Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
___________________
Interfaz de usuario y
___________________
comandos de men 2
Configurar direcciones IP
SIMATIC NET
___________________
para SCALANCE S623 3
___________________
Firewall en modo estndar 4
Industrial Ethernet Security
Instalar Security
___________________
Firewall en modo avanzado 5
___________________
Configurar tnel VPN 6
Getting Started (primeros pasos)
___________________
Configurar un acceso remoto
va tnel VPN 7
04/2015
C79000-G8978-C287-04
Notas jurdicas
Filosofa en la sealizacin de advertencias y peligros
Este manual contiene las informaciones necesarias para la seguridad personal as como para la prevencin de
daos materiales. Las informaciones para su seguridad personal estn resaltadas con un tringulo de
advertencia; las informaciones para evitar nicamente daos materiales no llevan dicho tringulo. De acuerdo al
grado de peligro las consignas se representan, de mayor a menor peligro, como sigue.
PELIGRO
Significa que, si no se adoptan las medidas preventivas adecuadas se producir la muerte, o bien lesiones
corporales graves.
ADVERTENCIA
Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones
corporales graves.
PRECAUCIN
Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse lesiones corporales.
ATENCIN
Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse daos materiales.
Si se dan varios niveles de peligro se usa siempre la consigna de seguridad ms estricta en cada caso. Si en una
consigna de seguridad con tringulo de advertencia se alarma de posibles daos personales, la misma consigna
puede contener tambin una advertencia sobre posibles daos materiales.
Personal cualificado
El producto/sistema tratado en esta documentacin slo deber ser manejado o manipulado por personal
cualificado para la tarea encomendada y observando lo indicado en la documentacin correspondiente a la
misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formacin y
experiencia, el personal cualificado est en condiciones de reconocer riesgos resultantes del manejo o
manipulacin de dichos productos/sistemas y de evitar posibles peligros.
Uso previsto o de los productos de Siemens
Considere lo siguiente:
ADVERTENCIA
Los productos de Siemens slo debern usarse para los casos de aplicacin previstos en el catlogo y la
documentacin tcnica asociada. De usarse productos y componentes de terceros, stos debern haber sido
recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su
transporte, almacenamiento, instalacin, montaje, manejo y mantenimiento hayan sido realizados de forma
correcta. Es preciso respetar las condiciones ambientales permitidas. Tambin debern seguirse las
indicaciones y advertencias que figuran en la documentacin asociada.
Marcas registradas
Todos los nombres marcados con son marcas registradas de Siemens AG. Los restantes nombres y
designaciones contenidos en el presente documento pueden ser marcas registradas cuya utilizacin por terceros
para sus propios fines puede violar los derechos de sus titulares.
Exencin de responsabilidad
Hemos comprobado la concordancia del contenido de esta publicacin con el hardware y el software descritos.
Sin embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena
concordancia. El contenido de esta publicacin se revisa peridicamente; si es necesario, las posibles las
correcciones se incluyen en la siguiente edicin.
1 Prlogo ................................................................................................................................................... 7
2 Interfaz de usuario y comandos de men .............................................................................................. 11
3 Configurar direcciones IP para SCALANCE S623 ................................................................................. 19
3.1 Resumen .................................................................................................................................19
3.2 Poner a punto los SCALANCE S y la red ...............................................................................20
3.3 Preparar los ajustes IP de los PCs .........................................................................................22
3.4 Crear proyecto y mdulo de seguridad...................................................................................23
3.5 Cargar la configuracin en un mdulo de seguridad ..............................................................24
4 Firewall en modo estndar .................................................................................................................... 27
4.1 Ejemplo con un SCALANCE S ...............................................................................................27
4.1.1 Resumen .................................................................................................................................27
4.1.2 Poner a punto los SCALANCE S y la red ...............................................................................28
4.1.3 Preparar los ajustes IP de los PCs .........................................................................................29
4.1.4 Crear proyecto y mdulo de seguridad...................................................................................30
4.1.5 Configurar firewall ...................................................................................................................31
4.1.6 Cargar la configuracin en un mdulo de seguridad ..............................................................33
4.1.7 Probar la funcin Firewall (Ping-Test) ....................................................................................33
4.1.8 Registro del trfico de datos del firewall (Logging) .................................................................35
4.2 Ejemplo con un CP x43-1 Advanced ......................................................................................37
4.2.1 Resumen .................................................................................................................................37
4.2.2 Preparar los ajustes de IP de los PCs ....................................................................................39
4.2.3 Crear proyecto y mdulo de seguridad...................................................................................40
4.2.4 Configurar firewall ...................................................................................................................40
4.2.5 Cargar la configuracin en un mdulo de seguridad ..............................................................41
4.2.6 Probar la funcin Firewall (Ping-Test) ....................................................................................42
4.2.7 Registro del trfico de datos del firewall (Logging) .................................................................44
4.3 Ejemplo con un CP 1628 ........................................................................................................45
4.3.1 Resumen .................................................................................................................................45
4.3.2 Preparar los ajustes de IP de los PCs ....................................................................................46
4.3.3 Crear proyecto y mdulo de seguridad...................................................................................48
4.3.4 Configurar firewall ...................................................................................................................48
4.3.5 Cargar la configuracin en un mdulo de seguridad ..............................................................49
4.3.6 Probar la funcin Firewall (Ping-Test) ....................................................................................50
4.3.7 Registro del trfico de datos del firewall (Logging) .................................................................51
5 Firewall en modo avanzado................................................................................................................... 53
5.1 SCALANCE S como firewall y router NAT..............................................................................53
5.1.1 Resumen .................................................................................................................................53
5.1.2 Poner a punto los SCALANCE S y la red ...............................................................................55
5.1.3 Preparar los ajustes de IP de los PCs ....................................................................................56
5.1.4 Crear proyecto y mdulo de seguridad...................................................................................57
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 3
ndice
Instalar Security
4 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
ndice
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 5
ndice
Instalar Security
6 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Prlogo 1
Rpidamente a la meta con Getting Started
Por medio de redes de test simples aprender aqu el manejo de los mdulos de seguridad
y de la herramienta de configuracin Security Configuration Tool. Ver cmo se pueden
implementar ya en la red las funciones de proteccin de los mdulos de seguridad sin
grandes trabajos de configuracin.
Utilizando como base diferentes ejemplos de seguridad podr llevar a cabo las funciones
fundamentales de los mdulos de seguridad y del SOFTNET Security Client.
Nota
La configuracin IP utilizada en los ejemplos se ha elegido libremente y funciona sin
conflictos en la red de test aislada.
Al trabajar con una red real se tiene que adaptar esta configuracin IP al entorno de la red, a
fin de evitar eventuales conflictos de direcciones.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 7
Prlogo
Si desea saber ms
Encontrar ms informacin sobre el tema "Industrial Ethernet Security" en el manual de
configuracin "SIMATIC NET Industrial Ethernet Security - Principios bsicos y aplicacin de
seguridad". En l se explican con detalle todas las funciones y el software de configuracin
Security Configuration Tool.
La edicin actual se puede descargar de Internet con la ID de artculo siguiente: 61630777
(http://support.automation.siemens.com/WW/view/es/66644895)
Las descripciones de hardware y las indicaciones relativas a la instalacin se encuentran en
la documentacin correspondiente a cada mdulo.
Marcas
Las siguientes denominaciones y otras no marcadas con el smbolo de proteccin legal
son marcas registradas de Siemens AG:
C-PLUG, CP 343-1, CP 443-1, SCALANCE, SIMATIC, SOFTNET
Instalar Security
8 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Prlogo
Informacin de seguridad
Siemens suministra productos y soluciones con funciones de seguridad industrial que
contribuyen al funcionamiento seguro de instalaciones, soluciones, mquinas, equipos y
redes. Dichas funciones son un componente importante de un sistema global de seguridad
industrial. En consideracin de lo anterior, los productos y soluciones de Siemens son objeto
de mejoras continuas. Por ello, le recomendamos que se informe peridicamente sobre las
actualizaciones de nuestros productos.
Para el funcionamiento seguro de los productos y soluciones de Siemens, es preciso tomar
medidas de proteccin adecuadas (como el concepto de proteccin de clulas) e integrar
cada componente en un sistema de seguridad industrial integral que incorpore los ltimos
avances tecnolgicos. Tambin deben tenerse en cuenta los productos de otros fabricantes
que se estn utilizando. Encontrar ms informacin sobre seguridad industrial en
http://www.siemens.com/industrialsecurity.
Si desea mantenerse al da de las actualizaciones de nuestros productos, regstrese para
recibir un boletn de noticias especfico del producto que desee. Encontrar ms informacin
en http://support.automation.siemens.com.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 9
Prlogo
Instalar Security
10 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Interfaz de usuario y comandos de men 2
Estructura de la interfaz de usuario en el modo avanzado
rea de navegacin:
Conjuntos de reglas de cortafuegos globales
El objeto contiene todos los mdulos configurados y configuraciones SOFTNET del proy-
ecto.
Grupos VPN
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 11
Interfaz de usuario y comandos de men
ndice:
Si selecciona un objeto en el rea de navegacin obtendr en el rea de contenido infor-
maciones detalladas sobre ese objeto.
Para algunos mdulos de seguridad es posible visualizar en esta rea extractos de las config-
uraciones de interfaz para adaptarlas.
Haciendo doble clic en los mdulos de seguridad es posible abrir dilogos de propiedades
para introducir ms parmetros, siempre que las correspondientes posibilidades de configura-
cin lo ofrezcan.
Ventana de detalles:
La ventana de detalles contiene informacin adicional sobre el objeto seleccionado y permite
configurar propiedades de VPN conexin a conexin en los diferentes contextos de un grupo
VPN.
La ventana de detalles puede mostrarse y ocultarse a travs del men "Vista".
Barra de estado:
La barra de estado muestra los estados de manejo y mensajes de estado actuales: Aqu se
incluyen:
Los usuarios actuales y el tipo de usuario
La vista de manejo - Modo normal / modo avanzado
El tipo de operacin - Online / Offline
Barra de herramientas
A continuacin se muestra una vista general de los botones disponibles en la barra de
herramientas y su significado.
Crear un mdulo.
El smbolo solo est activo si el usuario est en la carpeta "Todos los mdulos" del rea
de navegacin.
Crear un grupo VPN.
El smbolo solo est activo si el usuario est en la carpeta "Grupos VPN" del rea de
navegacin.
Instalar Security
12 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Interfaz de usuario y comandos de men
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 13
Interfaz de usuario y comandos de men
Barra de mens
A continuacin se ofrece un cuadro general de los comandos de men seleccionables y su
significado.
Instalar Security
14 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Interfaz de usuario y comandos de men
Transfer
A mdulo(s)... Cargar una configuracin en los mdulos de seguri-
dad seleccionados o crear datos de configuracin
para SOFTNET Security Client / SCALANCE M /
dispositivos VPN / clientes NCP VPN (Android).
Observacin: Solo se pueden cargar datos de proy-
ecto coherentes.
Para CPs: Los datos del proyecto solo pueden car-
garse a travs de STEP 7.
A todos los mdulos... Cargar una configuracin en todos los mdulos de
seguridad.
Observacin: Solo se pueden cargar datos de proy-
ecto coherentes.
Estado de la configura- Mostrar en una lista el estado de configuracin de los
cin mdulos de seguridad configurados.
Transferir firmware ... Cargar firmware nuevo en el mdulo de seguridad
seleccionado.
Para CPs S7: El firmware se carga en el CP a travs
del centro de actualizacin del diagnstico web.
View
Modo avanzado Cambiar del modo normal (predeterminado) al modo Ctrl + E
avanzado.
Atencin
Una vez que se ha cambiado al modo avanzado para
el proyecto actual, ya no se puede regresar al nor-
mal.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 15
Interfaz de usuario y comandos de men
Options
Servicios IP... Abrir cuadro de dilogo para definiciones de los ser-
vicios para las reglas IP Firewall.
Este comando de men solo est visible en el modo
avanzado.
