GS IE-Security 78

Instalar Security Prlogo 1
___________________
Interfaz de usuario y
___________________
comandos de men 2
Configurar direcciones IP
SIMATIC NET
___________________
para SCALANCE S623 3
___________________
Firewall en modo estndar 4
Industrial Ethernet Security
Instalar Security
___________________
Firewall en modo avanzado 5
___________________
Configurar tnel VPN 6
Getting Started (primeros pasos)
___________________
Configurar un acceso remoto
va tnel VPN 7
04/2015
C79000-G8978-C287-04
Notas jurdicas
Filosofa en la sealizacin de advertencias y peligros
Este manual contiene las informaciones necesarias para la seguridad personal as como para la prevencin de
daos materiales. Las informaciones para su seguridad personal estn resaltadas con un tringulo de
advertencia; las informaciones para evitar nicamente daos materiales no llevan dicho tringulo. De acuerdo al
grado de peligro las consignas se representan, de mayor a menor peligro, como sigue.
PELIGRO
Significa que, si no se adoptan las medidas preventivas adecuadas se producir la muerte, o bien lesiones
corporales graves.
ADVERTENCIA
Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones
corporales graves.
PRECAUCIN
Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse lesiones corporales.
ATENCIN
Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse daos materiales.
Si se dan varios niveles de peligro se usa siempre la consigna de seguridad ms estricta en cada caso. Si en una
consigna de seguridad con tringulo de advertencia se alarma de posibles daos personales, la misma consigna
puede contener tambin una advertencia sobre posibles daos materiales.
Personal cualificado
El producto/sistema tratado en esta documentacin slo deber ser manejado o manipulado por personal
cualificado para la tarea encomendada y observando lo indicado en la documentacin correspondiente a la
misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formacin y
experiencia, el personal cualificado est en condiciones de reconocer riesgos resultantes del manejo o
manipulacin de dichos productos/sistemas y de evitar posibles peligros.
Uso previsto o de los productos de Siemens
Considere lo siguiente:
ADVERTENCIA
Los productos de Siemens slo debern usarse para los casos de aplicacin previstos en el catlogo y la
documentacin tcnica asociada. De usarse productos y componentes de terceros, stos debern haber sido
recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su
transporte, almacenamiento, instalacin, montaje, manejo y mantenimiento hayan sido realizados de forma
correcta. Es preciso respetar las condiciones ambientales permitidas. Tambin debern seguirse las
indicaciones y advertencias que figuran en la documentacin asociada.
Marcas registradas
Todos los nombres marcados con son marcas registradas de Siemens AG. Los restantes nombres y
designaciones contenidos en el presente documento pueden ser marcas registradas cuya utilizacin por terceros
para sus propios fines puede violar los derechos de sus titulares.
Exencin de responsabilidad
Hemos comprobado la concordancia del contenido de esta publicacin con el hardware y el software descritos.
Sin embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena
concordancia. El contenido de esta publicacin se revisa peridicamente; si es necesario, las posibles las
correcciones se incluyen en la siguiente edicin.
Siemens AG Referencia del documento: C79000-G8978-C287-04 Copyright Siemens AG 2012 - 2015.

