertos de módulo de medios de la interfaz están conectados a un anillo HRP. Si es el caso, se muestran las cadenas de caracteres "RingportOne" y "RingportTwo" en las filas de las tablas de los puertos del módulo de medios. Para los puertos con la ID "X1 P1" y "X2 P1" se muestra de for-ma predeterminada la cadena de caracteres "None" (ninguno), pues no pueden participar en un anillo HRP. Encontrará información general sobre la redundancia de medios con HRP en el siguiente capítulo: Redundancia de medios con MRP/HRP (Página 107) Encontrará información sobre la configuración de HRP para el módulo de seguridad en el siguiente capítulo: Configuración de MRP/HRP para el módulo de seguridad (Página 109)



Columna Significado Comentario Comentario de libre elección

Configuración de módulos de medio Haga clic en el botón "Configurar módulo de medio..." para abrir el diálogo de configuración del módulo de medio para la correspondiente interfaz.

Los dos modos de configuración siguientes están disponibles:

● "Automático" (ajuste estándar): el módulo de medio utilizado se detecta automáticamente durante el funcionamiento. El modo de puerto se ajusta para los dos puertos a "Autonegotiation".

● "Manual": seleccione el tipo de módulo de medio utilizado en la lista desplegable "Tipo de módulo". Cuando selecciona el tipo de módulo de medio "MM992-2SFP", podrá elegir el transceptor enchufable SFP deseado a través de las dos listas desplegables "Tipo de SFP". Para puertos del tipo "Cobre", la velocidad de transferencia y el modo dúplex se pueden seleccionar manualmente a través del modo de puerto. Para puertos del tipo "Óptico", el modo de puerto está predeterminado por el módulo de medio o el SFP utilizados y no se puede adaptar.

Consulte también Particularidades del modo Ghost (Página 110)

Resumen de posibilidades de conexión (Página 94)

Datos de configuración para módulos SCALANCE M (Página 217)

3.2.3 Conexión a Internet

Cómo se accede a esa función: 1. Seleccione el módulo de seguridad que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Conexión a Internet".



Significado Si se ha ajustado una conexión a través de PPPoE para una de las interfaces del módulo de seguridad, realice los ajustes para el Internet Service Provider (ISP) en esta ficha.

Tabla 3- 3 Ajustes de la cuenta ISP

Función Descripción Nombre de usuario Introduzca el nombre para el inicio de sesión en la cuenta ISP. Contraseña Introduzca la contraseña para el inicio de sesión en la cuenta

ISP. Repetir contraseña Vuelva a introducir la contraseña para el inicio de sesión en la

cuenta ISP. Autenticación Seleccione uno de los siguientes protocolos de autenticación o

ninguno: • PAP (Password Authentication Protocol) • CHAP (Challenge Handshake Authentication Protocol) Nota Ambos interlocutores deben utilizar el mismo método de autenti-cación; de lo contrario no es posible establecer ninguna conex-ión.

Tabla 3- 4 Reglas para nombres de usuario y contraseñas

Caracteres permitidos Se admiten los siguientes caracteres del juego ANSI X 3.4-1986: 0123456789

A...Z a...z !#$%&()"*'+`,-./:;<=>?@ [\]_{|}~^

Longitud del nombre de usuario 1 ... 255 caracteres Longitud de la contraseña 1 ... 31 caracteres

Tabla 3- 5 Ajustes de la conexión

Función Descripción Conexión permanente Conexión continua a Internet. Si el proveedor deshace la conex-

ión, esta se vuelve a establecer automáticamente, aunque no haya que enviar ningún paquete en ese momento.

Conexión bajo demanda La conexión a Internet se establece automáticamente si hay que enviar paquetes a Internet. Con este ajuste son posibles retardos al enviar los paquetes.



Desconexión forzada (solo con el ajuste "Conexión permanente")

El proveedor deshace la conexión a Internet automáticamente tras un tiempo determinado. Si indica una hora en el campo "Desconexión forzada", el módulo de seguridad interrumpirá por sí mismo la conexión a Internet a esa hora. Esto permite, en determinadas circunstancias, aplazar una desconexión de Inter-net por parte del proveedor. Una desconexión forzada por inicia-tiva propia solo es posible si existe una conexión permanente. Entradas permitidas: 00:00 ... 23:59

Tiempo máx. de inactividad (solo con el ajuste "Conexión bajo demanda")

Si no se envía ningún paquete dentro de un tiempo determinado, la conexión a Internet se deshace automáticamente. En el cam-po "Tiempo máx. de inactividad", indique el tiempo en segundos pasado el cual debe interrumpirse la conexión. Valores permiti-dos: 10 … 3600.

Configurar la conversión de direcciones en la red PPPoE La casilla de verificación "Permitir NAT de interna a la red PPPoE" solo está disponible si el proyecto no está en modo avanzado. Si se activa la casilla de verificación, SCT crea una regla NAT con la que se convierten las direcciones IP de origen de todos los dispositivos de la red interna a la dirección IP de módulo de la red PPPoE. Esta regla NAT y la regla de cortafuegos correspondiente son visibles después de activar la casilla de verificación en el modo avanzado.

3.2.4 DNS dinámico (DDNS)

Significado Con un DNS dinámico se puede acceder con un nombre determinado (FQDN) a una dirección IP siempre cambiante. Esto es necesario p. ej. para acceder a un servidor disponible a través de una dirección IP pública cambiante.

Funcionamiento El módulo de seguridad notifica a un proveedor de DNS dinámico (p. ej. DynDNS.org, no-ip.com) la dirección IP WAN actual a través de la cual se puede acceder al módulo de seguridad. El proveedor garantiza que las peticiones de DNS al FQDN del módulo de seguridad se respondan con la dirección IP WAN actual del módulo de seguridad.

El DNS dinámico está permitido en las siguientes interfaces:

● Interfaz externa

● Interfaz DMZ



Requisitos para configurar el DNS dinámico Requisitos:

● Se ha creado una cuenta para un proveedor de DNS dinámico y se ha registrado un FQDN.

Procedimiento para instalar el DNS dinámico: 1. En las propiedades del módulo de seguridad, elija la ficha "DNS".

2. Si el módulo de seguridad se encuentra tras un router DSL o módem DSL, indique la dirección de un servidor DNS válido. Para ello existen dos opciones:

Opción Significado Obtener automáticamente la dirección del servidor DNS

La dirección del servidor DNS puede obtenerse automáticamente mediante PPPoE, siempre que el módulo de seguridad esté conectado a Internet a través de un módem DSL. Solo pue-de ajustarse para la interfaz externa y la inter-faz DMZ.

Utilizar la siguiente dirección de servidor DNS: Introduzca manualmente la dirección del servi-dor DNS preferido y del alternativo.

3. Active la casilla de verificación "Activar servicio" en el área "Servicio DynDNS primario" y realice los ajustes siguientes:

Ajuste Significado Proveedor Elija el proveedor en el que ha configurado una

cuenta para DNS dinámico. Cuenta de usuario en el proveedor Introduzca el nombre de usuario que definió al

crear la cuenta. Contraseña en el proveedor Introduzca la contraseña que definió al crear la

cuenta. FQDN Introduzca el nombre de host (p. ej. mysecuri-

tydevice) y el nombre de dominio (p. ej. dyndns.org) registrado en el proveedor separa-dos por un punto. Si en la ficha "VPN" se ha introducido también un FQDN, ambos deben coincidir.

Vigilar el cambio de dirección IP en el router DSL

Si el módulo de seguridad está conectado a Internet a través de un router DSL, activando esta función se activa el servicio de compro-bación de IP. El módulo de seguridad envía periódicamente peticiones para determinar la dirección IP actual del router DSL y para de-tectar un cambio de dirección IP en el router DSL. La dirección IP determinada de este mo-do se envía al proveedor cada vez que se de-tecta un cambio.



Ajuste Significado Periodo Indique en qué ciclo debe llamarse el servicio

de comprobación de IP. Valores permitidos: 10 … 1440 minutos

4. Especifique un proveedor adicional para el caso de que fallase el primario en la ficha "Servicio DynDNS secundario" (ajuste opcional).

Procedimiento para instalar un proveedor personalizado: En la lista desplegable "Proveedor", seleccione la entrada "definido por el usuario" y realice además las entradas siguientes: Ajuste Significado URL de actualización de proveedor

Introduzca la URL que haya recibido de su proveedor. Los tex-tos comodín <FQDN> y <CurrentWanIP> deben colocarse en el lugar adecuado de la URL.

URL de servicio de comprobación de IP

Introduzca la URL que haya recibido de su proveedor.

Ignorar errores al verificar el cer-tificado del servidor

Para que los datos de autenticación estén protegidos, el certifi-cado del servidor de actualización se verifica de forma estándar. Si la verificación del certificado falla, la conexión HTTPS se termina y los datos de la cuenta no se transmiten. Si se activa la casilla de verificación, la función se desactiva, p. ej. si el certifi-cado de servidor del servicio DNS dinámico no es válido (p. ej. porque ha caducado). Se recomienda no ignorar la compro-bación y no activar la casilla de verificación.



3.2.5 LLDP

Significado LLDP (Link Layer Discovery Protocol) es un protocolo que se utiliza para detectar topologías de red. Un dispositivo apto para LLDP está en condiciones de enviar regularmente información sobre sí mismo a dispositivos vecinos y, al mismo tiempo, recibir información de ellos. La información recibida se almacena en cada dispositivo apto para LLDP en un archivo LLDP MIB. Los sistemas de gestión de redes pueden acceder a estos archivos LLDP MIB con ayuda de SNMP y así emular la topología de red existente.

Parámetros configurables El grado de actividad del módulo de seguridad en relación con LLDP se puede configurar en la pestaña "Interfaces" de las propiedades de módulo del siguiente modo:

● Enviar y recibir telegramas LLDP (ajuste predeterminado, "RxTx")

● Recibir telegramas LLDP ("Off")

3.2.6 Redundancia de medios en topologías de anillo

3.2.6.1 Redundancia de medios con MRP/HRP

Significado Bajo el término "Redundancia de medios" se engloban distintos procedimientos para incrementar la disponibilidad de redes Industrial Ethernet en las que se puede acceder a dispositivos por diversas vías. Esto puede tener lugar por entrelazamiento de redes, conexión en paralelo de vías de transmisión o cerrando una topología lineal dándole forma de topología de anillo.

Métodos de redundancia de medios MRP y HRP Para los productos SIMATIC NET existe redundancia de medios dentro de una topología de anillo con los métodos MRP (Media Redundancy Protocol) y HRP (High Speed Redundancy Protocol).

En los dos métodos se configura uno de los dispositivos como gestor de redundancia. Los demás dispositivos son clientes de redundancia. Los módulos SCALANCE S627-2M pueden adoptar exclusivamente el rol de un cliente MRP o HRP. El gestor de redundancia comprueba con telegramas de prueba la ausencia de interrupciones en el anillo. Los clientes



de redundancia reenvían los telegramas de prueba. Si los telegramas de prueba del gestor de redundancia dejan de llegar al puerto en anillo del gestor de redundancia debido a una interrupción del anillo, el gestor de redundancia conecta sus dos puertos en anillo e informa inmediatamente del cambio a los clientes de redundancia.

Los dos métodos de redundancia de medios MRP y HRP funcionan según el mismo principio. Se diferencian en el tiempo que necesitan los switches SCALANCE X para conectar sus puertos en anillo como gestor de redundancia:

● MRP: 200 ms

● HRP: 300 ms

Nota sobre el uso de MRP y HRP ● MRP y HRP son compatibles con topologías de anillo con un máximo de 100

dispositivos. Una superación del número de dispositivos puede hacer que falle el tráfico de datos.

● Se recomienda ajustar los puertos en anillo en cuestión a dúplex y 100 Mbits/s. En otro caso puede fallar el tráfico de datos.

Posibilidades de uso de MRP/HRP en puertos para módulos de medios MRP/HRP se soporta exclusivamente en puertos para módulos de medios de SCALANCE S627-2M. La siguiente tabla muestra las posibilidades de uso de MRP/HRP en los puertos para módulos de medios de SCALANCE S627-2M:

Puertos en anillo Módulo de medio 1 Módulo de medio 2

P4 P5 P6 P7 Cliente MRP o cliente

HRP* - - - -

Anillo 1 Anillo 1 - - - - Anillo 2 Anillo 2

Anillo 1 Anillo 1 Anillo 2 Anillo 2

* La conexión simultánea del módulo de seguridad a un anillo interno y a un anillo externo solo es posible si se conecta al menos una de las interfaces como cliente MRP.

Si hay dos anillos subordinados por cada módulo SCALANCE S, es posible la comunicación en el nivel 3 entre los anillos.



3.2.6.2 Configuración de MRP/HRP para el módulo de seguridad

Requisitos ● El módulo de seguridad está en modo de enrutamiento.

● Para las interfaces conectadas a anillos hay configurados módulos de medios.

Cómo se accede a esa función 1. Seleccione el módulo de seguridad que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "MRP/HRP".

Parámetros configurables Parámetros Significado Posibilidades de selección Interfaces MRP/HRP Selección de la interfaz a la

que debe conectarse el anillo MRP/HRP.

• Externa • Interna

Rol de redundancia de medios Selección del protocolo de redundancia de medios o desactivación de la redun-dancia de medios para la interfaz seleccionada.

• No participante en el anillo • Cliente MRP (ajuste estándar) • Cliente HRP

Activar 'passive listening' Active esta casilla de verifi-cación si desea que la inter-faz seleccionada se acople a redes externas en las que se utilice STP/RSTP (Spanning-Tree-Protocol/Rapid-Spanning-Tree-Protocol).

• Activar "passive listening" (ajuste estándar)

• Desactivar "passive listening"

Dominio MRP (solo si se selecciona el rol de redundancia de medios "Cliente MRP")

Con ayuda de los dominios MRP se definen las es-taciones de un anillo MRP. Para las interfaces de todos los módulos que deban estar conectados a un mismo anillo MRP, debe estar se-leccionado el mismo dominio MRP.

De forma predeterminada, para la interfaz externa está seleccionado el dominio MRP predefinido "mrpdomain-1". A través de los botones "Agregar...", "Editar..." y "Eliminar" pueden agregarse dominios MRP, editar los nombres de dominios MRP existentes o borrar estos dominios.

Puerto en anillo 1 (solo si se selecciona el rol de redundancia de medios "Cliente MRP" o "Cliente HRP")

Nombre del primer puerto en anillo de la interfaz selec-cionada en "Interfaz", si se ha seleccionado para ella el rol de redundancia de medi-os "Cliente MRP" o "Cliente HRP".

-



Parámetros Significado Posibilidades de selección Puerto en anillo 2 (solo si se selecciona el rol de redundancia de medios "Cliente MRP" o "Cliente HRP")

Nombre del segundo puerto en anillo de la interfaz selec-cionada en "Interfaz", si se ha seleccionado para ella el rol de redundancia de medi-os "Cliente MRP" o "Cliente HRP".

-

Dispositivo MRP (solo si se selecciona el rol de redundancia de medios "Cliente MRP")

Visualización de información para todos los módulos de seguridad que pertenezcan al mismo dominio MRP que la interfaz seleccionada.

-

Resultado Ha conectado el módulo de seguridad al anillo MRP/HRP a través de la interfaz seleccionada. Los puertos para módulos de medios cuyas interfaces están conectadas a los anillos MRP/HRP se muestran adicionalmente en la ficha "Interfaces" de las propiedades de módulo.

Regla que debe considerarse en la prueba de coherencia Al realizar sus entradas debe tener en cuenta la regla indicada a continuación:

● Los nombres de los dominios MRP solo deben contener letras minúsculas, cifras y el carácter "-". Los nombres deben comenzar y terminar con una letra minúscula o una cifra.


3.2.7 Particularidades del modo Ghost

Significado En modo Ghost, el módulo de seguridad no tiene dirección IP propia ni en la interfaz interna ni en la externa. En su lugar, el módulo de seguridad obtiene en el tiempo de ejecución la dirección IP para su interfaz externa de un dispositivo que está conectado a la interfaz interna del módulo de seguridad y cuyos parámetros de dirección IP pueden ser desconocidos al realizar la configuración. Es posible modificar la dirección IP del dispositivo interno y, por consiguiente, la dirección IP de la interfaz externa. Puesto que el dispositivo interno se identifica por su dirección MAC, los cambios de direcciones IP solo se realizan para la dirección MAC aprendida. En la interfaz interna del módulo de seguridad no se configura ni obtiene ninguna dirección IP.



En lo que se refiere a direcciones MAC, el módulo de seguridad cambia la dirección MAC del dispositivo interno por la dirección MAC del módulo de seguridad en todos los paquetes de datos que salen por la interfaz externa (respuestas del dispositivo interno).

Activación del modo Ghost - procedimiento: Requisitos: el modo Ghost solo puede seleccionarse si el proyecto está en modo avanzado.

1. Seleccione el módulo de seguridad que desea editar.


3. Seleccione la entrada "Modo Ghost" en la lista desplegable "Enrutamiento por interfaz externo/interno" de la ficha "Interfaces".

Propiedades configurables de módulo En el modo Ghost se pueden configurar las propiedades de módulo en las siguientes fichas:

● Interfaces

● Cortafuegos

● Sincronización horaria

● Ajustes de registro

● SNMP

Puesto que en modo Ghost no es posible configurar servidores DNS, tampoco pueden resolverse FQDN.

Requisitos para detectar un dispositivo interno El módulo de seguridad solo puede determinar la dirección IP del dispositivo interno si este inicia por cuenta propia una comunicación de datos con un interlocutor de la red externa. Además, el módulo de seguridad no ofrece servicios de servidor mientras se determina la dirección IP. El módulo de seguridad no puede responder consultas de externa hasta que el dispositivo interno le haya enviado paquetes de datos.

Asignación de puertos para conexiones de datos entrantes y salientes Puesto que la interfaz externa del módulo de seguridad y el dispositivo interno tienen la misma dirección IP, hay que llevar a cabo un direccionamiento selectivo de los componentes de red a través de los puertos TCP/UDP. Por este motivo, los puertos están asignados bien al módulo de seguridad bien al dispositivo interno. En las tablas siguientes se representan las asignaciones de los puertos a los diferentes dispositivos para conexiones de datos entrantes y salientes:



Tabla 3- 6 Asignación de puertos para conexiones entrantes (de externa a módulo de seguridad)

Servicio Puerto Protocolo Comentario Servicios web, acceso de configuración y diagnóstico

443 TCP El puerto HTTPS está activado siempre para el acceso de configuración y diagnóstico mediante la Security Configu-ration Tool y no puede modi-ficarse.

SNMP 161 TCP Tras activar SNMP en la Secu-rity Configuration Tool se transfieren peticiones SNMP entrantes a través del puerto UDP 161. También es posible una transferencia a través del puerto TCP 161 para poder acceder al dispositivo interno, por ejemplo. Nota Tras activar SNMP, el puerto SNMP está asignado de forma fija al módulo de seguridad. Si SNMP no está activado, utili-zando una regla del corta-fuegos es posible acceder al dispositivo interno vía SNMP.

UDP

Tabla 3- 7 Asignación de puertos para conexiones salientes (de módulo de seguridad a externa)

Servicio Puerto Protocolo Comentario Syslog 514 UDP Si el servicio Syslog de la

Security Configuration Tool está activado, los avisos Sys-log son transferidos por el módulo de seguridad a través del puerto UDP 514. Esta asignación de puerto no puede modificarse.

NTP 123 UDP Si el servidor NTP se utiliza para la sincronización horaria, las peticiones NTP se trans-fieren a través del puerto UDP 123. Esta asignación de puerto no puede modificarse.



Direcciones IP y máscaras de subred reconocibles El módulo de seguridad reconoce exclusivamente los dispositivos internos que disponen de direcciones IP en el rango de las clases de red A, B o C. La máscara de subred es determinada por el módulo de seguridad de acuerdo con la clase de red correspondiente (véase la tabla "Clases de red y máscaras de subred correspondientes"). Para que la máscara de subred se pueda determinar correctamente, debe haberse introducido un router estándar para el dispositivo interno.

Los dispositivos con direcciones IP de las clases de red D y E son rechazados por el módulo de seguridad.

Tabla 3- 8 Clases de red y máscaras de subred correspondientes

Clase de red Direcciones IP

Máscara de subred

Límite inferior Límite superior A 0.0.0.0 127.255.255.255 255.0.0.0 B 128.0.0.0 191.255.255.255 255.255.0.0 C 192.0.0.0 223.255.255.255 255.255.255.0 D 224.0.0.0 239.255.255.255 Es rechazado por el módulo de seguri-

dad E 240.0.0.0 255.255.255.255 Es rechazado por el módulo de seguri-

dad

Capacidad El módulo de seguridad detecta como máximo un dispositivo interno. El módulo de seguridad se comporta del siguiente modo en caso de haber varios dispositivos internos:

● El primer dispositivo detectado por el módulo de seguridad en la red interna obtiene acceso al segmento de red externo siempre que el cortafuegos esté configurado a tal efecto.

● El tráfico de datos de otros dispositivos que pueda haber en el área de red interna se bloquea de acuerdo con la dirección del remitente a partir del nivel 2 (capa MAC).

Cargar configuraciones y diagnóstico después de la puesta en servicio Tras obtener una dirección IP del dispositivo interno, el módulo de seguridad tiene en la interfaz externa una dirección IP que puede diferir de la dirección IP con la que se configuró inicialmente el módulo de seguridad. Para modificar la configuración o para fines de diagnóstico es necesario reemplazar la dirección IP configurada inicialmente para la interfaz externa en la Security Configuration Tool por la dirección IP que el módulo de seguridad ha obtenido del dispositivo interno en el tiempo de ejecución.



Información de enrutamiento para redes jerárquicas en el puerto externo Si en la interfaz externa del módulo de seguridad hay redes jerárquicas con transiciones de subred, el módulo de seguridad debe obtener la información de enrutamiento correspondiente del dispositivo interno. Para ello, el dispositivo interno tiene que responder conforme a consultas ICMP dirigidas a él. No son necesarias las respuestas al Broadcast ICMP.


Configurar el cortafuegos 4

Significado La función de cortafuegos de los módulos de seguridad protege redes y estaciones de influencias externas e interferencias. De ese modo, solo se permiten relaciones de comunicación determinadas, definidas previamente. Los telegramas no autorizados son rechazados por el cortafuegos sin enviar una respuesta.

Para filtrar el tráfico de datos pueden utilizarse, entre otros, direcciones IP, subredes IP, números de puerto o direcciones MAC.

Las funciones de Firewall se pueden configurar para los siguientes niveles de protocolo:

● Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4)

● Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3 (capa 2)

El cortafuegos puede utilizarse para el tráfico de datos cifrado (túneles IPsec) y no cifrado.

Reglas de cortafuegos Las reglas de cortafuego describen qué paquetes se permiten o prohíben en qué dirección. Las reglas IP afectan a todos los paquetes IP a partir del nivel 3. Las reglas MAC afectan solo a frames inferiores al nivel 3.

Reglas de cortafuegos automáticas para conexiones STEP 7

Para las conexiones configuradas en STEP 7 se crean automáticamente reglas de cortafuegos en la SCT, que habilitan al interlocutor. Se tienen en cuenta las direcciones de establecimiento de las conexiones.

Las reglas solo pueden verse en el modo avanzado y solo pueden modificarse en él.

Configurar el cortafuegos


Configuración Se deben distinguir las dos vistas de operación:

● En el modo normal se recurre a reglas de cortafuegos sencillas y predefinidas. Solo pueden habilitarse reglas específicas de servicio. Los servicios habilitados están permitidos para todos los dispositivos y se autoriza el pleno acceso para el sentido indicado.

● En el modo avanzado se pueden definir ajustes de cortafuegos detallados. Se pueden habilitar servicios determinados para estaciones individuales o permitir para la estación todos los servicios para el acceso a ella o la red.

En el modo avanzado hay que distinguir las siguientes reglas o conjuntos de reglas de cortafuegos:

– Las reglas de cortafuegos locales están asignadas a un módulo de seguridad en cada caso. Se configuran en el cuadro de diálogo de propiedades de los módulos de seguridad.

– Los conjuntos de reglas de cortafuegos globales se pueden asignar a uno o varios módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado.

– Los conjuntos de reglas IP específicos del usuario se pueden asignar a uno o varios módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado. SCALANCE S V4 (RADIUS): además de uno o varios usuarios, a los conjuntos de reglas IP específicos del usuario es posible asignarles uno o varios roles.

Adicionalmente se tiene la posibilidad de definir reglas de firewall de forma compacta y clara con ayuda de definiciones de servicios. Las definiciones de servicios se pueden utilizar en todos los tipos de reglas antes mencionados.

Activar el cortafuegos El cortafuegos se controla en modo normal activando la casilla de verificación "Activar cortafuegos". Si se desactiva dicha casilla, los ajustes de cortafuegos registrados se siguen mostrando en la lista, pero no pueden modificarse. Si el módulo de seguridad está en un grupo VPN, la casilla de verificación está activada de forma predeterminada y no puede desactivarse.

Activar ajustes de registro En el modo estándar se puede activar el registro globalmente en la ficha "Cortafuegos". Sin embargo, de esta forma no se mostrarán todos los paquetes que pasan el cortafuegos.

En el modo avanzado se puede activar el registro para cada regla de cortafuegos concreta. De este modo desaparece la restricción respecto a los paquetes mostrados en el modo estándar.

Configurar el cortafuegos 4.1 CPs en el modo normal


Nota Cortafuegos de SCALANCE S627-2M

Los puertos para módulos de medios de SCALANCE S627-2M están conectados al puerto fijo de la interfaz correspondiente a través de un bloque switch. Por este motivo, entre los puertos de la interfaz externa y entre los puertos de la interfaz interna no existe la funcionalidad de cortafuegos (capa 2/capa 3).

4.1 CPs en el modo normal

Activar reglas de filtrado de paquetes Si activa la función de seguridad en STEP 7 para los CPs, primero estarán permitidos todos los accesos a y a través del CP. Para activar reglas de filtrado de paquetes individuales, haga clic en la casilla de verificación "Activar cortafuegos". A continuación autorice los servicios deseados. Las reglas de cortafuegos creadas automáticamente debido a una configuración de conexión tienen preferencia ante los servicios aquí ajustados. Todos los dispositivos tienen acceso a los servicios que haya habilitado.

Ajustes de cortafuegos detallados en el modo avanzado En el modo avanzado, las reglas de cortafuegos pueden limitarse a estaciones determinadas. Para cambiar al modo avanzado, haga clic en la casilla de verificación "Modo avanzado".



Configuración de cortafuegos con VPN Si el módulo de seguridad está en un grupo VPN, la casilla de verificación "Solo comunicación tunelada" está activada de forma predeterminada. Eso significa que a través de la interfaz externa no puede pasar el túnel ninguna comunicación y sólo está permitida la transferencia de datos IPsec. Se crea automáticamente la regla de cortafuegos "Drop" > "Any" > "Externa".

Si se desactiva esta casilla de verificación, se permitirá la comunicación tunelada y, adicionalmente, los tipos de comunicación seleccionados en las otras casillas de opción.



4.1.1 CP x43-1-Adv.

4.1.1.1 Ajuste predeterminado del cortafuegos

Comportamiento con ajuste predeterminado Los siguientes diagramas muestran los ajustes predeterminados al detalle, tanto para el filtrado de paquetes IP como para el filtrado de paquetes MAC si la casilla de verificación "Activar cortafuegos" está activada. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado.

Ajuste predeterminado para CP x43-1 Adv.

Figura 4-1 Ajuste predeterminado para filtrado de paquetes IP CP x43-1 Adv.

① Todos los tipos de telegramas de interna a externa están bloqueados.

② Todos los telegramas de interna al módulo de seguridad están permitidos.

③ Todos los telegramas de externa a interna y al módulo de seguridad están bloqueados (también ICMP-Echo-Request).

④ Se permiten telegramas de externa (nodos externos y módulos de seguridad externos) al módulo de seguridad del siguiente tipo: • Protocolo ESP (codificación) • IKE (protocolo para establecer el túnel IPsec) • NAT-Traversal (protocolo para establecer los túneles IPsec)

⑤ La comunicación IP por túneles IPsec está permitida.



⑥ Los telegramas del tipo Syslog se permiten del módulo de seguridad a externa y no se ven afectados por el cortafuegos. Nota Dado que Syslog es un protocolo no seguro, no es posible garantizar que los datos de registro se transmitan de forma segura.

⑦ Los telegramas del módulo de seguridad a interna y externa están permitidos.

⑧ Las respuestas a solicitudes de la red interna o del módulo de seguridad están per-mitidas.

Figura 4-2 Ajuste predeterminado para filtrado de paquetes MAC CP x43-1 Adv.

① Todos los telegramas de interna al módulo de seguridad están permitidos.

② Todos los telegramas de externa al módulo de seguridad están bloqueados.

③ Todos los telegramas de externa al módulo de seguridad del siguiente tipo están per-mitidos: • ARP con limitación de ancho de banda • DCP PROFINET con limitación de ancho de banda • LLDP

④ Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos: • ARP con limitación de ancho de banda • DCP PROFINET con limitación de ancho de banda

⑤ Se permiten los siguientes protocolos enviados por túnel IPsec: • ISO • LLDP



Nota Ninguna comunicación pasa de largo por el túnel VPN

Además, para todos los interlocutores VPN conocidos del proyecto se impide que cualquier comunicación entre los puntos finales VPN pueda pasar de largo por el túnel. El comportamiento tampoco puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado.

4.1.1.2 Configurar el cortafuegos


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos".

Tabla 4- 1 Servicios y direcciones disponibles

Servicio Estación ⇒ externa Interna ⇒ externa

Externa ⇒ interna

Externa ⇒ estación

Externa ⇔ estación

Puertos permitidos

Significado

Comuni-cación IP permitida

x x x - - Se permite el tráfico IP para los sentidos de comunicación seleccionados.

Permitir protocolo S7

x x x - TCP puerto 102

Se permite la comunicación de los dispos-itivos de red a través del protocolo S7.

Permitir FTP/FTPS (modo ex-plícito)

x x x - TCP puerto 20 TCP puerto 21

Para la administración de archivos y el acceso a ellos entre servidor y cliente.

Permitir HTTP


Para la comunicación con un servidor web.

Permitir HTTPS


Para la comunicación segura con un servidor web, p. ej. diagnóstico web.

Permitir DNS

x x - - TCP puerto 53 UDP puerto 53

Se permite la conexión con un servidor DNS.

Permitir SNMP

x x x - TCP puerto 161/162 UDP puerto 161/162

Para vigilar dispositivos de red con capac-idad SNMP.



Servicio Estación ⇒ externa Interna ⇒ externa

Externa ⇒ interna

Externa ⇒ estación

Externa ⇔ estación

Puertos permitidos

Significado

Permitir SMTP

x x - - TCP puerto 25

Para intercambiar e-mails entre usuarios autentificados a través de un servidor SMTP.

Permitir NTP

x x - - UDP puerto 123

Para la sincronización de la hora.

Permitir comuni-cación en nivel MAC

- - - x - Se permite el tráfico MAC de externa a la estación y viceversa.

Permitir comuni-cación ISO

- - - x - Se permite el tráfico ISO de externa a la estación y viceversa.

Tabla 4- 2 Registro para conjuntos de reglas IP y MAC

Conjunto de reglas Acción en caso de activación Regla creada Configuración de registros IP Acción De A Registro de paquetes tunelados Solo está activado si el módulo de

seguridad forma parte de un grupo VPN. Se registran todos los paquetes IP que se han transferido a través del túnel.

Allow Estación Túnel Allow Túnel Estación

Registro de paquetes entrantes bloqueados Se registran todos los paquetes IP entrantes que han sido rechaza-dos.

Drop Externa Estación

Configuración de registros MAC Acción De A Registro de paquetes entrantes bloqueados a la estación

Se registran todos los paquetes MAC entrantes que han sido rechazados.

Drop Externa Estación

Registro de paquetes salientes bloqueados desde la estación

Se registran todos los paquetes MAC salientes que han sido rechazados.

Drop Estación Externa

Nota

El tráfico de datos a través de conexiones configuradas no se registra.

4.1.1.3 Configurar una lista de acceso

Modificar una lista de acceso IP/entradas ACL La lista aparece si en la ficha Protección de acceso IP de STEP 7 está activada la casilla de verificación "Activar protección de acceso IP para comunicación IP".



A través de las listas de acceso IP se define la protección de acceso para determinadas direcciones IP. Las entradas de la lista ya creadas en STEP 7 se muestran en SCT con los correspondientes permisos.

El derecho "Modificar la lista Access (M)" que puede seleccionarse en STEP 7 no se transfiere a SCT. Para poder determinar los derechos de acceso IP adicionales, hay que asignar al usuario correspondiente en SCT el derecho "Web: Ampliar lista de control de acceso IP".