Servicios MAC... Abrir cuadro de dilogo para definiciones de los ser-
vicios para las reglas MAC Firewall.
Este comando de men solo est visible en el modo
avanzado.
Adaptador de red A travs del adaptador de red seleccionado se
asigna una direccin IP al SCALANCE S.
Idioma... Seleccionar un idioma para la visualizacin de la
interfaz SCT.
Para SCT en STEP 7, el idioma de la interfaz SCT se
define seleccionando el idioma en STEP 7.
Archivos de registros... Visualizacin de archivos de registro guardados.
Symbolic Names... Asignar nombres simblicos para direcciones IP o
MAC.
Configuracin del servidor Crear y editar servidores NTP
NTP...
Configuracin del servidor Crear y editar servidores RADIUS.
RADIUS...
Verificaciones de consis- Comprobacin de la coherencia de todo el proyecto.
tencia... Al finalizar se muestra una lista de resultados.
Administracin de usuari- Crear y editar usuarios y roles, asignar derechos y
os... definir normas para las contraseas.
Administrador de certifica- Mostrar, importar o exportar certificados.
dos...
Help
Temas de ayuda... Ayuda para las funciones y los parmetros que en- F1
contrar en la SCT.
Acerca de... Informacin sobre la versin de SCT.
Instalar Security
16 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Interfaz de usuario y comandos de men
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 17
Configurar direcciones IP para SCALANCE S623 3
3.1 Resumen
Resumen
En este ejemplo se configuran en la Security Configuration Tool direcciones IP para un
mdulo SCALANCE S623 que tiene la configuracin de fbrica. A continuacin se carga la
configuracin en el mdulo de seguridad por medio de la interfaz externa.
Dispositivos/componentes necesarios:
Utilice los siguientes componentes para el montaje:
1 SCALANCE S623 (adicionalmente, como opcin: un perfil DIN simtrico
correspondientemente instalado, con material de montaje)
1 alimentacin de 24V con conexiones de cables y conectores de bloque de bornes
1 PC en el que est instalada la herramienta de configuracin "Security Configuration
Tool"
los cables de red y cables TP (Twisted Pair) necesarios segn el estndar IE FC RJ45
para Industrial Ethernet.
Requisitos
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
El mdulo de seguridad tiene la configuracin de fbrica. Es posible restablecer este
estado pulsando la tecla Reset del mdulo de seguridad y mantenindola pulsada
durante 5 segundos como mnimo. Encontrar ms informacin sobre la tecla Reset del
mdulo de seguridad en el captulo "4.3 Tecla Reset - Restablecer la configuracin de
fbrica" del manual "SIMATIC NET Industrial Ethernet Security - SCALANCE S V4".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 19
Configurar direcciones IP para SCALANCE S623
3.2 Poner a punto los SCALANCE S y la red
ADVERTENCIA
Utilizar nicamente baja tensin de seguridad
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad. En
consecuencia, a las conexiones de alimentacin solo se deben conectar bajas tensiones
de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
El alimentador de red utilizado para el SCALANCE S tiene que ser del tipo NEC Class 2
(rango de tensin 18-32 V, consumo de corriente aprox. 250 mA).
Instalar Security
20 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar direcciones IP para SCALANCE S623
3.2 Poner a punto los SCALANCE S y la red
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que
no se deben confundir al establecer la conexin con la red de comunicacin:
Interfaz X1 - External Network
Marca roja = rea de red no protegida;
Interfaz X2 - Internal Network
Marca verde = red protegida por SCALANCE S;
Interfaz X3 - puerto DMZ (interfaz de red universal)
Marca amarilla = rea de red no protegida o rea de red protegida mediante
SCALANCE S.
Si se intercambian las interfaces, el dispositivo pierde su funcin de proteccin.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 21
Configurar direcciones IP para SCALANCE S623
3.3 Preparar los ajustes IP de los PCs
Instalar Security
22 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar direcciones IP para SCALANCE S623
3.4 Crear proyecto y mdulo de seguridad
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 23
Configurar direcciones IP para SCALANCE S623
3.5 Cargar la configuracin en un mdulo de seguridad
Instalar Security
24 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar direcciones IP para SCALANCE S623
3.5 Cargar la configuracin en un mdulo de seguridad
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 25
Configurar direcciones IP para SCALANCE S623
3.5 Cargar la configuracin en un mdulo de seguridad
Instalar Security
26 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar 4
4.1 Ejemplo con un SCALANCE S
4.1.1 Resumen
En este ejemplo se configura el cortafuegos en la vista de configuracin "Modo normal". El
modo normal contiene reglas predefinidas para el trfico de datos.
Con esta configuracin se consigue que el trfico IP solo pueda ser iniciado por la red
interna; desde la red externa solo se permite la respuesta.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 27
Firewall en modo estndar
4.1 Ejemplo con un SCALANCE S
Dispositivos/componentes necesarios:
Utilice los siguientes componentes para el montaje:
1 SCALANCE S, (adicionalmente, como opcin: un perfil DIN simtrico
correspondientemente instalado, con material de montaje)
1 alimentacin de 24V con conexiones de cables y conectores de bloque de bornes
1 PC en la red externa en el que est instalada la herramienta de configuracin "Security
Configuration Tool"
1 PC en la red interna, para el test de la configuracin
los cables de red y cables TP (Twisted Pair) necesarios segn el estndar IE FC RJ45
para Industrial Ethernet.
Instalar Security
28 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.1 Ejemplo con un SCALANCE S
ADVERTENCIA
Utilizar nicamente baja tensin de seguridad
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad. En
consecuencia, a las conexiones de alimentacin solo se deben conectar bajas tensiones
de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
El alimentador de red utilizado para el SCALANCE S tiene que ser del tipo NEC Class 2
(rango de tensin 18-32 V, consumo de corriente aprox. 250 mA).
1. Establezca las conexiones fsicas de red conectando los conectores de los cables de red
con las interfaces previstas a tal efecto:
Conecte PC2 con la interfaz interna del mdulo de seguridad.
Conecte PC1 con la interfaz externa del mdulo de seguridad.
2. Encienda los PCs participantes.
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que
no se deben confundir al establecer la conexin con la red de comunicacin:
Interfaz X1 - External Network
Marca roja = rea de red no protegida;
Interfaz X2 - Internal Network
Marca verde = red protegida por SCALANCE S;
Si se intercambian las interfaces, el dispositivo pierde su funcin de proteccin.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 29
Firewall en modo estndar
4.1 Ejemplo con un SCALANCE S
Instalar Security
30 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.1 Ejemplo con un SCALANCE S
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 31
Firewall en modo estndar
4.1 Ejemplo con un SCALANCE S
Resultado: el trfico IP solo puede iniciarse desde la red interna; desde la red externa
solo se permite la respuesta.
5. Seleccione adicionalmente la opcin Log para registrar el trfico de datos.
6. Cierre el cuadro de dilogo con "Aceptar".
7. Guarde el proyecto con el comando de men "Proyecto" > "Guardar".
Instalar Security
32 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.1 Ejemplo con un SCALANCE S
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 33
Firewall en modo estndar
4.1 Ejemplo con un SCALANCE S
Seccin de test 1
Pruebe ahora el funcionamiento de la configuracin del cortafuegos, primero para el trfico
de datos IP iniciante permitido desde la red interna, del siguiente modo:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC1 (direccin IP 191.0.0.1)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 191.0.0.1" en la posicin del cursor.
Recibir el mensaje siguiente (respuesta positiva de PC1):
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 191.0.0.1 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Debido a la configuracin, los telegramas ping han podido pasar de la red interna a la
externa. El PC de la red externa ha respondido a los telegramas ping. Por la funcin
"Stateful-Inspection" del cortafuegos, los telegramas de respuesta que llegan ahora de la
red externa son admitidos automticamente en la red interna.
Instalar Security
34 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.1 Ejemplo con un SCALANCE S
Seccin de test 2
Pruebe ahora el funcionamiento de la configuracin del cortafuegos para el trfico de datos
IP iniciante bloqueado desde la red externa, del siguiente modo:
1. En el PC1, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC1 a PC2 (direccin IP 191.0.0.2)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 191.0.0.2" en la posicin del cursor.
Recibir el aviso siguiente (ninguna respuesta de PC2):
Resultado
Los telegramas IP del PC1 no pueden llegar al PC2, ya que no est permitido el trfico de
datos desde la "red externa" (PC1) a la "red interna" (PC2).
Esto se indica en la "estadstica ping" para 191.0.0.2 del siguiente modo:
Enviados = 4
Recibidos = 0
Perdidos = 4 (100% de prdida)
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 35
Firewall en modo estndar
4.1 Ejemplo con un SCALANCE S
Instalar Security
36 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.2 Ejemplo con un CP x43-1 Advanced
4.2.1 Resumen
En este ejemplo se configura el cortafuegos en la vista de configuracin "Modo normal". El
modo normal contiene reglas predefinidas para el trfico de datos.
Con esta configuracin se consigue que el trfico IP solo pueda ser iniciado por la red
interna y por la estacin; desde la red externa solo se permite la respuesta.
Nota
Tenga en cuenta que, tras cargar la configuracin, la estacin solo ser accesible si en el
cortafuegos est habilitado el protocolo S7 (puerto TCP 102) de "Externa => Estacin".
Debera evitarse la comunicacin no cifrada desde la red externa tras la puesta en servicio.
Si no se utiliza un establecimiento de conexin seguro va VPN desde la red externa, el
diagnstico de STEP 7 y la reconfiguracin solo deberan realizarse desde la red interna.
Por este motivo, en el ejemplo siguiente no se abre el puerto para la comunicacin S7 en el
cortafuegos.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 37
Firewall en modo estndar
4.2 Ejemplo con un CP x43-1 Advanced
Requisitos:
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
El software de configuracin Security Configuration Tool est instalado en el PC1.
STEP 7 est instalado en el PC1, donde ya se ha creado un proyecto de STEP 7 con el
mdulo de seguridad.
La direccin IP del PC1 debe estar en la misma subred que la direccin Gigabit del
mdulo de seguridad.
El CP x43-1 Adv. tiene los ajustes siguientes en STEP 7:
Direccin IP Gigabit: 140.0.0.1, mscara de subred: 255.255.0.0
Direccin IP PROFINET: 192.0.0.1, mscara de subred: 255.255.255.0
Instalar Security
38 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.2 Ejemplo con un CP x43-1 Advanced
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 39
Firewall en modo estndar
4.2 Ejemplo con un CP x43-1 Advanced
6. Introduzca ahora en los campos previstos al efecto los valores correspondientes al PC,
tomados de la tabla "Crear configuracin IP de los PCs".
7. Cierre los cuadros de dilogo con "Aceptar" y cierre el panel de control.
Instalar Security
40 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.2 Ejemplo con un CP x43-1 Advanced
Resultado: el trfico IP puede iniciarse tanto desde la red interna como desde la
estacin; desde la red externa solo se permite la respuesta. El acceso va HTTPS al
diagnstico online de PC1 al mdulo de seguridad est permitido.
6. Seleccione adicionalmente la opcin Log para registrar el trfico de datos
correspondiente.
7. Cierre el cuadro de dilogo con "Aceptar".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 41
Firewall en modo estndar
4.2 Ejemplo con un CP x43-1 Advanced
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test 1
Pruebe ahora el funcionamiento de la configuracin del cortafuegos, primero con el trfico
de datos IP saliente permitido:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC1 (direccin IP 140.0.0.2)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 140.0.0.2" en la posicin del cursor.
Recibir el mensaje siguiente (respuesta positiva de PC1):
Instalar Security
42 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.2 Ejemplo con un CP x43-1 Advanced
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 140.0.0.2 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Debido a la configuracin, los telegramas ping han podido pasar de la red interna a la
externa. El PC de la red externa ha respondido a los telegramas ping. Por la funcin
"Stateful-Inspection" del cortafuegos, los telegramas de respuesta que llegan ahora de la
red externa son admitidos automticamente en la red interna.