Division Process Industries and Drives 05/2015 Sujeto a cambios sin previo aviso Reservados todos los derechos
Postfach 48 48
90026 NRNBERG
ALEMANIA
ndice
1 Prlogo ................................................................................................................................................... 7
2 Interfaz de usuario y comandos de men .............................................................................................. 11
3 Configurar direcciones IP para SCALANCE S623 ................................................................................. 19
3.1 Resumen .................................................................................................................................19
3.2 Poner a punto los SCALANCE S y la red ...............................................................................20
3.3 Preparar los ajustes IP de los PCs .........................................................................................22
3.4 Crear proyecto y mdulo de seguridad...................................................................................23
3.5 Cargar la configuracin en un mdulo de seguridad ..............................................................24
4 Firewall en modo estndar .................................................................................................................... 27
4.1 Ejemplo con un SCALANCE S ...............................................................................................27
4.1.1 Resumen .................................................................................................................................27
4.1.2 Poner a punto los SCALANCE S y la red ...............................................................................28
4.1.3 Preparar los ajustes IP de los PCs .........................................................................................29
4.1.4 Crear proyecto y mdulo de seguridad...................................................................................30
4.1.5 Configurar firewall ...................................................................................................................31
4.1.6 Cargar la configuracin en un mdulo de seguridad ..............................................................33
4.1.7 Probar la funcin Firewall (Ping-Test) ....................................................................................33
4.1.8 Registro del trfico de datos del firewall (Logging) .................................................................35
4.2 Ejemplo con un CP x43-1 Advanced ......................................................................................37
4.2.1 Resumen .................................................................................................................................37
4.2.2 Preparar los ajustes de IP de los PCs ....................................................................................39
4.3 Ejemplo con un CP 1628 ........................................................................................................45
4.3.1 Resumen .................................................................................................................................45
5 Firewall en modo avanzado................................................................................................................... 53
5.1 SCALANCE S como firewall y router NAT..............................................................................53
5.1.1 Resumen .................................................................................................................................53
5.1.2 Poner a punto los SCALANCE S y la red ...............................................................................55
Instalar Security
Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04 3
ndice
5.1.5 Configurar modo NAT Router ................................................................................................ 58

5.1.6 Configurar el cortafuegos ....................................................................................................... 59
5.1.7 Cargar la configuracin en un mdulo de seguridad ............................................................. 60
5.1.8 Probar la funcin de router NAT y registrar el trfico de datos ............................................. 61
5.2 SCALANCE S como cortafuegos entre red externa y DMZ .................................................. 64
5.2.1 Resumen ................................................................................................................................ 64
5.2.2 Poner a punto los SCALANCE S y la red .............................................................................. 65
5.2.3 Preparar los ajustes IP de los dispositivos de red ................................................................. 67
5.2.4 Crear proyecto y mdulo de seguridad .................................................................................. 68
5.2.5 Configurar el cortafuegos ....................................................................................................... 69
5.2.7 Probar la funcin del cortafuegos mediante acceso de servidor web ................................... 71
5.2.8 Probar la funcin de cortafuegos mediante prueba Ping....................................................... 72
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna ................. 74
5.3.1 Sinopsis .................................................................................................................................. 74
5.3.2 Poner a punto los SCALANCE S y la red .............................................................................. 76
5.3.3 Preparar los ajustes de IP de los PCs ................................................................................... 77
5.3.5 Crear un usuario Remote Access .......................................................................................... 79
5.3.6 Ajustar y asignar un conjunto de reglas IP personalizadas ................................................... 79
5.3.8 Iniciar sesin en pgina web.................................................................................................. 82
5.3.9 Probar la funcin Firewall (Ping-Test).................................................................................... 83
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red
interna .................................................................................................................................... 85
5.4.1 Resumen ................................................................................................................................ 85
5.4.2 Instalar SCALANCE S y red .................................................................................................. 87
5.4.3 Preparar los ajustes IP de los dispositivos de red ................................................................. 88
5.4.5 Crear un usuario Remote Access .......................................................................................... 91
5.4.6 Ajustar y asignar un conjunto de reglas IP personalizadas ................................................... 92
5.4.8 Iniciar sesin en pgina web.................................................................................................. 95
5.4.9 Probar la funcin del cortafuegos (prueba Ping) ................................................................... 95
5.5 CP x43-1 Advanced como firewall y router NAT ................................................................... 98
5.5.1 Resumen ................................................................................................................................ 98
5.5.2 Preparar los ajustes de IP de los PCs ................................................................................. 100
5.5.3 Crear proyecto y mdulo de seguridad ................................................................................ 101
5.5.4 Configurar modo NAT Router .............................................................................................. 101
5.5.5 Configurar firewall ................................................................................................................ 103
5.5.6 Cargar la configuracin en un mdulo de seguridad ........................................................... 104
5.5.7 Probar la funcin de router NAT y registrar el trfico de datos ........................................... 104
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv. .......................................................................... 107
5.6.1 Resumen .............................................................................................................................. 107
5.6.2 Preparar los ajustes de IP de los PCs ................................................................................. 108
5.6.3 Crear proyecto y mdulos de seguridad .............................................................................. 109
5.6.4 Configurar firewall ................................................................................................................ 110
5.6.5 Cargar la configuracin en mdulos de seguridad .............................................................. 112
5.6.6 Probar el funcionamiento del cortafuegos y registrar el trfico de datos............................. 113
Instalar Security
4 Getting Started (primeros pasos), 04/2015, C79000-G8978-C287-04
ndice
6 Configurar tnel VPN .......................................................................................................................... 117