Nota Comportamiento modificado tras la migración • Tras la migración, la protección de acceso solo afecta a la interfaz externa. Para que la

protección de acceso también afecte a la interfaz interna, configure las reglas de cortafuegos correspondientes en el modo avanzado de la SCT.

• El módulo de seguridad también responde a solicitudes ARP de direcciones IP no permitidas (capa 2).

• Si migra una lista IP Access Control sin entradas, el cortafuegos se activa y ya no es posible acceder al CP desde externa. Para que el CP sea accesible, configure las reglas de cortafuegos correspondientes en la SCT.

Cómo se accede a esa función Comando de menú SCT: Seleccione el módulo de seguridad que desea editar y elija el comando de menú "Editar" > "Propiedades…", ficha "Cortafuegos".

Comando de menú STEP 7: "Protección de acceso IP" > "Inicio de la configuración de cortafuegos", botón "Ejecutar...".

Tabla 4- 3 Datos

Parámetro Significado Dirección IP Dirección IP o rango de direcciones IP permitidos. Derechos Según la asignación realizada. Derechos habilitados para la dirección

IP. Comentario Introducción de un comentario adicional. Registro Si activa la casilla de verificación, se registran las reglas en el registro

de filtrado de paquetes. Activar el modo avanzado Si activa la casilla de verificación, las entradas se convertirán a las

siguientes reglas de cortafuegos.



Tabla 4- 4 Botones

Denominación Significado / repercusión Nuevo... Cree una dirección IP o un rango de direcciones IP con los derechos

correspondientes. Modificar... Seleccione una entrada y haga clic en este botón para editar la entrada

ya existente. Eliminar Con este botón se borra la entrada seleccionada.

4.1.1.4 Agregar una entrada a la lista de acceso

Realice los siguientes ajustes Campo Descripción Dirección IP (o inicio del rango de IP) Introduzca la dirección IP o el valor inicial de un rango

de direcciones IP. Fin del rango de IP (opcional) Introduzca el valor final de un rango de direcciones IP. Comentario Entrada de un comentario adicional; por ejemplo, para

describir el interlocutor o el área de direccionamiento. La dirección IP está autorizada para los siguientes accesos

Acceso a equipo (A=Access): Los interlocutores cuyas direcciones estén dentro del área indicada tienen ac-ceso al equipo perteneciente al CP (CP / CPU). Esta autorización de acceso es implícita para direcciones IP indicadas en la configuración de enlaces (rige sólo para enlaces especificados). Enrutamiento IP a otra subred (R=Routing): Los inter-locutores cuyas direcciones estén dentro del área indicada tienen acceso a otras subredes conectadas al CP. Esta autorización de acceso no se otorga au-tomáticamente para direcciones IP indicadas en la configuración de enlaces. En caso necesario hay que ajustar aquí este derecho de acceso de forma ex-plícita.

Otras reglas de entrada:

● Se comprueba si se repiten direcciones individuales (con esto se detecta: direcciones individuales introducidas de forma múltiple; solapamientos de áreas).

● Las direcciones IP indicadas individualmente pueden aparecer además dentro de un área; entonces rigen todas las autorizaciones de acceso asignadas a una dirección IP.

● No se comprueba si en un área se incluyen direcciones no válidas (por ejemplo, pueden indicarse aquí direcciones broadcast de subred aunque no pueden aparecer como dirección IP de un remitente).



4.1.2 CP 1628

4.1.2.1 Ajuste predeterminado del cortafuegos

Comportamiento con preajuste Los siguientes diagramas muestran los ajustes predeterminados al detalle, tanto para el filtrado de paquetes IP como para el filtrado de paquetes MAC si la casilla de verificación "Activar cortafuegos" está activada. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado.

Ajuste predeterminado para CP 1628

Figura 4-3 Ajuste predeterminado para filtrado de paquetes IP CP 1628

① Se permiten todos los telegramas de las interfaces NDIS e IE (Industrial Ethernet) a ex-terna.

② Todos los telegramas de interna a externa están bloqueados.

③ Todos los telegramas de externa al módulo de seguridad y viceversa del siguiente tipo están permitidos: • Protocolo ESP (codificación) • IKE (protocolo para establecer el túnel IPsec) • NAT-Traversal (protocolo para establecer el túnel IPsec)



④ La comunicación IP por túneles IPsec está permitida.

⑤ Telegramas del tipo Syslog se permiten del módulo de seguridad a externa.

Figura 4-4 Ajuste predeterminado para filtrado de paquetes MAC CP 1628

① Todos los telegramas de interna a externa están bloqueados.

② Están permitidos todos los telegramas de externa del siguiente tipo: • ARP con limitación de ancho de banda • DCP PROFINET con limitación de ancho de banda

③ Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos: • DCP PROFINET con limitación de ancho de banda

④ Se permiten protocolos MAC enviados por túneles IPsec.

Nota Ninguna comunicación pasa de largo por el túnel VPN

Además, para todos los interlocutores VPN conocidos del proyecto se impide que cualquier comunicación entre los puntos finales VPN pueda pasar de largo por el túnel. El comportamiento tampoco puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado.



4.1.2.2 Configurar el cortafuegos




Servicio Externa ⇒ es-tación

Externa ⇔ es-tación

Puertos permitidos Significado

Comunicación IP per-mitida

x - - Se permite el tráfico IP para las direcciones de comunicación seleccionadas.

Protocolo S7 permitido x - TCP puerto 102 Se permite la comunicación de las estaciones de red a través del protocolo S7.

Permitir FTP/FTPS (modo explícito)

x - TCP puerto 20 TCP puerto 21

Para la administración de ar-chivos y el acceso a ellos entre servidor y cliente.

Permitir HTTP x - TCP puerto 80 Para la comunicación con un servidor web.

Permitir HTTPS x - TCP puerto 443 Para la comunicación segura con un servidor web, p. ej. di-agnóstico web.

Permitir DNS x - TCP puerto 53 UDP puerto 53


Permitir SNMP x - TCP puerto 161/162 UDP puerto 161/162

Para vigilar estaciones de red con capacidad SNMP.

Permitir SMTP x - TCP puerto 25 Para intercambiar e-mails entre usuarios autentificados a través de un servidor SMTP.

Permitir NTP x - UDP puerto 123 Para la sincronización de la hora.

Permitir comunicación en nivel MAC

- x - Se permite el tráfico MAC de externa a la estación y vice versa.

Permitir comunicación ISO

- x - Se permite el tráfico ISO de externa a la estación y vice versa.

Permitir SiCLOCK - x - Se permiten telegramas de hora SiCLOCK de externa a la es-tación y viceversa.




Conjunto de reglas Acción en caso de acti-vación

Regla creada

Configuración del archivo de registros IP Acción De A Registro de paquetes tunelados Solo está activado si el

módulo de seguridad forma parte de un grupo VPN. Se registran todos los paquetes IP que se han transferido a través del túnel.

Allow Es-tación

Túnel

Allow Túnel Es-tación

Registro de paquetes entrantes bloqueados

Se registran todos los paquetes IP entrantes que han sido rechazados.

Drop Externa Es-tación

Configuración del archivo de registros MAC Acción De A Registro de paquetes entrantes bloqueados


Drop Externa Es-tación

Registro de paquetes salientes bloqueados


Drop Es-tación

Externa

Nota

El tráfico de datos a través de conexiones configuradas no se registra.

Configurar el cortafuegos 4.2 SCALANCE S en el modo normal


4.2 SCALANCE S en el modo normal

4.2.1 Preajuste del firewall

Comportamiento con preajuste Los diagramas siguientes muestran en detalle los ajustes estándar para el filtro de paquetes IP y el filtro de paquetes MAC. El comportamiento puede modificarse creando las correspondientes reglas de cortafuegos en el modo avanzado.

Ajuste estándar para SCALANCE S602/S612 V3 o superior

Figura 4-5 Ajuste estándar para filtrado de paquetes IP SCALANCE S602/S612 V3 o superior

① Todos los tipos de telegramas de interna a externa están bloqueados.


③ Todos los telegramas de externa a interna y al módulo de seguridad están bloqueados.

④ Se permiten telegramas de externa (nodos externos y módulos de seguridad externos) al módulo de seguridad del siguiente tipo: • HTTPS (SSL) • Protocolo ESP (codificación) • IKE (protocolo para establecer el túnel IPsec) • NAT-Traversal (protocolo para establecer el túnel IPsec)



⑤ La comunicación IP por el túnel IPsec está permitida. ⑥ Los telegramas de interna a externa están permitidos.

⑦ Los telegramas de externa al túnel en la interfaz externa y viceversa están bloqueados.

Figura 4-6 Ajuste estándar para filtrado de paquetes MAC SCALANCE S602/612 V3 o superior

① Todos los tipos de telegramas de interna a externa, excepto los siguientes tipos, están bloqueados. • Telegramas ARP


③ Todos los telegramas de externa a interna, excepto los siguientes tipos, están bloquea-dos. • Telegramas ARP con limitación de ancho de banda

④ Los telegramas de externa al módulo de seguridad del siguiente tipo están permitidos: • ARP con limitación de ancho de banda • DCP PROFINET con limitación de ancho de banda

• En modo de enrutamiento: telegramas LLDP (Ethertype 0x88CC)

⑤ En el modo de puente: Se permiten protocolos MAC enviados por túnel IPsec.



⑥ Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos: • PROFINET

• En modo de enrutamiento: telegramas LLDP (Ethertype 0x88CC)

⑦ Los telegramas Multicast y Broadcast de externa al módulo de seguridad del siguiente tipo están permitidos: • PROFINET con limitación de ancho de banda

Nota Habilitación automática de tipos de Ethernet

Si PPPoE está activo, los tipos de Ethernet 0x8863 y 0x8864 se habilitan automáticamente (PPPoE Discovery y Session Stage).



Ajuste estándar para SCALANCE S623 a partir de V3 y S627-2M V4 Las reglas de cortafuegos predeterminadas para las interfaces externa e interna son las mismas que rigen para los módulos SCALANCE S del tipo S602 y S612. En los dos gráficos siguientes se han expuesto únicamente las reglas de filtrado de paquetes IP que afectan a la interfaz DMZ. Las reglas de filtrado de paquetes MAC no pueden definirse para la interfaz DMZ porque los telegramas se enrutan entre la red externa o interna y la interfaz DMZ.

Figura 4-7 Ajuste estándar para filtrado de paquetes IP SCALANCE S623/S627-2M (tráfico entre red DMZ y red interna

o red DMZ y módulo de seguridad)

① Todos los telegramas de interna a red DMZ están bloqueados.

② Todos los telegramas de interna al túnel en la interfaz DMZ y viceversa están permitidos.



③ Todos los telegramas de red DMZ a interna están bloqueados.

④ Todos los telegramas de red DMZ al túnel en la interfaz DMZ y viceversa están bloquea-dos.

⑤ Los telegramas de la red DMZ (nodos en la red DMZ y módulos de seguridad en la red DMZ) al módulo de seguridad del siguiente tipo están permitidos: • HTTPS (SSL) • Protocolo ESP (codificación) • IKE (protocolo para establecer el túnel IPSec) • NAT-Traversal (protocolo para establecer el túnel IPsec)

Figura 4-8 Ajuste estándar para filtrado de paquetes IP SCALANCE S623/S627-2M (tráfico entre red DMZ y red externa)



① Todos los telegramas de externa a red DMZ están bloqueados.

② Todos los telegramas de externa al túnel en la interfaz DMZ y viceversa están bloquea-dos.

③ Todos los telegramas de red DMZ al túnel en la interfaz externa y viceversa están bloqueados.

④ Todos los telegramas de red DMZ a externa están bloqueados.

Nota Habilitación automática de tipos de Ethernet

Si PPPoE está activo, los tipos de Ethernet 0x8863 y 0x8864 se habilitan automáticamente (PPPoE Discovery y Session Stage).

4.2.2 Configurar el cortafuegos para SCALANCE S ≥ V3.0



Cortafuegos activado de forma predeterminada La casilla de verificación "Activar cortafuegos" está activada de forma predeterminada. Así, el cortafuegos está activo automáticamente y todos los accesos de externa al módulo de seguridad están bloqueados. En el modo normal, habilite el cortafuegos para los distintos sentidos activando las casillas de verificación correspondientes.

Ajustes de cortafuegos detallados en el modo avanzado En el modo avanzado, las reglas de cortafuegos pueden limitarse a dispositivos determinados; consulte el capítulo siguiente:

● Cortafuegos en modo avanzado (Página 138)

Configuración de cortafuegos con VPN Si el módulo de seguridad está en un grupo VPN y, en el modo normal, la casilla de verificación "Solo comunicación tunelada" está activada, a través de la interfaz externa o la interfaz DMZ solo se permite la transferencia de datos por IPsec codificada. Solo se sigue permitiendo el accedo HTTPS sin túnel al módulo (puerto TCP 443).

Si se desactiva esta casilla de verificación, se permitirá la comunicación tunelada y, adicionalmente, los tipos de comunicación seleccionados en las otras casillas de opción.



Tabla 4- 7 Reglas de cortafuegos y sentidos disponibles (tráfico IP)

Servicio Interna ⇒ externa

Externa ⇒ inter-na

Interna => DMZ

DMZ => Interna

De interna

De ex-terna

Puertos per-mitidos

Significado

Comuni-cación IP permitida

x x x x - - - Se permite la comunicación IP para los sentidos de comunicación seleccionados.

Permitir protocolo S7

x x x x - - TCP puerto 102

Se permite la comunicación de los dispositivos de red a través del protocolo S7.

Permitir FTP/FTPS (modo ex-plícito)

x x x x - - TCP puerto 20 TCP puerto 21

Para la adminis-tración de ar-chivos y el acceso a ellos entre servidor y cliente.

Permitir HTTP

x x x x - - TCP puerto 80 Para la comuni-cación con un servidor web.

Permitir HTTPS

x x x x - - TCP puerto 443

Para la comuni-cación segura con un servidor web, p. ej. di-agnóstico web.

Permitir DNS

x x x x - - TCP puerto 53 UDP puerto 53


Permitir SNMP

x x x x - - TCP puerto 161/162 UDP puerto 161/162

Para vigilar dis-positivos de red con capacidad SNMP.

Permitir SMTP

x x x x - - TCP puerto 25 Para intercambiar e-mails entre usuarios auten-tificados a través de un servidor SMTP.

Permitir NTP

x x x x - - UDP puerto 123

Para la sin-cronización de la hora.

Permitir DHCP

x x x x - - UDP puerto 67 y UDP puerto 68

Se permite la comunicación con un servidor DHCP.



Servicio Interna ⇒ externa

Externa ⇒ inter-na

Interna => DMZ

DMZ => Interna

De interna

De ex-terna

Puertos per-mitidos

Significado

Permitir comuni-cación en nivel MAC

- - - - x x - Se permite el tráfico MAC de interna a externa y viceversa.

Permitir comuni-cación ISO

- - - - x x - Se permite el tráfico ISO de interna a externa y viceversa.

Permitir SiCLOCK

- - - - x x - Se permiten telegramas de hora SiClock de interna a externa y viceversa.

Permitir DCP

- - - - x x - El tráfico DCP para adjudicar direcciones IP se permite de inter-na a externa y viceversa.


Conjunto de reglas Acción en caso de activación Configuración de registros IP Registro de paquetes tunela-dos

Solo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran todos los paquetes IP que se han transferido a través del túnel.

Registro de paquetes en-trantes bloqueados



Se registran todos los paquetes IP salientes que han sido rechazados.

Configuración de registros MAC Registro de paquetes tunela-dos

Solo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran todos los paquetes MAC que se han transferido a través del túnel.

Registro de paquetes en-trantes bloqueados






4.2.3 Configurar el cortafuegos para SCALANCE S < V3.0



Nota Ajustes de cortafuegos detallados en el modo avanzado

En el modo avanzado, las reglas de cortafuegos pueden limitarse a estaciones determinadas.



Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.


Regla/opción Puertos permitidos Función Solo comunicación tunelada

- Este es el ajuste predeterminado. La opción solo se puede seleccionar si el módulo de seguridad se encuentra en un grupo VPN. Con este ajuste solo se permite la transferencia codificada de datos por IPsec; solo pueden comunicarse entre sí nodos protegidos mediante módulos de seguridad con mecanismos VPN. Si esta opción está desactivada, se permite la comunicación tunelada y adicionalmente el tipo de comunicación seleccionado en las otras casillas de opción.

Permitir comuni-cación IP de la red interna a la externa

- Los nodos internos pueden iniciar una comunicación con nodos de la red externa. Solo se transmiten a la red interna telegramas de respuesta procedentes de la red externa. Desde la red externa no se puede iniciar ninguna comunicación con no-dos de la red interna.

Permitir comuni-cación IP con proto-colo S7 de la red interna a la externa

TCP puerto 102 Los nodos internos pueden iniciar una conexión S7 con nodos de la red externa. Solo se transmiten a la red interna telegramas de respuesta procedentes de la red externa. Desde la red externa no se puede iniciar ninguna comunicación con no-dos de la red interna.

Permitir acceso al servidor DHCP de la red interna a la exter-na

UDP puerto 67 UDP puerto 68

Los nodos internos pueden iniciar una comunicación con un servidor DHCP de la red externa. Solo los telegramas de respuesta del servidor DHCP se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con no-dos de la red interna.



Regla/opción Puertos permitidos Función Permitir acceso al servidor NTP de la red interna a la exter-na

UDP puerto 123 Los nodos internos pueden iniciar una comunicación con un servidor NTP (Network Time Protocol) de la red externa. Solo los telegramas de respuesta del servidor NTP se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con no-dos de la red interna.

Permitir telegramas horarios de SiClock de la red externa a la interna

- Con esta opción se habilitan telegramas horarios SiClock de la red exter-na a la interna.

Permitir acceso al servidor DNS de la red interna a la exter-na

TCP puerto 53 UDP puerto 53

Los nodos internos pueden iniciar una comunicación con un servidor DNS de la red externa. Solo los telegramas de respuesta del servidor DNS se transmiten a la red interna. Desde la red externa no se puede iniciar ninguna comunicación con no-dos de la red interna.

Permitir la configura-ción de nodos de red mediante DCP

- El protocolo DCP es utilizado por la PST-Tool para realizar, en el caso de componentes de red SIMATIC NET, el bautismo de nodos (ajuste de los parámetros IP). Con esta regla se permite a nodos de la red externa acceder a nodos de la red interna mediante protocolo DCP.


Conjunto de reglas Acción en caso de activación Configuración de registros IP Registro de paquetes tunelados Solo si el módulo de seguridad forma parte de un grupo VPN: Se

registran todos los paquetes IP que se han transferido a través del túnel.




Se registran todos los paquetes IP salientes que han sido rechazados.

Configuración de registros MAC Registro de paquetes tunelados Solo si el módulo de seguridad forma parte de un grupo VPN: se

registran todos los paquetes MAC que se han transferido a través del túnel.





Configurar el cortafuegos 4.3 Cortafuegos en modo avanzado


4.3 Cortafuegos en modo avanzado En el modo avanzado existen posibilidades de ajuste adicionales, que permiten personalizar las reglas de cortafuegos y las funciones de seguridad.

Cambiar al modo avanzado Para todas las funciones descritas en este capítulo, cambie al modo avanzado.


En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo avanzado ya no es posible regresar.

Soluciones para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.

Se da soporte a nombres simbólicos En las funciones descritas a continuación puede introducir tanto direcciones IP o MAC como nombres simbólicos. Encontrará más información sobre los nombres simbólicos en el capítulo:

● Asignación de nombre simbólicos para direcciones IP o MAC (Página 64)

4.3.1 Configuración del cortafuegos en modo avanzado

Significado A diferencia de la configuración de reglas de filtrado de paquetes predeterminadas de forma fija en el modo normal, en el modo avanzado de la Security Configuration Tool se pueden configurar reglas personalizadas para el filtrado de paquetes.

Las reglas de filtrado de paquetes se ajustan en fichas seleccionables para los siguientes protocolos:

● Capa 3, 4: protocolo IP, servicios IP

● Capa 2: protocolo MAC, servicios MAC

Nota

Sin reglas MAC con el modo de enrutamiento activado

Si ha activado el modo de enrutamiento para el módulo de seguridad, no tienen aplicación las reglas MAC (los cuadros diálogo están inactivos).



Si no introduce ninguna regla en los cuadros de diálogo que se describen a continuación, rigen los ajustes predeterminados del cortafuegos. Encontrará los detalles en el capítulo siguiente:

● Ajustes predeterminados de CP x43-1 Adv.: Ajuste predeterminado del cortafuegos (Página 118)

● Ajustes predeterminados de CP 1628: Ajuste predeterminado del cortafuegos (Página 124)

● Ajustes predeterminados de SCALANCE S: Preajuste del firewall (Página 128)

Es posible la definición global, específica de usuario y local ● Los conjuntos de reglas de cortafuegos globales se pueden asignar a varios módulos de

seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado.

● Los conjuntos de reglas IP específicos del usuario se pueden asignar a uno o varios módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de navegación de la Security Configuration Tool del modo avanzado. SCALANCE S V4 (RADIUS): además de uno o varios usuarios, a los conjuntos de reglas IP específicos del usuario es posible asignarles uno o varios roles.

● Las reglas de cortafuegos locales están asignadas a un módulo de seguridad en cada caso. Se configuran en el cuadro de diálogo de propiedades de los módulos de seguridad.

A un módulo de seguridad se le pueden asignar varias reglas de cortafuegos locales, varios conjuntos de reglas de cortafuegos globales y varios conjuntos de reglas IP específicos del usuario.

4.3.2 Conjuntos de reglas de cortafuegos globales

Aplicación Los conjuntos de reglas de cortafuegos globales se configuran a nivel de proyecto en función del módulo y pueden verse en el área de navegación de la Security Configuration Tool. Un conjunto de reglas de cortafuegos global consta de una o varias reglas de cortafuegos y se asigna a varios módulos de seguridad.

Dentro de los conjuntos de reglas de cortafuegos globales, se distingue entre:

● Conjuntos de reglas IP

● Conjuntos de reglas MAC

La representación siguiente ilustra la relación entre los conjuntos de reglas de definición global y los conjuntos de reglas utilizados a nivel local.



¿Cuándo son convenientes los conjuntos de reglas de cortafuegos globales? Los conjuntos de reglas de cortafuegos globales son convenientes cuando se desean definir criterios de filtrado idénticos para la comunicación.

Nota Asignar solo conjuntos de reglas de cortafuegos soportados por el módulo de seguridad

Una asignación incorrecta de conjuntos de reglas de cortafuegos puede derivar en resultados no deseados. Por ello, compruebe siempre los resultados de las reglas de cortafuegos locales específicas del módulo. La asignación incorrecta no se detecta en la prueba de coherencia automática. Solo se aplican las reglas que realmente son soportadas por el módulo de seguridad.

Consulte también Conjuntos de reglas IP específicos de usuario (Página 142)



4.3.2.1 Conjuntos de reglas de cortafuegos globales - Convenios

Los conjuntos de reglas de cortafuegos globales se utilizan localmente Para la creación de un conjunto de reglas de cortafuegos global y la asignación a un módulo de seguridad rigen los siguientes convenios:

● Vista de configuración

Los conjuntos de reglas de cortafuegos globales solo se pueden crear en el modo avanzado.

● Prioridad

Las reglas de cortafuegos definidas localmente tienen de forma predeterminada mayor prioridad que los conjuntos de reglas de cortafuegos globales asignados de forma local. Por consiguiente, los conjuntos de reglas de cortafuegos globales se insertan en un principio en el último lugar de la lista de reglas local.

La prioridad se puede modificar cambiando el emplazamiento en la lista de reglas.

● Introducir, modificar o borrar juegos de reglas

Los conjuntos de reglas de cortafuegos globales no se pueden editar en la lista local de reglas de cortafuegos de las propiedades del módulo. Allí sólo se pueden ver y emplazar según la prioridad deseada

En la lista de reglas local no se puede borrar una única regla de cortafuegos de un conjunto de reglas de cortafuegos global asignado. Solo es posible eliminar de la lista de reglas local todo el conjunto de reglas de cortafuegos. Puede realizarse en cualquier momento una adaptación del conjunto de reglas global mediante el cuadro de diálogo de propiedades de este conjunto. Todos los dispositivos afectados por esta modificación deben cargarse de nuevo después.

4.3.2.2 Crear y asignar conjuntos de reglas de cortafuegos globales

Cómo se accede a esa función 1. Seleccione una de las siguientes carpetas en el área de navegación:

– "Conjuntos de reglas de cortafuegos globales" > "Conjuntos de reglas IP del cortafuegos"

– "Conjuntos de reglas de cortafuegos globales" > "Conjuntos de reglas MAC del cortafuegos"

2. Elija el comando de menú "Insertar" > "Conjunto de reglas del cortafuegos".

3. Introduzca los datos siguientes:

– Nombre: designación unívoca del conjunto de reglas para todo el proyecto. El nombre aparece en la lista de reglas local del módulo de seguridad tras la asignación del conjunto de reglas.

– Descripción: Introduzca la descripción del conjunto de reglas global.



4. Haga clic en el botón "Agregar regla".

5. Introduzca las reglas de cortafuegos en la lista en orden. Observe la descripción de los parámetros en los siguientes capítulos:

Para conjuntos de reglas IP: Reglas de filtrado de paquetes IP (Página 149).

Para conjuntos de reglas MAC: Reglas para filtrado de paquetes MAC (Página 159).

6. Asigne el conjunto de reglas de cortafuegos global a los módulos de seguridad en los que se deba aplicar. Seleccione para ello el conjunto de reglas de cortafuegos global en el área de navegación y arrástrelo hasta los módulos de seguridad en el área de navegación (Drag and Drop). También puede realizar esta asignación en la lista de reglas local de un módulo de seguridad, con el botón "Agregar conjuntos de reglas...".

Resultado El conjunto de reglas de cortafuegos global es utilizado como conjunto de reglas local por los módulos de seguridad y aparece automáticamente en las listas de reglas de cortafuegos específicas de los módulos.

Consulte también Conjuntos de reglas de cortafuegos globales - Convenios (Página 141)

4.3.3 Conjuntos de reglas IP específicos de usuario

Significado En primer lugar se asignan uno o varios usuarios a los conjuntos de reglas IP específicos del usuario. A continuación se asignan los conjuntos de reglas IP específicos del usuario a uno o varios módulos de seguridad. De ese modo es posible permitir accesos específicos de usuario. Si, p. ej. están bloqueados de forma predeterminada todos los accesos a las redes situadas después de un módulo de seguridad, podrán habilitarse temporalmente determinados dispositivos para un usuario mediante sus direcciones IP. El usuario tiene así el acceso permitido, mientras que este permanece bloqueado para otros usuarios. Las respuestas a accesos personalizados se permiten siempre de forma automática. Así pues, solo deben configurarse reglas IP para el sentido de iniciación.

Inicio de sesión del usuario a través de Internet El usuario puede iniciar sesión a través de la página web del módulo de seguridad en la interfaz externa o de la interfaz DMZ. Si la autenticación es correcta se activa el conjunto de reglas IP definido para el usuario en relación a la dirección IP del dispositivo desde el que se ha realizado el inicio de sesión.

La conexión con la página web del módulo de seguridad se realiza vía HTTPS utilizando la dirección IP del puerto enlazado y observando las reglas de enrutamiento aplicables:



Ejemplo:

Interfaz externa: 192.168.10.1

La página de inicio de sesión se abre mediante: https://192.168.10.1/

Pueden iniciar sesión usuarios con cualquier rol, siempre que el usuario o el rol estén asignados a un conjunto de reglas IP específico del usuario.

Posibilidades de autenticación del usuario En función del método de autenticación que se seleccionara al crear el usuario que inicia la sesión en el módulo de seguridad, la autenticación es realizada por diferentes instancias:

● Método de autenticación "Contraseña": el módulo de seguridad realiza la autenticación.

● Método de autenticación "RADIUS": un servidor RADIUS realiza la autenticación.

Asignación de roles a conjuntos de reglas IP específicos del usuario En los módulos SCALANCE S V4 o superior también se pueden asignar conjuntos de reglas IP personalizados a los que se han asignado funciones. Esto permite habilitar un grupo de usuarios para el acceso a determinadas direcciones IP.

Si se utiliza un servidor RADIUS para la autenticación del usuario y se asigna un rol al conjunto de reglas IP específico del usuario, los usuarios no configurados en el módulo de seguridad también pueden ser autenticados por el servidor RADIUS. Estos usuarios deben estar guardados en el servidor RADIUS o en otra base de datos, donde se les debe haber asignado la función que tenga asignada el conjunto de reglas IP personalizado en SCT. Este procedimiento ofrece la ventaja de que todos los datos de usuario se guardan únicamente en el servidor RADIUS.

Encontrará más información sobre la autenticación mediante el servidor RADIUS en el siguiente capítulo: Autenticación mediante servidor RADIUS (Página 78)

Los conjuntos de reglas IP específicos del usuario se utilizan localmente - Convenios Rigen los mismos convenios que los descritos en el capítulo siguiente:

● Conjuntos de reglas de cortafuegos globales - Convenios (Página 141)

4.3.3.1 Crear y asignar conjuntos de reglas IP específicos del usuario

Cómo se accede a esa función 1. Seleccione la carpeta "Conjuntos de reglas IP específicos de usuario" en el área de

navegación

2. Elija el comando de menú "Insertar" > "Conjunto de reglas del cortafuegos".




– Nombre: designación unívoca del conjunto de reglas IP específico del usuario para todo el proyecto. El nombre aparece en la lista de reglas local del módulo de seguridad tras la asignación del conjunto de reglas.

– Descripción: introduzca una descripción del conjunto de reglas IP específico del usuario.

4. Haga clic en el botón "Agregar regla".

5. Introduzca en la lista, por orden, las reglas de cortafuegos. Tenga en cuenta la descripción de los parámetros en el capítulo siguiente:

– Reglas de filtrado de paquetes IP (Página 149)

Tenga en cuenta las particularidades de las reglas de cortafuegos generadas automáticamente por SCT para reglas NAT/NAPT:

– Relación entre router NAT/NAPT y cortafuegos específico del usuario (Página 184)

6. Asigne uno o varios usuarios y/o uno o varios roles al conjunto de reglas IP específico del usuario. La asignación de roles a conjuntos de reglas IP específicos del usuario solo es posible en módulos SCALANCE S V4.

Nota

Asignación de conjuntos de reglas IP específicos del usuario • Solo se puede asignar a un módulo de seguridad un conjunto de reglas IP específico

del usuario por usuario. • Con la asignación se activa de forma implícita para todos los usuarios o roles

asignados al conjunto de reglas IP el derecho "El usuario/rol puede iniciar sesión en el módulo".

7. Asigne el conjunto de reglas IP específico del usuario a los módulos de seguridad en los que se deba aplicar. Seleccione para ello el conjunto de reglas IP específico del usuario en el área de navegación y arrástrelo hasta los módulos de seguridad en el área de navegación (Drag and Drop). También puede realizar esta asignación en la lista de reglas local de un módulo de seguridad, con el botón "Agregar conjuntos de reglas...".



Resultado ● El conjunto de reglas IP específico del usuario es utilizado como conjunto de reglas local

por los módulos de seguridad y aparece automáticamente en la lista de reglas de cortafuegos específica de los módulos.

● El usuario puede iniciar sesión en el módulo de seguridad. La autenticación del usuario es realizada por el módulo de seguridad o por un servidor RADIUS, en función del método de autenticación ajustado.

Rangos de valores para una duración máxima de sesión El tiempo tras el cual se cierra automáticamente la sesión del usuario puede definirse al crear o editar un usuario y, por lo general, es de 30 minutos. La duración de la sesión puede alargarse en la página web del módulo de seguridad, editando el valor asignado al usuario.

Encontrará más información sobre la creación de usuarios en el siguiente capítulo: Administrar usuarios (Página 67)

4.3.4 Reglas de cortafuegos automáticas referidas a conexiones

Reglas de cortafuegos creadas automáticamente en SCT Para la siguiente aplicación se crean reglas de cortafuegos automáticamente:

● Conexiones configuradas en STEP 7



Reglas de cortafuegos para conexiones configuradas Si hay conexiones creadas en STEP 7, en la SCT se generan automáticamente reglas de cortafuegos para ellas. Para ello se realiza una comparación de sistema entre STEP 7 y SCT, en la que se comprueban todas las conexiones del proyecto. Se comparan automáticamente la dirección IP/MAC, la acción y la interfaz para cada interlocutor. Para cada interlocutor se generan 2 reglas independientemente del número de conexiones.

Nota

Habilitar manualmente conexiones UDP Multicast y UDP Broadcast

Para las conexiones UDP Multicast y UDP Broadcast no se crean reglas de cortafuegos automáticas. Para habilitar las conexiones, inserte las correspondientes reglas de cortafuegos manualmente en el modo avanzado.