Seccin de test 2
Pruebe ahora el funcionamiento de la configuracin del cortafuegos para el trfico de datos
IP iniciante bloqueado desde la red externa, del siguiente modo:
1. En el PC1, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC1 a PC2 (direccin IP 192.0.0.2)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.0.0.2" en la posicin del cursor.
Recibir el aviso siguiente (ninguna respuesta de PC2):
Resultado
Los telegramas IP del PC1 no pueden llegar al PC2, ya que no est permitido el trfico de
datos desde la "red externa" (PC1) ni desde la estacin a la "red interna" (PC2).
Esto se indica en la "estadstica ping" para 192.0.0.2 del siguiente modo:
Enviados = 4
Recibidos = 0
Perdidos = 4 (100% de prdida)
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 43
Firewall en modo estndar
4.2 Ejemplo con un CP x43-1 Advanced
Instalar Security
44 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.3 Ejemplo con un CP 1628
4.3.1 Resumen
En este ejemplo se configura el cortafuegos en la vista de configuracin "Modo normal". El
modo normal contiene reglas predefinidas para el trfico de datos.
Con esta configuracin se consigue que el trfico IP solo pueda ser iniciado por el PC2;
desde la red externa solo se permite la respuesta.
Requisitos:
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
El software de configuracin Security Configuration Tool est instalado en el PC1.
STEP 7 est instalado en el PC1, donde ya se ha creado un proyecto de STEP 7 con el
mdulo de seguridad.
El PC2 con CP 1628 tiene los ajustes siguientes en STEP 7:
Direccin IP Industrial Ethernet: 192.168.0.5, mscara de subred: 255.255.255.0
La direccin IP NDIS se establece en la configuracin IP del PC.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 45
Firewall en modo estndar
4.3 Ejemplo con un CP 1628
Instalar Security
46 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.3 Ejemplo con un CP 1628
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 47
Firewall en modo estndar
4.3 Ejemplo con un CP 1628
Instalar Security
48 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.3 Ejemplo con un CP 1628
Resultado: el trfico IP solo puede iniciarse desde el PC2; desde el PC1 solo se permite
la respuesta. El acceso va HTTPS al diagnstico online de PC1 al mdulo de seguridad
est permitido.
5. Seleccione adicionalmente la opcin Log para registrar el trfico de datos.
6. Cierre el cuadro de dilogo con "Aceptar".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 49
Firewall en modo estndar
4.3 Ejemplo con un CP 1628
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test
Pruebe ahora el funcionamiento de la configuracin del cortafuegos, primero con el trfico
de datos IP saliente permitido:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC1 (direccin IP 192.168.0.101)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.0.101" en la posicin del cursor.
Recibir el mensaje siguiente (respuesta positiva de PC1):
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 192.168.0.101 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Debido a la configuracin, los telegramas ping han podido pasar del PC2 al PC1. El PC1 ha
respondido a los telegramas ping. Por la funcin "Stateful-Inspection" del cortafuegos, los
Instalar Security
50 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo estndar
4.3 Ejemplo con un CP 1628
telegramas de respuesta que llegan ahora del PC1 son admitidos automticamente en el
PC2.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 51
Firewall en modo estndar
4.3 Ejemplo con un CP 1628
Instalar Security
52 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado 5
5.1 SCALANCE S como firewall y router NAT
5.1.1 Resumen
En este ejemplo se configura el modo de router NAT. La configuracin se realiza en la vista
de configuracin "Modo avanzado".
Con la configuracin se consigue que todos los telegramas enviados desde la subred
interna al dispositivo PC1 de la red externa pasen el cortafuegos. Los telegramas se
transmiten al exterior con una direccin IP transformada a la direccin IP del mdulo de
seguridad as como con un nmero de puerto asignado dinmicamente. Desde la red
externa solo se permite la respuesta a estos telegramas.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 53
Firewall en modo avanzado
5.1 SCALANCE S como firewall y router NAT
Dispositivos/componentes necesarios:
Utilice los siguientes componentes para el montaje:
1 SCALANCE S, (adicionalmente, como opcin: un perfil DIN simtrico
correspondientemente instalado, con material de montaje);
1 alimentacin de 24V con conexiones de cables y conectores de bloque de bornes;
1 PC en el que est instalada la herramienta de configuracin "Security Configuration
Tool";
1 PC en la red interna, para el test de la configuracin;
los cables de red necesarios, cables TP (Twisted Pair) segn el estndar IE FC RJ45
para Industrial Ethernet.
Instalar Security
54 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.1 SCALANCE S como firewall y router NAT
ADVERTENCIA
Utilizar nicamente baja tensin de seguridad
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad. En
consecuencia, a las conexiones de alimentacin solo se deben conectar bajas tensiones
de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
El alimentador de red utilizado para el SCALANCE S tiene que ser del tipo NEC Class 2
(rango de tensin 18-32 V, consumo de corriente aprox. 250 mA).
1. Establezca las conexiones fsicas de red conectando los conectores de los cables de red
con las interfaces previstas a tal efecto:
Conecte PC2 con la interfaz interna del mdulo de seguridad.
Conecte PC1 con la interfaz externa del mdulo de seguridad.
2. Encienda los PCs participantes.
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que
no se deben confundir al establecer la conexin con la red de comunicacin:
Interfaz X1 - External Network
Marca roja = rea de red no protegida;
Interfaz X2 - Internal Network
Marca verde = red protegida por SCALANCE S;
Si se intercambian las interfaces, el dispositivo pierde su funcin de proteccin.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 55
Firewall en modo avanzado
5.1 SCALANCE S como firewall y router NAT
Instalar Security
56 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.1 SCALANCE S como firewall y router NAT
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 57
Firewall en modo avanzado
5.1 SCALANCE S como firewall y router NAT
Instalar Security
58 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.1 SCALANCE S como firewall y router NAT
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 59
Firewall en modo avanzado
5.1 SCALANCE S como firewall y router NAT
Instalar Security
60 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.1 SCALANCE S como firewall y router NAT
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 61
Firewall en modo avanzado
5.1 SCALANCE S como firewall y router NAT
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 192.168.10.100
lo siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Instalar Security
62 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.1 SCALANCE S como firewall y router NAT
Resultado
En las lneas de salida del registro ver lo siguiente:
Lnea de salida 1
Las direcciones IP de los telegramas de PC2 a PC1 se muestran en la interfaz con la red
externa con la direccin IP externa del mdulo de seguridad (192.168.10.1). Esto
equivale a la conversin de direcciones prevista (aqu no se ve la asignacin adicional de
puerto).
Lnea de salida 2
Los telegramas de respuesta se muestran con la direccin de destino del dispositivo de
la subred interna (PC2: 172.10.10.100).
Equivalen a las siguientes lneas de salida
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 63
Firewall en modo avanzado
5.2 SCALANCE S como cortafuegos entre red externa y DMZ
5.2.1 Resumen
Resumen
En este ejemplo se crea una regla del cortafuegos en la Security Configuration Tool que
permite acceder a un servidor web de la red DMZ desde un PC de la red externa. El acceso
a la red interna se mantiene bloqueado.
Dispositivos/componentes necesarios
Se requieren los siguientes componentes para el montaje:
1 SCALANCE S623 (adicionalmente, como opcin: un perfil DIN simtrico
correspondientemente instalado, con material de montaje);
1 alimentacin de 24V con conexiones de cables y conectores de bloque de bornes;
1 PC en el que est instalada la herramienta de configuracin "Security Configuration
Tool";
1 servidor web para el test de la configuracin;
Instalar Security
64 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.2 SCALANCE S como cortafuegos entre red externa y DMZ
Requisitos:
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
Se han definido una direccin IP, una mscara de subred y una pasarela estndar para
el servidor web. Los datos de direccin IP utilizados en este ejemplo se encuentran en el
apartado "Preparar los ajustes IP de los dispositivos de red".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 65
Firewall en modo avanzado
5.2 SCALANCE S como cortafuegos entre red externa y DMZ
Resultado: tras conectar la tensin de servicio se enciende el LED Fault (F) con luz amarilla.
ADVERTENCIA
Utilizar nicamente baja tensin de seguridad
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad. En
consecuencia, a las conexiones de alimentacin solo se deben conectar bajas tensiones
de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
El alimentador de red utilizado para el SCALANCE S tiene que ser del tipo NEC Class 2
(rango de tensin 18-32 V, consumo de corriente aprox. 250 mA).
1. Establezca las conexiones fsicas de red conectando los conectores de los cables de red
con las interfaces previstas a tal efecto:
Conecte PC1 con la interfaz interna del mdulo de seguridad.
Conecte el servidor web con la interfaz DMZ del mdulo de seguridad.
Conecte PC2 con la interfaz externa del mdulo de seguridad.
2. Encienda los PCs.
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que
no se deben confundir al establecer la conexin con la red de comunicacin:
Interfaz X1 - External Network
Marca roja = rea de red no protegida;
Interfaz X2 - Internal Network
Marca verde = red protegida por SCALANCE S;
Interfaz X3 - puerto DMZ (interfaz de red universal)
Marca amarilla = rea de red no protegida o rea de red protegida mediante
SCALANCE S.
Si se intercambian las interfaces, el dispositivo pierde su funcin de proteccin.
Instalar Security
66 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.2 SCALANCE S como cortafuegos entre red externa y DMZ
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 67
Firewall en modo avanzado
5.2 SCALANCE S como cortafuegos entre red externa y DMZ
Instalar Security
68 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.2 SCALANCE S como cortafuegos entre red externa y DMZ
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 69
Firewall en modo avanzado
5.2 SCALANCE S como cortafuegos entre red externa y DMZ
4. Haga clic en el botn "Agregar regla" e introduzca una regla tal como se muestra a
continuacin.
Instalar Security
70 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.2 SCALANCE S como cortafuegos entre red externa y DMZ
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 71
Firewall en modo avanzado
5.2 SCALANCE S como cortafuegos entre red externa y DMZ
Resultado
Gracias a la regla de cortafuegos configurada ha sido posible acceder correctamente al
servidor web de la red DMZ desde el PC2 de la red externa.
Nota
Cortafuegos de Windows
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test
Pruebe ahora el funcionamiento de la configuracin del cortafuegos con el trfico de datos
bloqueado desde la red externa hasta la red interna:
1. Llame el smbolo del sistema en el PC2 mediante el comando de men "Inicio" > "Todos
los programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC1 (direccin IP 192.168.2.100)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.2.100" en la posicin del cursor.
Seguidamente, recibir el mensaje siguiente (ninguna respuesta de PC1):
Instalar Security
72 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.2 SCALANCE S como cortafuegos entre red externa y DMZ
Resultado
Los telegramas IP del PC2 no pueden llegar al PC1, ya que no est permitido el trfico de
datos desde la red externa hasta la red interna.
Esto se indica en la "estadstica ping" para 192.168.2.100 del siguiente modo:
Enviado = 4
Recibido = 0
Perdido = 4 (100% prdida)
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 73
Firewall en modo avanzado
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
5.3.1 Sinopsis
Resumen
En este ejemplo se crea un conjunto de reglas IP personalizadas y se asigna a un usuario.
La configuracin se realiza en la vista de configuracin "Modo avanzado".
El usuario creado est autorizado a acceder al PC2 de la red interna desde el PC1 de la red
externa. Para todos los dems usuarios el acceso est bloqueado.
Instalar Security
74 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
Dispositivos/componentes necesarios:
Utilice los siguientes componentes para el montaje:
1 SCALANCE S, (adicionalmente, como opcin: un perfil DIN simtrico
correspondientemente instalado, con material de montaje);
1 alimentacin de 24V con conexiones de cables y conectores de bloque de bornes;
1 PC en el que est instalada la herramienta de configuracin "Security Configuration
Tool";
1 PC en la red interna, para el test de la configuracin;
los cables de red necesarios, cables TP (Twisted Pair) segn el estndar IE FC RJ45
para Industrial Ethernet.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 75
Firewall en modo avanzado
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
ADVERTENCIA
Utilizar nicamente baja tensin de seguridad
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad. En
consecuencia, a las conexiones de alimentacin solo se deben conectar bajas tensiones
de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
El alimentador de red utilizado para el SCALANCE S tiene que ser del tipo NEC Class 2
(rango de tensin 18-32 V, consumo de corriente aprox. 250 mA).