6.1 Tnel VPN entre SCALANCE S y SCALANCE S .................................................................117
6.1.1 Resumen ...............................................................................................................................117
6.1.2 Poner a punto los SCALANCE S y la red .............................................................................119
6.1.3 Preparar los ajustes de IP de los PCs ..................................................................................120
6.1.4 Crear proyecto y mdulos de seguridad ...............................................................................121
6.1.5 Configurar un grupo VPN .....................................................................................................122
6.1.6 Cargar la configuracin en mdulos de seguridad ...............................................................123
6.1.7 Probar la funcin Tnel (Ping-Test) ......................................................................................124
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612.....................................................126
6.2.1 Resumen ...............................................................................................................................126
6.2.2 Instalar SCALANCE S y red .................................................................................................128
6.2.3 Preparar los ajustes IP de los dispositivos de red ................................................................129
6.2.5 Configurar el router estndar ................................................................................................132
6.2.7 Configurar las propiedades VPN del mdulo SCALANCE S612 .........................................134
6.2.8 Configurar una conexin VPN ..............................................................................................134
6.2.10 Probar la funcin tnel (Ping-Test) .......................................................................................136
6.3 Tnel VPN entre SCALANCE S y CP...................................................................................138
6.3.1 Resumen ...............................................................................................................................138
6.3.2 Instalar mdulos de seguridad y red .....................................................................................140
6.4 Tnel VPN entre CP 1628 y CP x43-1 Adv. .........................................................................147
6.4.1 Resumen ...............................................................................................................................147
6.5 Tnel VPN entre todos los productos Security .....................................................................154
6.5.1 Sinopsis ................................................................................................................................154
6.5.4 Configurar grupos VPN .........................................................................................................160
6.5.5 Cargar la configuracin en mdulos de seguridad y guardar la configuracin de
SOFTNET Security Client .....................................................................................................161
6.5.6 Construccin del tnel con el SOFTNET Security Client .....................................................162
7 Configurar un acceso remoto va tnel VPN ........................................................................................ 165
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security
Client .....................................................................................................................................165
7.1.1 Resumen ...............................................................................................................................165
7.1.2 Instalar el SCALANCE S y la red ..........................................................................................167
Instalar Security
ndice
7.1.3 Preparar ajustes IP de los PCs ............................................................................................ 168