Dependiendo de cómo esté configurado el establecimiento de conexión en STEP 7, en SCT se crean las siguientes reglas de cortafuegos de 3 niveles. Si el módulo de seguridad se encuentra en un grupo VPN, el sentido "Externa" cambia a "Túnel".

En las columnas "Dirección IP de origen" y "Dirección IP de destino" de estas reglas del cortafuegos se introduce en cada caso la dirección IP del interlocutor. CP->externa Acción De A Activo Allow Estación Externa

Drop Externa Estación Pasivo Drop Estación Externa

Allow Externa Estación Activo y pasivo Allow Externa Estación

Allow Estación Externa

CP->interna Acción De A Activo Allow Estación Interna

Drop Interna Estación Pasivo Drop Estación Interna

Allow Interna Estación Activo y pasivo Allow Interna Estación

Allow Estación Interna

Para las conexiones de nivel 2 se crean reglas "Allow" para ambos sentidos. Si el módulo de seguridad se encuentra en un grupo VPN, el sentido "Externa" cambia a "Túnel".



En las columnas "Dirección MAC de origen" y "Dirección MAC de destino" de estas reglas del cortafuegos se introduce en cada caso la dirección MAC del interlocutor. CP->externa Acción De A activo, pasivo, activo y pasivo Allow Estación Externa

Allow Externa Estación

Convenios para reglas de cortafuegos creadas automáticamente ● Prioridad

Las reglas tienen la máxima prioridad, por lo que en la lista de reglas se incorporan en la parte superior.

● Borrar reglas

Los conjuntos de reglas no se pueden borrar. El registro puede activarse y pueden asignarse servicios. Además es posible insertar un ancho de banda y un comentario.

● Cambiar una acción

Si en la SCT cambia la acción "Allow" a "Drop" o vice versa, estos se sobrescribirán en la siguiente comparación del sistema. Si los cambios realizados deben conservarse, elija como acción "Allow*" o "Drop*". En ese caso solo se compara la dirección IP/MAC con STEP 7, y la acción y el sentido se mantienen de la forma ajustada. Los ajustes de registro, servicio, ancho de banda y comentario se conservan cuando se produce una nueva comparación de sistema aunque no se cambie la acción a "Allow*" o "Drop*". Si la conexión correspondiente no está disponible en STEP 7, la regla se borra de la lista.



Módulo de seguridad en grupo VPN La casilla de verificación "Solo comunicación tunelada" está activada de forma predeterminada. Si se desactiva la casilla de verificación, además de la comunicación tunelada entre interlocutores tunelados existe la posibilidad de establecer comunicación con otros dispositivos de red con los que no existen túneles.

● La comunicación se produce fuera del túnel si la dirección del interlocutor pertenece a una estación conocida en la SCT con la que no hay configurado ningún túnel VPN.

● La comunicación transcurre a través del túnel VPN si la dirección del interlocutor es un punto final VPN.

● Si no es posible asignar unívocamente si una conexión debe transcurrir por dentro o por fuera del túnel VPN, la conexión se asigna al túnel VPN y se muestra la indicación correspondiente. La asignación puede adaptarse en el modo avanzado, p. ej. cambiando el sentido "De" "Túnel" a "Externa". Para que esta adaptación no se sobrescriba de nuevo al realizarse otra comparación del sistema, debe seleccionarse la acción "Allow*" o "Drop*".

Nota

En caso de ser necesario garantizar que solo sea posible la comunicación a través del túnel, cree las reglas de cortafuegos correspondientes en el modo de cortafuegos avanzado, p. ej. para dispositivos internos o direcciones NDIS.

Para permitir exclusivamente la comunicación tunelada para un CP, inserte una regla con los ajustes siguientes: • "Acción": "Drop" • "De": "Any" • "A": "Externa"

Para CP 1628 debe insertarse una regla con los ajustes siguientes: • "Acción": "Drop" • "De": "Estación" • "A": "Externa"

Además, deben eliminarse las reglas de cortafuegos existentes que permitan una comunicación sin túnel.

4.3.5 Ajuste de reglas de filtros de paquetes IP locales Por medio de reglas de filtrado de paquetes IP se pueden filtrar telegramas IP como por ejemplo telegramas UDP, TCP, ICMP.

Dentro de una regla de filtro de paquetes IP puede recurrir a definiciones de servicios para así delimitar aún más los criterios de filtrado. Si no indica ningún servicio, la regla de paquetes IP es válida para todos los servicios.



Abrir el cuadro de diálogo para reglas locales de filtrado de paquetes IP SCT: Seleccione el módulo de seguridad que desea editar y elija el comando de menú "Editar" > "Propiedades…", ficha "Cortafuegos".

STEP 7: Haga clic en el botón "Ejecutar" de la ficha "Firewall" que está ubicado junto a "Inicio de la configuración de seguridad" en la ficha "Seguridad".

Registrar reglas de filtrado de paquetes IP Introduzca correlativamente las reglas de cortafuegos en la lista; observe la siguiente descripción de parámetros y los ejemplos en el capítulo siguiente o en la Ayuda en pantalla.

Utilizar los conjuntos de reglas globales y definidas por el usuario Los conjuntos de reglas de cortafuegos globales y los conjuntos de reglas IP específicos del usuario asignados al módulo de seguridad se adoptan automáticamente en la lista de reglas local. Si el conjunto de reglas asignado aparece al final de la lista, se procesará con la prioridad más baja. Es posible modificar la prioridad cambiando la posición en la lista de reglas.

La Ayuda en pantalla le explica el significado de los distintos botones.

4.3.6 Reglas de filtrado de paquetes IP Las reglas de filtrado de paquetes IP se editan según las siguientes evaluaciones:

● Parámetros registrados en la regla;

● Orden y la correspondiente prioridad de las reglas.



Parámetros La configuración de una regla IP contiene los siguientes parámetros:

Denominación Significado/comentario Posibilidades de selección/rangos de valores Acción Definición de la autorización (habili-

tación/bloqueo) • Allow

Autorizar telegramas según definición. • Drop

Bloquear telegramas según definición.

Para reglas de conexión creadas automáticamente:

• Allow* • Drop* Si selecciona estas reglas, no habrá sincronización con STEP 7. Así, las reglas modificadas no se sobrescribirán en la SCT.

De/A Las direcciones de comunicación permitidas.

Se describe en las siguientes tablas.

Dirección IP de ori-gen

Dirección de origen de los paquetes IP

Consulte el apartado siguiente de este capítulo: • Reglas de filtrado de paquetes IP (Página 149) Como alternativa se puede introducir un nombre simbólico.

Nota relacionada con el modo Ghost Si el modo Ghost está activado, la dirección IP del disposi-tivo interno se determina dinámicamente en el tiempo de ejecución desde el módulo de seguridad. Según sea el sentido seleccionado, no podrá realizar entradas en la columna "Dirección IP de origen" (con el sentido "de inter-na a externa") o en la columna "Dirección IP de destino" (con el sentido "de externa a interna"). En su lugar, la dirección IP será insertada automáticamente en la regla del cortafuegos por el SCALANCE S.

Dirección IP de des-tino

Dirección de destino de los paquetes IP

Servicio Nombre del servicio IP/ICMP utilizado o del grupo de servicios. Con ayuda de definiciones de ser-vicios se pueden definir reglas de filtrado de paquetes. Seleccione aquí uno de los servicios que ha definido en el cuadro de diálogo para servicios IP: • Servicios IP • Servicios ICMP • Grupo de servicios que incluye

servicios IP y/o ICMP Si no se ha definido aún ningún ser-vicio o si desea definir otro servicio, pulse el botón "Servicios IP..." (en la ficha "Reglas IP") o "Servicios MAC..." (en la ficha"Reglas MAC").

La lista desplegable le ofrece los servicios y grupos de servicios configurados, para su selección. Ninguna indicación significa: no se comprueba ningún servicio, la regla es válida para todos los servicios. Nota: Para que los servicios IP predefinidos aparezcan e la lista desplegable, actívelas primero en el modo normal.



Denominación Significado/comentario Posibilidades de selección/rangos de valores Ancho de banda (Mbits/s)

Posibilidad de ajuste de una lim-itación del ancho de banda. Solo puede introducirse si para la acción está seleccionado "Allow". Un paquete pasa el cortafuegos si la regla de paso es correcta y si no se ha sobrepasado aún el ancho de banda permitido para esa regla.

CP x43-1 Adv. y SCALANCE S < V3.0: 0.001 ... 100 CP 1628 y SCALANCE S ≥ V3.0: 0.001 ... 1000 Para reglas de conjuntos de reglas globales y específicos de usuario: 0.001 ... 100

Registro Activación o desactivación del regis-tro para esta regla. Encontrará infor-mación sobre los ajustes de registro en el capítulo siguiente: Registro de eventos (Logging) (Pági-na 259)

N.º Número de regla adjudicado automát-icamente para asignar los paquetes registrados a una regla de corta-fuegos configurada. Los números se calculan de nuevo cuando se desplazan reglas.

Stateful Si esta casilla de verificación está desactivada para una regla IP con la acción "Allow", no se generan States de cortafuegos por medio de paquetes que cumplen la regla Allow. Los States de cortafuegos hacen que las respuestas a paquetes permitidos se permitan automáticamente. Solo puede adaptarse si para la ac-ción está seleccionado "Allow". La configuración de reglas IP sin States de cortafuegos solo es posible para módulos SCALANCE S con firmware V3 o superior. Si también deben permitirse respuestas a paquetes que han pasado el cortafuegos en base a este tipo de reglas IP, deben configu-rarse reglas IP adicionales para di-chas respuestas.

Comentario Espacio para explicación propia de la regla.

Si un comentario está marcado con "AUTO", significa que ha sido creado automáticamente para una regla de conex-ión.

Tabla 4- 11 Sentidos de CP

Posibilidades de selec-ción/rangos de valores

Módulo de seguridad Significado

De A CP x43-1 Adv.

CP 1628

Interna Estación x - Acceso de la red interna a la estación.





Any x - Acceso de la red interna a la externa, el interlocutor de túnel VPN y la estación.

Externa Estación x x Acceso de la red externa a la estación. Any x - Acceso de la red externa a la interna y a la estación.

Estación Interna x - Acceso desde la estación a la red interna. Externa x x Acceso desde la estación a la red externa. Túnel x x Acceso desde la estación al interlocutor de túnel VPN.

Túnel Estación x x Acceso a la estación a través del interlocutor de túnel VPN. Any x - Acceso del interlocutor de túnel VPN a la red interna y a la es-

tación. Any Externa x - Acceso desde la red interna y la estación a la red externa.

Tabla 4- 12 Sentidos de SCALANCE S

Posibilidades de selección/rangos de valores


De A S602 S61x S623 / S627-2M Interna Externa x x x

Túnel - x x Any - x x DMZ - - x Interna x x x

Externa Interna x x x Any - - x Túnel - - x DMZ - - x

Túnel Interna - x x Externa - x x DMZ - - x

Any Interna - x x Externa - - x DMZ - - x

DMZ Interna - - x Externa - - x Any - - x Túnel - - x



Orden de la evaluación de reglas por el módulo de seguridad Las reglas de filtrado de paquetes se evalúan de la siguiente forma:

● La lista se analiza de arriba a abajo; en caso de reglas contradictorias (p. ej. entradas con indicaciones de sentido idénticas pero acciones distintas) vale por lo tanto siempre la entrada de más arriba.

● En el caso de reglas para comunicación entre las redes interna, externa y DMZ, rige lo siguiente: están bloqueados todos los telegramas excepto los permitidos explícitamente en la lista.

● En el caso de reglas para la comunicación en y desde el sentido túnel IPsec, rige lo siguiente: están permitidos todos los telegramas excepto los bloqueados explícitamente en la lista.

Ejemplo

Las reglas de filtrado de paquetes representadas provocan el siguiente comportamiento:



① Todos los tipos de telegramas de interno hacia externo están bloqueados como estándar, excepto los permitidos

explícitamente. ② Todos los tipos de telegramas de externo hacia interno están bloqueados como estándar, excepto los permitidos

explícitamente. ③ La regla 1 de filtrado de paquetes IP permite telegramas con la definición de servicio "Service X1" de interna hacia

externa. ④ La regla 2 de filtrado de paquetes IP permite telegramas de externo a interno si se cumple:

• Dirección IP del remitente: 196.65.254.2 • Dirección IP del destinatario: 197.54.199.4 • Definición de servicio: "Service X2"

⑤ La regla 3 de filtrado de paquetes IP bloquea telegramas con la definición de servicio "Service X1" que se envían del túnel VPN a la red interna.

⑥ La comunicación por túneles IPsec está permitida de forma predeterminada, excepto para los tipos de telegramas bloqueados explícitamente.

Consulte también Reglas para filtrado de paquetes MAC (Página 159)

Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 269)

Direcciones IP en reglas de filtrado de paquetes IP La dirección IP consta de 4 números decimales en el campo de valores de 0 a 255, separados entre sí por un punto; ejemplo: 141.80.0.16



En la regla de filtrado de paquetes tiene las siguientes posibilidades de indicar direcciones IP:

● ninguna indicación

No tiene lugar ninguna comprobación; la regla es válida para todas las direcciones IP.

● una dirección IP

La regla es válida exactamente para la dirección indicada.

● Varias direcciones IP

La regla es válida para las direcciones IP indicadas.

Las direcciones se muestran separadas por un punto y coma.

● Banda de direcciones

La regla es válida para todas las direcciones IP incluidas en la banda de direcciones.

Una banda de direcciones se define indicando la cantidad de posiciones de bits válidas en la dirección IP, a saber en la siguiente forma: [Dirección IP]/[Cantidad de bits a considerar]

– [Dirección IP]/24 significa por consiguiente que solo los 24 bits de mayor valor de la dirección IP se tienen en cuenta en la regla de filtrado; se trata de las tres primeras posiciones de la dirección IP.

– [Dirección IP]/25 significa que solo se tienen en cuenta en la regla de filtrado las tres primeras posiciones y el bit de valor más alto de la cuarta posición de la dirección IP.

● Área de direcciones

Para la dirección IP de origen puede indicarse un área de direcciones separada por un guión:

[Dirección IP inicial]-[dirección IP final]

Encontrará más información en el capítulo siguiente:

● Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red (Página 269)

Tabla 4- 13 Ejemplos de banda de direcciones IP

Dirección IP de origen o dirección IP de destino

Banda de direcciones Número de direcciones

de a 192.168.0.0/16 192.168.0.0 192.168.255.255 65.536 192.168.10.0/24 192.168.10.0 192.168.10.255 256 192.168.10.0/25 192.168.10.0 192.168.10.127 128 192.168.10.0/26 192.168.10.0 192.168.10.63 64 192.168.10.0/27 192.168.10.0 192.168.10.31 32 192.168.10.0/28 192.168.10.0 192.168.10.15 16 192.168.10.0/29 192.168.10.0 192.168.10.7 8 192.168.10.0/30 192.168.10.0 192.168.10.3 4



4.3.7 Definir servicios IP

Cómo se accede a esa función ● Con el comando de menú "Opciones" > "Servicios IP...".

o bien

● Desde la ficha "Reglas IP", con el botón "Servicios IP...".

Significado Con ayuda de definiciones de servicios IP se pueden definir de forma compacta y clara reglas de firewall que se aplican a diferentes servicios. Para esto se adjudica un nombre, al que se asignan los parámetros de servicio.

Además, los servicios así definidos se pueden reunir a su vez en grupos, con un nombre de grupo.

Para la configuración de las reglas de filtrado de paquetes globales o locales se utilizan entonces esos nombres.

Parámetros para servicios IP Los servicios IP se definen a través de los siguientes parámetros:

Tabla 4- 14 Servicios IP: Parámetros

Denominación Significado/comentario Posibilidades de selec-ción/rangos de valores

Nombre Nombre de libre definición para el servicio; se utiliza para la identificación en la definición de reglas o en el agrupamiento.

Entrada libre

Protocolo Nombre del tipo de protocolo TCP UDP Todos

Source Port Se filtra a partir del número de puerto aquí indicado; este define el acceso al servicio para el remitente de los telegramas.

Si se selecciona el protocolo "Todos" no es posible indicar el puerto. Ejemplos: *: Puerto no se comprueba 20 ó 21: Servicio FTP

Target Port Se filtra a partir del número de puerto aquí indicado; este define el acceso al servicio para el destinatario de los telegramas.

Si se selecciona el protocolo "Todos" no es posible indicar el puerto. Ejemplos: *: Puerto no se comprueba 80: Web-HTTP-Service 102: S7-Protocol - TCP/Port



4.3.8 Definir servicios ICMP Con ayuda de las definiciones de servicios ICMP se pueden definir reglas de cortafuegos, que se aplican a diferentes servicios. Para esto se adjudica un nombre, al que se asignan los parámetros de servicio. Los servicios definidos se pueden reunir a su vez en grupos, con un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes se utilizan entonces esos nombres.

Así se llega a esa función ● Con el comando de menú "Opciones" > "Servicios IP...", ficha "ICMP"

o

● Desde la ficha "Reglas IP", con el botón "Servicios IP...", ficha "ICMP"

Parámetros para servicios ICMP Los servicios ICMP se definen a través de los siguientes parámetros:

Tabla 4- 15 Servicios ICMP: Parámetros

Denomi-nación

Significado/comentario Posibilidades de selección / campos de valores

Name Nombre de libre definición para el servicio; se utiliza para la identificación en la definición de reglas o en el agrupamiento.

Entrada libre

Type Tipo del mensaje ICMP Véase la representación del cuadro de diálogo

Code Códigos del tipo ICMP Los valores dependen del tipo seleccionado.



4.3.9 Ajustar reglas para filtrado de paquetes MAC Por medio de reglas para filtrado de paquetes MAC se pueden filtrar telegramas MAC.

Nota Sin reglas MAC con el modo de enrutamiento activado

Si ha activado el modo de enrutamiento para el módulo SCALANCE S, no tienen aplicación las reglas de MAC.

Cuadro de diálogo / ficha Seleccione el módulo de seguridad que desea editar.

Para configurar el cortafuegos, elija el comando de menú "Edición" > "Propiedades...", ficha "Cortafuegos> "Reglas MAC".

Introducir reglas de filtrado de paquetes Introduzca correlativamente las reglas de cortafuegos en la lista; observe la siguiente descripción de parámetros y los ejemplos en el capítulo siguiente o en la Ayuda en pantalla.



Utilización de reglas de cortafuegos globales Los conjuntos de reglas de cortafuegos globales asignados al módulo de seguridad se adoptan automáticamente en la lista de reglas locales. Si el conjunto de reglas asignado aparece al final de la lista, se procesará con la prioridad más baja. Es posible modificar la prioridad cambiando la posición en la lista de reglas.

La Ayuda en pantalla le explica el significado de los distintos botones.

4.3.10 Reglas para filtrado de paquetes MAC Las reglas de filtrado de paquetes MAC se editan según las siguientes evaluaciones:

● Parámetros registrados en la regla;

● Prioridad de las reglas dentro del conjunto de reglas.



Reglas para filtrado de paquetes MAC La configuración de una regla MAC contiene los siguientes parámetros:

Tabla 4- 16 Reglas MAC: Parámetros

Denominación Significado/comentario Posibilidades de selección/rangos de valores Acción Definición de la autorización (habili-

tación/bloqueo) • Allow

Autorizar telegramas según definición. • Drop

Bloquear telegramas según definición.

Para reglas de conexión creadas automáticamente:

• Allow* • Drop* Si selecciona estas reglas, no habrá sincronización con STEP 7. Así, las reglas modificadas no se sobrescribirán en la SCT.

De/A Las direcciones de comunicación permitidas.

Se describen en las siguientes tablas.

Dirección MAC de origen

Dirección de origen de los paquetes MAC

Como alternativa se puede introducir un nombre simbólico.

Dirección MAC de destino

Dirección de destino de los paquetes MAC

Servicio Nombre del servicio MAC o del grupo de servicios utilizado. "Any" agrupa las direcciones per-mitidas para la entrada en cuestión.

La lista desplegable le ofrece los servicios y grupos de servicios configurados, para su selección. Ninguna indicación significa: no se comprueba ningún ser-vicio, la regla es válida para todos los servicios. Nota: Para que los servicios MAC predefinidos aparezcan en la lista desplegable, actívelos primero en el modo normal.

Ancho de banda (Mbits/s)

Posibilidad de ajuste de una lim-itación del ancho de banda. Solo puede introducirse si para la acción está seleccionado "Allow". Un paquete pasa el cortafuegos si la regla de paso es correcta y si no se ha sobrepasado aún el ancho de banda permitido para esa regla.

CP x43-1 Adv. y SCALANCE S ≤ V3.0: 0.001 ... 100 CP 1628 y SCALANCE S ≥ V3.0: 0.001 ... 1000 Para reglas de conjuntos de reglas globales y específicos de usuario: 0.001 ... 100

Registro Activación o desactivación del regis-tro para esta regla.

N.º Número adjudicado automáticamen-te para la asignación a una regla de cortafuegos configurada. Los númer-os se calculan de nuevo cuando se desplazan reglas.

Comentario Espacio para explicación propia de la regla

Si un comentario está marcado con "AUTO", significa que ha sido creado para una regla de conexión automática.



Direcciones permitidas Pueden ajustarse las siguientes direcciones:

Tabla 4- 17 Direcciones de cortafuegos CP



De A CP x43-1 Adv. CP 1628 Externa Estación x x Acceso de la red externa a la es-

tación. Estación Externa x x Acceso desde la estación a la red

externa. Túnel x x Acceso desde la estación al interlocu-

tor de túnel VPN. Túnel Estación x x Acceso a la estación a través del

interlocutor de túnel VPN.

Tabla 4- 18 Sentidos de cortafuegos SCALANCE S

Posibilidades de selección/rangos de valores


De A S602 S61x S623 / S627-2M Interna Externa x x x

Túnel - x x Any - x x

Externa Interna x x x Any - - x Túnel - - x

Túnel Interna - x x Externa - x x

Any Interna - x x Externa - - x



Evaluación de reglas por el módulo de seguridad Las reglas de filtrado de paquetes se evalúan de la siguiente forma:

● La lista se evalúa de arriba hacia abajo; si hay reglas contradictorias, vale la entrada situada más arriba.

● En el caso de las reglas para la comunicación en o desde el sentido "Externa", rige para todos los telegramas no registrados explícitamente: están bloqueados todos los telegramas excepto los permitidos explícitamente en la lista.

● En el caso de las reglas para la comunicación en o desde el sentido "Túnel", rige para todos los telegramas no registrados explícitamente: están permitidos todos los telegramas excepto los bloqueados explícitamente en la lista.

Nota

Las reglas de IP sirven para paquetes de IP, las reglas MAC sirven para paquetes de nivel 2 (Layer-2)

Para el cortafuegos se pueden definir tanto reglas IP como reglas MAC. La edición en el cortafuegos se regula con el tipo de ethernet del paquete.

Los paquetes IP se redirigen o se bloquean dependiendo de las reglas de IP, y los paquetes de nivel 2 (Layer 2) se redirigen o se bloquean dependiendo de las reglas MAC.

No es posible filtrar un paquete IP respecto a una dirección MAC con la ayuda de una regla de cortafuegos MAC.

Ejemplos El ejemplo del filtro de paquetes IP del capítulo 5.4.3 (Página 149) se puede utilizar por analogía para las reglas de filtrado de paquetes MAC.

4.3.11 Definir servicios MAC

Cómo se accede a esa función ● Con el comando de menú "Opciones" > "Servicios MAC...".

o bien

● Desde la ficha "Reglas MAC", con el botón "Servicios MAC".

Significado Con ayuda de las definiciones de servicios MAC se pueden definir reglas de cortafuegos, que se aplican a servicios determinados. Se adjudica un nombre, al que se asignan los parámetros de servicio. Además, los servicios definidos de este modo se pueden reunir en grupos, con un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes globales o locales se utilizan entonces esos nombres.



Parámetros para servicios MAC Una definición de servicio MAC contiene una categoría de parámetros MAC específicos del protocolo:

Tabla 4- 19 Parámetros de servicios MAC

Denominación Significado/comentario Posibilidades de selección/rangos de valores

Nombre Nombre de libre definición para el servicio; se utiliza para la identificación en la definición de reglas o en el agru-pamiento.

Entrada libre

Protocolo Nombre del tipo de protocolo: • ISO

ISO designa telegramas con las siguientes propie-dades:

Lengthfield <= 05DC (hex), DSAP= userdefined SSAP= userdefined CTRL= userdefined

• SNAP

SNAP designa telegramas con las siguientes propie-dades:

Lengthfield <= 05DC (hex), DSAP=AA (hex), SSAP=AA (hex), CTRL=03 (hex), OUI=userdefined, OUI-Type=userdefined

• PROFINET IO

• ISO • SNAP • PROFINET IO • 0x (entrada de código)

DSAP Destination Service Access Point: Dirección de destina-tario LLC

SSAP Source Service Access Point: Dirección de remitente LLC

CTRL LLC Control Field OUI Organizationally Unique Identifier (los 3 primeros bytes

de la dirección MAC = identificación del fabricante)

Tipo OUI Tipo de protocolo/identificación *) Las entradas de protocolo 0800 (hex) y 0806 (hex) no se aceptan, ya que estos valores se aplican a telegramas IP o ARP.



Nota Procesamiento para CPs S7

Solo se procesan ajustes para frames ISO con DSAP=SSAP=FE (hex). Cualquier otro tipo de frame no es relevante para CPs S7, por lo que ya es rechazado por el cortafuegos antes del procesamiento.

Ajustes especiales para servicios SIMATIC NET Utilice para el filtrado de servicios especiales SIMATIC NET los siguientes ajustes de SNAP:

● DCP (Primary Setup Tool):

PROFINET IO

● SiCLOCK:

OUI= 08 00 06 (hex), OUI-Type= 01 00 (hex)

4.3.12 Configurar grupos de servicios

Formación de grupos de servicios Varios servicios se pueden reunir formando grupos de servicios. De este modo se pueden crear servicios más complejos que entonces se pueden utilizar en las reglas de filtrado de paquetes seleccionando simplemente un nombre.

Cuadro de diálogo / ficha Abra el cuadro de diálogo con el siguiente comando de menú: "Opciones" > "Servicios IP..." o bien "Servicios MAC...", ficha "Grupos de servicios".



4.3.13 Adaptar reglas estándar para servicios IP

Cómo se accede a esa función: 1. Seleccione el módulo de seguridad que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades..." > ficha "Cortafuegos" > ficha "Reglas estándar para servicios IP".

Significado de los ajustes avanzados Parámetros Significado en la activación Utilizar opciones de estado ampliadas Si se activa esta casilla de verificación se limitan las conex-

iones y los estados del cortafuegos para los dispositivos de red. Estas limitaciones son: • máx. 200 conexiones en 5 segundos • máx. 2000 estados del cortafuegos Si un dispositivo de red rebasa estas limitaciones, su direc-ción IP se incluye en la lista negra de IP del módulo de seguridad. En este caso, el dispositivo ya no puede volver a comunicarse a través del módulo de seguridad. La lista negra de IP del módulo de seguridad puede verse en el modo online.

Registrar todas las reglas activadas Se registran los paquetes permitidos según las reglas estándar para los servicios IP.

Habilitar test ICMP para interfaces Las solicitudes ping que entran en otra interfaz del módulo de seguridad pueden transferirse a otras interfaces. De este modo, desde la red externa pueden realizarse por ejemplo solicitudes ping a la interfaz interna del módulo de seguri-dad.

Significado de las reglas de cortafuegos estándar En este cuadro de diálogo existe la posibilidad de adaptar las reglas de cortafuegos específicas del servicio que están ajustadas de forma estándar para las interfaces de los módulos de seguridad. Los ajustes estándar del cuadro de diálogo equivalen a las reglas de cortafuegos estándar del módulo de seguridad correspondiente.



Reglas de cortafuegos estándar para SCALANCE S En la tabla siguiente se listan las reglas de cortafuegos estándar para los módulos SCALANCE S. En parte, las reglas de cortafuegos solo están activas cuando se utiliza el servicio correspondiente en el módulo de seguridad (p. ej. SNMP).

Servicio Sentido Interfaz X1

(rojo) Interfaz X2 (verde)

Interfaz X3 (amarillo)

Interfaz de túnel

Enrutamiento por interfaz saliente - x - - HTTPS x x* x x* ICMP entrante - x - x

ICMP Pathfinder saliente - x - -

SNMP entrante x x x x Syslog saliente x x x x NTP saliente x x x x DNS saliente x x x x HTTP saliente x - x - VPN (IKE) x - x - VPN (NAT Traversal) x - x - Servidor BootP entrante - x x - Cliente BootP saliente - x x - RADIUS saliente x x x x

CARP saliente x* x* - -

Pfsync saliente - - x* -

x activado de forma predeterminada

- desactivado de forma predeterminada

* no puede adaptarse

Reglas de cortafuegos estándar para CP S7 En la tabla siguiente se listan las reglas de cortafuegos estándar para CP S7. Las reglas del cortafuegos solo están ajustadas cuando está activado el servicio correspondiente en la Security Configuration Tool.

Servicio Sentido Externa (Gbit) Interna (PN IO) VPN (IKE) x* -* VPN (NAT Traversal) x* -* Servidor BootP saliente x* x* Cliente BootP entrante x* x*

x activado de forma predeterminada



- desactivado de forma predeterminada

* no puede adaptarse

Los dos servicios "Servidor BootP" y "Cliente BootP" están activos a la vez en la interfaz externa o en la interna. Como resultado, las dos reglas de cortafuegos están activas en la interfaz externa o en la interna.


Configuración de otras propiedades de los módulos 5 5.1 Módulo de seguridad como router

5.1.1 Sinopsis

Significado Al utilizar el módulo de seguridad como router, las redes de la interfaz interna, externa y DMZ (solo SCALANCE S623/S627-2M, véase el apartado más abajo) se convierten en subredes separadas.

Existen las siguientes posibilidades:

● Enrutamiento: ajustable en los modos normal y avanzado

● Enrutamiento NAT/NAPT: ajustable en el modo avanzado

Todas las solicitudes de red que no pertenecen a una subred se transfieren a otra subred a través de un router; véase el capítulo siguiente:

● Definir un router predeterminado y rutas (Página 170)

Activar el modo de enrutamiento o la interfaz DMZ - Ficha "Interfaces"

Si se ha activado el modo de enrutamiento o la interfaz DMZ, se transmiten los telegramas dirigidos a una dirección IP existente en la respectiva subred (interna, externa o DMZ). Por lo demás son válidas las reglas de cortafuegos configuradas para el respectivo sentido de transmisión.

Para este modo de operación tiene que configurar en la ficha "Interfaces" para la interfaz interna y/o la interfaz DMZ una dirección IP y una máscara de subred para el direccionamiento del router en la subred interna y/o la subred DMZ. Todas las solicitudes de red que no pertenecen a una subred se transfieren a otra subred a través del router estándar.

Nota

A diferencia del modo de puente del módulo de seguridad, en el modo de enrutamiento se pierden los identificadores VLAN.

Configuración de otras propiedades de los módulos 5.1 Módulo de seguridad como router


Modo de puente y enrutamiento en el SCALANCE S623/S627-2M La red DMZ es siempre una subred separada. La diferencia entre el modo de puente y el modo de enrutamiento radica en la división de las redes externa e interna:

● Modo de operación "Puente": las redes interna y externa están en la misma subred; la red DMZ está en una subred separada.

● Modo de operación "Enrutamiento": las redes interna y externa están cada una en una subred propia; la red DMZ está en otra subred separada.

5.1.2 Definir un router predeterminado y rutas


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Routing".

3. Si registra la dirección IP/el FQDN para el router estándar, todas las rutas se encaminan por ese router, siempre que no sean aplicables rutas específicas. Las rutas específicas se introducen en el área de entrada "Rutas".

4. Haga clic en el botón "Agregar ruta".

5. Introduzca los valores siguientes:

Parámetro Función Valor de ejemplo ID de red Las solicitudes a dispositivos de la subred con la ID de

red indicada aquí y la máscara de subred indicada se envían a la subred por la dirección IP de router indica-da. A partir de la ID de red, el router reconoce si una direc-ción de destino está en la subred o fuera de ella. La ID de red indicada no puede estar en la misma subred que la dirección IP del módulo de seguridad.

192.168.11.0

Máscara de subred La máscara de subred estructura la red. A partir de la ID de red y de la máscara de subred, el router reconoce si una dirección de destino está en la subred o fuera de ella. La máscara de subred que debe indic-arse no puede limitarse a un único dispositivo de red (255.255.255.255).

255.255.255.0

Dirección IP del router

Dirección IP/FQDN del router a través de la que se accede a la subred. La dirección IP del router debe estar en la misma sub-red que la dirección IP del módulo de seguridad.

192.168.10.2 / my-router.dyndns.org

Activar re-enrutamiento (solo para módulos SCALANCE S V3/V4)

Active esta casilla de verificación si los telegramas de la ruta introducida deben entrar y salir por la misma interfaz del módulo de seguridad (re-enrutamiento). El re-enrutamiento solo es soportado por la interfaz inter-na del módulo de seguridad.