1. Establezca las conexiones fsicas de red conectando los conectores de los cables de red
con las interfaces previstas a tal efecto:
Conecte PC2 con la interfaz interna del mdulo de seguridad.
Conecte PC1 con la interfaz externa del mdulo de seguridad.
2. Encienda los PCs participantes.
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que
no se deben confundir al establecer la conexin con la red de comunicacin:
Interfaz X1 - External Network
Marca roja = rea de red no protegida;
Interfaz X2 - Internal Network
Marca verde = red protegida por SCALANCE S;
Si se intercambian las interfaces, el dispositivo pierde su funcin de proteccin.
Instalar Security
76 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 77
Firewall en modo avanzado
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
6. Introduzca ahora en los campos previstos a tal efecto los valores correspondientes al PC,
tomados de la tabla "Crear configuracin IP de los PCs".
7. Cierre los cuadros de dilogo con "Aceptar" y cierre el panel de control.
Instalar Security
78 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 79
Firewall en modo avanzado
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
Instalar Security
80 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 81
Firewall en modo avanzado
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
Instalar Security
82 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
3. El conjunto de reglas IP definido para el usuario "Remote" est activado. El acceso del
PC1 en la red externa al PC2 en la red interna est permitido.
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test
Pruebe ahora el funcionamiento de la configuracin del cortafuegos del siguiente modo:
1. En el PC1, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC1 a PC2 (direccin IP 192.168.2.100)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.2.100" en la posicin del cursor.
Recibir el mensaje siguiente (respuesta positiva de PC2):
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 83
Firewall en modo avanzado
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
Resultado
Cuando los telegramas IP llegan al PC2, la "estadstica ping" muestra para 192.168.2.100 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Debido a la configuracin, los telegramas ping han podido pasar de la red externa a la
interna. El PC de la red interna ha respondido a los telegramas ping. Por la funcin "Stateful-
Inspection" del cortafuegos, los telegramas de respuesta que llegan ahora de la red interna
son admitidos automticamente en la red externa.
Instalar Security
84 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
5.4.1 Resumen
Resumen
En este ejemplo se crea un conjunto de reglas IP personalizadas y se asigna a un usuario.
La configuracin se realiza en la vista de configuracin "Modo avanzado".
El usuario creado est autorizado a acceder al PC1 de la red interna desde el PC3 de la red
en la interfaz DMZ. Para todos los dems usuarios el acceso est bloqueado.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 85
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
Dispositivos/componentes necesarios
Utilice los siguientes componentes para el montaje:
1 SCALANCE S623 (adicionalmente, como opcin: un perfil DIN simtrico
correspondientemente instalado, con material de montaje);
1 alimentacin de 24V con conexiones de cables y conectores de bloque de bornes;
1 PC en la red de la interfaz DMZ en el que est instalado el software de configuracin
"Security Configuration Tool";
2 PCs en la red interna y externa para el test de la configuracin;
los cables de red necesarios, cables TP (Twisted Pair) segn el estndar IE FC RJ45
para Industrial Ethernet.
Requisitos:
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
Se han configurado direcciones IP en la Security Configuration Tool para las interfaces
del mdulo SCALANCE S623 y la configuracin se ha cargado en el mdulo de
seguridad por medio de la interfaz externa o interna. En el captulo siguiente se explica
cmo crear una configuracin de este tipo y cargarla en el mdulo de seguridad por
medio de la interfaz externa:
Configurar direcciones IP para SCALANCE S623 (Pgina 19)
Instalar Security
86 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
ADVERTENCIA
Utilizar nicamente baja tensin de seguridad
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad.
En consecuencia, a las conexiones de alimentacin solo se deben conectar bajas
tensiones de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
El alimentador de red utilizado para el SCALANCE S tiene que ser del tipo NEC Class 2
(rango de tensin 18-32 V, consumo de corriente aprox. 250 mA).
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 87
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
3. Establezca las conexiones fsicas de red conectando los conectores de los cables de red
con las interfaces previstas a tal efecto:
Conecte PC1 con la interfaz interna del mdulo de seguridad.
Conecte PC2 con la interfaz externa del mdulo de seguridad.
Conecte PC3 con la interfaz DMZ del mdulo de seguridad.
4. Encienda los PCs.
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que
no se deben confundir al establecer la conexin con la red de comunicacin:
Interfaz X1 - External Network
Marca roja = rea de red no protegida;
Interfaz X2 - Internal Network
Marca verde = red protegida por SCALANCE S;
Interfaz X3 - puerto DMZ (interfaz de red universal)
Marca amarilla = rea de red no protegida o rea de red protegida mediante
SCALANCE S.
Si se intercambian las interfaces, el dispositivo pierde su funcin de proteccin.
Instalar Security
88 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
6. Introduzca ahora en los campos previstos a tal efecto los valores correspondientes al PC,
tomados de la tabla "Crear configuracin IP de los dispositivos de red".
7. Cierre los cuadros de dilogo con "Aceptar" y cierre el panel de control.
8. Repita los pasos 1 a 7 para el PC2 y PC3 de forma anloga.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 89
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
Instalar Security
90 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
11.En el rea "Puerto DMZ (X3)" de la ficha "Interfaces" seleccione la casilla de verificacin
"Activar interfaz" e introduzca la direccin IP (192.168.1.1) y la mscara de subred
(255.255.255.0) de la interfaz DMZ.
12.Confirme el cuadro de dilogo con "Aceptar".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 91
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
4. En el cuadro de dilogo que se abre, haga clic en el botn "Agregar regla" para insertar
una regla nueva.
5. Introduzca una regla tal como se muestra a continuacin:
Instalar Security
92 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 93
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
Instalar Security
94 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
Nota
Cortafuegos de Windows
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 95
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
Seccin de test 1
Pruebe ahora el funcionamiento de la configuracin del cortafuegos del siguiente modo:
1. En el PC3, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC3 a PC1 (direccin IP 192.168.2.100)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.2.100" en la posicin del cursor.
A continuacin recibir el mensaje siguiente (respuesta positiva de PC1):
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 192.168.2.100 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Debido a la configuracin, los telegramas ping han podido pasar de la red en la interfaz
DMZ a la red interna. El PC1 de la red interna ha respondido a los telegramas ping. Por la
funcin "Stateful-Inspection" del cortafuegos, los telegramas de respuesta que llegan ahora
de la red interna son admitidos automticamente en la red de la interfaz DMZ.
Instalar Security
96 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
Seccin de test 2
Pruebe ahora el funcionamiento de la configuracin del cortafuegos con el trfico de datos
bloqueado desde la red en la interfaz DMZ hasta la red externa:
1. Llame de nuevo el smbolo del sistema en el PC3 mediante el comando de men "Inicio"
> "Todos los programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC3 a PC2 (direccin IP 192.168.3.100)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.3.100" en la posicin del cursor.
Seguidamente, recibir el mensaje siguiente (ninguna respuesta de PC2):
Resultado
Los telegramas IP del PC3 no pueden llegar al PC2, ya que no est permitido el trfico de
datos desde la red en la interfaz DMZ hasta la red externa.
Esto se indica en la "estadstica ping" para 192.168.3.100 del siguiente modo:
Enviados = 4
Recibidos = 0
Perdidos = 4 (100% de prdida)
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 97
Firewall en modo avanzado
5.5 CP x43-1 Advanced como firewall y router NAT
5.5.1 Resumen
En este ejemplo se configura el modo de router NAT. La configuracin se realiza en la vista
de configuracin "Modo avanzado".
Con la configuracin se consigue que todos los telegramas enviados desde la subred
interna al dispositivo PC1 de la red externa pasen el cortafuegos. Los telegramas se
transmiten al exterior con una direccin IP transformada a la direccin IP del mdulo de
seguridad as como con un nmero de puerto asignado dinmicamente. Desde la red
externa solo se permite la respuesta a estos telegramas.
Nota
Tenga en cuenta que, tras cargar la configuracin, la estacin solo ser accesible si en el
cortafuegos est habilitado el protocolo S7 (puerto TCP 102) de "Externa => Estacin".
Debera evitarse la comunicacin no cifrada desde la red externa tras la puesta en servicio.
Si no se utiliza un establecimiento de conexin seguro va VPN desde la red externa, el
diagnstico de STEP 7 y la reconfiguracin solo deberan realizarse desde la red interna.
Por este motivo, en el ejemplo siguiente no se abre el puerto para la comunicacin S7 en el
cortafuegos.
Instalar Security
98 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.5 CP x43-1 Advanced como firewall y router NAT
Requisitos:
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
El software de configuracin Security Configuration Tool est instalado en el PC1.
STEP 7 est instalado en el PC1, donde ya se ha creado un proyecto de STEP 7 con el
mdulo de seguridad.
La direccin IP del PC1 debe estar en la misma subred que la direccin Gigabit del
mdulo de seguridad.
El CP x43-1 Adv. tiene los ajustes siguientes en STEP 7:
Direccin IP Gigabit: 140.0.0.1, mscara de subred: 255.255.0.0
Direccin IP PROFINET: 192.0.0.1, mscara de subred: 255.255.255.0
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 99
Firewall en modo avanzado
5.5 CP x43-1 Advanced como firewall y router NAT
Instalar Security
100 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.5 CP x43-1 Advanced como firewall y router NAT
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 101
Firewall en modo avanzado
5.5 CP x43-1 Advanced como firewall y router NAT
Instalar Security
102 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.5 CP x43-1 Advanced como firewall y router NAT
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 103
Firewall en modo avanzado
5.5 CP x43-1 Advanced como firewall y router NAT
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Instalar Security
104 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.5 CP x43-1 Advanced como firewall y router NAT
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 140.0.0.2 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 105
Firewall en modo avanzado
5.5 CP x43-1 Advanced como firewall y router NAT
Resultado
En las lneas de salida del registro ver lo siguiente:
Lnea de salida 1
Las direcciones IP de los telegramas de PC2 a PC1 se muestran en la interfaz hacia la
red externa con la direccin IP externa del mdulo de seguridad (140.0.0.1). Esto
equivale a la conversin de direcciones prevista (aqu no se ve la asignacin adicional de
puerto).
Lnea de salida 2
Los telegramas de respuesta se muestran con la direccin de destino del dispositivo de
la subred interna (PC2: 192.0.0.2).
Equivalen a las siguientes lneas de salida
Instalar Security
106 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv.
5.6.1 Resumen
En este ejemplo, la configuracin se realiza en la vista de configuracin "Modo avanzado".
Con la configuracin se consigue que todos los telegramas enviados desde el dispositivo
PC2 al mdulo de seguridad 1 pasen el cortafuegos y viceversa. Asimismo, desde el PC1 se
permite el acceso al PC2 y al mdulo de seguridad 1.
Requisitos:
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
El software de configuracin Security Configuration Tool est instalado en el PC1.
STEP 7 est instalado en el PC1, donde ya se ha creado un proyecto de STEP 7.
En el proyecto de STEP 7 se ha creado una conexin S7 TCP/IP especificada entre el
CP 1628 (PC2) y el CP x43-1 Adv. El CP 1628 es el dispositivo activo.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 107
Firewall en modo avanzado
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv.
Instalar Security
108 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 109
Firewall en modo avanzado
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv.
3. Pase a las propiedades de objeto del CP x43-1 Adv. y active tambin la casilla de
verificacin "Activar seguridad" en la ficha "Seguridad".
4. En HW Config, abra la Security Configuration Tool con el comando de men "Edicin" >
"Security Configuration Tool".
Resultado: los mdulos de seguridad se muestran en la lista de los mdulos configurados.
Instalar Security
110 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 111
Firewall en modo avanzado
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv.
Instalar Security
112 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv.
3. En HW Config elija el men "Estacin" > "Guardar y compilar" para el primer CP.
4. Cargue la nueva configuracin en el mdulo de seguridad utilizando el men "Sistema de
destino" > "Cargar en mdulo...".