7.1.5 Configurar un grupo VPN ..................................................................................................... 171
7.1.6 Cargar la configuracin en un mdulo de seguridad y guardar la configuracin de
SOFTNET Security Client .................................................................................................... 172
7.1.7 Construccin del tnel con el SOFTNET Security Client..................................................... 173
7.1.8 Probar la funcin tnel (Ping-Test) ...................................................................................... 175
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security
Client .................................................................................................................................... 177
7.2.1 Resumen .............................................................................................................................. 177
7.2.2 Preparar ajustes IP de los PCs ............................................................................................ 179
7.2.7 Probar la funcin tnel (Ping-Test) ...................................................................................... 185
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security
Client .................................................................................................................................... 187
7.3.1 Sinopsis ................................................................................................................................ 187
7.3.2 Instalar SCALANCE M y red ................................................................................................ 189
7.3.3 Configurar los ajustes de IP de los PCs .............................................................................. 189
7.3.5 Configurar un grupo VPN y las propiedades del grupo VPN ............................................... 192
7.3.6 Guardar la configuracin del SCALANCE M y del SOFTNET Security Client .................... 194
7.3.7 Realizar la configuracin del SCALANCE M ....................................................................... 194
7.3.9 Probar la funcin del tnel (prueba Ping) ............................................................................ 201
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado ... 202
7.4.1 Resumen .............................................................................................................................. 202
7.4.2 Instalar SCALANCE S y red ................................................................................................ 203
7.4.3 Preparar los ajustes IP de los PCs ...................................................................................... 204
7.4.4 Crear proyecto y mdulo de seguridad ................................................................................ 205
7.4.6 Crear un usuario Remote Access ........................................................................................ 207
7.4.7 Configurar el cortafuegos ..................................................................................................... 208
7.4.8 Cargar la configuracin en un mdulo de seguridad y guardar la configuracin de
7.4.10 Probar la funcin del cortafuegos (prueba Ping) ................................................................. 213
7.4.11 Iniciar sesin en pgina web................................................................................................ 214
7.4.12 Probar la funcin del cortafuegos (prueba Ping) ................................................................. 215
Instalar Security
Prlogo 1
Rpidamente a la meta con Getting Started
Por medio de redes de test simples aprender aqu el manejo de los mdulos de seguridad
y de la herramienta de configuracin Security Configuration Tool. Ver cmo se pueden
implementar ya en la red las funciones de proteccin de los mdulos de seguridad sin
grandes trabajos de configuracin.
Utilizando como base diferentes ejemplos de seguridad podr llevar a cabo las funciones
fundamentales de los mdulos de seguridad y del SOFTNET Security Client.
Configuracin IP de los ejemplos
Nota
La configuracin IP utilizada en los ejemplos se ha elegido libremente y funciona sin
conflictos en la red de test aislada.
Al trabajar con una red real se tiene que adaptar esta configuracin IP al entorno de la red, a
fin de evitar eventuales conflictos de direcciones.
mbito de validez del Getting Started

Software de configuracin:
STEP 7 Classic V5.5 SP2 Hotfix 1 o superior
Security Configuration Tool (SCT) V4.1 o superior
Productos:
SCALANCE S602, referencia: 6GK5 602-0BA10-2AA3
SCALANCE S627-2M, referencia: 6GK5 627-2BA10-2AA3
SOFTNET Security Client V5.0 o superior, referencia: 6GK1 704-1VW05-0AA0
CP 343-1 Advanced GX31 V3.0 o superior, referencia: 6GK7 343-1GX31-0XE0
CP 443-1 Advanced GX30 V3.0 o superior, referencia: 6GK7 443-1GX30-0XE0
CP 1628, referencia: 6GK1162-8AA00
SCALANCE M875, referencia: 6GK5 875-0AA10-1AA2
Instalar Security
Prlogo
Denominacin genrica "mdulo de seguridad"

En la presente documentacin se agrupan bajo el nombre "mdulo de seguridad" los
siguientes productos:
CP 343-1 Advanced GX31, CP 443-1 Advanced GX30, CP 1628, SCALANCE S602 V4 /
SCALANCE S612 V4 / SCALANCE S623 V 4 / SCALANCE S627-2M V4.
Los CPs 343-1 Advanced GX31 y 443-1 Advanced GX30 se denominan "CP x43-1 Adv.".
El SCALANCE M875 se denomina "SCALANCE M".
Uso de las denominaciones "interfaz" y "puerto"