Particularidades del router estándar

● Si en la ficha "Interfaces" está configurada la asignación de IP por "PPPoE", se ignorará

un router predeterminado configurado, ya que la ruta predeterminada siempre conduce automáticamente a través de la interfaz PPPoE.

● Si en la ficha "Interfaces" está configurada la asignación de dirección por "Dirección estática" y si el módulo de seguridad está conectado a Internet a través de un router DSL(NAPT), hay que especificar el router DSL como router predeterminado.

● Para los módulos de seguridad del modo Ghost (solo SCALANCE S602 ≥ V3.1) no pueden configurarse routers estándar, ya que se determinan en el tiempo de ejecución. El modo Ghost no permite configurar rutas específicas para los módulos de seguridad.

5.1.3 Enrutamiento NAT/NAPT

Requisitos ● El proyecto se encuentra en el modo avanzado.

● El módulo de seguridad se encuentra en el modo de enrutamiento o la interfaz DMZ (solo SCALANCE S623 / S627-2M) está activada.


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "NAT/NAPT".

3. Según se requiera, active una conversión de direcciones según NAT (Network Address Translation) o NAPT (Network Address Port Translation).

Conversión de direcciones con NAT (Network Adress Translation) NAT es un protocolo para la conversión de direcciones entre dos áreas de direcciones. La principal tarea es la conversión de direcciones IP privadas en públicas, es decir, en direcciones IP utilizadas y enrutadas en Internet. De ese modo se consigue que las direcciones IP de la red interna no se conozcan en la red externa. Los dispositivos internos solo se pueden ver en la red externa a través de las direcciones IP externas definidas en la lista de conversión de direcciones (tabla NAT). El hecho de que la dirección IP externa no sea la dirección del módulo de seguridad y que la dirección IP interna no sea unívoca se denomina 1:1 NAT. Con 1:1 NAT la dirección interna se convierte a esta dirección externa sin conversión de puerto. En cualquier otro caso será n:1 NAT.



Conversión de direcciones con NAPT (Network Address Port Translation) La conversión de direcciones en NAPT modifica la dirección IP de destino y el puerto de destino en una relación de comunicación (reenvío de puerto).

Se convierten telegramas procedentes de la red externa o la red DMZ y destinados a la dirección IP del módulo de seguridad. Si el puerto de destino del telegrama es idéntico a uno de los valores de la columna "Source Port", el módulo de seguridad sustituye la dirección IP de destino y el puerto de destino de la forma indicada en la fila correspondiente de la tabla NAPT. En la respuesta, el módulo de seguridad aplica como dirección IP de origen y puerto de origen los valores que figuran como dirección IP de destino o puerto de destino en el telegrama inicial.

La diferencia respecto a NAT consiste en que en este protocolo también se pueden convertir puertos. Ya no hay una conversión 1:1 de la dirección IP. Solo existe una dirección IP pública, que se convierte agregando números de puerto a una serie de direcciones IP privadas.

Conversión de direcciones en los túneles VPN La conversión de direcciones con NAT/NAPT también se puede realizar para relaciones de comunicación establecidas a través de túneles VPN. Esto se soporta para los interlocutores del tipo SCALANCE M (solo NAT 1:1) y SCALANCE S612 / S623 / S627-2M V4.

Encontrará más información sobre las conversiones de direcciones en túneles VPN en los siguientes capítulos:

● Conversión de direcciones con NAT/NAPT (Página 173)

● Conversión de direcciones con NAT/NAPT en túneles VPN (Página 180)

Conversión de reglas NAT/NAPT de proyectos antiguos SCT V4.0 cambió el modo de configuración de las reglas NAT/NAPT y de las reglas de cortafuegos correspondientes. Si desea adaptar o ampliar en SCT V4.0 las reglas NAT/NAPT de un proyecto creado con SCT V3.0/V3.1, primero debe convertir las reglas NAT/NAPT a SCT V4.0. Para ello, seleccione en el menú contextual de una regla NAT/NAPT el comando de menú "Convertir todas las reglas NAT/NAPT a SCT V4" o "Convertir las reglas NAT/NAPT seleccionadas a SCT V4". De este modo, para las reglas NAT/NAPT convertidas SCT genera automáticamente reglas de cortafuegos que habilitan la comunicación en el sentido de conversión de direcciones configurado. A continuación, modifique o elimine las reglas de cortafuegos que ha generado manualmente para las reglas NAT/NAPT si contradicen las reglas de cortafuegos generadas de forma automática. Después, realice las adaptaciones y/o ampliaciones que desee de las reglas NAT/NAPT y de cortafuegos.

Reglas que deben considerarse en la comprobación de coherencia Observe entre otras las reglas siguientes con el fin de obtener entradas coherentes:

● La dirección IP de la interfaz interna no debe utilizarse en la tabla NAT/NAPT.

● Una dirección IP utilizada en la lista de conversión de direcciones NAT/NAPT no debe ser dirección Multicast ni dirección Broadcast.



● Los puertos externos asignados a la conversión NAPT han de estar en el rango > 0 y ≤ 65535.

Quedan excluidos los puertos 123 (NTP), 443 (HTTPS), 514 (Syslog), 161 (SNMP), 67+68 (DHCP) y 500+4500 (IPsec), siempre que estén activados los servicios correspondientes en el módulo de seguridad.

● La dirección IP externa del módulo de seguridad o la dirección IP de la interfaz DMZ solo se deben utilizar en la tabla NAT para la acción "Source-NAT".

● Control de duplicidad en la tabla NAT

Una dirección IP externa o una dirección IP de la red DMZ utilizada en sentido "Destination-NAT", "Source-NAT + Destination-NAT" o "Double-NAT" solo puede utilizarse una vez en cada sentido indicado.

● Control de duplicidad en la tabla NAPT

– Cada número de puerto de origen solo puede introducirse una vez en cada interfaz.

– Los números de puerto o los rangos de puerto de los puertos externos y los puertos DMZ no deben superponerse.

● Los puertos NAPT internos pueden estar en el rango > 0 y ≤ 65535.

Una vez finalizadas sus entradas, realice una comprobación de coherencia.

Elija el comando de menú "Opciones" > "Verificaciones de consistencia".

5.1.4 Conversión de direcciones con NAT/NAPT

Activar NAT Se activa el campo de entrada para NAT. Las conversiones de direcciones NAT solo pasan a ser efectivas tras realizar las entradas descritas a continuación en la lista de conversión de direcciones. Tras crear las reglas NAT, se generan las reglas de cortafuegos correspondientes y se muestran en el modo avanzado; véase el capítulo: Relación entre router NAT/NAPT y cortafuegos (Página 181)

Si está activado PPPoE para la interfaz externa o la interfaz DMZ, la acción "Destination-NAT" no puede configurarse. Al configurar la acción "Source-NAT", la dirección IP no puede introducirse en el campo de entrada "Conversión de origen" porque se determina de forma dinámica en el tiempo de ejecución.

Acciones de conversión de direcciones posibles para NAT La siguiente tabla recoge las posibilidades de entrada para la conversión de direcciones con NAT.

Acción "Destination-NAT" - "Redirect" La acción "Destination-NAT" puede ejecutarse en el siguiente sentido:

● De externa a interna



Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Destination-NAT" también puede ejecutarse en los siguientes sentidos:

● De externa a DMZ

● De DMZ a interna

● De DMZ a externa

Si el módulo SCALANCE S se encuentra en un grupo VPN (solo para SCALANCE S602), la acción "Destination-NAT" puede ejecutarse, además, en los siguientes sentidos:

● De túnel a interna

● De túnel a externa

● De túnel a DMZ (solo con la interfaz DMZ activada)

Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: se comprueba si la dirección IP de destino de un telegrama procedente de la red externa coincide con la dirección IP indicada en el campo de entrada "Dirección IP de destino". Si coincide, el telegrama se transfiere a la red interna sustituyendo la dirección IP de destino del telegrama por la dirección IP indicada en el campo de entrada "Conversión de destino". El acceso de externa a interna a través de la dirección IP externa es posible.

La siguiente tabla muestra el esquema de entrada para la acción "Destination-NAT". Campo Entradas posibles Significado Dirección IP de origen No relevante para esta acción. - Conversión de origen No relevante para esta acción. - Dirección IP de destino Dirección IP en la red de origen Dirección IP de destino en la red de origen a través

de la cual se debe acceder a una dirección IP de la red de destino. La dirección IP de destino no debe ser la misma que la dirección IP del módulo de se-guridad en la red de origen. Si en un telegrama la dirección IP de destino con-cuerda con la dirección introducida, la dirección se cambia por la dirección IP correspondiente en la red de destino. La dirección IP de destino indicada se convierte en dirección alias. Eso significa que la dirección IP indi-cada se registra además como dirección IP en la interfaz seleccionada. Las direcciones alias se mues-tran también en la ficha "Interfaces" del módulo de seguridad. Asegúrese de que no existe ningún con-flicto de dirección IP en la red con esta dirección alias.

Conversión de destino Dirección IP en la red de destino La dirección IP de destino se sustituye por la direc-ción IP indicada aquí.

N.º - Número consecutivo adjudicado por SCT que se utiliza para la referencia a la regla de cortafuegos que SCT genera para la regla NAT.



Acción "Source-NAT" - "Masquerading" La acción "Source-NAT" puede ejecutarse en el siguiente sentido:

● De interna a externa

Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Source-NAT" también puede ejecutarse en los siguientes sentidos:

● De interna a DMZ



Si el módulo SCALANCE S se encuentra en un grupo VPN (solo para SCALANCE S602), la acción "Source-NAT" puede ejecutarse, además, en los siguientes sentidos:

● De interna a túnel

● De externa a túnel

● De DMZ a túnel (solo con la interfaz DMZ activada)

Para el sentido "De interna a externa" se aplica, por ejemplo, lo siguiente: se comprueba si la dirección IP de origen de un telegrama procedente de la red interna coincide con la dirección IP indicada en el campo de entrada "Dirección IP de origen". Si coincide, el telegrama se transfiere a la red externa con la dirección IP externa indicada en el campo de entrada "Conversión de origen" como nueva dirección IP de origen. En la red externa rige la dirección IP externa.

La siguiente tabla muestra el esquema de entrada para la acción "Source-NAT". Campo Entradas posibles Significado Dirección IP de origen Dirección IP en la red de origen La dirección IP de origen del dispositivo indicado se

sustituye por la dirección IP indicada en el campo de entrada "Conversión de origen".

Área de direcciones IP / banda de direcciones IP en la red de origen

Las direcciones IP del área de direcciones / banda de direcciones IP se sustituyen por la dirección IP indicada en el campo de entrada "Conversión de origen".

Conversión de origen Dirección IP en la red de destino

Entrada de la dirección IP que debe utilizarse como nueva dirección IP de origen. Si la dirección IP introducida aquí no es la dirección IP del módulo de seguridad, se convierte en dirección alias. Eso significa que la dirección indicada se registra además como dirección IP en la interfaz seleccionada. Las direcciones alias se muestran también en la ficha "Interfaces" del módulo de seguridad. Asegúrese de que no existe ningún conflicto de dirección IP en la red con esta dirección alias.

Dirección IP de destino No relevante para esta acción. No relevante para esta acción. Conversión de destino No relevante para esta acción. No relevante para esta acción. N.º - Número consecutivo adjudicado por SCT que se utiliza

para la referencia a la regla de cortafuegos que SCT genera para la regla NAT.



Nota

Puede configurar que las direcciones de todos los telegramas que van de una red de origen a una red de destino se conviertan a la dirección IP de los módulos de la red de destino. Además, el módulo de seguridad asigna un número de puerto a cada telegrama. En este caso, se trata de una conversión de direcciones n:1 NAT en la que varias direcciones IP de la red de origen se convierten a una dirección IP de la red de destino.

Introduzca, por ejemplo, los siguientes parámetros para el sentido "De interna a externa": • Acción: "Source-NAT" • De: "Interna" • A "Externa" • Dirección IP de origen: "*" • Conversión de origen: dirección IP externa del módulo de seguridad

Acción "Source-NAT + Destination-NAT" - "1:1-NAT" La acción "Source-NAT + Destination-NAT" puede ejecutarse en el siguiente sentido:


Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Source-NAT + Destination-NAT" también puede ejecutarse en los siguientes sentidos:




Si el módulo SCALANCE S se encuentra en un grupo VPN (solo para SCALANCE S602), la acción "Source-NAT + Destination-NAT" puede ejecutarse, además, en los siguientes sentidos:


● De interna a túnel


Para el sentido "De interna a externa" se aplica, por ejemplo, lo siguiente: en el acceso de interna a externa, se ejecuta la acción "Source-NAT". En el acceso de externa a interna, se ejecuta la acción "Destination-NAT".

La siguiente tabla muestra el esquema de entrada para la acción "Source-NAT+ Destination-NAT":

Campo Entradas posibles Significado Dirección IP de origen Dirección IP en la red de origen La configuración siempre se indica en sentido

Source-NAT. Por ello, las direcciones IP del sentido Destination-NAT siempre son insertadas automát-icamente por SCT

Rango de direcciones IP en la red de origen



Campo Entradas posibles Significado Conversión de origen Dirección IP en la red de destino Dirección IP de destino No relevante para esta acción. Conversión de destino No relevante para esta acción. N.º - Número consecutivo adjudicado por SCT que se

utiliza para la referencia a las reglas de cortafuegos que SCT genera para la regla NAT.

Acción "Double-NAT" La acción "Double-NAT" puede ejecutarse para los módulos SCALANCE S en los siguientes sentidos:



Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la acción "Double-NAT" también puede ejecutarse en los siguientes sentidos:





Source-NAT y Destination-NAT se producen siempre en cada sentido. Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: en el acceso de externa a interna, se sustituye la dirección IP de origen del dispositivo externo (Source-NAT). Además, el acceso a la red interna se realiza a través de la dirección IP externa (Destination-NAT) indicada en el campo de entrada "Dirección IP de destino".

Puede utilizar esta acción, por ejemplo, si se ha introducido un router estándar distinto al módulo de seguridad para un dispositivo al que se accede con ayuda de Destination-NAT. Los telegramas de respuesta de este dispositivo no se enviarán al router estándar introducido, sino a la interfaz correspondiente del módulo de seguridad.

La siguiente tabla muestra el esquema de entrada para la acción "Double-NAT": Campo Entradas posibles Significado Dirección IP de origen Dirección IP en la red de origen Dirección IP del dispositivo en la red de

origen Conversión de origen - La conversión de direcciones Source-

NAT se realiza siempre a la dirección IP del módulo de seguridad en la red de destino. Por este motivo, el campo de entrada "Conversión de origen" no puede configurarse.



Campo Entradas posibles Significado Dirección IP de destino Dirección IP en la red de origen Dirección IP de destino en la red de

origen a través de la cual se debe acceder a una dirección IP de la red de destino. Si en un telegrama la dirección IP de destino concuerda con la dirección IP introducida, la dirección IP se sustituye por la dirección IP introducida en el campo de entrada "Conversión de destino". Si la dirección IP introducida aquí no es la dirección IP del módulo de seguri-dad, se convierte en dirección alias. Eso significa que la dirección indicada se registra además como dirección IP en la interfaz seleccionada. Las direc-ciones alias se muestran también en la ficha "Interfaces" del módulo de se-guridad. Asegúrese de que no existe ningún conflicto de dirección IP en la red con esta dirección alias.

Conversión de destino Dirección IP en la red de destino La dirección IP de destino se sustituye por la dirección IP indicada aquí.

N.º - Número consecutivo adjudicado por SCT que se utiliza para la referencia a la regla de cortafuegos que SCT gene-ra para la regla NAT.

Activar NAPT Se activa el campo de entrada para NAPT. Las conversiones NAPT solo pasan a ser efectivas tras realizar las entradas descritas a continuación en la lista. Tras crear las reglas NAPT, se generan las reglas de cortafuegos correspondientes y se muestran en el modo avanzado; véase el capítulo: Relación entre router NAT/NAPT y cortafuegos (Página 181)

La conversión de direcciones IP con NAPT puede ejecutarse en el siguiente sentido:


Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está activada, la conversión de direcciones IP con NAPT también puede ejecutarse en los siguientes sentidos:






Si el módulo SCALANCE S se encuentra en un grupo VPN (solo para SCALANCE S602), la conversión de direcciones IP con NAPT puede ejecutarse, además, en los siguientes sentidos:


● De túnel a interna

● De túnel a externa


● De túnel a DMZ (solo con la interfaz DMZ activada)

Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: los telegramas destinados a la dirección IP externa del módulo de seguridad y al puerto introducido en la columna "Source Port" se transfieren a la dirección IP de destino de la red interna y al puerto de destino indicados.

La siguiente tabla muestra el esquema de entrada para la conversión de direcciones con NAPT:

Campo Entradas posibles Significado Source Port Puerto o rango de puertos TCP/UDP

Ejemplo de entrada de un rango de puer-tos: 78:99

Un dispositivo de la red de origen puede enviar un telegrama a un interlocutor de la red de destino utilizando este número de puerto.

Dirección IP de destino

Dirección IP en la red de destino Los telegramas destinados a la dirección IP del módulo de seguridad de la red de origen, así como al puerto TCP/UDP indicado en el campo "Source Port", se transfieren a la direc-ción IP aquí indicada.

Target Port Puerto TCP/UDP Número de puerto al que se transfieren los telegramas pro-cedentes de la red de origen.

Protocolo • TCP+UDP • TCP • UDP

Selección de la familia de protocolos para los números de puerto indicados

N.º - Número consecutivo adjudicado por SCT que se utiliza para la referencia a la regla de cortafuegos que SCT genera para la regla NAPT.

Consulte también Reglas de filtrado de paquetes IP (Página 149)



5.1.5 Conversión de direcciones con NAT/NAPT en túneles VPN

Significado La conversión de direcciones con NAT/NAPT también se puede realizar para relaciones de comunicación establecidas a través de túneles VPN.

Requisitos Los módulos SCALANCE S que tengan que ejecutar una conversión de direcciones con NAT/NAPT en un túnel VPN deben cumplir de forma general los siguientes requisitos:

● El módulo SCALANCE S se encuentra en un grupo VPN.

● El módulo SCALANCE S se encuentra en el modo de enrutamiento y/o la interfaz DMZ del módulo SCALANCE S está activada.

● La interfaz de túnel está activada.

Sentidos de conversión de direcciones soportados Se soportan los sentidos de conversión de direcciones descritos en el siguiente capítulo: Conversión de direcciones con NAT/NAPT (Página 173)

Acciones de conversión de direcciones soportadas Las relaciones de comunicación tuneladas admiten las siguientes acciones de conversión de direcciones:

● Destination-NAT ("Redirect")

● Source-NAT ("Masquerading")

● Source y Destination-NAT ("NAT 1:1")

● NAPT ("Portforwarding")

Encontrará información básica sobre estas acciones de conversión de direcciones en el capítulo siguiente: Conversión de direcciones con NAT/NAPT (Página 173)



Acoplamientos VPN soportados En combinación con NAT/NAPT, se soportan los siguientes acoplamientos VPN:

Acoplamiento VPN Conexión VPN iniciada por Conversión de direcciones

realizada por SCALANCE S (a) SCALANCE S (b) SCALANCE S (a) o SCALANCE S (b) SCALANCE S (a) y/o

SCALANCE S (b) SCALANCE S CP S7 / CP PC SCALANCE S o CP S7 / CP PC SCALANCE S SCALANCE S SCALANCE M SCALANCE M SCALANCE S y/o

SCALANCE M* SOFTNET Security Client SCALANCE S SOFTNET Security Client SCALANCE S SCALANCE S Cliente NCP VPN

(Android) Cliente NCP VPN (Android) SCALANCE S

* Solo se soporta NAT 1:1.

Los módulos SCALANCE S de los tipos SCALANCE S623 V4 y SCALANCE S627-2M V4 que tienen un punto final VPN en la interfaz externa y en la interfaz DMZ pueden realizar conversiones de direcciones en ambas interfaces de forma simultánea.

Comportamiento de conversión de direcciones en caso de participación en varios grupos VPN Si un módulo SCALANCE S participa en varios grupos VPN, las reglas de conversión de direcciones configuradas para la interfaz de túnel del módulo SCALANCE S son válidas para todas las conexiones VPN de este módulo SCALANCE S.

Tenga en cuenta lo siguiente:

En cuanto haya configurado una conversión de direcciones NAT en o desde el sentido túnel, ya solo podrá acceder a las direcciones IP implicadas de las reglas de conversión de direcciones NAT mediante el túnel VPN.

5.1.6 Relación entre router NAT/NAPT y cortafuegos

Significado Tras crear reglas NAT/NAPT, SCT genera automáticamente reglas de cortafuegos que habilitan la comunicación en el sentido de conversión de direcciones configurado. Las reglas de cortafuegos generadas pueden ampliarse si es necesario (direcciones IP adicionales / área de direcciones IP / banda de direcciones IP, servicios, ancho de banda). Asimismo, debería comprobarse automáticamente la prioridad de las reglas de cortafuegos generadas respecto de su posición. Si en la lista de reglas hay también reglas de cortafuegos que se han configurado manualmente y tienen mayor prioridad que las reglas generadas automáticamente, en determinadas circunstancias no se ejecutará NAT/NAPT.

Los parámetros de cortafuegos generados por SCT no pueden adaptarse. Después de desactivar NAT/NAPT se eliminan las reglas de cortafuegos generadas por SCT.



Para simplificar la referencia entre las reglas NAT/NAPT y las correspondientes reglas de cortafuegos, las reglas de las fichas "NAT/NAPT" y "Cortafuegos" se marcan con los correspondientes números consecutivos.

La siguiente tabla muestra los esquemas de las reglas de cortafuegos generadas para los módulos SCALANCE S para las reglas NAT.

Tabla 5- 1 Conversión de direcciones NAT y reglas de cortafuegos correspondientes para módulos SCALANCE S

Acción NAT Regla de cortafuegos creada

Acción De A Dirección IP de origen


Destination-NAT

Allow Red de origen Red de destino - Dirección IP indi-cada en el campo de entrada "Direc-ción IP de destino".

Source-NAT Allow Red de origen Red de destino Dirección IP del dispositivo indicada en el campo de entrada "Dirección IP de origen".

-

Source-NAT + Destination-NAT

Allow Red de origen Red de destino Dirección IP del dispositivo indicada en el campo de entrada "Dirección IP de origen".

-

Allow Red de destino Red de origen - Dirección IP, inser-tada por SCT en el campo de entrada "Dirección IP de destino".

Double-NAT Allow Red de origen Red de destino Dirección IP del dispositivo indicada en el campo de entrada "Dirección IP de origen".

Dirección IP indi-cada en el campo de entrada "Direc-ción IP de destino".

Allow Red de origen Red de destino Dirección IP del dispositivo indicada en el campo de entrada "Dirección IP de origen".

Dirección IP del dispositivo indicada en el campo de entrada "Con-versión de destino".



La siguiente tabla muestra los esquemas de las reglas de cortafuegos generadas para para el CP x43-1 Adv. para las reglas NAT.

Tabla 5- 2 Conversión de direcciones NAT y reglas de cortafuegos correspondientes para CP x43-1 Adv.

Acción NAT Regla de cortafuegos creada

Acción De A Dirección IP de origen


Destination-NAT

Drop Externa Estación - - Allow Externa Any - Dirección IP del

dispositivo indicada en el campo de entrada "Con-versión de destino".

Source-NAT Allow Any Externa Dirección IP indi-cada en el campo de entrada "Con-versión de origen".

-

Source-NAT + Destination-NAT

Allow Any Externa Dirección IP indi-cada en el campo de entrada "Con-versión de origen".

-

Drop Externa Estación - - Allow Externa Any - Dirección IP del

dispositivo indicada en el campo de entrada "Con-versión de destino".

La siguiente tabla muestra el esquema de las reglas de cortafuegos generadas para los módulos SCALANCE S para las reglas NAPT.

Tabla 5- 3 Conversión de direcciones NAPT y reglas de cortafuegos creadas para módulos SCALANCE S

Regla de cortafuegos creada Acción De A Dirección IP de

origen Dirección IP de destino

Servicio

Allow Red de origen Red de destino - Dirección IP del módulo de seguridad en la red de origen

[Regla Ser-vicio_NAPT]



La siguiente tabla muestra los esquemas de las reglas de cortafuegos generadas para el CP x43-1 Adv. para las reglas NAPT.

Tabla 5- 4 Conversiones de direcciones NAPT y reglas de cortafuegos creadas para CP x43-1 Adv.

Reglas de cortafuegos creada Acción De A Dirección IP de

origen Dirección IP de destino

Servicio

Drop Externa Estación - - [Regla Ser-vicio_NAPT]

Allow Externa Any - Dirección IP del dispositivo indicada en el campo de en-trada "Dirección IP de destino".

[Regla Ser-vicio_NAPT]

Stateful Packet Inspection El cortafuegos y el router NAT/NAPT contribuyen a la "Stateful Packet Inspection". Por esta razón, los telegramas de respuesta pueden pasar el router NAT/NAPT y el cortafuegos sin que sus direcciones se tengan que adoptar adicionalmente en las reglas de cortafuegos ni en la conversión de direcciones de NAT/NAPT.

5.1.7 Relación entre router NAT/NAPT y cortafuegos específico del usuario

Significado Tras crear reglas NAT/NAPT en el cortafuegos específico del usuario, SCT genera automáticamente un conjunto de reglas IP específico del usuario que habilita la comunicación en el sentido de conversión de direcciones configurado. Puede asignar a este conjunto de reglas IP personalizado uno o varios usuarios y/o una o varias funciones (solo para módulos SCALANCE S V4 o superior).

Las reglas de cortafuegos generadas pueden desplazarse y ampliarse si es necesario (direcciones IP adicionales, servicios, ancho de banda). Los parámetros de cortafuegos generados por SCT no pueden adaptarse. Si el conjunto de reglas IP específico del usuario es arrastrado (Drag and Drop) hasta un módulo de seguridad con NAT/NAPT desactivado, las reglas NAT/NAPT del cortafuegos específico del usuario tampoco se aplican a este módulo de seguridad.

Nota

No se soporta la acción de conversión de direcciones "Double-NAT" en relación con el cortafuegos específico del usuario.



Cómo se accede a esa función Ficha "NAT" o "NAPT" del cuadro de diálogo de configuración para conjuntos de reglas IP específicos del usuario, véase el capítulo siguiente: Conjuntos de reglas IP específicos de usuario (Página 142)

Sentidos de conversión de direcciones soportados para la acción "Source-NAT" La acción "Source-NAT" puede ejecutarse en los siguientes sentidos:



En el campo "Dirección IP de origen" no puede introducirse ninguna dirección IP. La dirección IP se introduce automáticamente cuando el dispositivo inicia sesión en el módulo de seguridad.

Sentidos de conversión de direcciones soportados para la acción "Destination-NAT" La acción "Destination-NAT" puede ejecutarse en los siguientes sentidos:





● De túnel a interna (solo para SCALANCE S612/S623/S627-2M V4 o superior)

● De túnel a externa (solo para SCALANCE S612/S623/S627-2M V4 o superior)

● De túnel a DMZ (solo para SCALANCE S612/S623/S627-2M V4 o superior)

Sentidos de conversión de direcciones soportados para la acción "Source-NAT + Destination-NAT" La acción "Source-NAT + Destination-NAT" puede ejecutarse en los siguientes sentidos:



En el campo "Dirección IP de origen" no puede introducirse ninguna dirección IP. La dirección IP se introduce automáticamente cuando el dispositivo inicia sesión en el módulo de seguridad.

Sentidos de conversión de direcciones soportados para NAPT La conversión de direcciones con NAPT puede ejecutarse en los siguientes sentidos:





Configuración de otras propiedades de los módulos 5.2 Módulo de seguridad como servidor DHCP


● De túnel a interna (solo para SCALANCE S612/S623/S627-2M V4 o superior)

● De túnel a externa (solo para SCALANCE S612/S623/S627-2M V4 o superior)

● De túnel a DMZ (solo para SCALANCE S612/S623/S627-2M V4 o superior)

Conversión de direcciones NAT/NAPT y conjuntos de reglas IP específicos del usuario correspondientes

En las reglas de cortafuegos para conjuntos de reglas IP personalizados que se generan sobre la base de reglas NAT/NAPT no es posible introducir ninguna dirección IP en el campo "Dirección IP de origen". Se introducirá automáticamente cuando el dispositivo inicie sesión en el módulo de seguridad. Las demás propiedades son idénticas a las reglas de cortafuegos que se generan localmente para módulos de seguridad individuales. Consulte el capítulo: Relación entre router NAT/NAPT y cortafuegos (Página 181)

5.2 Módulo de seguridad como servidor DHCP

5.2.1 Sinopsis

Resumen El módulo de seguridad puede utilizarse en la red interna y en la red DMZ como servidor DHCP (DHCP = Dynamic Host Configuration Protocol). Esto permite asignar automáticamente direcciones IP a los dispositivos conectados.

Es posible el modo servidor DHCP simultáneo en ambas interfaces.

Las direcciones IP se asignan dinámicamente desde una banda de direcciones definida por el usuario, o bien se asigna una dirección IP a un dispositivo concreto conforme a sus predeterminaciones. Si los dispositivos de la interfaz interna o DMZ deben obtener siempre la misma dirección IP para la configuración del cortafuegos, la asignación de direcciones solo puede ser estática a partir de la dirección MAC o de la ID de cliente.

Requisitos Tiene que configurar los dispositivos en la red interna o DMZ de manera que obtengan la dirección IP de un servidor DHCP.



Dependiendo del modo de operación, el módulo de seguridad transmite a los dispositivos de la subred correspondiente una dirección IP del router predeterminado, o bien se tiene que comunicar una dirección IP de router a los dispositivos de la subred.

● Se transmite la dirección IP del router

En los casos siguientes, el módulo de seguridad transmite a los dispositivos una dirección IP de router a través del protocolo DHCP:

– El dispositivo está en la interfaz DMZ (solo SCALANCE S623/S627-2M). El módulo de seguridad transmite en este caso la dirección IP propia como dirección IP del router.

– El dispositivo está en la interfaz interna y el módulo de seguridad está configurado para el modo de router. El módulo de seguridad transmite en este caso la dirección IP propia como dirección IP del router.

– El dispositivo está en la interfaz interna y el módulo de seguridad no está configurado para el modo de router, pero se ha indicado un router estándar en la configuración del módulo de seguridad. El módulo de seguridad transmite en este caso la dirección IP del router estándar como dirección IP del router.

● No se transmite la dirección IP del router

En estos casos tiene que introducir manualmente la dirección IP del router en los dispositivos:

– El dispositivo está en la interfaz interna y el módulo de seguridad no está configurado para el modo de router. Adicionalmente, en la configuración del módulo de seguridad no se ha indicado ningún router estándar.


5.2.2 Configurar un servidor DHCP

Requisitos La ficha "Servidor DHCP" solo se muestra si el proyecto está en el modo avanzado.







2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Servidor DHCP".

3. Active la casilla de verificación "Activar DHCP".

4. Seleccione para qué interfaz desea realizar los ajustes de DHCP.

5. Realice la asignación de direcciones. Para la configuración tiene las dos posibilidades siguientes:



● Asignación estática de direcciones

A dispositivos con una dirección MAC o un Client-ID determinados se les asignan direcciones predeterminadas para cada caso. Introduzca para ello estos dispositivos en la lista de direcciones en el campo de entrada "Asignación estática de direcciones". Esta opción es aconsejable en relación a reglas del cortafuegos con indicación explícita de la dirección IP de origen o destino.

● Asignación dinámica de direcciones

Los dispositivos cuya dirección MAC o ID de cliente no se haya indicado explícitamente reciben una dirección IP cualquiera de la banda de direcciones predeterminada. Esta banda de direcciones se ajusta en el campo de entrada "Asignación dinámica de direcciones".

Nota

Asignación dinámica de direcciones - Comportamiento tras una interrupción de la alimentación eléctrica

Tenga en cuenta que las direcciones IP asignadas dinámicamente no se almacenan si se interrumpe la alimentación eléctrica. Tras restablecerse la alimentación eléctrica tiene que cuidar por tanto de que todos los dispositivos soliciten de nuevo una dirección IP.

Por esta razón, solo debería prever la asignación dinámica de direcciones para los siguientes dispositivos: • dispositivos que se utilicen temporalmente en la subred (por ejemplo, dispositivos de

mantenimiento); • dispositivos que en caso de una nueva solicitud transmitan al servidor DHCP como

"dirección preferida" una dirección IP anteriormente asignada (por ejemplo, estaciones PC).

Para los dispositivos que están en servicio permanente se debe dar preferencia a la asignación estática de direcciones indicando una ID de cliente (recomendado para CPs S7 porque facilita la sustitución de módulos) o la dirección MAC.