5. Realice los pasos 3-4 para el segundo CP.
Si el proceso de carga se ha concluido sin errores, los mdulos de seguridad arrancan
automticamente y se activa la nueva configuracin.
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 113
Firewall en modo avanzado
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv.
Seccin de test 1
Pruebe ahora el funcionamiento de la configuracin del cortafuegos con el trfico de datos
IP saliente permitido:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping del PC2 al CP x43-1 Adv. (direccin IP 192.168.0.11)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.0.11" en la posicin del cursor.
Recibir el mensaje siguiente (respuesta positiva del CP x43-1 Adv.):
Resultado
Cuando los telegramas IP llegan al CP x43-1 Adv., la "estadstica ping" muestra para
192.168.0.11 lo siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Debido a la configuracin, los telegramas ping han podido pasar del PC2 al CP x43-1 Adv.
El CP x43-1 Adv. ha respondido a los telegramas ping. Por la funcin "Stateful-Inspection"
del cortafuegos, los telegramas de respuesta que llegan ahora del CP x43-1 Adv. son
admitidos automticamente en el PC2.
Instalar Security
114 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Firewall en modo avanzado
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv.
Resultado
En las lneas de salida del registro se muestra los telegramas que han pasado el
cortafuegos debido a las reglas de cortafuegos configuradas:
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 115
Firewall en modo avanzado
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv.
Instalar Security
116 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN 6
6.1 Tnel VPN entre SCALANCE S y SCALANCE S
6.1.1 Resumen
En este ejemplo se configura la funcin de tnel en la vista de configuracin "Modo normal".
Los mdulos de seguridad 1 y 2 constituyen en este ejemplo los dos puntos finales del tnel
para la conexin de tnel protegida.
Con esta configuracin se consigue que el trfico IP y el trfico de la Layer 2 (solo en el
modo bridge) solo sea posible a travs de las conexiones de tnel establecidas emtre
interlocutores autorizados.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 117
Configurar tnel VPN
6.1 Tnel VPN entre SCALANCE S y SCALANCE S
Dispositivos/componentes necesarios:
Utilice los siguientes componentes para el montaje:
2 SCALANCE (excepto S602), (opcional: uno o dos rieles de perfil de sombrero
correspondientemente instalados, con material de montaje);
1 o 2 fuentes de alimentacin de 24V con conexiones de cables y conectores de bloque
de bornes (ambos mdulos pueden funcionar tambin con una fuente de alimentacin
comn);
1 PC en el que est instalada la herramienta de configuracin "Security Configuration
Tool";
2 PCs en las redes internas, para el test de la configuracin;
1 hub o switch de red para el establecimiento de conexiones de red con los dos mdulos
de seguridad as como los PCs/las PGs;
los cables de red necesarios, cables TP (Twisted Pair) segn el estndar IE FC RJ45
para Industrial Ethernet.
Instalar Security
118 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.1 Tnel VPN entre SCALANCE S y SCALANCE S
ADVERTENCIA
Utilizar nicamente baja tensin de seguridad
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad. En
consecuencia, a las conexiones de alimentacin solo se deben conectar bajas tensiones
de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
El alimentador de red utilizado para el SCALANCE S tiene que ser del tipo NEC Class 2
(rango de tensin 18-32 V, consumo de corriente aprox. 250 mA).
1. Establezca las conexiones fsicas de red conectando los conectores de los cables de red
con las interfaces previstas a tal efecto:
Conecte el PC1 a la interfaz interna del mdulo de seguridad 1 y el PC2 a la interfaz
interna del mdulo de seguridad 2.
Conecte la interfaz externa del mdulo de seguridad 1 y la interfaz externa del mdulo
de seguridad 2 al hub/switch.
Conecte tambin el PC3 al hub/switch.
2. Encienda los PCs participantes.
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que
no se deben confundir al establecer la conexin con la red de comunicacin:
Interfaz X1 - External Network
Marca roja = rea de red no protegida;
Interfaz X2 - Internal Network
Marca verde = red protegida por SCALANCE S;
Si se intercambian las interfaces, el dispositivo pierde su funcin de proteccin.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 119
Configurar tnel VPN
6.1 Tnel VPN entre SCALANCE S y SCALANCE S
Instalar Security
120 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.1 Tnel VPN entre SCALANCE S y SCALANCE S
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 121
Configurar tnel VPN
6.1 Tnel VPN entre SCALANCE S y SCALANCE S
Instalar Security
122 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.1 Tnel VPN entre SCALANCE S y SCALANCE S
2. Seleccione ambos mdulos de seguridad por medio del botn "Seleccionar todos".
3. Inicie el proceso de carga con el botn "Iniciar".
Si el proceso de carga ha concluido sin errores, los mdulos de seguridad arrancan de
nuevo automticamente y se activa la nueva configuracin.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 123
Configurar tnel VPN
6.1 Tnel VPN entre SCALANCE S y SCALANCE S
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test 1
Compruebe ahora el funcionamiento de la conexin de tnel establecida entre PC1 y PC2
del siguiente modo:
1. En el PC1, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC1 a PC2 (direccin IP 191.0.0.2)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 191.0.0.2" en la posicin del cursor.
Seguidamente, recibir el mensaje siguiente (respuesta positiva de PC2):
Resultado
Cuando los telegramas IP llegan al PC2, la "estadstica ping" muestra para 191.0.0.2 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Dado que no estaba permitida ninguna otra comunicacin, estos telegramas solo se pueden
haber transportado por el tnel VPN.
Instalar Security
124 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.1 Tnel VPN entre SCALANCE S y SCALANCE S
Seccin de test 2
Repita el test emitiendo un comando ping desde el PC3.
1. En el PC3, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Emita el mismo comando ping ("ping 191.0.0.2") en la ventana del smbolo del sistema
del PC3.
Seguidamente, recibir el mensaje siguiente (ninguna respuesta de PC2):
Resultado
Los telegramas IP del PC3 no pueden llegar al PC2, ya que no hay configurada ninguna
comunicacin de tnel entre estos dispositivos ni tampoco se permite el trfico de datos IP
normal.
Esto se indica en la "estadstica ping" para 191.0.0.2 del siguiente modo:
Enviados = 4
Recibidos = 0
Perdidos = 4 (100% de prdida)
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 125
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
6.2.1 Resumen
En este ejemplo, los mdulos de seguridad SCALANCE S623 y SCALANCE S612
constituyen los dos puntos finales de un tnel VPN que permite establecer una conexin
segura va Internet. El tnel VPN se crea entre la interfaz de telemantenimiento (interfaz
DMZ) del mdulo SCALANCE S623 y la interfaz externa del mdulo SCALANCE S612. En
este caso, la interfaz de telemantenimiento del mdulo SCALANCE S623 obtiene su
direccin IP va PPPoE. En esta configuracin, el mdulo SCALANCE S623 es el iniciador
VPN, mientras que el mdulo SCALANCE S612 representa el respondedor VPN.
Con esta configuracin se consigue que el trfico IP entre dos interlocutores autorizados
solo sea posible a travs de la conexin de tnel VPN establecida.
Instalar Security
126 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
Dispositivos/componentes necesarios:
Utilice los siguientes componentes para el montaje:
1 SCALANCE S623 (adicionalmente, como opcin: un perfil DIN simtrico
correspondientemente instalado, con material de montaje);
1 SCALANCE S612 (adicionalmente, como opcin: un perfil DIN simtrico
correspondientemente instalado, con material de montaje);
1 o 2 fuentes de alimentacin de 24V con conexiones de cables y conectores de bloque
de bornes (ambos mdulos pueden funcionar tambin con una fuente de alimentacin
comn);
2 PCs en los que est instalada la herramienta de configuracin "Security Configuration
Tool";
1 mdem DSL (conexin a Internet para PC1)
1 router DSL (conexin a Internet para PC2)
Observacin: la conexin DSL que utiliza el router DSL debe disponer de una direccin
IP esttica.
los cables de red necesarios, cables TP (Twisted Pair) segn el estndar IE FC RJ45
para Industrial Ethernet.
Requisitos:
Para el router DSL, la opcin Port Forwarding debe estar configurada de modo que los
telegramas entrantes en los nmeros de puerto UDP 500 o UDP 4500 se reenven a la
direccin IP configurada para la interfaz externa del mdulo de seguridad 2.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 127
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
ADVERTENCIA
Utilizar nicamente baja tensin de seguridad
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad.
En consecuencia, a las conexiones de alimentacin solo se deben conectar bajas
tensiones de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
El alimentador de red utilizado para el SCALANCE S tiene que ser del tipo NEC Class 2
(rango de tensin 18-32 V, consumo de corriente aprox. 250 mA).
Instalar Security
128 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
3. Establezca las conexiones fsicas de red conectando los conectores de los cables de red
con las interfaces previstas a tal efecto:
Conecte el PC1 a la interfaz interna del mdulo de seguridad 1 y el PC2 a la interfaz
interna del mdulo de seguridad 2.
Conecte la interfaz DMZ del mdulo de seguridad 1 al mdem DSL.
Conecte la interfaz externa del mdulo de seguridad 2 al router DSL.
4. Encienda los PCs participantes.
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que
no se deben confundir al establecer la conexin con la red de comunicacin:
Interfaz X1 - External Network
Marca roja = rea de red no protegida;
Interfaz X2 - Internal Network
Marca verde = red protegida por SCALANCE S;
Interfaz X3 - puerto DMZ (interfaz de red universal)
Marca amarilla = rea de red no protegida o rea de red protegida mediante
SCALANCE S.
Si se intercambian las interfaces, el dispositivo pierde su funcin de proteccin.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 129
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
6. Introduzca en los campos previstos a tal efecto los valores correspondientes al PC,
tomados de la tabla "Preparar los ajustes IP de los dispositivos de red".
7. Cierre los cuadros de dilogo con "Aceptar" y cierre el panel de control.
Instalar Security
130 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 131
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
Instalar Security
132 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
3. Como router estndar introduzca la direccin IP del router DSL al que est conectado el
mdulo de seguridad (192.168.8.100).
Observacin: el router estndar del mdulo SCALANCE S623 viene determinado por el
ISP.
4. Cierre el cuadro de dilogo con "Aceptar".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 133
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
Instalar Security
134 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
4. Inicie el proceso de carga con el botn "Iniciar". Si el proceso de carga ha concluido sin
errores, el SCALANCE S arranca de nuevo automticamente y se activa la nueva
configuracin.
5. Guarde el proyecto actual en un medio de almacenamiento extrable y transfiera el
proyecto al PC2.
6. Inicie la Security Configuration Tool en el PC2 y abra el proyecto.
7. Repita los pasos 2 a 4 para el mdulo de seguridad del tipo SCALANCE S612 de forma
anloga.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 135
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
Nota
Cortafuegos de Windows
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test 1
Compruebe ahora el funcionamiento de la conexin de tnel establecida entre los mdulos
de seguridad, del siguiente modo:
1. En el PC1, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC1 a PC2 (direccin IP 192.168.5.100)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.5.100" en la posicin del cursor.
Seguidamente, recibir el mensaje siguiente (respuesta positiva de PC2):
Instalar Security
136 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
Resultado
Cuando los telegramas IP llegan al PC2, la "estadstica ping" muestra para 192.168.5.100 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Dado que no estaba permitida ninguna otra comunicacin, estos telegramas solo se pueden
haber transportado por el tnel VPN.
Seccin de test 2
Pruebe ahora el funcionamiento de la conexin de tnel establecida en el sentido contrario:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC1 (direccin IP 192.168.1.100)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.1.100" en la posicin del cursor.
A continuacin recibir el mensaje siguiente (respuesta positiva de PC1):
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 192.168.1.100 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
La comunicacin a travs de la conexin de tnel configurada funciona en ambos sentidos.
Observacin: si se ha configurado una conexin bajo demanda para el router DSL, es
posible que se pierdan 1 o 2 telegramas.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 137
Configurar tnel VPN
6.3 Tnel VPN entre SCALANCE S y CP
6.3.1 Resumen
En este ejemplo se configura la funcin de tnel en la vista de configuracin "Modo normal".