En la presente documentacin se utilizan las denominaciones siguientes para los puertos de
los mdulos de seguridad:
"Interfaz externa": el puerto externo del SCALANCE S602 / S612 / S623 o un puerto
externo del SCALANCE S627-2M
"Interfaz interna": el puerto interno del SCALANCE S602 / S612 / S623 o un puerto
interno del SCALANCE S627-2M
"Interfaz DMZ": el puerto DMZ del SCALANCE S623 / S627-2M
La denominacin "puerto" se utiliza cuando la intencin es destacar un puerto especfico de
una interfaz.
Direcciones IP de los mdulos de seguridad en los ejemplos de configuracin

Al cargar una configuracin en un mdulo de seguridad es necesario indicar siempre la
direccin IP por la que se accede actualmente a la interfaz correspondiente. En los ejemplos
de configuracin de este manual se parte siempre de la base de que las direcciones IP de la
configuracin son idnticas a las direcciones IP actuales del mdulo de seguridad.
Si desea saber ms
Encontrar ms informacin sobre el tema "Industrial Ethernet Security" en el manual de
configuracin "SIMATIC NET Industrial Ethernet Security - Principios bsicos y aplicacin de
seguridad". En l se explican con detalle todas las funciones y el software de configuracin
Security Configuration Tool.
La edicin actual se puede descargar de Internet con la ID de artculo siguiente: 61630777
(http://support.automation.siemens.com/WW/view/es/66644895)
Las descripciones de hardware y las indicaciones relativas a la instalacin se encuentran en
la documentacin correspondiente a cada mdulo.
Marcas
Las siguientes denominaciones y otras no marcadas con el smbolo de proteccin legal
son marcas registradas de Siemens AG:
C-PLUG, CP 343-1, CP 443-1, SCALANCE, SIMATIC, SOFTNET
Instalar Security
Prlogo
Informacin de seguridad
Siemens suministra productos y soluciones con funciones de seguridad industrial que
contribuyen al funcionamiento seguro de instalaciones, soluciones, mquinas, equipos y
redes. Dichas funciones son un componente importante de un sistema global de seguridad
industrial. En consideracin de lo anterior, los productos y soluciones de Siemens son objeto
de mejoras continuas. Por ello, le recomendamos que se informe peridicamente sobre las
actualizaciones de nuestros productos.
Para el funcionamiento seguro de los productos y soluciones de Siemens, es preciso tomar
medidas de proteccin adecuadas (como el concepto de proteccin de clulas) e integrar
cada componente en un sistema de seguridad industrial integral que incorpore los ltimos
avances tecnolgicos. Tambin deben tenerse en cuenta los productos de otros fabricantes
que se estn utilizando. Encontrar ms informacin sobre seguridad industrial en
http://www.siemens.com/industrialsecurity.
Si desea mantenerse al da de las actualizaciones de nuestros productos, regstrese para
recibir un boletn de noticias especfico del producto que desee. Encontrar ms informacin
en http://support.automation.siemens.com.
Instalar Security
Prlogo
Instalar Security
Interfaz de usuario y comandos de men 2
Estructura de la interfaz de usuario en el modo avanzado
rea de navegacin:
Conjuntos de reglas de cortafuegos globales
El objeto contiene los conjuntos de reglas globales de cortafuegos configurados. Otras

carpetas se distinguen en:
Conjuntos de reglas IP de cortafuegos
Conjuntos de reglas MAC de cortafuegos
Conjuntos de reglas IP personalizados
Todos los mdulos
El objeto contiene todos los mdulos configurados y configuraciones SOFTNET del proy-
ecto.
Grupos VPN
El objeto contiene todos los grupos VPN generados.