Se da soporte a nombres simbólicos En la función descrita a continuación se pueden introducir tanto direcciones IP o MAC como nombres simbólicos.

Reglas que deben considerarse en la comprobación de coherencia Al realizar sus entradas debe tener en cuenta las reglas indicadas a continuación:

● Las direcciones IP asignadas en el campo de entrada "Asignación estática de direcciones" de la lista de direcciones no deben estar en el área de las direcciones IP dinámicas.

● Los nombres simbólicos han de tener una asignación de dirección numérica. Si aquí se asignan nuevos nombres simbólicos, además habrá que realizar la asignación de direcciones en el cuadro de diálogo "Nombres simbólicos".



● Las direcciones IP, direcciones MAC e ID de cliente solo pueden aparecer una vez en el campo de entrada "Asignación estática de direcciones" (con referencia al módulo de seguridad).

● En el caso de las direcciones IP asignadas estáticamente, hay que indicar la dirección MAC o la ID de cliente (nombre del equipo).

● El Client-ID es una secuencia de como máximo 63 caracteres. Solo se permiten los caracteres siguientes: a-z, A-Z, 0-9 y - (guión).

Nota

En SIMATIC S7 es posible asignar a los dispositivos de la interfaz Ethernet una ID de cliente para la referencia a una dirección IP a través de DHCP.

En PCs el procedimiento depende del sistema operativo utilizado; se recomienda utilizar la dirección MAC para la asignación.

● En el caso de las direcciones IP asignadas estáticamente, hay que indicar la dirección IP.

● Las siguientes direcciones IP no deben estar en el área de la asignación dinámica de direcciones:

– Todas las direcciones IP de router de la ficha "Enrutamiento"

– Servidor Syslog

– Router estándar

– Dirección(es) del módulo de seguridad

● DHCP es soportado por el módulo de seguridad en la interfaz con la subred interna y en la interfaz con la red DMZ. De este comportamiento del módulo de seguridad se derivan, además, los siguientes requisitos para las direcciones IP en el área de la asignación dinámica de direcciones:

– Modo de puente

El área debe estar en la red definida por el módulo de seguridad.

– Modo de enrutamiento

El área debe estar en la subred interna definida por el módulo de seguridad.

Nota

La red DMZ representa siempre una subred separada. En caso de utilizar DHCP en la interfaz DMZ, hay que tener en cuenta que el área de direcciones IP libre (direcciones IP dinámicas) se encuentra dentro de la subred DMZ.

● El rango de direcciones IP libre se tiene que indicar por completo introduciendo la dirección inicial y la dirección final. La dirección final debe ser más alta que la inicial.

● Las direcciones IP introducidas en el campo de entrada "Asignación estática de direcciones" de la lista de direcciones tienen que estar en el área de direcciones de la subred interna o de la red DMZ del módulo de seguridad.

Tenga en cuenta las aclaraciones al respecto del capítulo Check Consistency (Página 63).

Configuración de otras propiedades de los módulos 5.3 Sincronización horaria


5.3 Sincronización horaria

5.3.1 Sinopsis

Significado Para comprobar la validez horaria de un certificado y para el sello de fecha y hora de registros Log se indican la fecha y la hora en el módulo de seguridad.

Se pueden configurar las siguientes alternativas:

● Ajuste automático de la hora del módulo a la hora del PC al cargar una configuración.

● Ajuste automático y sincronización periódica de la hora a través de un servidor Network Time Protocol (servidor NTP).

Nota

Antes de que se apliquen las funciones de seguridad de un CP, este debe recibir un telegrama de sincronización horaria válido del reloj maestro.

Sincronización mediante un servidor NTP Para la creación del servidor NTP rigen las siguientes reglas:

● Los servidores NTP pueden crearse para todo el proyecto a través del menú de SCT "Opciones" > "Configuración del servidor NTP...". Asigne un servidor NTP a un módulo de seguridad en la ficha de propiedades "Sincronización horaria". Si diferentes módulos de seguridad del proyecto SCT utilizan el mismo servidor NTP, sus datos solo tendrán que introducirse una vez.

● Pueden crearse hasta 32 servidores NTP para todo el proyecto.

● A un módulo de seguridad se le pueden asignar como máximo 4 servidores NTP.

● Los nombres simbólicos se soportan en la definición de servidores NTP.

● Los FQDN se soportan en la definición de servidores NTP.

● Desde servidores NTP ya creados en STEP 7 se migran a SCT la dirección IP y el intervalo de actualización.

● Si se selecciona "Sincronización horaria con NTP (seguro)", el módulo de seguridad solo aceptará la hora de servidores NTP configurados del modo correspondiente (seguro). La configuración combinada de servidores NTP (seguro) seguros y no seguros en un módulo de seguridad no es posible.



5.3.2 Configurar el control de la hora

Cómo se accede a esa función Comando de menú SCT:


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Sincronización horaria".

Comando de menú de STEP 7 (si está activada la opción "Activar sincronización horaria en procedimiento NTP"): "Sincronización horaria" > "Configuración NTP avanzada", botón "Ejecutar".

Alternativas de sincronización horaria Se pueden configurar las siguientes alternativas:

Tabla 5- 5 Sincronización horaria para CP

Posibilidades Significado / repercusión Sin sincronización horaria Sin sincronización horaria a través del PC o un servidor

NTP. Sincronización horaria con NTP Ajuste automático y sincronización periódica de la hora

a través de un servidor NTP. Sincronización horaria con NTP (seguro) Ajuste automático y sincronización periódica de la hora

a través de un servidor NTP (seguro).

Tabla 5- 6 Sincronización horaria para SCALANCE S ≥ V3.0

Posibilidades Significado / repercusión Sin sincronización horaria Sin sincronización horaria. Ajustar hora con cada carga Ajuste automático de la hora del módulo a la hora del

PC al cargar una configuración. Sincronización horaria con NTP Ajuste automático de la hora a través de un servidor

NTP.

Sincronización horaria con NTP (seguro)

Ajuste automático y sincronización periódica de la hora a través de un servidor NTP (seguro).



Seleccionar el modo de sincronización horaria Proceda del siguiente modo:

1. Seleccione el modo de sincronización horaria.

2. Para SCALANCE S < V3.0: En la sincronización a través de un servidor NTP, indique el intervalo de actualización en segundos. Para SCALANCE S ≥ V3.0, el intervalo de tiempo para la consulta del servidor NTP se define automáticamente.

Nota

Los servidores NTP creados en STEP 7 se migran automáticamente a SCT según el intervalo de actualización. El intervalo de actualización solo puede modificarse en STEP 7.

3. Si ha seleccionado el modo de sincronización "Sincronización horaria con NTP" o "Sincronización horaria con NTP (seguro)", asigne al módulo de seguridad con el botón "Agregar" un servidor NTP ya creado del mismo tipo que el que está seleccionado en el campo "Modo de sincronización".

Si aún no hay servidores NTP, cree uno con el botón "Configurar servidor...".

5.3.3 Definir un servidor NTP

Cómo definir un servidor NTP nuevo: 1. Introduzca un nombre para el servidor NTP.

2. Introduzca la dirección IP/el FQDN del servidor NTP.

3. Seleccione el tipo.

Configuración de otras propiedades de los módulos 5.4 SNMP


Configuración de NTP (seguro) 1. Haga clic en el botón "Agregar...".


Parámetros Significado ID de código Valor numérico entre 1 ... 65534. Autenticación Seleccione el algoritmo de autenticación. Hex/ASCII Seleccione el formato del código NTP. Código Introduzca el código NTP con las siguientes

longitudes: Hex: 22 ... 40 caracteres ASCII: 11 ... 20 caracteres

Importar y exportar servidores NTP Los botones "Importar..." y "Exportar..." permiten exportar la lista de claves del servidor NTP mostrado en ese momento e importar el archivo a un servidor NTP, o viceversa.

5.4 SNMP

5.4.1 Sinopsis

¿Qué es SNMP? El módulo de seguridad soporta la transmisión de información de administración a través del Simple Network Management Protocol (SNMP). Para ello se ha instalado en el módulo de seguridad un "agente SNMP", que recibe y responde a las solicitudes SNMP. La información sobre las propiedades de dispositivos compatibles con SNMP está almacenada en los denominados archivos MIB (MIB = Management Information Base), para los que el usuario debe tener los derechos correspondientes (SNMPv3).

En SNMPv1 también se envía el "community string". El community string es como una contraseña que se envía junto con la solicitud SNMP. Si el community string es correcto, el módulo de seguridad responde con la información solicitada. Si el community string es incorrecto, el módulo de seguridad rechaza la solicitud y no contesta.

En SNMPv3 los datos pueden enviarse cifrados.

Configuración de otras propiedades de los módulos 5.4 SNMP


5.4.2 Activar SNMP

Requisitos

HW Config: en la ficha "SNMP" de las propiedades del CP está activada la casilla de verificación "Activar SNMP". Si no está activada no es posible configurar SNMP en la Security Configuration Tool.

Procedimiento para configurar SNMP: 1. Seleccione el módulo de seguridad que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "SNMP".

3. Active la casilla de verificación "Activar SNMP".

4. Elija una de las versiones de protocolo SNMP.

Nota

Transferencia de datos cifrada con SNMPv3

Con el fin de incrementar la seguridad es aconsejable utilizar SNMPv3, pues con él los datos se transfieren cifrados.

– SNMPv1

Para controlar los derechos de acceso en el agente SNMP, el módulo de seguridad utiliza los siguientes valores estándar para los community strings:

Para acceso de lectura: public

Para acceso de lectura y escritura: private

Para activar el acceso de escritura a través de SNMP, seleccione la casilla de verificación "Permitir acceso de escritura".

– SNMPv3

Seleccione un método de autenticación o un método de autenticación y cifrado.

Algoritmo de autenticación: Ninguno, MD5, SHA-1

Algoritmo de encriptación: Ninguno, AES-128, DES

Nota Evitar el uso de DES

DES es un algoritmo de cifrado no seguro. Por tanto, solo debería utilizarse cuando sea necesario para la compatibilidad con versiones anteriores.

Nota

Si se utiliza SNMPv3 no es posible la autenticación RADIUS.

Configuración de otras propiedades de los módulos 5.5 Proxy ARP


5. En el área "Configuración avanzada", configure datos específicos del módulo relacionados con el autor, la ubicación y la dirección de correo electrónico, que sobrescriban los datos de las propiedades del proyecto. Si se activa la casilla de verificación "Conservar los valores escritos por SNMP-SET", los valores escritos por una herramienta SNMP en el módulo de seguridad por medio de un comando SNMP-SET no se sobrescribirán al volver a cargar una configuración de SCT en el módulo de seguridad.

6. Si debe utilizarse SNMPv3, asigne a un usuario un rol que tenga activados los derechos SNMP correspondientes para que pueda acceder al módulo de seguridad vía SNMP.

Encontrará más información sobre la configuración de usuarios, derechos y roles en el capítulo siguiente:

– Administrar usuarios (Página 67)

5.5 Proxy ARP

Resumen Proxy ARP permite a los routers responder a solicitudes ARP para hosts. Los hosts están en redes separadas por routers, pero utilizan la misma área de direcciones IP.

Si PC1 envía una solicitud ARP a PC2, recibe del módulo de seguridad situado en medio, y no del PC2, una respuesta ARP y la dirección de hardware de la interfaz (dirección MAC del puerto del módulo de seguridad) en la que se recibió la solicitud. El PC1 solicitante envía entonces sus datos al módulo de seguridad, que los transmite al PC2.

Cómo se accede a esa función Esta función solo está disponible para la interfaz interna de un módulo de seguridad que forma parte de un grupo VPN y está en modo de puente. Además, el proyecto debe estar en modo avanzado.


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Proxy ARP".

3. Si el módulo de seguridad debe responder a una solicitud ARP de la LAN propia en lugar del interlocutor específico, introduzca la dirección IP correspondiente.


Comunicación segura en la VPN a través de túnel IPsec 6

En este capítulo se describe cómo conectar las subredes IP protegidas por el módulo de seguridad o SCALANCE M con una VPN (Virtual Private Network).

Tal como se ha descrito ya en el capítulo relativo a las propiedades del módulo, también aquí se pueden conservar los ajustes predeterminados para garantizar una comunicación segura dentro de la red interna.

Otras informaciones La ayuda online le proporcionará también información detallada sobre los diálogos y los parámetros ajustables.

Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en cuestión.

Consulte también Funciones online - Diagnóstico y registro (Página 255)

6.1 VPN con módulos de seguridad y SCALANCE M

Conexión segura a través de red no protegida Para los módulos de seguridad y SCALANCE M que protegen la red interna, los túneles IPsec proporcionan una conexión de datos segura a través de la red externa no segura.

Mediante el intercambio de datos a través de IPsec se implementan los siguientes paquetes de seguridad para la comunicación:

● Confidencialidad

Garantiza que los datos se transmiten cifrados.

● Integridad

Garantiza que los datos no han sido modificados.

● Autenticidad

Garantiza que los puntos finales de la VPN también son de confianza.

El módulo utiliza el protocolo IPsec (modo túnel de IPsec) para la formación de túneles.

Comunicación segura en la VPN a través de túnel IPsec 6.1 VPN con módulos de seguridad y SCALANCE M


Las conexiones por túnel se realizan entre módulos del mismo grupo VPN En el caso de los módulos que están dentro de un grupo VPN, las propiedades de una VPN se reúnen para todos los túneles IPsec.

Se establecen automáticamente túneles IPsec entre todos los módulos y los SOFTNET Security Clients pertenecientes al mismo grupo VPN. Un módulo puede pertenecer simultáneamente a diferentes grupos VPN en un mismo proyecto.

Comunicación segura en la VPN a través de túnel IPsec 6.1 VPN con módulos de seguridad y SCALANCE M


Nota

Si se cambia el nombre de un módulo, se tienen que reconfigurar todos los módulos de los grupos VPN a los que pertenece el módulo modificado (comando "Transferir" > "A todos los módulos...").

Si se cambia el nombre de un grupo VPN, se tienen que reconfigurar todos los módulos de ese grupo VPN (comando "Transferir" > "A todos los módulos...").

Nota

Los telegramas de capa 2 solo se transmiten vía túnel si entre dos módulos hay un router. No obstante, para ello es necesario configurar las direcciones MAC de los interlocutores de forma estática en la Security Configuration Tool y, dado el caso, se pueden registrar entradas ARP estáticas en los dispositivos de comunicación.

Regla general: Los telegramas no IP solo se transmiten a través de un túnel si los dispositivos que envían o reciben los telegramas se podían comunicar ya anteriormente, es decir, sin el uso de los módulos.

Comunicación segura en la VPN a través de túnel IPsec 6.2 Método de autenticación


6.2 Método de autenticación

Método de autenticación El método de autenticación se establece dentro de un grupo VPN y determina la forma de autenticación utilizada.

Son posibles métodos de autenticación basados en clave o en certificado:

● Preshared Keys

La autenticación se produce a través de una secuencia de caracteres establecida de antemano, que se distribuye a todos los módulos del grupo VPN.

Introduzca previamente para ello una contraseña en el campo "Código" del cuadro de diálogo "Propiedades del grupo VPN" o genere una contraseña con el botón "Nuevo...".

● Certificado

La autenticación basada en certificado denominada "Certificado" es el ajuste predeterminado, que está activado también en el modo normal. El comportamiento es el siguiente:

– Al crear un grupo VPN, se genera automáticamente un certificado CA para el grupo VPN.

– Cada módulo del grupo VPN recibe un certificado de grupos VPN firmado con el código de la entidad emisora del grupo VPN.

Todos los certificados se basan en el estándar ITU X.509v3 (ITU, International Telecommunications Union).

Los certificados son generados por una entidad certificadora contenida en la Security Configuration Tool.

Nota

Restricción para el modo VLAN

En los telegramas IP a través del túnel de VPN del módulo no se transmiten identificadores de VLAN. Los identificadores de VLAN contenidos en los telegramas IP se pierden al pasar los módulos, ya que para la transmisión de los telegramas IP se utiliza IPsec.

Con el ajuste predeterminado no es posible transmitir telegramas IP Broadcast o Mulitcast con IPsec a través de un túnel VPN de capa 3. A través de un túnel VPN de capa 2 del módulo de seguridad, los telegramas IP Broadcast o Multicast se "empaquetan" en UDP y se transmiten exactamente como paquetes MAC, incluido el encabezado Ethernet. Por ello, en esos paquetes también se conservan los identificadores de VLAN.

Comunicación segura en la VPN a través de túnel IPsec 6.3 Grupos VPN


6.3 Grupos VPN

6.3.1 Reglas para la creación de grupos VPN

Tenga en cuenta las reglas siguientes: ● Para SCALANCE S612 / S613 / S623 / S627-2M / SCALANCE M / dispositivo VPN

El primer módulo asignado a un grupo VPN decide qué otros módulos se pueden agregar.

Si el primer módulo SCALANCE S agregado está en modo de enrutamiento o el primer módulo es un módulo SCALANCE M o un dispositivo VPN, solo es posible agregar adicionalmente módulos SCALANCE S con enrutamiento activado o bien módulos SCALANCE M o dispositivos VPN, ya que los módulos SCALANCE M y los dispositivos VPN siempre funcionan en modo de enrutamiento. Si el primer módulo SCALANCE S agregado está en modo de puente, solo es posible agregar adicionalmente módulos SCALANCE S en modo de puente. Un CP, un SSC o un cliente NCP VPN (Android) puede agregarse a un grupo VPN con un SCALANCE S en modo de puente o enrutamiento.

● Para CP / SSC / cliente NCP VPN (Android)

Si el primer módulo de un grupo VPN es un CP / SSC / cliente NCP VPN (Android), es posible agregar módulos en los modos que se desee hasta que se agregue un módulo SCALANCE S o SCALANCE M. A partir de ahí rigen las reglas para módulos SCALANCE S y SCALANCE M, véase arriba.

● No es posible agregar un módulo SCALANCE M a un grupo VPN que contenga un módulo SCALANCE S en el modo de puente.

Vea en la tabla siguiente qué módulos se pueden reunir en un grupo VPN:

Tabla 6- 1 Reglas para la creación de grupos VPN

Módulo Se puede incluir en un grupo VPN que contenga el módulo siguiente:

SCALANCE S en modo de puente

SCALANCE S en modo de

enrutamiento / SCALANCE M / dispositivo VPN / cliente NCP VPN

(Android)

CP / SSC

SCALANCE S en modo de puente x - x SCALANCE S en modo de enrutamiento

- x x

CP x43-1 Adv. x x x CP 1628 x x x SOFTNET Security Client 2005 x - -



Módulo Se puede incluir en un grupo VPN que contenga el módulo siguiente:

SCALANCE S en modo de puente

SCALANCE S en modo de

enrutamiento / SCALANCE M / dispositivo VPN / cliente NCP VPN

(Android)

CP / SSC

SOFTNET Security Client 2008 x x x SOFTNET Security Client V3.0 x x x SOFTNET Security Client V4.0 x x x SCALANCE M / Dispositivo VPN - x x Cliente NCP VPN (Android) - x x

6.3.2 Relaciones de comunicación tunelada soportadas

Significado Las tablas siguientes indican las interfaces de túnel que pueden formar un túnel conjuntamente. En ellas se diferencia si el módulo SCALANCE S está en modo de enrutamiento o puente.

Independientemente de la interfaz por la que se establezca el túnel VPN, de forma estándar siempre pueden comunicarse entre sí los dispositivos de las subredes internas de los módulos de seguridad. Si la comunicación por el túnel VPN debe llevarse a cabo también en otras subredes, puede habilitarse en la ficha "VPN" de las propiedades avanzadas del módulo para la comunicación tunelada; véase el capítulo siguiente:

● Configuración de otros dispositivos y subredes para el túnel VPN (Página 225)

Las subredes que tienen que habilitarse para la comunicación tunelada son:

● Subred en la interfaz externa (si la interfaz externa no es el punto final VPN)

● Subred en la interfaz DMZ (si la interfaz DMZ no es el punto final VPN)

● Otras subredes accesibles por router en las diferentes interfaces (si no son puntos finales VPN)



Tabla 6- 2 Comunicación tunelada entre CP, módulos SCALANCE M, SOFTNET Security Clients y módulos SCALANCE S en modo de enrutamiento

Interfaz del respondedor Interfaz del inicia-dor

Externa (SCALANCE M875)

Externa (SCALANCE M-800)

Gbit, IE (CP)

Externa (SCALANCE S)

DMZ (SCALANCE S623 / S627-2M)

PC/PG (SSC)

x x x x x

Externa (SCALANCE M875)

- x x x x

Externa (SCALANCE M-800)

- x x x x

Gbit, IE (CP)

- - x x x

Externa (SCALANCE S)

- - x x x

DMZ (SCALANCE S623 / S627-2M)

- - x x x

x se soporta - no se soporta

Tabla 6- 3 Comunicación tunelada entre CP, SOFTNET Security Clients y módulos SCALANCE S en modo de puente

Interfaz del respondedor Interfaz del iniciador Gbit, IE (CP) Externa (SCALANCE S) DMZ (SCALANCE S623 /

S627-2M) PC/PG (SSC) x x - Gbit, IE (CP) x x - Externa (SCALANCE S) x x - DMZ (SCALANCE S623 / S627-2M)

- - -

x se soporta - no se soporta



6.3.3 Crear grupos VPN y asignar módulos

Requisitos

Nota Fecha y hora actuales en los módulos

Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos afectados tienen la hora y fecha actuales. De lo contrario, los certificados utilizados se considerarán no válidos y la comunicación segura no funcionará.

Cómo se accede a esa función 1. Seleccione un grupo VPN con el comando de menú "Insertar" > "Grupo".

2. Asigne al grupo VPN los módulos, SOFTNET Security Clients, dispositivos VPN y clientes NCP VPN (Android) que deban pertenecer a un grupo VPN. Para ello, arrastre con el ratón los módulos desde el índice hasta el grupo VPN deseado en el área de navegación (Drag and Drop).

Configuración de propiedades Como en el caso de la configuración de módulos, también en la configuración de grupos VPN repercuten las dos vistas de operación seleccionables en la Security Configuration Tool:

● Modo normal

En el modo normal se conservan los ajustes predeterminados por el sistema. También sin conocimientos expertos es posible configurar así túneles IPsec y practicar una comunicación de datos segura.

● Modo avanzado

El modo avanzado ofrece posibilidades de ajuste para configurar de forma específica la comunicación por túnel.

Comunicación segura en la VPN a través de túnel IPsec 6.4 Configuración de túnel en modo normal


Visualización de todos los grupos VPN configurados, con sus propiedades ● En el área de navegación, seleccione el objeto "Grupos VPN"

Se visualizan por columnas las siguientes propiedades de los grupos: Propiedad/columna Significado Comentario/selección Nombre Nombre del grupo De libre elección Autenticación Tipo de autenticación • Preshared Key

• Certificado

Miembro del grupo hasta Duración de certificados Véase el apartado "Ajustar la duración de certificados"

Comentario Comentario De libre elección

Ajustar la duración de certificados Abra de la forma siguiente el cuadro de diálogo en el que puede introducir la fecha de caducidad del certificado:

1. En el área de navegación, seleccione el grupo VPN para el que desea configurar un certificado.

2. Haga clic con el botón derecho del ratón en el módulo del área de contenido y seleccione en el menú contextual el comando "Nuevo certificado...".

Nota

Caducidad de un certificado

La comunicación a través del túnel VPN continúa una vez caducado el certificado hasta que el túnel se deshaga o finalice la vida útil SA. Encontrará más información sobre certificados en el capítulo siguiente: • Administrar certificados (Página 83)

6.4 Configuración de túnel en modo normal

Abrir el cuadro de diálogo para visualización de valores estándar 1. Seleccione el grupo VPN.


La visualización de las propiedades de grupo VPN es idéntica a la visualización en el modo avanzado, pero los valores no pueden modificarse en el modo normal.

Comunicación segura en la VPN a través de túnel IPsec 6.5 Configuración de túneles en el modo avanzado


6.5 Configuración de túneles en el modo avanzado El modo avanzado ofrece posibilidades para configurar de forma específica la comunicación por túnel.

Cambiar al modo avanzado Para todas las funciones descritas en este capítulo, cambie el proyecto al modo avanzado.




6.5.1 Configuración de propiedades del grupo VPN

Propiedades del grupo VPN

Nota Se requieren conocimientos sobre IPsec

Para poder ajustar estos parámetros necesita tener conocimientos en materia de IPsec. Si no efectúa o modifica ningún ajuste, rigen los ajustes predeterminados del modo normal.

En el modo avanzado se pueden configurar las siguientes propiedades del grupo VPN:

● Método de autenticación

● Ajustes IKE (área de diálogo: Advanced Settings Phase 1)

● Ajustes IPsec (área de diálogo: Advanced Settings Phase 2)



Cómo se accede a esa función 1. En el área de navegación, seleccione el grupo VPN que desea editar.


3. Elija si para la autenticación debe utilizarse una Preshared Key o un certificado.

Encontrará más información al respecto en el capítulo siguiente:

– Método de autenticación (Página 200).

Parámetros para la fase 1 de la configuración avanzada Fase 1: negociación IKE de Security Association (SA) para fase 2:



Aquí se ajustan los parámetros para negociar los parámetros de seguridad que se utilizarán en la fase 2: Parámetro Descripción Modo IKE • Main Mode

• Aggressive Mode La diferencia entre la modalidad Main y Aggressive es la "Identity-Protection" que se utiliza en el Main Mode. La identidad se transmite codifi-cada en el Main Mode, en el Aggressive Mode no.

Grupo DH fase 1 Grupos seleccionables para el cambio de código Diffie-Hellman: • Group 1 • Group 2 • Group 5 • Group 14

Tipo de vida útil SA Phase 1 Security Association (SA): • Time: Limitación del tiempo en minutos Se limita el tiempo de vida útil para el material de codificación actual. Una vez transcurrido ese tiempo se negocia de nuevo el material de codifi-cación.

Vida útil SA Valor numérico: Rango de valores para Time: 1440 ... 2500000 minutos (predeterminado: 2500000)

Cifrado fase 1 Algoritmo de cifrado: • DES*: Data Encryption Standard (longitud de código 56 bits, modo

CBC) • 3DES-168: DES triple (longitud de código 168 bits, modo CBC) • AES-128, 192, 256: Advanced Encryption Standard (longitud de código

128 bits, 192 bits o 256 bits, modo CBC)

Autenticación fase 1 Algoritmo de autenticación: • MD5: Message Digest Algorithm 5 • SHA1: Secure Hash Algorithm 1

* DES es un algoritmo de cifrado no seguro. Solo debería utilizarse cuando sea necesario para la compatibilidad con versiones anteriores.

Parámetros para la fase 2 de la configuración avanzada Fase 2: negociación IKE de Security Association (SA) para el intercambio de datos IPsec:



Aquí se ajustan los parámetros para negociar los parámetros de seguridad que se utilizarán para el intercambio de datos IPsec con ESP (Encapsulating Security Payload) y AH (Authentication Header). La comunicación es cifrada en la fase 2. Parámetro Descripción Tipo de vida útil SA Phase 2 Security Association (SA):

• Time: Limitación de tiempo en minutos. Se limita el tiempo de vida útil para el material de codificación actual. Una vez transcurrido ese tiempo se negocia de nuevo el material de codificación.

• Limit: Limitación del volumen de datos en MB

Vida útil SA Valor numérico: • Rango de valores para Time: 60 ... 16666666 minutos (predeterminado:

2880) • Rango de valores para Limit: 2000 ... 500000 MB (predeterminado:

4000)

Cifrado fase 2 Algoritmo de cifrado: • DES*: Data Encryption Standard (longitud de código 56 bits, modo

CBC) • 3DES-168: DES triple (longitud de código 168 bits, modo CBC) • AES-128: Advanced Encryption Standard (longitud de código 128 bits,

modo CBC)

Autenticación fase 2 Algoritmo de autenticación: • MD5: Message Digest Algorithm 5 • SHA1: Secure Hash Algorithm 1

Perfect Forward Secre-cy

Si se activa esta casilla de verificación, para volver a calcular las claves se intercambiarán nuevos Diffie Hellman Public Key Values. Si la casilla de verificación está desactivada, para volver a calcular las claves se utilizarán los valores que ya se intercambiaron en la fase 1.

* DES es un algoritmo de cifrado no seguro. Solo debería utilizarse cuando sea necesario para la compatibilidad con versiones anteriores.



6.5.2 Incluir un módulo en un grupo VPN configurado Las propiedades de grupo configuradas se adoptan para los módulos nuevos que se incluyen en un grupo VPN existente.

Incluir estaciones activas en un grupo VPN Si una estación activa se agrega a un grupo VPN ya existente, la estación podrá acceder a las estaciones del grupo sin necesidad de tener que cargar el proyecto de nuevo en todas ellas.

Nota

Si retira una estación activa de un grupo VPN existente, la estación podrá establecer una conexión con las estaciones del grupo aunque haya vuelto a cargar el proyecto en todas ellas.

Si no desea que la estación activa retirada establezca conexión, renueve el certificado CA del grupo VPN y vuelva a cargar el proyecto en las estaciones del grupo VPN.

El certificado CA del grupo VPN puede renovarse en las propiedades de grupo del grupo VPN o en el administrador de certificados, en la ficha "Entidades emisoras".

Procedimiento a seguir En el procedimiento hay que distinguir lo siguiente:

● Caso a: si no se han modificado las propiedades del grupo y el módulo que debe agregarse establece activamente la conexión con los módulos ya configurados:

1. Agregue el módulo nuevo al grupo VPN.

2. Cargue la configuración en el nuevo módulo.

● Caso b:si se han modificado las propiedades del grupo o el módulo que debe agregarse no establece activamente la conexión con los módulos ya configurados:

1. Agregue el módulo nuevo al grupo VPN.

2. Cargue la configuración en todos los módulos pertenecientes al grupo VPN.

Ventaja en el caso a No es necesario configurar de nuevo ni cargar los módulos ya existentes y que ya se han puesto en servicio. La comunicación en curso no se ve afectada ni interrumpida.



Ajustes para estaciones con dirección IP desconocida Las estaciones para las que no se conoce la dirección IP en el momento de la configuración (unknown peers) se pueden insertar en un grupo VPN ya existente. Dado que la mayoría de estaciones suele tener un uso móvil y obtienen su dirección IP dinámicamente (p. ej. un SOFTNET Security Client o SCALANCE M), el túnel VPN solo puede establecerse si los ajustes de parámetros para la fase 1 se realizan conforme a una de las siguientes tablas. Si utiliza otros ajustes, no será posible establecer un túnel VPN con el dispositivo terminal.

Tabla 6- 4 Parámetros de cifrado 1

Parámetro Ajuste Cifrado fase 1 AES-256 Grupo DH fase 1 Group2 Autenticación fase 1 SHA1 Método de autenticación Certificado Vida útil SA 1440 … 2500000 minutos


Parámetro Ajuste Cifrado fase 1 3DES-168 Grupo DH fase 1 Group2 Autenticación fase 1 SHA1 Método de autenticación Certificado Vida útil SA 1440 … 2500000 minutos


Parámetro Ajuste Cifrado fase 1 DES Grupo DH fase 1 Group2 Autenticación fase 1 MD5 Método de autenticación Certificado Vida útil SA 1440 … 2500000 minutos


Parámetro Ajuste Cifrado fase 1 3DES-168 Grupo DH fase 1 Group2 Autenticación fase 1 SHA1 Método de autenticación Preshared Key Vida útil SA 1440 … 2500000 minutos



Limitaciones adicionales para el SOFTNET Security Client Para el SOFTNET Security Client rigen además las siguientes limitaciones: Parámetro Ajuste/particularidad Cifrado fase 1 AES-256 solo es posible con Windows 7 Fase 1 vida útil SA 1440 ... 2879 minutos Tipo de vida útil SA Debe ser idéntico para ambas fases. Cifrado fase 2 No es posible AES-128 Fase 2 vida útil SA 60 ... 2879 minutos Autenticación fase 2 No es posible MD5

6.5.3 Configuración de propiedades VPN específicas del módulo

Significado Para el intercambio de datos a través de túnel IPsec en VPN se pueden configurar las siguientes propiedades específicas del módulo:

● Dead-Peer-Detection

● Permiso para iniciar el establecimiento de la conexión

● Dirección IP WAN / FQDN para la comunicación a través de pasarelas de Internet

● Nodos VPN

Requisitos ● En la ficha "VPN" solo se pueden realizar ajustes si el módulo que se va a configurar se

encuentra en un grupo VPN.

● El área de diálogo "Nodos VPN" de la ficha "VPN" solo se muestra si el proyecto está en el modo avanzado.

Cómo se accede a esa función 1. Seleccione el módulo que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN".