Los mdulos de seguridad 1 y 2 constituyen en este ejemplo los dos puntos finales del tnel
para la conexin de tnel protegida.
Con esta configuracin se consigue que el trfico IP entre interlocutores autorizados solo
sea posible a travs de la conexin de tnel establecida.
Nota
Tenga en cuenta que, tras cargar la configuracin, la estacin solo ser accesible si en el
cortafuegos est habilitado el protocolo S7 (puerto TCP 102) de "Externa => Estacin".
Debera evitarse la comunicacin no cifrada desde la red externa tras la puesta en servicio.
Si no se utiliza un establecimiento de conexin seguro va VPN desde la red externa, el
diagnstico de STEP 7 y la reconfiguracin solo deberan realizarse desde la red interna.
Por este motivo, en el ejemplo siguiente no se abre el puerto para la comunicacin S7 en el
cortafuegos.
Instalar Security
138 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.3 Tnel VPN entre SCALANCE S y CP
Requisitos:
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
El software de configuracin Security Configuration Tool est instalado en el PC3.
Los mdulos de seguridad disponen de la hora y fecha actuales.
El CP x43-1 Adv. tiene los ajustes siguientes en STEP 7:
Direccin IP Gigabit: 191.0.0.201, mscara de subred: 255.255.0.0
Direccin IP PROFINET: 191.1.0.201, mscara de subred: 255.255.0.0
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 139
Configurar tnel VPN
6.3 Tnel VPN entre SCALANCE S y CP
Nota
Las conexiones Ethernet en la interfaz interna y externa son tratadas de forma diferente
por el mdulo de seguridad, por lo que no se deben confundir al establecer la conexin
con la red de comunicacin:
Si se intercambian las interfaces, los dispositivos pierden su funcin de proteccin.
Instalar Security
140 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.3 Tnel VPN entre SCALANCE S y CP
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 141
Configurar tnel VPN
6.3 Tnel VPN entre SCALANCE S y CP
3. En HW Config, abra la Security Configuration Tool con el comando de men "Edicin" >
"Security Configuration Tool".
Resultado: el CP creado se mostrar en la lista de los mdulos configurados.
4. Cree un mdulo SCALANCE S con los parmetros siguientes en la Security
Configuration Tool utilizando el comando de men "Insertar" > "Mdulo":
Mdulo: S612
Versin del firmware: V4
Direccin MAC: segn la impresin en la parte frontal del mdulo de seguridad
Direccin IP (ext.): 191.0.0.202
Mscara de subred (ext.): 255.255.0.0
Resultado: el CP y el mdulo SCALANCE S se muestran en la lista de los mdulos
configurados dentro de la Security Configuration Tool.
Instalar Security
142 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.3 Tnel VPN entre SCALANCE S y CP
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 143
Configurar tnel VPN
6.3 Tnel VPN entre SCALANCE S y CP
SCALANCE S - procedimiento:
1. En HW Config, abra la Security Configuration Tool con el comando de men "Edicin" >
"Security Configuration Tool".
2. Llame el siguiente cuadro de dilogo con el comando de men "Transferir" > "A todos los
mdulos ..." en la Security Configuration Tool:
CP - procedimiento:
1. Cierre la Security Configuration Tool.
2. En HW Config elija el men "Estacin" > "Guardar y compilar".
3. Cargue la nueva configuracin en el mdulo de seguridad utilizando el men "Sistema de
destino" > "Cargar en mdulo...".
Si el proceso de carga se ha concluido sin errores, el mdulo de seguridad arranca
automticamente y se activa la nueva configuracin.
Instalar Security
144 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.3 Tnel VPN entre SCALANCE S y CP
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test 1
Pruebe ahora el funcionamiento de la conexin de tnel establecida, del siguiente modo:
1. En el PC1, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC1 a PC2 (direccin IP 191.1.0.1)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 191.1.0.1" en la posicin del cursor. Seguidamente, recibir el mensaje
siguiente (respuesta positiva de PC2):
Resultado
Cuando los telegramas IP llegan al PC2, la "estadstica ping" muestra para 191.1.0.1 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Dado que no estaba permitida ninguna otra comunicacin, estos telegramas solo se pueden
haber transportado por el tnel VPN.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 145
Configurar tnel VPN
6.3 Tnel VPN entre SCALANCE S y CP
Seccin de test 2
Repita el test emitiendo un comando ping desde el PC3.
1. En el PC3, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Emita el mismo comando ping ("ping 191.1.0.1") en la ventana del smbolo del sistema
del PC3.
Seguidamente, recibir el mensaje siguiente (ninguna respuesta de PC2):
Resultado
Los telegramas IP del PC3 no pueden llegar al PC2, ya que no hay configurada ninguna
comunicacin de tnel entre estos dispositivos ni tampoco se permite el trfico de datos IP
normal.
Esto se indica en la "estadstica ping" para 191.1.0.1 del siguiente modo:
Enviados = 4
Recibidos = 0
Perdidos = 4 (100% de prdida)
Instalar Security
146 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.4 Tnel VPN entre CP 1628 y CP x43-1 Adv.
6.4.1 Resumen
En este ejemplo se configura la funcin de tnel en la vista de configuracin "Modo normal".
Los mdulos de seguridad 1 y 2 constituyen en este ejemplo los dos puntos finales del tnel
para la conexin de tnel protegida.
Con esta configuracin se consigue que el trfico IP y el trfico de la Layer 2 solo sea
posible a travs de las conexiones de tnel establecidas entre interlocutores autorizados de
un grupo VPN.
Nota
Tenga en cuenta que, tras cargar la configuracin, la estacin solo ser accesible si en el
cortafuegos est habilitado el protocolo S7 (puerto TCP 102) de "Externa => Estacin".
Debera evitarse la comunicacin no cifrada desde la red externa tras la puesta en servicio.
Si no se utiliza un establecimiento de conexin seguro va VPN desde la red externa, el
diagnstico de STEP 7 y la reconfiguracin solo deberan realizarse desde la red interna.
Por este motivo, en el ejemplo siguiente no se abre el puerto para la comunicacin S7 en el
cortafuegos.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 147
Configurar tnel VPN
6.4 Tnel VPN entre CP 1628 y CP x43-1 Adv.
Requisitos:
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
El software de configuracin Security Configuration Tool est instalado en el PC2.
STEP 7 est instalado en el PC2, donde ya se ha creado un proyecto de STEP 7.
Los CPs disponen de la hora y fecha actuales.
El CP 1628 tiene los ajustes siguientes en STEP 7:
Direccin IP Industrial Ethernet: 192.168.0.5, mscara de subred: 255.255.255.0
La direccin IP NDIS se establece en la configuracin IP del PC.
El CP x43-1 Adv. tiene los ajustes siguientes en STEP 7:
Direccin IP Gigabit: 192.168.0.11, mscara de subred: 255.255.255.0
Direccin IP PROFINET: 192.168.1.11, mscara de subred: 255.255.255.0
Instalar Security
148 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.4 Tnel VPN entre CP 1628 y CP x43-1 Adv.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 149
Configurar tnel VPN
6.4 Tnel VPN entre CP 1628 y CP x43-1 Adv.
Instalar Security
150 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.4 Tnel VPN entre CP 1628 y CP x43-1 Adv.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 151
Configurar tnel VPN
6.4 Tnel VPN entre CP 1628 y CP x43-1 Adv.
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test 1
Compruebe ahora el funcionamiento de la conexin de tnel establecida entre PC1 y
mdulo de seguridad 2, del siguiente modo:
1. En el PC1, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping del PC1 al mdulo de seguridad 2 (direccin IP 192.168.0.11)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.0.11" en la posicin del cursor.
A continuacin recibir el mensaje siguiente (respuesta positiva del mdulo de seguridad
2):
Instalar Security
152 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.4 Tnel VPN entre CP 1628 y CP x43-1 Adv.
Resultado
Cuando los telegramas IP llegan al mdulo de seguridad 2, la "estadstica ping" muestra
para 192.168.0.11 lo siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Dado que no estaba permitida ninguna otra comunicacin, estos telegramas solo se pueden
haber transportado por el tnel VPN.
Seccin de test 2
Repita el test emitiendo un comando ping desde el PC2.
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Emita el mismo comando ping ("ping 192.168.0.11") en la ventana del smbolo del
sistema del PC2.
A continuacin recibir el mensaje siguiente (ninguna respuesta del mdulo de seguridad
2):
Resultado
Los telegramas IP del PC2 no pueden llegar al mdulo de seguridad 2, ya que no hay
configurada ninguna comunicacin de tnel entre estos dispositivos ni tampoco se permite
el trfico de datos IP normal.
Esto se indica en la "estadstica ping" para 192.168.0.11 del siguiente modo:
Enviados = 4
Recibidos = 0
Perdidos = 4 (100% de prdida)
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 153
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
6.5.1 Sinopsis
Resumen
En este ejemplo se configura la funcin de tnel en la vista de configuracin "Modo normal".
Con esta configuracin se consigue que el trfico IP entre interlocutores autorizados de los
diferentes grupos VPN solo sea posible a travs de las conexiones de tnel establecidas. El
acceso desde la PG de servicio en la que est instalado el SOFTNET Security Client est
permitido para los cuatro mdulos de seguridad.
Instalar Security
154 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
Requisitos:
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
El software de configuracin Security Configuration Tool y el SOFTNET Security Client
estn instalados en el PC2.
STEP 7 est instalado en el PC2, donde ya se ha creado un proyecto de STEP 7 con los
mdulos de seguridad siguientes:
Todos los mdulos de seguridad disponen de la hora y fecha actuales.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 155
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
Instalar Security
156 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 157
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
6. Introduzca ahora en los campos previstos al efecto los valores correspondientes al PC,
tomados de la tabla "Crear configuracin IP de los PCs".
7. Cierre los cuadros de dilogo con "Aceptar" y cierre el panel de control.
Instalar Security
158 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
6. Cree un segundo mdulo con el comando de men "Insertar" > "Mdulo". Configure los
parmetros siguientes:
Tipo de producto: SOFTNET Configuration (SOFTNET Security Client, dispositivo
VPN, cliente NCP VPN)
Mdulo: SOFTNET Security Client
Versin del firmware: V4
Observacin: al seleccionar la opcin "V4" estar disponible toda la funcionalidad de
SOFTNET Security Client V4 y SOFTNET Security Client V5.
7. Haga clic en el botn "OK".
Resultado: el SOFTNET Security Client creado se agrega a la lista de los mdulos
configurados como "Mdulo2".
8. Haga clic en la entrada "Todos los mdulos" en el rea de navegacin y a continuacin
en la lnea con el nombre de mdulo "Mdulo1" en el rea de contenido.
9. Haga clic en la columna "Nombre" e introduzca el nombre "SCA612".
10.Haga clic en la lnea con el nombre de mdulo "Mdulo2".
11.Haga clic en la columna "Nombre" e introduzca el nombre "SSC-PC2".
Resultado: los CPs, el mdulo SCALANCE S y el SOFTNET Security Client se muestran en
la lista de los mdulos configurados dentro de la Security Configuration Tool.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 159
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
Instalar Security
160 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
CPs - procedimiento:
1. Cierre la Security Configuration Tool.
2. En HW Config elija el comando de men "Estacin" > "Guardar y compilar" para el CP
443-1 Advanced.
3. Cargue la nueva configuracin en el mdulo de seguridad utilizando el comando de
men "Sistema de destino" > "Cargar en mdulo...".
4. Realice los pasos 2-3 de forma anloga para el CP 343-1 y el CP 1628.
Si el proceso de carga se ha concluido sin errores, los mdulos de seguridad arrancan
automticamente y se activa la nueva configuracin.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 161
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
Nota
En Windows 7, el cortafuegos del sistema operativo debe estar activado para que funcione
el establecimiento del tnel VPN.
Instalar Security
162 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 163
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
Seccin de test
Compruebe ahora el funcionamiento de la conexin de tnel establecida entre PC2 y PC3
del siguiente modo:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC3 (direccin IP 90.12.150.101)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 90.12.150.101" en la posicin del cursor.