Relaciones de redundancia
El objeto contiene todas las relaciones de redundancia generadas del proyecto.
Instalar Security
Interfaz de usuario y comandos de men
ndice:
Si selecciona un objeto en el rea de navegacin obtendr en el rea de contenido infor-
maciones detalladas sobre ese objeto.
Para algunos mdulos de seguridad es posible visualizar en esta rea extractos de las config-
uraciones de interfaz para adaptarlas.
Haciendo doble clic en los mdulos de seguridad es posible abrir dilogos de propiedades
para introducir ms parmetros, siempre que las correspondientes posibilidades de configura-
cin lo ofrezcan.
Ventana de detalles:
La ventana de detalles contiene informacin adicional sobre el objeto seleccionado y permite
configurar propiedades de VPN conexin a conexin en los diferentes contextos de un grupo
VPN.
La ventana de detalles puede mostrarse y ocultarse a travs del men "Vista".
Barra de estado:
La barra de estado muestra los estados de manejo y mensajes de estado actuales: Aqu se
incluyen:
Los usuarios actuales y el tipo de usuario
La vista de manejo - Modo normal / modo avanzado
El tipo de operacin - Online / Offline
Barra de herramientas
A continuacin se muestra una vista general de los botones disponibles en la barra de
herramientas y su significado.
Icono Significado / observaciones

Crear un proyecto.
Abrir un proyecto ya existente.
Guardar un proyecto abierto en la ruta y con el nombre de proyecto actuales.
Copiar el objeto seleccionado.
Insertar un objeto del portapapeles.
Borrar el objeto seleccionado.
Crear un mdulo.
El smbolo solo est activo si el usuario est en la carpeta "Todos los mdulos" del rea
de navegacin.
Crear un grupo VPN.
El smbolo solo est activo si el usuario est en la carpeta "Grupos VPN" del rea de
navegacin.
Instalar Security
Icono Significado / observaciones

Crear un nuevo conjunto de reglas IP o MAC de validez global o bien un conjunto de
reglas IP especfico del usuario.
El smbolo solo est activo si el usuario est en una subcarpeta de "Conjuntos de reglas
de cortafuegos globales" en el rea de navegacin o en la carpeta "Conjuntos de reglas
IP especficos de usuario".
Crear una relacin de redundancia.
El smbolo solo est activo si el usuario est en la carpeta "Relaciones de redundancia"
del rea de navegacin.
Cargar una configuracin en los mdulos de seguridad seleccionados o crear datos de

configuracin para SOFTNET Security Client / SCALANCE M / dispositivo VPN / cliente
NCP VPN (Android).
Cambiar al modo offline.
Cambiar al modo online.
Instalar Security
Barra de mens
A continuacin se ofrece un cuadro general de los comandos de men seleccionables y su
significado.
Comando de men Significado / observaciones Combinacin de teclas
Project Funciones para ajustes especficos del proyecto, as

como la carga y el almacenamiento del archivo del
proyecto.
Nuevo... Crear un proyecto.
Para CP: Los proyectos se crean mediante configu-
racin con STEP 7.
Abrir... Abrir un proyecto ya existente.
Para CP: Los proyectos existentes solo pueden
abrirse a travs de proyectos STEP 7.
Guardar Guardar un proyecto abierto en la ruta y con el nom- Ctrl + S
bre de proyecto actuales.
Guardar como... Guardar un proyecto abierto en una ruta y con un
nombre de proyecto seleccionables.
Para CP: El proyecto es parte del proyecto STEP 7.
La ruta no puede cambiarse.
Propiedades... Abrir un cuadro de dilogo para propiedades del
proyecto.
Recent Projects Posibilidad de seleccionar directamente los proyectos
procesados hasta el momento
Para CP: Los proyectos existentes solo pueden
abrirse a travs de STEP 7.
Quit Cerrar proyecto.
Edit Comandos de men solo en el modo offline