Los ajustes realizados aquí se aplican de forma estándar como ajustes del módulo para la configuración de conexión a conexión. Los ajustes de conexión a conexión pueden sobrescribir los ajustes del módulo y se configuran en la ventana detallada. Encontrará más información sobre la configuración de los ajustes de conexión a conexión en el capítulo siguiente: Configuración de propiedades VPN conexión a conexión (Página 215)



Dead-Peer-Detection (DPD) Como estándar está activado DPD. Para que DPD funcione de forma fiable debe estar activado en los módulos de seguridad participantes.

Estando activado DPD, los módulos de seguridad intercambian mensajes adicionales a intervalos de tiempo ajustables, siempre que en esos momentos no haya tráfico de datos por el túnel VPN. Eso permite detectar si la conexión IPsec todavía es válida o si es necesario volver a establecerla. Si ya no hay conexión, se finalizan prematuramente las "Security Associations" (SA) de fase 2. Con DPD desactivado, la SA no se finaliza hasta haber concluido su vida útil. Para ajustar la vida útil SA, consulte el capítulo siguiente: Configuración de propiedades del grupo VPN (Página 206).

Permiso para iniciar el establecimiento de la conexión Se puede limitar el permiso para iniciar el establecimiento de la conexión de VPN a determinados módulos de la VPN.

El factor decisivo para el ajuste del parámetro aquí descrito es la asignación de la dirección para la pasarela del módulo que debe configurarse. En el caso de una dirección IP asignada estáticamente, el módulo puede ser encontrado por el interlocutor. En el caso de una dirección IP asignada dinámicamente, y por lo tanto constantemente cambiante, el interlocutor no puede establecer sin más una conexión. Modo Significado Iniciando conexión con interlocutor (ini-ciador/respondedor) (predeterminado)

Con esta opción, el módulo está "activo", es decir, se intenta establecer una conexión con un interlocutor. También es posible aceptar peticiones para establecer una conexión VPN. Esta opción es recomendable cuando el módulo que debe configurarse recibe una dirección IP dinámica del ISP. El direccionamiento del interlocutor tiene lugar a través de su dirección IP WAN configurada, de su dirección IP de módulo externa configurada o del FQDN configurado.

Esperando a interlocutor (respondedor) Con esta opción, el módulo está "pasivo", es decir, se espera a que el interlocutor inicie el establecimiento de la conexión. Esta opción es recomendable cuando el módulo que debe configurarse ha recibido una dirección IP estática del ISP.

Nota

No ponga todos los módulos de un grupo VPN a "Esperando al interlocutor", pues de hacerlo no se establece ninguna conexión.



Dirección IP WAN / direcciones FQDN de los módulos y pasarelas en una VPN vía Internet Para el funcionamiento de una VPN con túneles IPsec a través de Internet se necesitan, por regla general, direcciones IP adicionales para las gateways de Internet, como por ejemplo routers DSL. Los distintos módulos de seguridad o SCALANCE M tienen que conocer las direcciones IP públicas de los módulos interlocutores de la VPN a los que puede accederse a través de Internet.

Nota

Si utiliza un router DSL como pasarela de Internet, habilite en él al menos los puertos siguientes de acuerdo con las indicaciones de la documentación correspondiente y transfiera los paquetes de datos a los módulos: • Port 500 (ISAKMP) • Port 4500 (NAT-T)

Para ello, existe la posibilidad de asignar en la configuración del módulo de seguridad o SCALANCE M una "dirección IP WAN". Al cargar la configuración del módulo, se comunica a las estaciones del grupo las direcciones IP WAN de los módulos interlocutores. Como alternativa a una dirección IP WAN también puede introducir un FQDN. Si ha configurado, a la vez, DNS dinámico en el módulo de seguridad, este FQDN debe coincidir con el FQDN introducido en la ficha "DNS" y registrado con un proveedor para DNS dinámico.

Puede definir en las propiedades VPN conexión a conexión si debe utilizarse la dirección IP externa, la dirección IP de la interfaz DMZ (solo SCALANCE S623 / S627-2M) o la dirección IP WAN / el FQDN. Encontrará más información sobre las propiedades VPN conexión a conexión en el capítulo siguiente: Configuración de propiedades VPN conexión a conexión (Página 215)

Si no especifica un punto de acceso aquí, se utilizará como punto final VPN la dirección IP externa o la dirección IP de la interfaz DMZ (solo SCALANCE S623/S627-2M). Para módulos SCALANCE M-800 configurados como respondedores hay que indicar un punto de acceso.



① Dirección IP interna - de un módulo de seguridad ② Dirección IP externa - de un módulo ③ Dirección IP de una pasarela de Internet (p. ej. pasarela GPRS) ④ Dirección IP (dirección IP WAN) de una pasarela de Internet (p. ej. router DSL)

Configurar nodos VPN En el área de diálogo "Nodos VPN", habilite subredes o dispositivos para la comunicación por túnel VPN.

Encontrará más información sobre qué dispositivos o subredes deben habilitarse y cómo se habilitan para la comunicación por túnel VPN en los capítulos siguientes:

Configuración de otros dispositivos y subredes para el túnel VPN (Página 225)

Configuración de nodos de red internos (Página 224)

6.5.4 Configuración de propiedades VPN conexión a conexión

Significado Mientras que las propiedades VPN específicas del módulo se configuran especialmente para un módulo, las propiedades VPN conexión a conexión se refieren especialmente a las conexiones VPN de un módulo. Si un módulo establece varias conexiones de túnel con otros módulos, con ayuda de las propiedades VPN conexión a conexión se puede configurar, por ejemplo, qué conexiones inicia el módulo y cuáles no.



Requisitos ● El módulo forma parte de un grupo VPN.

Cómo se accede a esa función 1. En el área de navegación, seleccione el grupo VPN al que pertenece el módulo que

desea editar.

2. Seleccione en el área de contenido el módulo cuyas propiedades desea configurar.

Ahora puede configurar en la ventana de detalles las propiedades VPN conexión a conexión. Los valores preajustados se obtienen de las propiedades VPN específicas del módulo.

Parámetros Parámetros Significado Iniciador/respondedor Definición del permiso para iniciar el establecimiento de la

conexión. Módulo interlocutor Visualización del nombre del módulo interlocutor. Tipo de paquetes transmitidos Visualización de la capa a la que se transfieren los

paquetes. Interfaz local Definición de la interfaz que debe utilizarse como punto final

VPN en el módulo seleccionado. Si se ha configurado un punto de acceso WAN para el módulo (dirección IP / FQDN), también puede seleccionarse aquí.

Interfaz interlocutora Definición de la interfaz que debe utilizarse como punto final VPN en el módulo interlocutor. Si se ha configurado un punto de acceso WAN para el interlocutor VPN (dirección IP / FQDN), también puede seleccionarse aquí.

Comunicación segura en la VPN a través de túnel IPsec 6.6 Datos de configuración para módulos SCALANCE M


6.6 Datos de configuración para módulos SCALANCE M

Significado Se pueden generar informaciones de VPN para la parametrización de módulos SCALANCE M con la Security Configuration Tool. Con los archivos creados se pueden configurar los módulos SCALANCE M.

Se generan los siguientes tipos de archivos:

● Archivo de exportación con los datos de configuración

– Tipo de archivo: archivo *.txt en formato ASCII

– Contiene la información de configuración exportada para el SCALANCE M, incluida una información sobre los certificados generados adicionalmente.

– Archivo de exportación para módulos SCALANCE M875:



– Archivo de exportación para módulos SCALANCE M-800:

● Certificados de grupos VPN del módulo

– Tipo de archivo de la clave privada: archivo *.p12

– El archivo contiene el certificado de grupos VPN del módulo y el correspondiente material de codificación.

– El acceso está protegido por contraseña.

● Certificados CA de grupos VPN

– Tipo de archivo: Archivo *.cer

Nota

Los archivos de configuración no se transfieren al módulo. Se genera un archivo ASCII con el que se pueden configurar las propiedades relevantes para VPN del SCALANCE M. Para ello es necesario que el módulo esté como mínimo en un grupo VPN con un módulo de seguridad o un SOFTNET Security Client a partir de V3.0.

Nota Proteger archivos de configuración exportados de accesos no autorizados

Los archivos de configuración exportados de la Security Configuration Tool para SCALANCE M pueden contener información relevante para la seguridad. Por este motivo hay que asegurarse de que dichos archivos están protegidos de accesos no autorizados. Esto es especialmente importante cuando se transfieren archivos.

Creación de archivos de configuración 1. Seleccione el módulo que desea editar.

2. Elija el comando de menú "Transferir" > "A módulo(s)...".



3. En el siguiente cuadro de diálogo de almacenamiento, introduzca la ruta y el nombre del archivo de configuración y haga clic en el botón "Guardar".

4. En el siguiente cuadro de diálogo, indique si debe crear una contraseña propia para el certificado de grupos VPN del módulo.

Si responde "No", se asigna como contraseña el nombre del proyecto (p. ej. SCALANCE_M_Configuracion1), y no la contraseña del proyecto.

Si responde "Sí" (recomendado), tendrá que introducir una contraseña en el cuadro de diálogo siguiente.

Resultado: los archivos (y certificados) se guardan en el directorio que ha indicado.

Nota

Para más información sobre la configuración, consulte las instrucciones de servicio de los respectivos módulos SCALANCE M.

Comunicación segura en la VPN a través de túnel IPsec 6.7 Datos de configuración para dispositivos VPN


6.7 Datos de configuración para dispositivos VPN

Significado Se pueden generar informaciones de VPN para la parametrización de un dispositivo VPN con la Security Configuration Tool. Con los archivos creados es posible configurar a continuación el dispositivo VPN.

Se generan los siguientes archivos:


– Tipo de archivo: Archivo *.txt en formato ASCII

– Contiene la información de configuración exportada para el dispositivo VPN, incluida una información sobre los certificados generados adicionalmente.

Figura 6-1 Archivo de exportación para un dispositivo VPN

● Certificados de grupos VPN del dispositivo VPN

● Certificados de grupos VPN de módulos interlocutores

● Clave privada

● Certificados CA de grupos VPN

Configuración de tipos de archivo Para dispositivos VPN se pueden determinar los tipos de archivo bajo los que se guardarán los datos generados.

Comunicación segura en la VPN a través de túnel IPsec 6.7 Datos de configuración para dispositivos VPN


Seleccione para ello el dispositivo VPN que desee editar y elija el comando de menú "Editar" > "Propiedades...".

● Certificados de grupos VPN del dispositivo VPN

– Archivo *.crt: certificado codificado en base 64

– Archivo *.pem: certificado codificado en base 64

– Archivo *.pem: certificado codificado en binario

● Certificados de grupos VPN de módulos interlocutores:




● Clave privada:

– Archivo *.p12: archivo PKCS12 con clave privada protegido por contraseña

– Archivo *.key: clave privada no protegida codificada en base 64

● Certificados CA de grupos VPN:




Nota

Los archivos de configuración no se transfieren al dispositivo VPN. Se genera un archivo ASCII con el que se puede configurar el dispositivo VPN. Para ello es necesario que el dispositivo VPN esté como mínimo en un grupo VPN con un módulo de seguridad o un SOFTNET Security Client a partir de V3.0.

Creación de archivos de configuración 1. Seleccione el dispositivo VPN que desee editar.



4. En el siguiente cuadro de diálogo, indique si para ambos archivos de certificado debe crearse una contraseña propia.

Si responde "No", se asigna como contraseña el nombre del proyecto (p. ej. ProyectoVPN_02), y no la contraseña del proyecto.


Resultado: los archivos (y certificados) se guardan en el directorio que ha indicado.

Comunicación segura en la VPN a través de túnel IPsec 6.8 Datos de configuración para clientes NCP VPN (Android)


6.8 Datos de configuración para clientes NCP VPN (Android)

NCP Secure VPN Client for Android El NCP Secure Android Client permite una conexión VPN de alta seguridad con redes de datos centrales de empresas y organizaciones. Es posible acceder a varias redes de datos diferentes con un perfil de VPN propio en cada caso.

Sobre la base del estándar IPsec, los tablets y smartphones pueden establecer conexiones de datos codificadas a pasarelas VPN de todos los proveedores relevantes.

El cliente se puede obtener en dos variantes a través de Google Play Store:

● NCP Secure VPN Client for Android (autenticación con Preshared Key)

● NCP Secure VPN Client Premium for Android (autenticación con Preshared Key o certificado)

Encontrará más información sobre los NCP Secure Android Clients en:

NCP Secure VPN Client for Android (http://www.ncp-e.com/es/productos/cliente-vpn-ipsec-para-android.html)

Significado Se pueden generar informaciones de VPN para la parametrización de un cliente NCP VPN (Android) con la Security Configuration Tool. Con los archivos generados se puede configurar a continuación el software de cliente NCP VPN.

Se generan los siguientes tipos de archivos:


– Tipo de archivo: archivo *.ini en formato UTF-8

– Contiene la información de configuración exportada para el cliente NCP VPN (Android), incluida una información sobre los certificados generados adicionalmente.

● Certificados de grupos VPN del módulo

– Tipo de archivo de la clave privada: archivo *.p12

– El archivo contiene el certificado de grupos VPN del módulo y el material de codificación.

– El acceso está protegido por contraseña.

● Certificados CA de grupos VPN:

– Tipo de archivo: archivo *.crt

http://www.ncp-e.com/es/productos/cliente-vpn-ipsec-para-android.html

http://www.ncp-e.com/es/productos/cliente-vpn-ipsec-para-android.html

Comunicación segura en la VPN a través de túnel IPsec 6.8 Datos de configuración para clientes NCP VPN (Android)


Figura 6-2 Archivo de exportación para un cliente NCP VPN (Android)

Nota

Los archivos de configuración no se transfieren al cliente NCP VPN (Android). Se genera un archivo ASCII con el que se puede configurar el cliente NCP VPN (Android). Para ello, el cliente NCP VPN (Android) debe encontrarse al menos en un grupo VPN con un módulo de seguridad.

Creación de archivos de configuración 1. Marque en el área de contenidos el cliente NCP VPN que desee editar (Android).



4. En el siguiente cuadro de diálogo, indique si para ambos archivos de certificado debe crearse una contraseña propia.

Si responde "No", se asigna como contraseña el nombre del proyecto (p. ej. ProyectoNCP_02), y no la contraseña del proyecto.


Resultado: los archivos se guardarán en el directorio que ha indicado.

Comunicación segura en la VPN a través de túnel IPsec 6.9 Configuración de nodos de red internos


6.9 Configuración de nodos de red internos

Configuración de nodos de red internos Para poder determinar la autenticidad de un telegrama, cada módulo de seguridad debe conocer los nodos de toda la red interna.

El módulo de seguridad debe conocer tanto su propio nodo interno, como los nodos internos de los módulos de seguridad con los que comparte el grupo VPN. En un módulo de seguridad, esta información se utiliza para determinar qué paquete de datos se debe transmitir por qué túnel.

SCALANCE S Además de la configuración estática de los nodos de red, un módulo SCALANCE S en el modo de puente ofrece la posibilidad de aprenderlos automáticamente. Encontrará información sobre cómo configurar los nodos de red de forma estática en el siguiente capítulo: Configuración de otros dispositivos y subredes para el túnel VPN (Página 225)

Encontrará información sobre el aprendizaje automático de nodos de red internos en el siguiente capítulo: Funcionamiento del modo de aprendizaje (Página 226)

CP x43-1 Adv. y CP 1628 ● CP x43-1 Adv.

Seleccione si la comunicación tunelada con el CP y/o con la subred interna está permitida para interlocutores VPN en modo de enrutamiento (SCALANCE S / M / dispositivo VPN / cliente NCP VPN (Android)).

● CP 1628

Introduzca los nodos NDIS que deben ser accesibles por el túnel de interlocutores VPN en modo de enrutamiento (SCALANCE S / M / dispositivo VPN / cliente NCP VPN (Android)).



6.9.1 Configuración de otros dispositivos y subredes para el túnel VPN

Significado Al agregar un módulo de seguridad a un grupo VPN se habilitan automáticamente los nodos de red/subredes internos locales del módulo de seguridad para la comunicación por túnel VPN. Para permitir la comunicación por el túnel VPN con otras subredes u otros dispositivos de otra subred, es necesario habilitar a través de la configuración dichas subredes o dichos dispositivos para la comunicación por túnel VPN.

Una subred que puede habilitarse a través de la configuración puede ser:

● Una subred accesible en la interfaz interna a través de la red local, cuando un túnel VPN termina en la interfaz externa o la interfaz DMZ.

● Una subred accesible a través de la interfaz DMZ, cuando un túnel VPN termina en la interfaz externa.

● Una subred accesible a través de la interfaz externa, cuando un túnel VPN termina en la interfaz DMZ.

Requisitos Antes de que los dispositivos o las subredes puedan habilitarse para la comunicación tunelada deben cumplirse los requisitos siguientes:

● El módulo de seguridad se encuentra en un grupo VPN.

● El área de diálogo "Nodos VPN" de la ficha "VPN" solo se muestra si el proyecto está en el modo avanzado.

Nota

No es posible regresar al modo normal



Cómo se accede a esa función - Modo de puente Observación: Si deben habilitarse dispositivos o subredes en la interfaz DMZ (solo SCALANCE S623/S627-2M), siga la descripción del modo de enrutamiento.


2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN". La habilitación de dispositivos y subredes se configura en el área de diálogo "Nodos VPN".

3. Si desea habilitar subredes completas para la comunicación tunelada, introdúzcalas en la ficha "Subredes internas". Si desea habilitar dispositivos individuales para la



comunicación tunelada, introdúzcalos en la ficha "Nodos IP internos" o "Nodos MAC internos".

Observación: para que las subredes indicadas aquí sean accesibles, también debe haberse introducido un router para ellas en la ficha "Enrutamiento". Además, el cortafuegos debe permitir la comunicación con los dispositivos.

Cómo se accede a esa función - Modo de enrutamiento 1. Seleccione el módulo de seguridad que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN". La habilitación de subredes se configura en el área de diálogo "Nodos VPN".

3. En la ficha "Subredes accesibles por túnel", introduzca la ID de red y la máscara de subred de la subred que debe incluirse en la comunicación por túnel.

Observación: para que las subredes indicadas aquí sean accesibles, también debe haberse introducido un router para ellas en la ficha "Enrutamiento". Además, el cortafuegos debe permitir la comunicación con las subredes.

6.9.2 Funcionamiento del modo de aprendizaje

Localización automática de dispositivos para la comunicación tunelada (solo en el SCALANCE S en modo de puente)

Una gran ventaja para la configuración y el funcionamiento de la comunicación vía túnel es que los módulos SCALANCE S pueden localizar por sí mismos los nodos en la red interna. De este modo, no se tienen que configurar manualmente los nodos de red internos que deben intervenir en la comunicación tunelada.

Nuevos nodos son reconocidos por el módulo SCALANCE S durante el funcionamiento en curso. Los nodos detectados se notifican a los módulos SCALANCE S pertenecientes al mismo grupo VPN. Con esto está garantizado en todo momento el intercambio de datos en ambos sentidos dentro de los túneles de un grupo VPN.



Requisitos Se detectan los siguientes nodos:

● Nodos de red aptos para IP

Se encuentran nodos de red aptos para IP si se envía una respuesta ICMP al Broadcast de la subred ICMP.

Nodos IP situados detrás de routers se pueden encontrar si los routers transmiten ICMP-Broadcasts.

● Nodos de red ISO

Nodos de red que no sean aptos para IP, pero que a los que pueda accederse a través del protocolo ISO, también se pueden programar por aprendizaje.

Condición para ello es que respondan a telegramas XID o TEST. TEST y XID (Exchange Identification) son protocolos auxiliares para el intercambio de informaciones en el nivel Layer 2. Enviando estos telegramas con una dirección Broadcast se pueden localizar estos nodos de red.

● Nodos PROFINET

Con ayuda de DCP (Discovery and basic Configuration Protocol) se encuentran nodos PROFINET.

Los nodos de red que no cumplan estos requisitos deben configurarse de forma estática.

Nota No hay modo de aprendizaje en la interfaz DMZ con un túnel VPN

El aprendizaje de nodos internos solo se soporta en interfaces conectadas en modo de puente. La interfaz DMZ se conecta siempre en modo de enrutamiento.



A esta función se accede del siguiente modo 1. Seleccione el módulo SCALANCE S que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN".

¿Cuándo es conveniente desactivar el modo de aprendizaje automático? Los ajustes estándar para el módulo de seguridad parten de que las redes internas son siempre seguras; esto significa también que normalmente no se conectan a la red interna nodos de red que no sean dignos de confianza.

La desactivación del modo de aprendizaje es conveniente si la red interna es estática, es decir, si no cambian el número ni las direcciones de los nodos internos.

Con la desconexión del modo de aprendizaje se suprime en la red interna la carga que los telegramas de programación por aprendizaje suponen para el medio y los nodos de red. También aumentan las prestaciones del módulo SCALANCE S, ya que no está recargado por el procesamiento de los telegramas de programación por aprendizaje.



Observación: en el modo de aprendizaje se registran todos los nodos de red de la red interna. Los datos relativos a los recursos de la VPN se refieren solo a los nodos de red que se comuniquen en la red interna a través de VPN.

Nota

Si en la red interna se utilizan más de 128 nodos internos, se sobrepasa con esto el alcance admisible y se genera un estado operativo no permitido. Debido a la dinámica en el tráfico de la red ocurre entonces que los nodos internos ya programados por aprendizaje son reemplazados por nuevos nodos internos, hasta ahora desconocidos.

Nodos de red no programables Existen en la red interna nodos que no se pueden programar por aprendizaje. Son dispositivos de subredes que se encuentran en la red local interna del módulo SCALANCE S (p. ej. detrás de routers). Dichas subredes tampoco pueden programarse por aprendizaje. Los dispositivos y las subredes no programables deben configurase de forma estática en modo avanzado.


En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo avanzado, ya no es posible regresar. Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.

6.9.3 Visualización de los nodos de red internos encontrados Todos los nodos de red localizados se visualizan en la Security Configuration Tool.

1. Pase el modo "Online".

2. Elija el comando de menú "Editar" > "Diagnóstico online...", ficha "Nodos internos".

Resultado: se muestran los nodos de red internos localizados.


Redundancia de router y cortafuegos 7 7.1 Resumen

Significado Gracias a la redundancia de router y cortafuegos es posible compensar automáticamente los fallos de los módulos de seguridad SCALANCE S623 V4 o superior y SCALANCE S627-2M V4 o superior durante el funcionamiento. Para ello, reúna dos módulos de seguridad del tipo SCALANCE S623 o SCALANCE S627-2M en una relación de redundancia y determine cuál debe ser el módulo de seguridad activo en el funcionamiento normal de la relación de redundancia. Si falla el módulo de seguridad activo, el módulo de seguridad pasivo asumirá automáticamente su función como cortafuegos y router (NAT/NAPT). Para garantizar una configuración idéntica de los dos módulos de seguridad, estos se conectarán entre sí mediante sus interfaces DMZ, y su configuración se sincronizará durante el funcionamiento. Las interfaces DMZ de los módulos de seguridad correspondientes no pueden utilizarse para otros fines en este caso.

Redundancia de dirección Además de sus respectivas direcciones IP de módulo, los dos módulos de seguridad comparten en la interfaz externa e interna una dirección IP común en cada caso para que, en caso de fallo de uno de los módulos de seguridad, no tengan que realizarse cambios en las direcciones IP. Por ello, debe configurar una dirección IP para las interfaces externa e interna de la relación de redundancia.

Configuración de relaciones de redundancia y módulos de seguridad integrados Después de integrar los módulos de seguridad en una relación de redundancia, una parte de las propiedades de los módulos se configura únicamente a través de la relación de redundancia. Esta parte de las propiedades de los módulos se desactiva para los módulos de seguridad individuales, y solo vuelve a estar activa y se puede editar después de eliminar los módulos de seguridad de la relación de redundancia. Las siguientes propiedades se configuran a través de la relación de redundancia:

● Configuración básica de la relación de redundancia (parámetros de red, módulos primarios)

● Cortafuegos

● Enrutamiento

● Enrutamiento NAT/NAPT (sin NAT 1:1)

Redundancia de router y cortafuegos 7.2 Crear relaciones de redundancia y asignar módulos de seguridad


Los ajustes que se indican a continuación también están activos para los módulos de seguridad individuales tras su integración en una relación de redundancia. Estos ajustes pueden seguir adaptándose por separado para los dos módulos de seguridad.

● Configuración de interfaces (No es posible la desactivación de interfaces)

● Reglas estándar para servicios IP (cortafuegos)

● DDNS

● Sincronización horaria

● Ajustes de registro

● SNMP

● MRP/HRP

● RADIUS

7.2 Crear relaciones de redundancia y asignar módulos de seguridad

Requisitos Solo se pueden asignar a una relación de redundancia módulos de seguridad que cumplan los siguientes requisitos:

● El módulo de seguridad es del tipo "S623 V4" o "S627-2M V4"

● El módulo de seguridad está en modo de enrutamiento

● Todas las interfaces del módulo de seguridad están activas

● El método de asignación IP "Dirección estática" está configurado para todas las interfaces

● El módulo de seguridad no forma parte de un grupo VPN

● El módulo de seguridad no está asignado a ninguna otra relación de redundancia

Procedimiento 1. En el área de navegación, seleccione el objeto "Relaciones de redundancia".

2. En el menú contextual (botón derecho del ratón) del objeto, seleccione el comando de menú "Agregar relación de redundancia...".

Resultado: la relación de redundancia creada se muestra en el área de navegación.

3. Asigne los módulos de seguridad a la relación de redundancia seleccionándolos en el área de contenido y arrastrándolos hasta la relación de redundancia creada en el área de navegación (Drag and Drop).

4. El cuadro de diálogo "Configuración de la relación de redundancia" ofrece las siguientes posibilidades para la configuración de la relación de redundancia:

– Aplicación de la configuración de las fichas "Cortafuegos", "Enrutamiento" y "NAT/NAPT" de un módulo de seguridad para la relación de redundancia. En la lista

Redundancia de router y cortafuegos 7.3 Configuración de relaciones de redundancia


desplegable puede seleccionar el módulo de seguridad cuya configuración desea utilizar para la relación de redundancia. Con ello, se sobrescribe cualquier configuración existente de la relación de redundancia.

– Generación de una copia del módulo de seguridad asignado dentro de la relación de redundancia. Esto solo es posible si solo se asigna un módulo de seguridad a una relación de redundancia creada.

También puede configurar la relación de redundancia con posterioridad a través de sus propiedades, véase el capítulo: Configuración de relaciones de redundancia (Página 233)

Resultado: ha creado una relación de redundancia y le ha asignado los módulos de seguridad deseados.

7.3 Configuración de relaciones de redundancia

Cómo se accede a esa función Seleccione la relación de redundancia en el área de navegación y elija el comando de menú "Editar" > "Propiedades...".

Configuración de los parámetros de red de la relación de redundancia

Tabla 7- 1 Parámetros de la ficha "Configuración básica"

Parámetro configurable Significado Módulo primario Selección del módulo de seguridad que debe estar activo

en el funcionamiento normal. Activar ID de router virtual (solo para SCALANCE S623/S627-2M firmware V4.0.1 o superior)

Si se activa esta casilla de verificación se podrán adaptar las IDs de router virtual de las interfaces virtuales. Medi-ante una ID de router virtual se define la dirección MAC virtual de una interfaz virtual. Valores posibles: 01...FF

Dirección IP Dirección IP virtual de la interfaz externa o interna de la relación de redundancia

Máscara de subred Máscara de subred de la interfaz virtual externa o interna de la relación de redundancia

Comentario Comentario opcional ID de router virtual (solo para SCALANCE S623/S627-2M firmware V4.0.1 o superior)

Mediante una ID de router virtual se define la dirección MAC virtual de una interfaz virtual.

Para obtener información general sobre la configuración de parámetros de red, consulte el capítulo siguiente: Crear módulos y ajustar parámetros de red (Página 89)

Redundancia de router y cortafuegos 7.3 Configuración de relaciones de redundancia


Configuración del cortafuegos La configuración de reglas de filtrado de paquetes IP para relaciones de redundancia se realiza de acuerdo con el mismo esquema que la configuración de reglas de filtrado de paquetes IP para módulos de seguridad individuales. Están disponibles los sentidos de comunicación "De externa a interna" y "De interna a externa".

Para obtener información general sobre la configuración de reglas de filtrado de paquetes IP en el modo avanzado, consulte el capítulo siguiente: Reglas de filtrado de paquetes IP (Página 149)

Configuración de la conversión de direcciones con NAT/NAPT La configuración de la conversión de direcciones con NAT/NAPT para la relación de redundancia se realiza de acuerdo con el mismo esquema que la configuración de la conversión de direcciones con NAT/NAPT para módulos de seguridad individuales. Para relaciones de redundancia, solo se pueden configurar Source-NAT y NAPT. En el caso de Source-NAT, las direcciones IP de origen de la subred interna solo se pueden sustituir con la dirección IP externa virtual de la relación de redundancia. No se pueden registrar direcciones IP alias en la interfaz externa de la relación de redundancia. Con NAPT, solo se puede configurar el sentido de conversión de direcciones "De externa a interna".

Para obtener información general sobre la configuración de conversiones de direcciones con NAT/NAPT, consulte el capítulo siguiente: Conversión de direcciones con NAT/NAPT (Página 173)

Configuración del enrutamiento La configuración de rutas para la relación de redundancia se realiza de acuerdo con el mismo esquema que la configuración de rutas para módulos de seguridad individuales.

Para obtener información general sobre la configuración del enrutamiento, consulte el capítulo siguiente: Definir un router predeterminado y rutas (Página 170)

Consulte también Reglas para filtrado de paquetes MAC (Página 159)



El software para PC SOFTNET Security Client permite acceder remotamente desde el PC o la PG a autómatas programables protegidos por módulos de seguridad, más allá de los límites de redes públicas.

En este capítulo se describe cómo configurar el SOFTNET Security Client en la Security Configuration Tool y cómo ponerlo después en servicio en el PC o la PG.

Otras informaciones La ayuda online del SOFTNET Security Client le proporcionará también información detallada sobre los diálogos y los parámetros ajustables.

Puede acceder a esta ayuda con la tecla F1 o con el botón "?" en el respectivo cuadro de diálogo.

Consulte también Comunicación segura en la VPN a través de túnel IPsec (Página 197)

8.1 Uso de SOFTNET Security Client

Campo de aplicación - acceso a través de VPN Con el SOFTNET Security Client se configura una PG o un PC de manera que pueda establecer automáticamente una conexión en túnel IPsec segura en la VPN (Virtual Private Network) con uno o más módulos de seguridad.

Las aplicaciones para PG o PC, como por ejemplo el diagnóstico NCM o STEP 7, pueden acceder a través de una conexión tunelada segura a dispositivos o redes que se encuentren en una red interna protegida por el módulo de seguridad.

SOFTNET Security Client 8.1 Uso de SOFTNET Security Client


Comunicación automática a través de VPN Importante para su aplicación es que el SOFTNET Security Client reconozca cuándo se produce un acceso a la dirección IP de una estación de la VPN Direccione la estación a través de la dirección IP como si se encontrara en la subred local en la que está conectado también el PC o la PG que tiene instalada la aplicación.

Nota

A través del túnel IPsec, SSC solo se puede comunicar mediante IP con los módulos de seguridad y las estaciones internas situadas después del módulo de seguridad. La comunicación de capa 2 no es posible con el SSC.

Manejo El software para PC SOFTNET Security Client permite configurar las propiedades de seguridad necesarias para la comunicación con dispositivos protegidos por módulos de seguridad. Tras la configuración, el SOFTNET Security Client funciona en segundo plano, lo que se indica mediante un icono en la barra de herramientas de la PG el PC.

SOFTNET Security Client 8.1 Uso de SOFTNET Security Client


Detalles en la ayuda online Encontrará también informaciones detalladas sobre los cuadros de diálogo y los campos de introducción en la ayuda online de la interfaz de operación del SOFTNET Security Client.

A la ayuda online se accede por medio del botón "Help" o con la tecla F1.

¿Cómo funciona el SOFTNET Security Client? El SOFTNET Security Client lee la configuración creada con la herramienta de configuración Security Configuration Tool y determina, dado el caso sobre la base del archivo, los certificados que deben importarse. El certificado raíz y las claves privadas se importan y se almacenan en la PG/el PC local.

Con los datos de la configuración se realizan a continuación ajustes de seguridad para que las aplicaciones puedan acceder mediante direcciones IP a servicios en y posteriores a los módulos de seguridad.

Si está activado el modo de aprendizaje para las estaciones internas o los autómatas programables, el módulo de configuración establece primero una directiva de seguridad para el acceso seguro a los módulos de seguridad. A continuación, el SOFTNET Security Client determina las direcciones IP de las estaciones internas de cada caso y las registra en listas de filtros especiales de la directiva de seguridad.

Resultado: Las aplicaciones, como por ejemplo STEP 7, se pueden comunicar con los autómatas a través de VPN.