Seguidamente, recibir el mensaje siguiente (respuesta positiva de PC3):
Resultado
Cuando los telegramas IP llegan al PC3, la "estadstica ping" muestra para 90.12.150.101 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Dado que no estaba permitida ninguna otra comunicacin, estos telegramas solo se pueden
haber transportado por el tnel VPN.
Instalar Security
164 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN 7
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y
SOFTNET Security Client
7.1.1 Resumen
En este ejemplo se configura la funcin de tnel VPN en la vista de configuracin "Modo
normal". Un mdulo de seguridad y el SOFTNET Security Client constituyen en este ejemplo
los dos puntos finales del tnel para la conexin de tnel protegida a travs de una red
pblica.
Con esta configuracin se consigue que el trfico IP entre los dos interlocutores autorizados
solo sea posible a travs de la conexin de tnel VPN establecida.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 165
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client
Nota
En el ejemplo, en representacin de una red WAN externa pblica (Internet) se recurre a
una red local para explicar los aspectos bsicos del funcionamiento correspondiente.
En los lugares correspondientes se dan explicaciones relativas al uso de una WAN.
Dispositivos/componentes necesarios:
Utilice los siguientes componentes para el montaje:
1 mdulo SCALANCE S (excepto S602), (opcional: un perfil DIN simtrico
correspondientemente instalado, con material de montaje);
1 alimentacin de 24V con conexiones de cables y conectores de bloque de bornes;
1 PC en el cual va instalada la herramienta de configuracin "Security Configuration
Tool" y el cliente VPN "SOFTNET Security Client";
1 PC en la red interna, para el test de la configuracin;
1 PC en la red externa, para el test de la configuracin;
1 hub o switch de red para el establecimiento de conexiones de red con el mdulo
SCALANCE S as como los PCs;
los cables de red necesarios, cables TP (Twisted Pair) segn el estndar IE FC RJ45
para Industrial Ethernet.
Instalar Security
166 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client
ADVERTENCIA
Utilizar nicamente baja tensin de seguridad
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad. En
consecuencia, a las conexiones de alimentacin solo se deben conectar bajas tensiones
de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
El alimentador de red utilizado para el SCALANCE S tiene que ser del tipo NEC Class 2
(rango de tensin 18-32 V, consumo de corriente aprox. 250 mA).
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 167
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client
1. Establezca las conexiones fsicas de red conectando los conectores con las interfaces
previstas a tal efecto:
Conecte PC1 con la interfaz interna del mdulo de seguridad.
Conecte la interfaz externa del mdulo de seguridad al hub/switch.
Conecte tambin PC2 y PC3 al hub/switch.
2. Encienda los PCs participantes.
Nota
Para el uso de una WAN como red externa pblica, las conexiones con el hub/switch se
tienen que reemplazar por las conexiones con la red WAN (acceso a Internet).
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que
no se deben confundir al establecer la conexin con la red de comunicacin:
Interfaz X1 - External Network
Marca roja = rea de red no protegida;
Interfaz X2 - Internal Network
Marca verde = red protegida por SCALANCE S;
Si se intercambian las interfaces, el dispositivo pierde su funcin de proteccin.
Nota
Para el uso de una WAN como red externa pblica se tienen que preparar en PC2, PC3 y el
mdulo de seguridad los respectivos ajustes IP para la conexin con la red WAN (Internet).
Instalar Security
168 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 169
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client
3. Confirme la entrada.
Resultado: se ha creado un proyecto nuevo. Se abre el cuadro de dilogo "Seleccin de
un mdulo o configuracin de software".
4. Elija las siguientes opciones:
Tipo de producto: SCALANCE S
Mdulo: S612
Versin del firmware: V4
Direccin MAC: segn la impresin en la parte frontal del mdulo de seguridad
Direccin IP (ext.): 191.0.0.201, mscara de subred (ext.): 255.255.0.0
Nota
Si se utiliza una WAN como red externa pblica, debe introducirse en "Direccin IP
ext." una direccin IP de la subred interna del router DSL. Como router estndar debe
indicarse la direccin IP interna del router DSL. La direccin IP pblica asignada por
el proveedor debe introducirse en "Direccin IP WAN / FQDN" de la ficha "VPN", en
las propiedades del mdulo.
Si se utiliza un router DSL como pasarela de Internet, deben reenviarse en dicho
router al menos los puertos siguientes a la direccin IP del mdulo de seguridad:
puerto 500 (ISAKMP)
puerto 4500 (NAT-T)
Instalar Security
170 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 171
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client
Nota
Si como red externa pblica se utiliza una WAN, no es posible configurar un mdulo de
seguridad con ajustes de fbrica a travs de dicha WAN. Configure en este caso el mdulo
de seguridad desde la red interna.
Instalar Security
172 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 173
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client
Instalar Security
174 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test 1
Pruebe ahora el funcionamiento de la conexin de tnel establecida, del siguiente modo:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC1 (direccin IP 192.168.0.1).
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.0.1" en la posicin del cursor.
A continuacin recibir el mensaje siguiente (respuesta positiva de PC1):
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 192.168.0.1 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Dado que no estaba permitida ninguna otra comunicacin, estos telegramas solo se pueden
haber transportado por el tnel VPN.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 175
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client
Seccin de test 2
Repita ahora el test emitiendo un comando ping desde el PC3.
1. En el PC3, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Emita el mismo comando ping ("ping 192.168.0.1") en la ventana del smbolo del sistema
del PC3.
Seguidamente, recibir el mensaje siguiente (ninguna respuesta de PC1):
Resultado
Los telegramas IP del PC3 no pueden llegar al PC1, ya que no hay configurada ninguna
comunicacin de tnel entre estos dispositivos ni tampoco se permite el trfico de datos IP
normal.
Esto se indica en la "estadstica ping" para 192.168.0.1 del siguiente modo:
Enviados = 4
Recibidos = 0
Perdidos = 4 (100% de prdida)
Instalar Security
176 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security Client
7.2.1 Resumen
En este ejemplo se configura la funcin de tnel VPN en la vista de configuracin "Modo
normal". Un mdulo de seguridad y un SOFTNET Security Client constituyen en este
ejemplo los dos puntos finales del tnel para la conexin de tnel protegida a travs de una
red pblica.
Con esta configuracin se consigue que el trfico IP entre los dos interlocutores autorizados
solo sea posible a travs de la conexin de tnel VPN establecida.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 177
Configurar un acceso remoto va tnel VPN
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security Client
Nota
En el ejemplo, en representacin de una red WAN externa pblica (Internet) se recurre a
una red local para explicar los aspectos bsicos del funcionamiento correspondiente.
En los lugares correspondientes se dan explicaciones relativas al uso de una WAN.
Requisitos:
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
El software de configuracin Security Configuration Tool est instalado en el PC2.
STEP 7 est instalado en el PC2, donde ya se ha creado un proyecto de STEP 7.
El mdulo de seguridad dispone de la hora y fecha actuales.
El CP x43-1 Adv. tiene los ajustes siguientes en STEP 7:
Direccin IP Gigabit: 191.0.0.201, mscara de subred: 255.255.0.0
Direccin IP PROFINET: 192.168.0.201, mscara de subred: 255.255.255.0
Instalar Security
178 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security Client
Nota
Para el uso de una WAN como red externa pblica se tienen que preparar en PC2, PC3 y el
mdulo de seguridad los respectivos ajustes IP para la conexin con la red WAN (Internet).
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 179
Configurar un acceso remoto va tnel VPN
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security Client
Instalar Security
180 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security Client
Nota
Si se utiliza una WAN como red externa pblica, debe introducirse como direccin IP
Gigabit en HW Config una direccin IP de la subred interna del router DSL. Como router
estndar debe indicarse la direccin IP interna del router DSL. La direccin IP pblica
asignada por el proveedor debe introducirse en la SCT en "Direccin IP WAN / FQDN"
de la ficha "VPN", en las propiedades del mdulo.
Si se utiliza un router DSL como pasarela de Internet, deben reenviarse en dicho router
al menos los puertos siguientes a la direccin IP del mdulo de seguridad:
puerto 500 (ISAKMP)
puerto 4500 (NAT-T)
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 181
Configurar un acceso remoto va tnel VPN
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security Client
Instalar Security
182 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security Client
Nota
Si como red externa pblica se utiliza una WAN, no es posible configurar un mdulo de
seguridad con ajustes de fbrica a travs de dicha WAN. Configure en este caso el mdulo
de seguridad desde la red interna.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 183
Configurar un acceso remoto va tnel VPN
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security Client
3. Active la casilla de verificacin "Establish VPN tunnel to the internal nodes" en el cuadro
de dilogo "VPN configuration".
4. Seleccione el adaptador de red desde cuya direccin IP deba establecerse el tnel VPN.
5. Introduzca la contrasea para la clave privada del certificado y confirme con "Next".
6. Haga clic en el botn "Tunnel Overview".
Instalar Security
184 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security Client
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test 1
Pruebe ahora el funcionamiento de la conexin de tnel establecida, del siguiente modo:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC1 (direccin IP 192.168.0.1).
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.0.1" en la posicin del cursor.
A continuacin recibir el mensaje siguiente (respuesta positiva de PC1):
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 192.168.0.1 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Dado que no estaba permitida ninguna otra comunicacin, estos telegramas solo se pueden
haber transportado por el tnel VPN.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 185
Configurar un acceso remoto va tnel VPN
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security Client
Seccin de test 2
Repita ahora el test emitiendo un comando ping desde el PC3.
1. En el PC3, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Emita el mismo comando ping ("ping 192.168.0.1") en la ventana del smbolo del sistema
del PC3.
Seguidamente, recibir el mensaje siguiente (ninguna respuesta de PC1):
Resultado
Los telegramas IP del PC3 no pueden llegar al PC1, ya que no hay configurada ninguna
comunicacin de tnel entre estos dispositivos ni tampoco se permite el trfico de datos IP
normal.
Esto se indica en la "estadstica ping" para 192.168.0.1 del siguiente modo:
Enviados = 4
Recibidos = 0
Perdidos = 4 (100% de prdida)
Instalar Security
186 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
7.3.1 Sinopsis
En este ejemplo se configura la funcin de tnel VPN en la vista de configuracin "Modo
avanzado". Un SCALANCE M y el SOFTNET Security Client forman los dos puntos finales
del tnel para la conexin de tnel segura a travs de una red pblica.
Con esta configuracin se consigue que el trfico IP entre dos interlocutores autorizados
solo sea posible a travs de la conexin de tnel VPN establecida.
Nota
Para la configuracin en este ejemplo es necesario obtener del proveedor (proveedor de
telefona mvil) una direccin IP pblica, no modificable, para la tarjeta SIM del SCALANCE
M, a la que se pueda acceder a travs de Internet.
Otra posibilidad es utilizar una direccin DynDNS para el SCALANCE M.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 187
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
accede a travs de la antena del mdulo SCALANCE M. El PC2 se conecta a una red
GSM o de telefona mvil utilizando una tarjeta SIM de un proveedor o bien est
conectado a Internet por medio de un router DSL.
PC2: PC con el software de configuracin Security Configuration Tool y el software
SOFTNET Security Client para el acceso VPN seguro a la red interna
Dispositivos/componentes necesarios:
Utilice los siguientes componentes para el montaje:
1 mdulo SCALANCE M con tarjeta SIM (opcional: un perfil DIN simtrico
correspondientemente instalado, con material de montaje);
1 fuente de alimentacin de 24V con conector de cable y enchufe para bloque de bornes;
1 PC en el cual va instalada la herramienta de configuracin "Security Configuration
Tool" y el cliente VPN "SOFTNET Security Client";
1 PC en la red interna del SCALANCE M con un navegador web para la configuracin del
SCALANCE M y el test de la configuracin;
1 router DSL (conexin a Internet para el PC con el cliente VPN (RDSI, ADSL, UMTS,
etc.);
Los cables de red, cables TP (Twisted Pair) necesarios segn el estndar IE FC RJ45
para Industrial Ethernet.