Nota
Con el objeto seleccionado, algunas de las funciones
tambin pueden elegirse a travs del men contextu-
al.
Copy Copiar el objeto seleccionado. Ctrl + C
Paste Traer el objeto del portapapeles e insertarlo ("pegar- Ctrl + V
lo").
Eliminar Borrar el objeto seleccionado. Supr
Rename Cambiar de nombre el objeto seleccionado. F2
Nuevo certificado... Crear nuevo certificado de grupo para el mdulo
seleccionado tras elegir el correspondiente grupo
VPN en el rea de contenidos.
Sustituir mdulo... Sustituir el mdulo de seguridad seleccionado.
Propiedades ... Abrir el cuadro de dilogo de propiedades del objeto F4
seleccionado.
Diagnstico online ... Acceder a las funciones de test y diagnstico.
Instalar Security

Insert Comandos de men solo en el modo offline
Mdulo Crear un mdulo de seguridad. Ctrl + M
Este comando de men solo est activo si est se-
leccionado un mdulo de seguridad o un grupo VPN
en el rea de navegacin.
Group Crear un grupo VPN. Ctrl + G
Este comando solo est activo si est seleccionado
un objeto Grupos en el rea de navegacin.
Conjunto de reglas de Crear un nuevo conjunto de reglas IP de cortafuegos Ctrl + F
cortafuegos o MAC de validez global o bien un conjunto de reglas
IP especfico del usuario.
Este comando solo est activo si est seleccionado
un objeto Firewall en el rea de navegacin.
Este comando de men solo est visible en el modo
avanzado.
Relacin de redundancia Crear una relacin de redundancia. Ctrl + R
El comando de men solo est activo si el usuario
est en la carpeta "Relaciones de redundancia" del
rea de navegacin.
Transfer
A mdulo(s)... Cargar una configuracin en los mdulos de seguri-
dad seleccionados o crear datos de configuracin
para SOFTNET Security Client / SCALANCE M /
dispositivos VPN / clientes NCP VPN (Android).
Observacin: Solo se pueden cargar datos de proy-
ecto coherentes.
Para CPs: Los datos del proyecto solo pueden car-
garse a travs de STEP 7.
A todos los mdulos... Cargar una configuracin en todos los mdulos de
seguridad.
Observacin: Solo se pueden cargar datos de proy-
ecto coherentes.
Estado de la configura- Mostrar en una lista el estado de configuracin de los
cin mdulos de seguridad configurados.
Transferir firmware ... Cargar firmware nuevo en el mdulo de seguridad
seleccionado.
Para CPs S7: El firmware se carga en el CP a travs
del centro de actualizacin del diagnstico web.
View
Modo avanzado Cambiar del modo normal (predeterminado) al modo Ctrl + E
avanzado.
Atencin
Una vez que se ha cambiado al modo avanzado para
el proyecto actual, ya no se puede regresar al nor-
mal.
Instalar Security