Nota

En un sistema Windows, las directivas de seguridad IP están archivadas en forma personalizada. Para cada usuario solo puede ser válida una única directiva de seguridad IP.

Si una directiva de seguridad IP existente no dese ser sobrescrita por la instalación del SOFTNET Security Client, instale y utilice el SOFTNET Security Client como usuario creado especialmente para ello.

Sistemas operativos soportados El SOFTNET Security Client es adecuado para el uso en los siguientes sistemas operativos:

● Microsoft Windows XP 32 bits + Service Pack 3

● Microsoft Windows 7 Professional 32/64 bits

● Microsoft Windows 7 Professional 32/64 bits + Service Pack 1

● Microsoft Windows 7 Ultimate 32/64 bits

● Microsoft Windows 7 Ultimate 32/64 bits + Service Pack 1

SOFTNET Security Client 8.2 Instalación y puesta en servicio del SOFTNET Security Client


Comportamiento en caso de problemas Si se presentan problemas en el PG/PC, SOFTNET Security Client reacciona del siguiente modo:

● las directivas de seguridad establecidas se conservan también después de desconectar y volver a conectar el PG/PC;

● en caso de una configuración incorrecta se emiten mensajes.

8.2 Instalación y puesta en servicio del SOFTNET Security Client

8.2.1 Instalación e inicio de SOFTNET Security Client El software de PC SOFTNET Security Client se instala desde el DVD de producto.

1. Lea primero lo dicho en el archivo README de su DVD SCALANCE S y tenga en cuenta eventuales instrucciones adicionales para la instalación.

2. Ejecute el programa Setup.

Lo más sencillo es que para ello abra el índice de su DVD SCALANCE S → se inicia automáticamente al introducir el DVD o bien se puede abrir a través del archivo start_exe. Seleccione entonces directamente la entrada "Installation SOFTNET Security Client"

Tras la instalación y el inicio de SOFTNET Security Client aparece el símbolo de SOFTNET Security Client en la barra de tareas de Windows:

ATENCIÓN

Incompatibilidad con otro software de cliente VPN

Si en su PC, además de SOFTNET Security Client, hay instalado algún otro software de cliente VPN, es posible que, en determinadas circunstancias, no se puedan establecer más túneles VPN con ayuda del SOFTNET Security Client. Por ello, desinstale el software de cliente VPN antes de utilizar el SOFTNET Security Client.

SOFTNET Security Client 8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool


Configuración de SOFTNET Security Client Una vez activadas, las funciones más importantes se desarrollan en segundo plano en el PG/PC.

La configuración de SOFTNET Security Client se realiza del siguiente modo:

● Exportación de una configuración de seguridad desde la herramienta de configuración Security Configuration Tool.

● Importación de la configuración de Security en la superficie propia, tal como se describe en el apartado siguiente.

Comportamiento de arranque El proceso de carga de las reglas de seguridad puede tardar algún tiempo. La CPU de la PG/el PC se utiliza al 100% de su rendimiento durante ese tiempo.

Salir de SOFTNET Security Client Para salir de SOFTNET Security Client, proceda del siguiente modo:

● Haga clic con la tecla derecha del ratón en el símbolo de SOFTNET Security Client y elija la opción "Salir de SOFTNET Security Client".

● En la interfaz abierta, haga clic en el botón "Salir".

Resultado: Se cierra el SOFTNET Security Client y se desactiva la directiva de seguridad.

8.2.2 Desinstalación de SOFTNET Security Client Al realizar la desinstalación se reponen al estado original las propiedades de Security ajustadas por el SOFTNET Security Client.

8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool

Configuración del SOFTNET Security Client en el proyecto SCT El SOFTNET Security Client se crea como módulo en el proyecto SCT. A diferencia de los demás módulos de seguridad, no es necesario configurar otras propiedades.



Asigne el SOFTNET Security Client creado al grupo o a los grupos VPN en los que deben configurarse túneles IPsec a la PG o el PC. De ese modo se aplican las propiedades de grupo que se habían configurado para esos grupos VPN.

Nota

Tenga en cuenta las indicaciones sobre los parámetros en el capítulo siguiente: • Incluir un módulo en un grupo VPN configurado (Página 210)

Nota

Si crea varios SOFTNET Security Clients dentro de un grupo VPN, no se establece ningún túnel entre ellos, sino solo entre el cliente correspondiente y los módulos de seguridad.

Archivos de configuración para SOFTNET Security Client La interfaz entre la herramienta de configuración Security Configuration Tool y el SOFTNET Security Client es operada a través de archivos de configuración.

La configuración se guarda en los siguientes tipos de archivo:

● *.dat

● *.p12

● *.cer



Procedimiento Para generar los archivos de configuración, realice los siguientes pasos en SCT:

1. Cree un módulo del tipo SOFTNET Security Client en la SCT.

2. Asigne el módulo SSC a los grupos VPN en los que la PG o el PC se deba comunicar a

través de túneles IPsec.

3. Elija el comando de menú "Proyecto" > "Guardar".

4. Seleccione el módulo del tipo "SOFTNET Security Client" y elija el comando de menú "Transferir" > "A módulo(s)...".

5. Seleccione la ruta de almacenamiento para los archivos de configuración.

6. En el siguiente cuadro de diálogo, indique si debe crear una contraseña propia para el certificado de grupos VPN del módulo.

Si responde "No", se asigna como contraseña el nombre del proyecto (p. ej. SCALANCE_SSC_Configuracion1), y no la contraseña del proyecto.


7. Transfiera los archivos del tipo *.dat, *.p12, *.cer a la PG o el PC en el que desee utilizar el SOFTNET Security Client.

SOFTNET Security Client 8.4 Operación de SOFTNET Security Client


8.4 Operación de SOFTNET Security Client

Propiedades configurables En concreto se pueden utilizar los siguientes servicios:

● Configuración de una comunicación segura por túneles IPsec (VPN) entre el PC o la PG y todos los módulos de seguridad o módulos de seguridad determinados de uno o varios proyectos. El PC o la PG pueden acceder al módulo de seguridad y los nodos internos del módulo de seguridad a través de esos túneles IPsec.

● Desactivación y activación de conexiones seguras ya configuradas.

● Configurar conexiones para dispositivos terminales agregados con posterioridad. Para ello tiene que estar activado el modo de aprendizaje.

● Comprobación de una configuración, es decir, ver qué conexiones están configuradas o son posibles.

Llamada de SOFTNET Security Client para la configuración Haga doble clic en el icono de la barra de tareas de Windows o elija el comando "Maximizar SOFTNET Security Client" del menú contextual.

SOFTNET Security Client 8.4 Operación de SOFTNET Security Client


A través de los botones se accede a las siguientes funciones:

Botón Significado Cargar la configuración Cuadro de diálogo para la selección de un archivo de configuración para la importación

Seleccione un archivo y haga clic en el botón "Abrir". Resultado: Se lee la configuración. En el cuadro de diálogo se pregunta si los túneles se deben configurar inmediatamente para todos los módulos de seguridad. Se establecen de inmediato los túneles para las direcciones IP de los módulos de seguridad introducidas en la configuración. Este pro-cedimiento es particularmente rápido y eficiente para configuraciones grandes. Como opción, en el cuadro de diálogo "Vista general de túneles" se pueden configurar también todos los túneles de forma manual a través del menú contextual. Observación: se pueden importar uno tras otro los archivos de configuración de varios proyectos creados con SCT (véase también la explicación siguiente sobre el procedimien-to).

Tunnel Overview Cuadro de diálogo para configurar, editar y diagnosticar el estado de los túneles A través de este cuadro de diálogo se realiza la configuración propiamente dicha del SOFTNET Security Client. Se muestra una lista de los túneles seguros con las direcciones IP de los módulos de se-guridad. Los iconos de cada entrada de la lista permiten determinar el estado del túnel del módulo de seguridad correspondiente. A través del menú contextual puede activar o de-sactivar los túneles, comprobarlos y borrar la entrada de la lista. Si en la PG o el PC existen varios adaptadores de red, el SOFTNET Security Client selec-ciona automáticamente uno de ellos, a través del cual se intenta establecer un túnel. Sin embargo, es posible que el SOFTNET Security Client no consiga encontrar uno apropiado para su dispositivo, en cuyo caso introduce uno cualquiera. En ese caso hay que adaptar manualmente la configuración de adaptadores de red en el cuadro de diálogo "Adaptador de red". Este cuadro de diálogo se llama en el menú contextual de los dispositivos y módu-los de seguridad con la entrada "Seleccionar conexión de red...".

Disable Se desactivan todos los túneles seguros. Minimize Se cierra la interfaz de usuario del SOFTNET Security Client.

El icono de SOFTNET Security Client permanece visible en la barra de tareas de Windows. Quit SOFTNET Security Client se cierra y se desactivan todos los túneles.

SOFTNET Security Client 8.5 Configuración y edición de túneles


Botón Significado Help Abrir la Ayuda en pantalla. Info Información sobre la versión del SOFTNET Security Client

Detalles: lista de todos los archivos necesarios para el funcionamiento de SOFTNET Secu-rity Client con notificación sobre si estos se han podido encontrar en el sistema.

8.5 Configuración y edición de túneles

Configuración de conexiones seguras con todos los módulos de seguridad En el cuadro de diálogo para la importación de la configuración, elija si deben establecerse de inmediato conexiones tuneladas para todos los dispositivos del módulo de seguridad. De esto resultan las siguientes posibilidades:

● "Sí" - Activación automática del túnel

Se establecen los túneles para las direcciones IP de los módulos de seguridad introducidas en la configuración.

● "No" - Solo lectura de la configuración del túnel

Opcionalmente es posible solo leer los túneles configurados y, a continuación, ajustarlos individualmente en el cuadro de diálogo "Tunnel Overview".



Establecimiento de conexiones de túnel 1. Abra el cuadro de diálogo para la importación de los archivos de configuración con el

botón "Cargar configuración".

2. Seleccione el archivo de configuración creado con SCT (formato ".dat").

Se pueden leer simultáneamente datos de configuración de varios proyectos. Si en SOFTNET Security Client ya hay datos de configuración, elija una de las siguientes opciones:

– "deleted": Solo están disponibles los últimos datos de configuración cargados.

– "imported and replaced": es conveniente si se han realizado cambios en los datos de configuración, por ejemplo: si solo se ha modificado la configuración en el proyecto a, se conservan inalterados los datos de configuración de los proyectos b y c y los datos de configuración modificados se reemplazan en el proyecto a.

– "not imported": es conveniente si se ha agregado un módulo de seguridad a un proyecto. La configuración SSC existente con módulos de seguridad ya importados no se modifica, ya que los nodos internos ya aprendidos de estos módulos se perderían con otra opción.

3. Si ha elegido "Certificate" como método de autenticación en SCT, indique una

contraseña para el certificado de la configuración de VPN. Si no ha asignado una contraseña en SCT, se adopta como contraseña el nombre de proyecto (no la contraseña de proyecto del usuario que ha iniciado sesión).

4. Si durante la configuración en la Security Configuration Tool se ha configurado un módulo SCALANCE M875, un módulo SCALANCE M-800 o un CP S7 con DHCP activado en la interfaz Gbit, aparece el cuadro de diálogo "Configuración IP/DNS". En función del tipo de módulo configurado, proceda del siguiente modo:

– Para módulos SCALANCE M875 y módulos SCALANCE M-800: seleccione si el túnel hacia el módulo debe establecerse utilizando la dirección IP obtenida del ISP en el tiempo de ejecución o, alternativamente, utilizando un nombre DNS.

– Para CPs S7 con DHCP activado en la interfaz Gbit: introduzca la dirección IP asignada vía DHCP.



5. Seleccione si se deben activar las conexiones tuneladas para los dispositivos internos del módulo de seguridad.

Si no impulsa aquí todavía la activación, lo puede hacer en todo momento en el cuadro de diálogo "Tunnel Overview" que se describe a continuación.

Si ha seleccionado la activación de las conexiones de túnel, estas se establecen ahora entre SOFTNET Security Client y los módulos de seguridad.

Este proceso puede tardar cierto tiempo.

6. Abra el cuadro de diálogo "Tunnel Overview".

En la tabla se muestran los módulos de seguridad y los dispositivos internos con información de estado sobre las conexiones de túnel.

7. Si en la tabla no se muestra algún nodo o dispositivo, deposite un comando Ping al nodo que falta a través de la línea de comandos.

Resultado: el módulo de seguridad aprende entonces el nodo, y lo transmite al SOFTNET Security Client. Si por el contrario no se aprende, deberá configurar el nodo o el dispositivo de forma estática en la ficha VPN.

Observación:

Si el cuadro de diálogo no está abierto mientras se registra un dispositivo, se presenta automáticamente el cuadro de diálogo. Esta función puede desactivarse en "Opciones" > "Configuración...".

Nota

Dispositivos y subredes configurados estáticamente

Si se configuran posteriormente dispositivos o subredes de forma estática, también hay que volver a cargar la configuración para un SOFTNET Security Client utilizado en el grupo VPN.

8. Active los dispositivos para los que todavía hay establecida una conexión de túnel.

Una vez que la conexión se ha establecido correctamente, abra la aplicación que debe establecer una conexión con uno de los dispositivos, p. ej. STEP 7.



Nota

Si en la PG o el PC hay varios adaptadores de red, SSC elige automáticamente el adaptador de red para el establecimiento de un túnel. En determinadas circunstancias, es posible que no sea el adaptador de red deseado. Si no hay ningún adaptador de red adecuado para el proyecto, SSC introduce uno automáticamente. En ese caso, adapte el ajuste para el adaptador de red a través del menú contextual de los dispositivos y los módulos de seguridad en el cuadro de diálogo "Vista general de túneles".

Significado de los parámetros

Tabla 8- 1 Parámetros en el cuadro de diálogo "Tunnel over:..."

Parámetros Significado / margen de valores Status La tabla siguiente muestra el significado de las indicaciones de

estado. Nombre Nombre del módulo o dispositivo adoptado de la configuración de

SCT. IP participante int. / subred Si hay dispositivos o subredes internos, se muestra la dirección IP

del nodo interno o la ID de red de la subred interna. IP de punto final de túnel Dirección IP del módulo de seguridad asignado. Tunnel over... Si el PC funciona con varias tarjetas de red, se indica la dirección

IP asignada, a través de la cual se establece el túnel VPN.

Tabla 8- 2 Indicadores de estado*

Icono Significado

No hay conexión con el módulo de seguridad o el dispositivo.

Hay otros dispositivos, que no se muestran. Haga un doble clic en este icono para ver más dispositivos.

El túnel hacia el dispositivo está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este dispositivo se realiza sin codificar.

El túnel hacia el dispositivo está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este dispositivo se realiza de forma codificada y, por tanto, segura.

El túnel hacia el módulo SCALANCE S está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza sin codificar.

El túnel hacia el módulo SCALANCE S está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza de forma codificada y, por tanto, segura.

El túnel hacia el módulo SCALANCE M está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza sin codificar.

El túnel hacia el módulo SCALANCE M está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza de forma codificada y, por tanto, segura.



Icono Significado

El túnel hacia el CP343-1 Advanced está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este CP se realiza sin codi-ficar.

El túnel hacia el CP343-1 Advanced está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este CP se realiza de forma codificada y, por tanto, segura.

El túnel hacia el CP443-1 Advanced está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este CP se realiza sin codi-ficar.

El túnel hacia el CP443-1 Advanced está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este CP se realiza de forma codificada y, por tanto, segura.

El túnel hacia el CP1628 está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con este CP se realiza sin codificar.

El túnel hacia el CP1628 está activado. Se ha configurado una directiva de seguridad IP en el sistema. La comunicación con este CP se realiza de forma codificada y, por tanto, segura.

El túnel hacia la subred interna está desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La comunicación con esta subred se realiza sin codificar.

El túnel hacia la subred interna está activado. Se ha configurado una directiva de seguri-dad IP en el sistema. La comunicación con esta subred se realiza de forma codificada y, por tanto, segura.

El módulo o dispositivo no es accesible.

El módulo o dispositivo es accesible pero el túnel hacia el módulo o dispositivo está de-sactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La co-municación con este módulo o dispositivo se realiza sin codificar.

El módulo o dispositivo es accesible y el túnel hacia el módulo o dispositivo está activado.

Test de accesibilidad desactivado. No es posible decir nada sobre la accesibilidad del módulo o dispositivo.

* La tabla es válida para Windows XP. En Windows 7, la tabla es válida con el cortafuegos de Windows activado.



Elementos de control del cuadro de diálogo "Vista general de túneles" Elemento de control Significado Casilla de verificación "Enable active learning" Si en la configuración de los módulos de seguridad está

activado el modo de aprendizaje, este también puede acti-varse para el SOFTNET Security Client. De ese modo se obtiene automáticamente la información sobre los disposi-tivos internos de los módulos de seguridad en la vista gen-eral de túneles. En cualquier otro caso, el campo de selección "Aprendizaje de los nodos internos" estará inacti-vo y no se mostrará información sobre los dispositivos in-ternos de los módulos de seguridad en la vista general de túneles.

Botón "Delete All" Las directivas de seguridad IP de las entradas configuradas en SSC se borran.

Botón "Empty list" Borra todas las entradas de la consola.

Selección y operación de una entrada de túnel - Opciones del menú contextual En el cuadro de diálogo "Tunnel Overview" seleccione una entrada y abra otras opciones a través del menú contextual.



Comando de menú Significado Activar conexión con los nodos internos / Desactivar conex-ión con los nodos internos

Las conexiones seguras establecidas se desactivan con la entrada "Desactivar conexión con los nodos internos". Re-sultado: Se desactiva la Security Policy en el PC. Para deshacer el cambio y volver a activar los túneles, haga clic en la entrada "Activar conexión con los nodos internos".

Seleccionar conexión de red... Para cada módulo de seguridad existe la posibilidad de seleccionar con el comando "Seleccionar conexión de red..." del menú contextual el adaptador de red a través del cual debe configurarse el túnel.

Probar túnel Prueba de la conexión tunelada. Diagnóstico avanzado… Llama el cuadro de diálogo "Diagnóstico de módulo

avanzado". Cambiar dirección IP/nombre DNS (solo para SCALANCE M)

Cambio de la dirección IP o el nombre DNS de la entrada seleccionada.

Borrar entrada Se borra la directiva de seguridad IP de la entrada selec-cionada.

Nota Ampliación de la norma al activar dispositivos internos

Tenga en cuenta que con cada activación de dispositivos internos se amplía la norma del sistema. Sin embargo, la desactivación de todo el sistema (mediante el menú contextual del SCALANCE S de nivel superior) no provoca la adaptación de la norma, sino solo su desactivación. De este modo, con la activación de un dispositivo interno se activa siempre la norma global desactivada más el dispositivo interno adicional. Si quiere asegurarse de que la norma instalada haga referencia por completo a los dispositivos que haya activado, cierre el SOFTNET Security Client y ábralo de nuevo.

Diagnóstico de módulo ampliado Para llamar el diagnóstico de módulo avanzado, seleccione el comando "Diagnóstico avanzado..." del menú contextual de una entrada. Otra posibilidad consiste en llamar el cuadro de diálogo con el comando de menú "Opciones" > "Diagnóstico de módulo avanzado" en la ventana principal del SOFTNET Security Client.



La vista está destinada exclusivamente al diagnóstico del estado del sistema en relación a los módulos de seguridad configurados, y puede resultar útil en las consultas al servicio de atención al cliente.

● Módulo SCALANCE S / MD74x / CP

Seleccione aquí el módulo de seguridad cuyo estado de sistema actual desee diagnosticar.

Observación: pueden seleccionarse todos los módulos de seguridad leídos mediante la configuración.

● Ajustes de enrutamiento (parámetros específicos de módulo)

Muestra los ajustes adoptados de la configuración para interfaces y subredes y nodos internos.

● Main Modes activos / Quick Modes activos

Si para el módulo seleccionado hay Main Modes o Quick Modes configurados en la PG o el PC, aquí se muestran los detalles correspondientes. Entre la información se incluye el número total de Main Modes o Quick Modes encontrados en el sistema para el módulo seleccionado.

● Ajustes de enrutamiento (ajustes de red del equipo)

Muestra los ajustes de enrutamiento del equipo actuales.

A través de la opción "Show all routing settings" se obtiene información adicional sobre el enrutamiento.

● Direcciones IP asignadas

Lista de las interfaces de red que el equipo conoce en combinación con las direcciones IP configuradas o asignadas.

Consola de Log En el cuadro de diálogo "Settings" se define qué entradas se muestran en la consola de registros. Se accede a él en el cuadro de diálogo principal del SOFTNET Security Client, con el comando de menú "Opciones" > "Configuración...".

Se muestra la siguiente información:

● Información de diagnóstico para el establecimiento de la conexión con los módulos de seguridad y dispositivos/subredes internos configurados.

● Sello con fecha y hora de la aparición de los eventos

● Establecimiento y anulación de una Security Association

● Test de accesibilidad con resultado negativo (ping de test) a los dispositivos configurados

● Cargar archivos de configuración

● Aprendizaje/Desaprendizaje de subredes/dispositivos internos



Ajustes globales para SOFTNET Security Client 1. En el cuadro de diálogo principal del SOFTNET Security Client, elija el comando de

menú "Opciones" > "Configuración".

2. Aquí se hacen ajustes globales, que se mantienen aunque el SOFTNET Security Client se cierre y se vuelva a abrir.

Las funciones se pueden ver en la siguiente tabla. Función Descripción / opciones Tamaño del archivo de registro Tamaño del archivo que contiene los avisos

emitidos en la consola de registro de la vista general de túneles. Puesto que los datos de registro se guardan en el archivo por medio del búfer circular, mediante el tamaño del archivo se elige el tiempo que se guardarán los datos de registro en el archivo.

Número de mensajes que se deben mostrar en la consola log de la vista general del túnel.

Número de avisos que se extraen del archivo de registro y que se muestran en la consola de reg-istros de la vista general de túneles.

Se emiten los siguientes mensajes log en la con-sola log de la vista general del túnel: • Visualización del test de accesibilidad negati-

vo (Ping) • Crear / borrar Security Associations (Quick

Modes) • Crear / borrar Main Modes • Cargar archivos de configuración • Aprendizaje de dispositivos internos

Selección de los tipos de avisos que se muestran en la consola de registros de la vista general de túneles.

Tamaño del archivo log (Debug logfile) Tamaño del archivo de registro de los archivos fuente para mensajes Debug del SOFTNET Se-curity Client (pueden ser solicitados por el ser-vicio de atención al cliente para facilitar los análisis)

Test de accesibilidad, tiempo de espera para la respuesta

Hora de espera ajustable para el ping que debe indicar la accesibilidad de un interlocutor del túnel. Debe ajustarse principalmente en túneles con vías de transmisión lentas (UMTS, GPRS, etc.), en las que la vida útil de los paquetes de datos es notablemente superior. De esta forma se influye directamente en la visu-alización de la accesibilidad de la vista del túnel.



Función Descripción / opciones Desactivar globalmente el test de accesibilidad Si usted activa esta función, se desactiva glob-

almente el test de accesibilidad en todas las configuraciones recibidas del SOFTNET Security Client. Ventaja: no se genera ningún volumen de datos adicional. Desventaja: En la sinopsis de túneles no se indi-ca si un interlocutor es accesible o no.

Mostrar en primer plano la ventana de la vista general de túneles en caso de modificación de un dispositivo aprendido

Si se activa esta función, se abrirá automática-mente el cuadro de diálogo "Vista general de túneles" cuando se detecte un dispositivo nuevo.


Funciones online - Diagnóstico y registro 9

El módulo de seguridad se ha dotado de funciones de diagnóstico y registro con fines de comprobación y vigilancia.

● Funciones de diagnóstico

Con este término se conocen las funciones de sistema y de estado disponibles en el modo online.

● Funciones de logging

Se trata del registro de eventos del sistema y relacionados con la seguridad.

Los eventos se registran en áreas de memoria temporal del módulo de seguridad o en un servidor Syslog. Para la parametrización y la evaluación de estas funciones se requiere una conexión de red con el módulo de seguridad seleccionado.

Registrar eventos con funciones logging Con los ajustes de registro del módulo de seguridad en cuestión se especifica qué eventos deben registrarse.

Para el registro pueden configurarse las siguientes variantes:

● Registro local

Con esta variante se registran los eventos en memorias temporales locales del módulo de seguridad. En el diálogo online de la Security Configuration Tool puede recurrir entonces a este registro, hacerlo visible y archivarlo en la Service Station.

● Syslog de red

En el caso de la red Syslog se utiliza un servidor Syslog existente en la red, al cual se envían los eventos. Con los ajustes de registro del módulo de seguridad en cuestión se especifica qué eventos se envían.

Archivar datos de registro y leerlos de un archivo Los eventos registrados se pueden guardar en un archivo de registro con fines de archivación, y abrirlos después en el modo offline. Para ello, seleccione el comando de menú "Opciones" > "Archivos de registros..." y seleccione con el botón "Abrir..." el archivo de registro que desea abrir. Encontrará más información en el capítulo siguiente:

● Panorámica de funciones del cuadro de diálogo online (Página 257)

Funciones online - Diagnóstico y registro


Diagnóstico en modo Ghost Tras obtener una dirección IP del dispositivo interno, el módulo de seguridad tiene en la interfaz externa una dirección IP que puede diferir de la dirección IP con la que se configuró inicialmente el módulo de seguridad. Antes de poder realizar un diagnóstico a través de la interfaz externa, es necesario reemplazar la dirección IP configurada inicialmente para la interfaz externa en la Security Configuration Tool por la dirección IP que el módulo de seguridad ha obtenido del dispositivo interno en el tiempo de ejecución.

Proteger archivos de registro exportados de accesos no autorizados Los archivos de registro exportados de la Security Configuration Tool pueden contener información relevante para la seguridad. Por este motivo hay que asegurarse de que dichos archivos están protegidos de accesos no autorizados. Esto es especialmente importante cuando se transfieren archivos.

Funciones online - Diagnóstico y registro 9.1 Panorámica de funciones del cuadro de diálogo online


9.1 Panorámica de funciones del cuadro de diálogo online El módulo de seguridad ofrece las siguientes funciones en el cuadro de diálogo online de la Security Configuration Tool:

Tabla 9- 1 Funciones y logging en el diagnóstico online

Función / ficha en el diálogo online Significado Funciones de sistema y estado Estado Visualización del estado del módulo de seguridad seleccio-

nado en el proyecto.

Date and time Ajuste de la fecha y la hora.

Configuración de interfac-es

Vista general de los ajustes de las diferentes interfaces.

DNS dinámico Vista general de los ajustes para DNS dinámico

Tabla ARP Visualización de la tabla ARP del módulo de seguridad.

Usuario conectado Visualización de los usuarios que han iniciado sesión en la página de Internet para conjuntos de reglas IP específicas de usuario.

Estado de la comuni-cación

Visualización del estado de la comunicación y de los nodos de red internos de los módulos de seguridad que se encuentran en el mismo grupo VPN que el módulo de se-guridad seleccionado.

Nodos internos Visualización de los nodos de red internos del módulo de seguridad.

Reglas de cortafuegos actualizadas dinámica-mente

Visualización de las direcciones IP que se habilitan dinámicamente vía HTTP o HTTPS o que han sido recar-gadas por un usuario. Las direcciones IP de esta ficha se actualizan cuando se produce uno de los eventos siguien-tes: • Actualización/modificación de la lista IP Access Control • Actualización de las reglas de cortafuegos • Ampliaciones dinámicas que registra el CP en tiempo

de ejecución, p. ej. dispositivos PROFINET IO Puesto que en esta ficha solo se muestran las reglas de cortafuegos actualizadas dinámicamente, para una ob-servación completa del estado actual del cortafuegos del módulo es necesario incluir también las reglas del corta-fuegos que se configuraron offline.

Modo Ghost Cuadro de diálogo del modo Ghost del SCALANCE S602 con información sobre la dirección IP del dispositivo interno (idéntica a la dirección IP externa del módulo de seguridad) y sobre cambios de dirección IP en el dispositivo interno.

Funciones online - Diagnóstico y registro 9.1 Panorámica de funciones del cuadro de diálogo online


Función / ficha en el diálogo online Significado

Lista negra de IP Visualización de las direcciones IP introducidas en la lista

negra del cortafuegos.

Funciones de logging Registros del sistema Visualización de los eventos de sistema registrados, así

como inicio y parada de la visualización. Registros de auditoría Visualización de los eventos de seguridad registrados, así

como inicio y parada de la visualización. Registros de filtrado de

paquetes Visualización de los paquetes de datos registrados, así como inicio y parada de la visualización.

En la Ayuda en pantalla encontrará más información sobre las posibilidades de ajuste de las diferentes fichas.

Condiciones para el acceso Para poder utilizar las funciones online en un módulo de seguridad, deben cumplirse los siguientes requisitos:

● Existe una conexión de red con el módulo seleccionado.

● Está abierto el proyecto con el que se ha configurado el módulo.

● Está activado el modo online en la Security Configuration Tool o se ha abierto el diagnóstico online específico del módulo a través del menú contextual.

● Para CPs debe estar habilitado el acceso al diagnóstico en el cortafuegos (TCP 443)

Nota Requisitos para el diagnóstico online en modo Ghost

El diagnóstico online en modo Ghost no está disponible hasta que el módulo de seguridad ha aprendido la dirección IP del dispositivo interno y la ha aplicado a su interfaz externa. Posteriormente, es posible acceder al módulo de seguridad mediante la dirección IP de la interfaz externa.

Advertencia en caso de una configuración no actual o de un proyecto distinto Al abrir el cuadro de diálogo online se comprueba si la configuración existente actualmente en el módulo de seguridad y la configuración del proyecto cargado coinciden. Si estas configuraciones difieren, se emite un mensaje de advertencia. Con esto se señaliza que usted no ha actualizado (todavía) la configuración o bien que utiliza un proyecto equivocado.

Funciones online - Diagnóstico y registro 9.2 Registro de eventos (Logging)


Visualización del estado de registro El estado de registro actual resulta de la configuración cargada o de la reconfiguración en el diálogo online. El búfer puede configurarse con memoria cíclica o memoria lineal. Puede determinar qué ajuste está activado del siguiente modo:

1. Cambie el modo de operación con el comando de menú "Vista" > "Online".


3. Elija el comando de menú "Editar" > "Diagnóstico online...".

En cuanto se abre una ficha para las funciones de registro, en la parte inferior se muestra el estado actual de la configuración del búfer del módulo de seguridad seleccionado.

Ajustes online no se almacenan en la configuración Los ajustes realizados en el modo online (p. ej. configuración del búfer con funciones de registro) no se guardan en la configuración del módulo de seguridad. Por ello, al rearrancar el módulo siempre se aplican los ajustes de la configuración offline.

9.2 Registro de eventos (Logging)

Resumen Se pueden registrar los eventos producidos en el módulo de seguridad. El registro se realiza en áreas de memoria búfer locales volátiles o permanentes, según el tipo de evento. Como alternativa puede tener lugar también el registro en un servidor de red.

Configuración en modo normal y modo avanzado Las posibilidades de selección en la Security Configuration Tool dependen de la vista seleccionada:

● Modo normal

"Registro local" está activado como opción predeterminada en el modo normal; los eventos de filtrado de paquetes se pueden activar globalmente en la ficha "Firewall". "Network Syslog" no es posible en esta vista.

● Modo avanzado

Se pueden activar o desactivar todas las funciones de registro en la ficha "Configuración del registro" de un módulo seleccionado; los eventos de filtrado de paquetes se tienen que activar adicional y selectivamente en la ficha "Cortafuegos" (reglas locales o globales).



Métodos de registro y clases de eventos Puede definir en la configuración qué datos se deben registrar. De este modo activa ya el registro al cargar la configuración en el módulo de seguridad.

Además elige en la configuración uno de los métodos de registro o ambos:

● Registro local

● Syslog de red

Para ambos procedimientos de registro el módulo de seguridad conoce los siguientes eventos:

Función Funcionamiento

Eventos de filtrado de paquetes (cortafuegos)

El registro de filtrado de paquetes registra determinados paquetes del tráfico de datos. Solo se registran paquetes de datos para los que sea válida una regla de filtrado de paquetes (cortafuegos) configurada o frente a los que reacciona la protección básica (paquetes corruptos o no válidos). Condición para ello es que esté activado el registro para la regla de filtrado de paquetes.

Eventos de auditoría El registro de auditoría registra de manera automática y continua eventos relevantes para la seguridad, por ejemplo acciones del usuario como activación o desactivación del registro de paquetes.

Eventos de sistema El registro del sistema registra de forma automática y continua eventos del sistema como p. ej. el inicio de un proceso o acciones para las que un usuario no se haya autenticado correctamente con su contraseña. El registro se puede escalar en base a clases de eventos.

Diagnóstico de la línea: Adicionalmente se puede configurar un diagnóstico de líneas. El diagnóstico de líneas proporciona mensajes en cuanto la cantidad de paquetes de telegramas incorrectos supera un valor límite ajustable.