Instalar Security
188 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
Para la pasarela estndar del PC1 indique la direccin IP que se asignar al mdulo
SCALANCE M para la interfaz de red interna en la siguiente configuracin. Para el PC2
indique la direccin IP del router DSL.
Nota
La direccin IP del PC2 debe estar en la red interna del router DSL (192.168.2.0/24).
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 189
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
Instalar Security
190 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
4. Confirme la entrada.
Resultado: se ha creado un proyecto nuevo. Se abre el cuadro de dilogo "Seleccin de
un mdulo o configuracin de software".
5. Configure los parmetros siguientes:
Tipo de producto: SOFTNET Configuration (SOFTNET Security Client, dispositivo
VPN, cliente NCP VPN)
Mdulo: SOFTNET Security Client
Versin del firmware: V4
Observacin: al seleccionar la opcin "V4" estar disponible toda la funcionalidad de
SOFTNET Security Client V4 y SOFTNET Security Client V5.
Asigne el nombre de mdulo "SSC-PC2" y cierre el cuadro de dilogo con "OK".
6. En el rea de navegacin, haga clic en el objeto "Todos los mdulos".
7. Cree otro mdulo con el comando de men "Insertar" > "Mdulo". Configure los
parmetros siguientes:
Tipo de producto: SCALANCE M
Mdulo: SCALANCE M875/MD741-1
Versin del firmware: V1
8. En el rea "Configuracin" asigne el nombre de mdulo "SCALANCE M" e introduzca en
el formato prescrito la direccin IP externa as como la mscara de subred externa que
haya obtenido de su proveedor.
Nota
Para la configuracin en este ejemplo es necesario obtener del proveedor (proveedor de
telefona mvil) una direccin IP pblica, no modificable, para la tarjeta SIM del
SCALANCE M, a la que se pueda acceder a travs de Internet. Introduzca la direccin IP
como direccin IP externa para su mdulo.
Si trabaja con direcciones dinmicas para el SCALANCE M, necesitar una direccin
DynDNS para el mdulo. En este caso no necesita adaptar la direccin IP externa en
este lugar. La direccin IP insertada sirve nicamente como comodn. En la
configuracin del SOFTNET Security Client, indique posteriormente un nombre DNS en
lugar de una direccin IP externa.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 191
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
Instalar Security
192 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 193
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
Instalar Security
194 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 195
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
Instalar Security
196 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
5. Realice los ajustes IKE del Roadwarrior VPN tal y como se muestra en el siguiente
grfico, y gurdelos.
Nota
Solo se puede crear una conexin de tnel correcta entre SCALANCE M y SOFTNET
Security Client si se respetan estrictamente los siguientes parmetros.
El uso de parmetros diferentes hace que los dos partner de tunneling no establezcan
entre s conexin VPN alguna.
Procedimiento de autenticacin: Certificado de interlocutores X.509
Fase 1 - ISKAMP SA:
ISAKMP-SA encriptacin: 3DES-168
ISAKMP-SA Hash: SHA-1
Modo ISAKMP-SA: Main Mode
ISAKMP-SA vida (segundos): 86400
Fase 2 - IPsec SA:
Encriptacin IPsec SA: 3DES-168
IPsec SA Hash: SHA-1
PSec SA vida (segundos): 86400
Grupo DH/PFS: DH-2 1024
6. Para poder utilizar la funcin de diagnstico del SOFTNET Security Client para un tnel
VPN correctamente establecido en conexin con el SCALANCE M, deber admitir un
ping de la red externa del SCALANCE M.
Navegue para ello hasta el directorio "Seguridad" > "Avanzado".
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 197
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
Ponga el ajuste "ICMP de externa a SCALANCE M" en el valor "Permitir ping" y guarde
la entrada.
Nota
Si no autoriza esta funcin no podr utilizar la funcin de diagnstico del SOFTNET
Security Client para un tnel VPN correctamente construido en conexin con el
SCALANCE M. Entonces no recibir mensaje alguno sobre si el tnel se ha establecido
correctamente, pero puede comunicarse de forma segura a travs del tnel. Entonces no
recibir mensaje alguno sobre si el tnel se ha establecido correctamente, pero puede
comunicarse de forma segura a travs del tnel.
Nota
Si desea llegar al SCALANCE M por medio del nombre DNS, parametrice en el siguiente
directorio la conexin del servidor DynDNS. El SCALANCE M nicamente soporta el
proveedor"dyndns.org".
"Red externa" > "Ajustes avanzados" > "DynDNS"
1. Cambie el ajuste "Notificar este dispositivo en un servidor DynDNS" al valor "S".
2. Indique su nombre de usuario y la contrasea de su cuenta DynDNS.
3. Introduzca ntegramente la direccin DynDNS en el campo "Nombre de host del
servidor DynDNS". Introduzca tambin el dominio de dicha direccin (p. ej.
"mydns.dyndns.org").
Instalar Security
198 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
3. Para una configuracin del SCALANCE M, el SOFTNET Security Client abre el cuadro
de dilogo "Ajustes IP/DNS". En este cuadro de dilogo, indique la direccin IP pblica
del SCALANCE M que haya recibido de su proveedor. Confirme el cuadro de dilogo con
"OK".
4. Active la casilla de verificacin "Establish VPN tunnel to the internal nodes" en el cuadro
de dilogo "VPN configuration".
5. Seleccione el adaptador de red desde cuya direccin IP deba establecerse el tnel VPN.
6. Introduzca la contrasea para la clave privada del certificado y confirme con "Next".
7. Pulse el botn "Tunnel Overview".
Nota
Tenga en cuenta que esta funcin es independiente de la autorizacin de la funcin ping en
el SCALANCE M.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 199
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
Instalar Security
200 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
Nota
En caso de Windows, el cortafuegos (Firewall) puede estar ajustado como estndar de
manera que no puedan pasar comandos ping. Eventualmente tendr que habilitar los
servicios ICMP del tipo "Request" y "Response".
Seccin de test
Pruebe ahora el funcionamiento de la conexin de tnel establecida, del siguiente modo:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC1 (direccin IP 192.168.1.101).
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.1.101" en la posicin del cursor.
A continuacin recibir el mensaje siguiente (respuesta positiva de PC1):
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 192.168.1.101 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0 % de prdida)
Dado que no estaba permitida ninguna otra comunicacin, estos telegramas solo se pueden
haber transportado por el tnel VPN.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 201
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
7.4.1 Resumen
Resumen
En este ejemplo se utiliza el SOFTNET Security Client para establecer un tnel VPN entre
un PC y un mdulo de seguridad. Detrs del mdulo de seguridad hay un PC en la red
interna. En la Security Configuration Tool se configura el cortafuegos de modo que
nicamente un usuario concreto pueda acceder desde el PC2 de la red externa al PC1 de la
red interna segura (situado despus del mdulo de seguridad) pasando por el tnel VPN.
Dispositivos/componentes necesarios:
Se requieren los siguientes componentes para el montaje:
1 SCALANCE S612 (como opcin: un perfil DIN simtrico correspondientemente
instalado, con material de montaje);
1 alimentacin de 24V con conexiones de cables y conectores de bloque de bornes;
1 PC en la red externa en el que estn instalados la herramienta de configuracin
Security Configuration Tool y el SOFTNET Security Client;
1 PC en la red interna, para el test de la configuracin;
los cables de red necesarios, cables TP (Twisted Pair) segn el estndar IE FC RJ45
para Industrial Ethernet.
Requisitos:
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
El software de configuracin Security Configuration Tool y el SOFTNET Security Client
estn instalados en el PC2.
Instalar Security
202 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
ADVERTENCIA
Utilizar nicamente baja tensin de seguridad
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad.
En consecuencia, a las conexiones de alimentacin solo se deben conectar bajas
tensiones de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
El alimentador de red utilizado para el SCALANCE S tiene que ser del tipo NEC Class 2
(rango de tensin 18-32 V, consumo de corriente aprox. 250 mA).
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 203
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
3. Establezca las conexiones fsicas de red conectando los conectores de los cables de red
con las interfaces previstas a tal efecto:
Conecte PC1 con la interfaz interna del mdulo de seguridad.
Conecte PC2 con la interfaz externa del mdulo de seguridad.
4. Encienda los PCs participantes.
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que no
se deben confundir al establecer la conexin con la red de comunicacin:
Interfaz X1 - External Network
Marca roja = rea de red no protegida;
Interfaz X2 - Internal Network
Marca verde = red protegida por SCALANCE S;
Si se intercambian las interfaces, el dispositivo pierde su funcin de proteccin.
Instalar Security
204 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
6. Introduzca ahora en los campos previstos a tal efecto los valores correspondientes al PC,
tomados de la tabla "Crear configuracin IP de los PCs".
7. Cierre los cuadros de dilogo con "Aceptar" y cierre el panel de control.
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 205
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
5. Active las opciones siguientes en las reas "Tipo de producto", "Mdulo" y "Versin del
firmware":
Tipo de producto: SCALANCE S
Mdulo: S612
Versin del firmware: V4
6. En el rea "Configuracin", introduzca la direccin MAC en el formato predefinido. La
direccin MAC est impresa en el lado frontal del mdulo SCALANCE S.
7. En el rea "Configuracin", introduzca la direccin IP externa (192.168.2.1) y la mscara
de subred externa (255.255.255.0) en el formato predefinido.
8. Seleccione la entrada "Modo de enrutamiento" en la lista desplegable "Enrutamiento por
interfaz externo/interno".
9. Introduzca la direccin IP interna (192.168.1.1) y la mscara de subred interna
(255.255.255.0) en el formato predefinido y confirme el cuadro de dilogo con "OK".
10.Cree otro mdulo con los parmetros siguientes mediante el comando de men "Insertar"
> "Mdulo":
Tipo de producto: SOFTNET Configuration (SOFTNET Security Client, dispositivo
VPN, cliente NCP VPN)
Mdulo: SOFTNET Security Client
Versin del firmware: V4
Observacin: al seleccionar la opcin "V4" estar disponible toda la funcionalidad de
SOFTNET Security Client V4 y SOFTNET Security Client V5.
Resultado: los mdulos estn creados y se muestran en el rea de contenido de la Security
Configuration Tool.
Instalar Security
206 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 207
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
3. En el cuadro de dilogo que se abre, haga clic en el botn "Agregar regla" para insertar
una regla nueva.
Instalar Security
208 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 209
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
Instalar Security
210 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 211
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
Instalar Security
212 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
5. Introduzca la contrasea para la clave privada del certificado y confirme con "Next".
6. Haga clic en el botn "Tunnel Overview".
Nota
Cortafuegos de Windows
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test
Pruebe ahora el funcionamiento de la configuracin del cortafuegos del siguiente modo:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC1 (direccin IP 192.168.1.100)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.1.100" en la posicin del cursor.
Recibir el mensaje siguiente (ninguna respuesta de PC1):
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 213
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
Resultado
Los telegramas IP del PC2 no pueden llegar al PC1, ya que no est permitido el trfico de
datos desde el tnel VPN hasta la red interna.
Esto se indica en la "estadstica ping" para 192.168.1.100 del siguiente modo:
Enviados = 4
Recibidos = 0
Perdidos = 4 (100% de prdida)
3. El conjunto de reglas IP definido para el usuario "Remote" est activado. El acceso del
PC2 en la red externa al PC1 en la red interna est permitido.
Instalar Security
214 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
Nota
Cortafuegos de Windows
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Seccin de test
Pruebe ahora la configuracin del cortafuegos del siguiente modo:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC1 (direccin IP 192.168.1.100)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 192.168.1.100" en la posicin del cursor.
Recibir el mensaje siguiente (respuesta positiva de PC1):
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 192.168.1.100 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Debido a la configuracin del conjunto de reglas IP personalizadas, los telegramas ping han
podido pasar a la red interna a travs del tnel VPN. El PC de la red interna ha respondido a
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 215
Configurar un acceso remoto va tnel VPN
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
Instalar Security
216 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04