Procedimiento de almacenamiento para el registro de datos en caso de logging local El almacenamiento relacionado con el registro de datos se realiza según dos procedimientos seleccionables:

● Memoria circular

Cuando se alcanza el final del búfer, el registro continúa al principio del búfer sobrescribiendo las entradas más antiguas.

● Memoria lineal

El registro se detiene cuando el búfer está lleno.

Activación y desactivación del registro En el modo avanzado, con el modo "offline" es posible activar, a través de la configuración del registro en las propiedades del módulo, el registro local para las clases de eventos, definiendo entonces el método de almacenamiento en memoria. Dichos ajustes se cargan en el módulo con la configuración y se activan al arrancar el módulo de seguridad.

Si es necesario, en las funciones online también es posible activar o desactivar el registro local para eventos de filtrado de paquetes y eventos del sistema. Con esto no se alteran los ajustes de la configuración del proyecto.



Visualización del estado de registro Ajustes online no se almacenan en la configuración.

9.2.1 Registro local - ajustes en la configuración En el modo offline se pueden activar las clases de eventos y definir el método de almacenamiento a través de los ajustes de registro. Dichos ajustes se cargan en el módulo con la configuración y se activan al arrancar el módulo de seguridad.

Estos ajustes de registro configurados se pueden modificar, en caso necesario, en las funciones online. Con esto no se alteran los ajustes de la configuración del proyecto.

Ajustes de registro en el modo normal Los ajustes de registro en el modo normal se corresponden con los ajustes predeterminados en el modo avanzado. Pero en el modo normal no se pueden modificar.

Ajustes de registro en el modo avanzado 1. Seleccione el módulo que desea editar.

2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Configuración del registro".

El cuadro de diálogo siguiente muestra los ajustes predeterminados para el módulo de seguridad; además está abierto el cuadro de diálogo para el registro de eventos de sistema:



Configuración de clases de eventos

Tabla 9- 2 Local Log - panorámica de funciones

Función / ficha en el diálogo online Configuración Observaciones Eventos de filtrado de paquetes (corta-fuegos)

La activación tiene lugar a través de casillas de control. La selección del método de al-macenamiento se realiza a través de casillas de control. Puede definir la cantidad de paquetes de datos registrados en la lista desplegable "Paquetes para registrar": • "Todos los paquetes": se

registran los paquetes de da-tos para los que es válida una regla de cortafuegos configu-rada (modo normal o modo avanzado). Además, los paquetes de respuesta se registran en los paquetes que han pasado el cortafuegos según una regla Allow con-figurada.

• "Paquetes generadores de estado ": solo se registran los paquetes de datos para los que es válida una regla de cortafuegos configurada (mo-do normal o modo avanzado).

Los datos de registro del filtrado de paquetes no son remanentes Los datos se guardan en una memoria volátil del módulo de seguridad, por lo que dejan de estar disponibles tras una desconexión de la alimentación eléctrica.

Eventos de auditoría (siempre activa-dos)

Logging está siempre activado. Se almacena siempre en la me-moria búfer circulante.

Los datos de registro de auditoría son rema-nentes Se guardan en una memoria remanente del módulo de seguridad, por lo que están dis-ponibles tras una desconexión de la ali-mentación eléctrica. Nota para CPs: los datos de registro de auditoría no son remanentes en los CPs. Por este motivo, para guardar los datos debería utilizarse un servidor Syslog.

Eventos de sistema La activación tiene lugar a través de casillas de control. La selección del método de al-macenamiento se realiza a través de casillas de control. Para configurar el filtro de even-tos y el diagnóstico de línea, abra otro cuadro de diálogo con el botón "Configurar...".

Los datos de registro de sistema no son remanentes Los datos se guardan en una memoria volátil del módulo de seguridad, por lo que dejan de estar disponibles tras una desconexión de la alimentación eléctrica.



Función / ficha en el diálogo online Configuración Observaciones Filtrado de los eventos de sistema En este subdiálogo se puede

ajustar un nivel de filtrado para los eventos del sistema. Los valores predeterminados son los siguientes: • SCALANCE S: nivel 3 • CP: nivel 3

Seleccione como nivel de filtrado "Error" o superior para impedir el registro de eventos generales, no críticos. Nota para CP Para el CP solo se pueden seleccionar los niveles 3 o 6. • Si selecciona el nivel 3, se muestran los

mensajes de error de los niveles 0 a 3. • Si selecciona el nivel 6, se muestran los

mensajes de error de los niveles 0 a 6.

Diagnóstico de línea El diagnóstico de línea genera un evento especial del sistema. Especifique a partir de qué por-centaje de telegramas erróneos debe generarse un evento de sistema. Asigne al evento de sistema una facilidad y una seve-ridad.

A través de la severidad se ponderan los eventos de sistema del diagnóstico de línea respecto a la severidad de los eventos de sistema restantes. Nota No asigne a los eventos de sistema del di-agnóstico de línea una severidad menor que la del filtrado de los eventos de sistema. De lo contrario, los eventos no pasarán el filtra-do y no se registrarán.

9.2.2 Network Syslog - Ajustes en la configuración Se puede configurar el módulo de seguridad como cliente para que envíe información de registro a un servidor Syslog. El servidor Syslog puede estar en la subred local interna o en la externa. La implementación es conforme a RFC 3164.

Nota Firewall - Servidor Syslog no activo en la red externa

Si el servidor Syslog no está activo en el ordenador direccionado, este ordenador devuelve, por regla general, telegramas de respuesta ICMP "port not reachable". Si debido a la configuración del cortafuegos se registran estos telegramas de respuesta como eventos del sistema y se envían al servidor Syslog, esta operación puede continuar indefinidamente (avalancha de eventos).

Soluciones: • Iniciar el servidor Syslog; • Modificar reglas de firewall; • Desconectar de la red el ordenador con el servidor Syslog desactivado.



Realizar ajustes de logging 1. Cambie el modo de operación con el comando de menú "Vista" > "Modo avanzado".

Nota

No es posible regresar al modo normal




3. Elija el comando de menú "Editar" > "Propiedades...", ficha "Configuración del registro".

El siguiente cuadro de diálogo muestra la configuración predeterminada para el módulo de seguridad con el registro para red Syslog activado:

Establecer la conexión con el servidor Syslog Para SCALANCE S: El módulo de seguridad utiliza el nombre de módulo configurado como nombre de host ante el servidor Syslog.

Para CPs: El módulo de seguridad utiliza la dirección IP propia como nombre de host ante el servidor Syslog.

Introduzca la dirección IP / el FQDN del servidor Syslog en el campo "Servidor de registros del sistema". Como alternativa puede introducir la dirección IP en forma de nombre simbólico o numérica.



El servidor Syslog tiene que ser accesible desde el módulo de seguridad a través de la dirección IP indicada (dado el caso a través de la configuración de enrutamiento en la ficha "Enrutamiento"). Si no se puede acceder al servidor Syslog, se desactiva el envío de informaciones Syslog. Tal estado operativo se puede reconocer por los correspondientes mensajes del sistema. Para activar de nuevo el envío de información de Syslog, puede ser necesario actualizar la información de enrutamiento y volver a arrancar el módulo de seguridad.

Uso de nombres simbólicos en el logging

Si activa la casilla de verificación "Utilizar nombres simbólicos en el registro", los datos de direcciones de los telegramas de registro transmitidos al servidor se sustituyen por nombres simbólicos. El módulo de seguridad comprueba si están configurados los nombres simbólicos correspondientes, y los introduce en los telegramas de registro.

Nota Mayor tiempo de ejecución con nombres simbólicos

Si está activada la casilla de verificación "Utilizar nombres simbólicos en el registro", aumenta el tiempo de ejecución en el módulo de seguridad.

Para las direcciones IP de los módulos de seguridad se utilizan automáticamente los nombres de los módulos como nombres simbólicos. En el modo Routing, a estos nombres se les añade una extensión con una designación de puerto: "Nombre_del_módulo-P1", "Nombre_del_módulo-P2", etc.



Configuración de clases de eventos

Tabla 9- 3 Network Syslog - panorámica de funciones

Función / ficha en el diálogo online Configuración Observaciones Eventos de filtrado de paquetes (corta-fuegos)

Se activan mediante la casilla de verificación. El ajuste de una facilidad y una seve-ridad permite clasificar los mensajes de Syslog según su procedencia y su gravedad. La asignación tiene lugar por medio de listas desplegables. A cada evento se le asignan la seve-ridad y la facilidad aquí ajustadas.

El valor seleccionado aquí depende de la valoración en el servidor Syslog. Con esto es posible una adaptación a los requisitos del servidor Syslog. Si se deja el ajuste estándar "predeter-minado", el módulo de seguridad deter-minará con qué combinación de facilidad y severidad se mostrará el evento.

Eventos de auditoría Se activan mediante la casilla de verificación. La severidad y la facilidad se asignan por medio de listas desplegables. A cada evento se le asignan la seve-ridad y la facilidad aquí ajustadas.

Los valores elegidos para severidad y facilidad dependen de la evaluación realizada en el servidor Syslog. Con esto es posible una adaptación a los requisi-tos del servidor Syslog. Si se deja el ajuste estándar "predeter-minado", el módulo de seguridad deter-minará con qué combinación de facilidad y severidad se mostrará el evento.

Eventos de sistema Se activan mediante la casilla de verificación.

Para configurar el filtro de eventos y el diagnóstico de línea, abra otro cuadro de diálogo con el botón "Configurar...".

Filtrado de los eventos de sistema En este subdiálogo se puede ajustar un nivel de filtrado para los eventos del sistema. Los valores predetermi-nados son los siguientes: • SCALANCE S: nivel 3 • CP: nivel 3

Seleccione como nivel de filtrado "Error" o superior para impedir el registro de eventos generales, no críticos. Nota para CP Para el CP solo se pueden seleccionar los niveles 3 o 6. • Si selecciona el nivel 3, se muestran

los mensajes de error de los niveles 0 a 3.

• Si selecciona el nivel 6, se muestran los mensajes de error de los niveles 0 a 6.

Diagnóstico de línea El diagnóstico de línea genera un evento especial del sistema. Es-pecifique a partir de qué porcentaje de telegramas erróneos debe gen-erarse un evento de sistema. Asigne al evento de sistema una facilidad y una severidad.

A través de la severidad se ponderan los eventos de sistema del diagnóstico de línea respecto a la severidad de los eventos de sistema restantes. Nota No asigne a los eventos de sistema del diagnóstico de línea una severidad menor que la del filtrado de los eventos de sistema. De lo contrario, los eventos no pasarán el filtrado y no se registrarán en el servidor Syslog.



9.2.3 Configuración del registro de paquetes

Configuración del registro en modo normal Encontrará información sobre el registro de conjuntos de reglas IP y MAC en los capítulos siguientes:

● SCALANCE S en el modo normal (Página 128)

● CPs en el modo normal (Página 117)

Nota

Relación entre los ajustes de registro en el modo normal y las reglas del cortafuegos

Los ajustes de registro en modo normal no afectan a las reglas del cortafuegos que se han generado automáticamente mediante una configuración de la conexión. Así, por ejemplo, no es posible registrar telegramas tuneladas de una conexión configurada. En el modo avanzado, el registro puede ampliarse a las reglas de cortafuegos generadas automáticamente para conexiones.

Configuración del registro en modo avanzado La activación del registro es idéntica para los dos tipos de reglas (IP o MAC) y todas las reglas. Para registrar paquetes de datos de determinadas reglas de filtrado de paquetes, ponga una marca de selección en la columna "Registro" de la ficha "Cortafuegos".


Anexo A A.1 Conformidad DNS

La conformidad DNS según RFC1035 contiene las siguientes reglas: ● Ha de estar limitado a 255 caracteres en total (letras, cifras, guiones o puntos);

● el nombre debe comenzar con una letra;

● el nombre sólo puede terminar en una letra o una cifra;

● cada componente del nombre, es decir, una cadena de caracteres entre dos puntos, no puede tener una longitud superior a 63 caracteres;

● no se permiten caracteres especiales como diéresis, paréntesis, guión bajo, barra inclinada, espacio en blanco etc.

A.2 Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red

Rango de valores de la dirección IP La dirección IP consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej. 141.80.0.16

Rango de valores de la máscara de subred La máscara de subred consta de 4 números decimales comprendidos entre 0 y 255 y separados por un punto; p. ej. 255.255.0.0

Los 4 números decimales de la máscara de subred han de contener, en su representación binaria, una secuencia continua de valores "1" empezando por la izquierda y una secuencia continua de valores "0" empezando por la derecha.

Los valores "1" determinan el número de red dentro de la dirección IP. Los valores "0" determinan el número de host dentro de la dirección IP.

Ejemplo:

Valores correctos:

255.255.0.0 decimal = 11111111.11111111.00000000.00000000 binario

255.255.128.0 decimal = 11111111.11111111.10000000.00000000 binario

255.254.0.0 decimal = 11111111.11111110.00000000.00000000 binario

Valor incorrecto:

Anexo A.3 Dirección MAC


255.255.1.0 decimal = 11111111.11111111.00000001.00000000 binario

Relación entre dirección IP y máscara de subred El primer número decimal de la dirección IP (por la izquierda) determina la estructura de la máscara de subred en cuanto al número de valores "1" (binarios) de la siguiente forma ("x" representa la dirección de host): Primer decimal de la dirección IP Máscara de subred 0 a 127 255.x.x.x 128 a 191 255.255.x.x 192 a 223 255.255.255.x

Nota:

Para el primer decimal de la dirección IP se puede introducir también un valor entre 224 y 255. Sin embargo, no es recomendable porque este rango de direcciones está reservado para otras tareas y en algunas herramientas de configuración (p. ej. STEP 7) no se realiza ninguna comprobación para este valor.

Rango de valores de la dirección de la pasarela de red La dirección consta de 4 decimales comprendidos entre 0 y 255 y separados por un punto; p. ej. 141.80.0.1

Relación entre la dirección IP y la dirección de la pasarela de red La dirección IP y la dirección de la pasarela de red sólo deben diferir en los lugares en los que en la máscara de subred hay "0".

Ejemplo:

Se ha introducido: para la máscara de subred 255.255.255.0; para dirección IP 141.30.0.5 y para la dirección de la pasarela de red 141.30.128.254. La dirección IP y la dirección de la pasarela de red sólo pueden tener un valor diferente en el 4º decimal. Pero en el ejemplo hay ya una diferencia en el tercer lugar.

Por tanto, en el ejemplo debe modificarse, alternativamente:

La máscara de subred a: 255.255.0.0 o

La dirección IP a: 141.30.128.5 o

La dirección de la pasarela de red a: 141.30.0.254



A.3 Dirección MAC

Nota sobre la estructura de la dirección MAC: Las direcciones MAC son direcciones de hardware para identificar dispositivos de red. Una dirección MAC consta de seis bytes que se representan de forma hexadecimal y separados por guiones.

La dirección MAC consta de una parte fija y una variable. La parte fija ("dirección MAC básica") identifica al fabricante (Siemens, 3COM, ...). La parte variable de la dirección MAC diferencia las distintas estaciones Ethernet.


Bibliografía B B.1 Introducción - sin CD/DVD

Cómo encontrar la documentación SIMATIC NET ● Catálogos

Los números de pedido para los productos Siemens relevantes aquí se encuentran en los catálogos siguientes:

– SIMATIC NET Comunicación industrial/identificación industrial, catálogo IK PI

– Productos SIMATIC para automatización totalmente integrada y microautomatización, catálogo ST 70

Puede solicitar catálogos e información adicional a la subsidiaria o sucursal correspondiente de Siemens.

El Industry Mall se encuentra en la siguiente dirección de Internet:

Enlace a Siemens Industry Mall (http://www.siemens.com/industrymall)

● Documentación en Internet

En las páginas de Internet del Siemens Automation Customer Support también encontrará los manuales SIMATIC NET:

Enlace al Customer Support (http://support.automation.siemens.com/WW/view/es)

Desplácese al grupo de productos deseado y realice los ajustes siguientes:

Ficha "Lista de artículos", Tipo de artículo "Manuales"

● Documentación en la instalación de STEP 7

A los manuales disponibles en la documentación en línea de la instalación de STEP 7 en la PG/el PC se puede acceder desde el menú "Inicio > "Todos los programas" > "Siemens Automation" > "Documentación".

Consulte también Enlace a la documentación: (http://www.automation.siemens.com/simatic/portal/html_00/techdoku.htm)

http://www.siemens.com/industrymall

http://support.automation.siemens.com/WW/view/es

http://www.automation.siemens.com/simatic/portal/html_00/techdoku.htm

Bibliografía B.2 CP S7 / para la configuración, puesta en servicio y utilización del CP


B.2 CP S7 / para la configuración, puesta en servicio y utilización del CP

/1/ SIMATIC NET CP S7 para Industrial Ethernet Configurar y poner en servicio Manual Parte A − Aplicación general Manual de configuración Siemens AG (SIMATIC NET Manual Collection) En Internet, bajo el siguiente ID de artículo: 30374198 (http://support.automation.siemens.com/WW/view/es/30374198)

/2/ SIMATIC NET

CP S7 para Industrial Ethernet

Manual – Parte B

Manual del equipo

Siemens AG

(SIMATIC NET Manual Collection)

En Internet encontrará los manuales de producto de los distintos CP con las siguientes referencias:

CP 343-1 Advanced (GX31): 28017299 (http://support.automation.siemens.com/WW/view/es/28017299)

CP 443-1 Advanced (GX30): 59187252 (http://support.automation.siemens.com/WW/view/es/59187252)

B.3 Para la configuración con STEP 7 / NCM S7

/3/ SIMATIC NET NCM S7 para Industrial Ethernet Primeros pasos Siemens AG (componente de la documentación online en STEP 7)




Bibliografía B.4 CP S7 para el montaje y la puesta en servicio del CP


/4/ SIMATIC NET Commissioning PC Stations - Manual and Quick Start Configuration Manual Siemens AG (SIMATIC NET Manual Collection) En Internet, bajo la siguiente ID de artículo: 13542666 (http://support.automation.siemens.com/WW/view/es/13542666)

/5/ SIMATIC Configurar el hardware y la comunicación con STEP 7 Siemens AG (parte del paquete de documentación "Información básica de STEP 7") (componente de la documentación online en STEP 7)

B.4 CP S7 para el montaje y la puesta en servicio del CP

/6/ SIMATIC S7 Sistema de automatización S7-300

● CPU 31xC y 31x - Configuración: Instrucciones de servicio ID de artículo: 13008499 (http://support.automation.siemens.com/WW/view/es/13008499)

● Datos de los módulos: Manual de referencia ID de artículo: 8859629 (http://support.automation.siemens.com/WW/view/es/8859629)

Siemens AG y SIMATIC S7 Sistema de automatización S7-400, M7-400

● Configuración: Manual de instalación ID de artículo: 1117849 (http://support.automation.siemens.com/WW/view/es/1117849)

● Datos de los módulos: Manual de referencia ID de artículo: 1117740 (http://support.automation.siemens.com/WW/view/es/1117740)

Siemens AG






Bibliografía B.5 Para el montaje y la operación de una red Industrial Ethernet


B.5 Para el montaje y la operación de una red Industrial Ethernet

/7/ SIMATIC NET Twisted-Pair and Fiber-Optic Networks Manual Siemens AG (SIMATIC NET Manual Collection)

B.6 Principios básicos de SIMATIC y STEP 7

/8/ SIMATIC Comunicación con SIMATIC Manual de sistema Siemens AG ID de artículo: 25074283 (http://support.automation.siemens.com/WW/view/es/25074283)

/9/ Paquete de documentación "Información básica de STEP 7"

● STEP 7 - Introducción y ejercicios prácticos (ID: 18652511 (http://support.automation.siemens.com/WW/view/es/18652511))

● Programar con STEP 7 (ID: 18652056 (http://support.automation.siemens.com/WW/view/es/18652056))

● Configurar el hardware y la comunicación con STEP 7 (ID: 18652631 (http://support.automation.siemens.com/WW/view/es/18652631))

● De S5 a S7 - Guía para facilitar la transición (ID: 1118413 (http://support.automation.siemens.com/WW/view/es/1118413))

Siemens AG Referencia: 6ES7 810-4CA08-8EW0

(Parte del paquete de documentación online de STEP 7)






Bibliografía B.7 Comunicación industrial Tomo 2


B.7 Comunicación industrial Tomo 2

/10/ SIMATIC NET Industrial Ethernet Networking Manual Siemens AG


En Internet, con el siguiente ID de artículo: 27069465 (http://support.automation.siemens.com/WW/view/es/27069465)

B.8 Para la configuración de equipos PC / PG

/11/ SIMATIC NET Commissioning PC Stations - Manual and Quick Start Configuration Manual Siemens AG ID de artículo: 13542666 (http://support.automation.siemens.com/WW/view/es/13542666)

B.9 Para la configuración de CP PC

/12/ SIMATIC NET Industrial Ethernet CP 1628

Instrucciones de servicio resumidas Siemens AG


En Internet, bajo el siguiente ID de artículo: 56714413 (http://support.automation.siemens.com/WW/view/es/56714413)




Bibliografía B.10 SIMATIC NET Industrial Ethernet Security


B.10 SIMATIC NET Industrial Ethernet Security

/13/ SIMATIC NET Industrial Ethernet Security SCALANCE S a partir de V3.0

Manual de puesta en marcha y montaje Siemens AG



/14/ SIMATIC NET Industrial Remote Communication SCALANCE M-800

Manual de configuración Siemens AG


En Internet, bajo el siguiente ID de artículo: 78389151

Consulte también 78389151 (http://support.automation.siemens.com/WW/view/es/78389151)

/15/ SIMATIC NET Telecontrol SCALANCE M875

Operating Instructions Siemens AG







Índice alfabético

* *.cer, 218, 240 *.dat, 240 *.p12, 87, 218, 240

3 3DES, 208

A Activar el cortafuegos

CP 1628, 117 CP x43-1 Adv., 117 SCALANCE S < V3.0, 136 SCALANCE S V3, 133

Activar la comunicación por túneles CP x43-1 Adv., 117

Activar la comunicación tunelada SCALANCE S < V3.0, 136 SCALANCE S V3, 133

Actualizar el firmware, 75 Administración de usuarios, 59, 67 Administrador de certificados, 84 Administrator, 70 Advanced Encryption Standard (AES), 208 AES, 195, 208 Aggressive Mode, 208 Ajuste predeterminado de cortafuegos

CP 1628, 124 CP x43 Adv., 118 SCALANCE S < V3.0, 128

Ajustes Válidos para todo el proyecto, 59

Ajustes de Security, 237 Ajustes IKE, 206 Ajustes IPsec, 206 Ancho de banda, 151, 160 Applet, 74 Área de contenido, 92 ARP, 199 Asignaciones a grupos, 59 Ausencia de retroacción, 30 Autenticación, 68 Autocrossing, 101

Autonegotiation, 101

B Banda de direcciones, 155 Broadcast, 172 Búfer, 260

C Capa 2, 115, 138, 199 Capa 3, 115, 138 Capa 4, 115 Capacidades, 21 Certificado, 84, 200

Exportar, 83 firmado por el usuario, 86 firmado por una entidad emisora, 86 Importar, 83 reemplazar, 87 renovar, 85 sustituir, 87

Certificado CA, 83, 86, 87 Certificado de grupo CA, 87 Certificado SSL, 86 Certificados FTPS, 83 Certificate Authority, 83

Ch CHAP, 103

C Cifrado, 45 Cliente NCP VPN, 90

Certificado de grupo CA, 222 Certificado de grupos, 222 Crear un archivo de configuración, 220, 222

Codificación, 63 Comunicación IP

Con protocolo S7, 136 De la red interna a la externa, 136

Conexiones especificadas, 55, 115 Conexiones no especificadas, 55 Configurar el control de la hora, 192

Índice alfabético


Conformidad DNS, 269 Conjuntos de reglas de cortafuegos

Definidos por el usuario, 142 globales,, 59

Conjuntos de reglas de cortafuegos globales, 159 Conjuntos de reglas IP, 139

Específicos de usuario, 142 Conjuntos de reglas IP específicos de usuario, 143 Conjuntos de reglas MAC, 139 Convenio de codificación Diffie-Hellman, 208 Cortafuegos, 29

Modo avanzado, 138 Nombres simbólicos, 64 Reglas de cortafuegos, 115

CP 1628 Tarea, 39

CP S7, 3 CP x43-1 Adv.

Tarea, 36 C-PLUG, 41, 63 Crear una ruta, 170 Cuenta ISP, 103

D Data Encryption Standard (DES), 209 DCP, 137 DCP (Primary Setup Tool), 164 Dead-Peer-Detection (DPD), 213 Dependencias de derechos, 74 Derechos de configuración, 73 Derechos de dispositivo, 73 Derechos de usuario, 73 DES, 195, 209 DHCP

Configuración de servidores, 186 Nombres simbólicos, 64 Servidor, 136

Diagnóstico, 255 Diagnóstico de línea, 260, 263, 266 Diagnóstico online, 259 Dirección de la pasarela de red, 270 Dirección Gigabit, 86 Dirección IP, 154, 269 Dirección IP del router, 170 Dirección IP WAN

Definir, 214 Dirección MAC, 271 Dirección PROFINET, 86 Dispositivo VPN, 90

Certificado del módulo, 221

DNS Servidor, 137

Dúplex, 97 Duración de certificados, 205 Duración máxima de la sesión, 69, 72 DVD de producto SCALANCE S, 46

E Enrutamiento de interfaz, 98 Enrutamiento por interfaz, 90 Entidad emisora, 84 Entidades emisoras de certificados de origen, 85 Espionaje de datos, 28 Estaciones activas, 210 Estaciones con dirección IP desconocida, 211 Eventos de auditoría, 260 Eventos de filtrado de paquetes, 260 Eventos de sistema, 260 Exportar servidores NTP, 194

F Facilidad, 266 Filtrado de paquetes IP

local, 149 FTP, 74 FTP/FTPS, 56 Funciones de túnel, 197

G Glosario, 7 Glosario de SIMATIC NET, 7 Grupo de servicios, 164 Grupo VPN, 204

H HTTP, 156

I ICMP, 148 ID de red, 170 IEEE 802.3, 29, 115 IKE, 118, 124 Instalación

SCALANCE S, 45 Interfaces, 169

Índice alfabético


Internet Key Exchange (IKE), 208 ISAKMP, 214

L Lista de control de acceso IP, 74 Lista negra de IP, 258

Ll LLDP, 74

M M-800, 3, 219 Main Mode, 208 Máscara de subred, 92, 269 MD5, 195, 209 Memoria circular, 260 Memoria lineal, 260 Método de autenticación, 200, 206 MIB, 74 Modo avanzado, 44

Registro, 267 Registro local, 259, 261 Reglas de cortafuegos, 138 Reglas de cortafuegos globales, 139 Reglas de cortafuegos personalizadas, 142 Servidor DHCP, 187 Syslog de red, 259

Modo de aprendizaje, 226 Modo de enrutamiento, 98, 169

Activar, 169 Modo de puente, 98 Modo Ghost, 98 Modo normal, 44

Cortafuegos, 116 Registro, 267 Registro local, 259

Modo VLAN, 200 Módulo de seguridad, 3 Multicast, 172

N NAT/NAPT

Enrutamiento, 171 Nodos de red externos

CP x43-1 Adv., 38

SCALANCE 602, 27 SCALANCE S612 / S623 / S627-2M, 30

Nodos de red internos Configurar, 224 CP x43-1 Adv., 38 SCALANCE 602, 27 SCALANCE S612 / S623 / S627-2M, 30

Nombre de usuario, 69 Nombre del grupo, 156, 162 Nombre del rol, 72 Nombres simbólicos, 64, 265 NTP

Nombres simbólicos, 64, 65 NTP (seguro), 192

P PAP, 103 Parámetros de dirección, 92 Parámetros de servicios MAC, 162 PC-CP, 3 Perfect Forward Secrecy, 209 Preshared Keys, 200 Producto de otro fabricante, 90 PROFINET, 227 Propiedades de grupo, 206 Propiedades de módulo, 89 Propiedades del grupo VPN, 206 Protección de acceso, 41 Protección de acceso IP, 56 Protocolo, 156 Protocolo ESP, 118, 124, 209 Protocolo IP, 138 Protocolo ISO, 227 Protocolo MAC, 138 Proxy ARP, 196 Proyecto

Valores de inicialización, 63 Prueba de coherencia, 66, 110, 189 Puerto

102 (protocolo S7 - TCP), 156 123 (NTP), 173 20/21 (FTP), 156 443 (HTTPS), 173, 173 4500 (IPsec), 173 500 (IPsec), 173 500 (ISAKMP), 214 514 (Syslog), 173 80 (HTTP), 156

Índice alfabético


R Rango de valores de la dirección IP, 269 Red plana, 98 Registro, 116, 255

Clases de eventos, 266 CP x43-1 Adv., 117 SCALANCE S < V3.0, 136 SCALANCE S V3, 133

Registro local, 255, 260, 262 Eventos de auditoría, 262 Eventos de filtrado de paquetes, 262 Eventos de sistema, 262

Reglas de conexión, 146 Reglas de cortafuegos automáticas, 145 Reglas de cortafuegos globales, 139

Asignar, 141 Reglas de cortafuegos locales, 116, 139 Reglas de cortafuegos personalizadas, 142

Parámetros de timeout, 145 Usuario Remote Access, 70

Reglas de cortafuegos predefinidas CP x43-1 Adv., 117, 117 SCALANCE S < V3.0, 136 SCALANCE S V3, 133

Reglas de filtrado de paquetes IP, 149 CP 1628, 151 CP x43-1 Adv., 151 SCALANCE S, 152

Reglas globales de filtrado de paquetes, 141 Reglas para filtrado de paquetes MAC, 158, 160 Renovar un certificado de grupo CA, 210 Rol definido por el sistema

administrator, 70 diagnostics, 70 remote access, 70 standard, 70

Roles, 70 Definido por el usuario, 71 Definidos por el sistema, 70

Roles definidos por el usuario, 71 Router estándar, 92, 170 Router NAT/NAPT

Nombres simbólicos, 64

S SCALANCE M, 3

Certificado de grupos, 218 Crear un archivo de configuración, 217 Entidad emisora, 218

SCALANCE M875, 3, 219

SCALANCE S, 3 Crear módulo, 89 Sistemas operativos soportados, 45

SCALANCE S602 Tarea, 25



SCALANCE S627-2M Tarea, 28

Security Configuration Tool, 41, 43, 44 Autónoma, 44, 53 en STEP 7, 44 En STEP 7, 53 Instalación, 46 Instalación CP 1628, 46 Instalación de CP x34-1 Adv., 46 Modos de operación, 44

Semidúplex, 97 Servicios ICMP, 157 Servicios IP, 156 Servidor DHCP, 188 Servidores NTP, 137, 192 Severidad, 266 SHA1, 195, 209 SiClock, 164 Significado de los símbolos, 5 Símbolos, 5 Sincronización horaria, 192 Sinopsis de funciones

Tipos de módulo, 18 Sistemas operativos soportados

SCALANCE S, 45 SOFTNET Security Client, 237

SNMP, 74 SNMPv1, 195 SNMPv3, 195 SOFTNET Security Client, 3

Base de datos, 240 Comportamiento de arranque, 239 Configurar en el proyecto, 239 Crear un archivo de configuración, 239 desinstalar, 239 Enable active learning, 249 Función, 24 Sistemas operativos soportados, 237

Stateful Packet Inspection, 115 STEP 7, 53

Datos migrados, 54 Migración de usuarios, 67 Propiedades del objeto, 54

Índice alfabético


Syslog Eventos de auditoría, 266 Eventos de filtrado de paquetes, 266 Eventos de sistema, 266 Nombres simbólicos, 64 Servidor Syslog, 61, 255, 263

Syslog de red, 255, 260

T TCP, 148, 156 Telegramas Ethernet-Non-IP, 115 Telegramas horarios de SiClock, 137 Telegramas Non-IP, 199 Túnel, 197 Túnel IPsec, 197

U UDP, 148, 156 Unknown peers, 211 Usuario

Asignar roles, 73 Configurar, 69 Crear roles, 70

Usuario de diagnóstico, 70 Usuario estándar, 70 Usuario Remote Access, 70

V Valores de inicialización predeterminados, 63 Verificación de consistencia

a nivel de proyecto, 64 local, 63

Versión de firmware, 4 Vida útil SA, 209 Vista de configuración offline, 44 Vista de diagnóstico online, 44 VLAN-Tagging, 200 VPN, 24, 197

Propiedades específicas del módulo, 212 SOFTNET Security Client, 235

Índice alfabético


Principios básicos y aplicación de seguridad - … · Principios básicos y aplicación de...

Documents

Transcript of Principios básicos y aplicación de seguridad - … · Principios básicos y aplicación de...