Mostrar ventana de Mostrar y ocultar los detalles adicionales del objeto Ctrl + Alt + D
detalles seleccionado.
Offline Ajuste predeterminado. Cambiar a la vista de config- Ctrl + Mays + D
uracin offline.
Online Cambiar a la vista de diagnstico online. Ctrl + D
Options
Servicios IP... Abrir cuadro de dilogo para definiciones de los ser-
vicios para las reglas IP Firewall.
avanzado.
Servicios MAC... Abrir cuadro de dilogo para definiciones de los ser-
vicios para las reglas MAC Firewall.
avanzado.
Adaptador de red A travs del adaptador de red seleccionado se
asigna una direccin IP al SCALANCE S.
Idioma... Seleccionar un idioma para la visualizacin de la
interfaz SCT.
Para SCT en STEP 7, el idioma de la interfaz SCT se
define seleccionando el idioma en STEP 7.
Archivos de registros... Visualizacin de archivos de registro guardados.
Symbolic Names... Asignar nombres simblicos para direcciones IP o
MAC.
Configuracin del servidor Crear y editar servidores NTP
NTP...
Configuracin del servidor Crear y editar servidores RADIUS.
RADIUS...
Verificaciones de consis- Comprobacin de la coherencia de todo el proyecto.
tencia... Al finalizar se muestra una lista de resultados.
Administracin de usuari- Crear y editar usuarios y roles, asignar derechos y
os... definir normas para las contraseas.
Administrador de certifica- Mostrar, importar o exportar certificados.
dos...
Help
Temas de ayuda... Ayuda para las funciones y los parmetros que en- F1
contrar en la SCT.
Acerca de... Informacin sobre la versin de SCT.
Instalar Security
Instalar Security
Configurar direcciones IP para SCALANCE S623 3
3.1 Resumen
Resumen
En este ejemplo se configuran en la Security Configuration Tool direcciones IP para un
mdulo SCALANCE S623 que tiene la configuracin de fbrica. A continuacin se carga la
configuracin en el mdulo de seguridad por medio de la interfaz externa.
Realizacin de la red de test
Dispositivos/componentes necesarios:
Utilice los siguientes componentes para el montaje:
1 SCALANCE S623 (adicionalmente, como opcin: un perfil DIN simtrico
correspondientemente instalado, con material de montaje)
1 alimentacin de 24V con conexiones de cables y conectores de bloque de bornes
1 PC en el que est instalada la herramienta de configuracin "Security Configuration
Tool"
los cables de red y cables TP (Twisted Pair) necesarios segn el estndar IE FC RJ45
para Industrial Ethernet.
Requisitos
Para poder llevar a cabo el ejemplo deben cumplirse los requisitos siguientes:
El mdulo de seguridad tiene la configuracin de fbrica. Es posible restablecer este
estado pulsando la tecla Reset del mdulo de seguridad y mantenindola pulsada
durante 5 segundos como mnimo. Encontrar ms informacin sobre la tecla Reset del
mdulo de seguridad en el captulo "4.3 Tecla Reset - Restablecer la configuracin de
fbrica" del manual "SIMATIC NET Industrial Ethernet Security - SCALANCE S V4".
Instalar Security
Configurar direcciones IP para SCALANCE S623
3.2 Poner a punto los SCALANCE S y la red
Los pasos siguientes resumidos:
Proceda del siguiente modo:

1. Saque primero el SCALANCE S623 de su embalaje y compruebe si est en perfecto
estado.
2. Conecte la fuente de alimentacin al SCALANCE S623.
Resultado: tras conectar la tensin de servicio se enciende el LED Fault (F) con luz amarilla.
ADVERTENCIA
Utilizar nicamente baja tensin de seguridad
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad. En
consecuencia, a las conexiones de alimentacin solo se deben conectar bajas tensiones
de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
El alimentador de red utilizado para el SCALANCE S tiene que ser del tipo NEC Class 2
(rango de tensin 18-32 V, consumo de corriente aprox. 250 mA).
1. Establezca la conexin fsica de red conectando la interfaz externa del mdulo de

seguridad con el PC.
2. Encienda el PC.
Instalar Security
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que
no se deben confundir al establecer la conexin con la red de comunicacin:
Interfaz X1 - External Network
Marca roja = rea de red no protegida;
Interfaz X2 - Internal Network
Marca verde = red protegida por SCALANCE S;
Interfaz X3 - puerto DMZ (interfaz de red universal)
Marca amarilla = rea de red no protegida o rea de red protegida mediante
SCALANCE S.
Si se intercambian las interfaces, el dispositivo pierde su funcin de proteccin.
Instalar Security
3.3 Preparar los ajustes IP de los PCs
3.3 Preparar los ajustes IP de los PCs

El PC obtiene los siguientes ajustes de direccin IP.
PC Direccin IP Mscara de subred

PC 192.168.10.2 255.255.255.0
Para ello, proceda del siguiente modo:

1. Abra el panel de control en el PC con el comando de men "Inicio" > "Panel de control".
2. Abra el smbolo "Red y centro de autorizacin" y, en el men de navegacin que se
encuentra a la izquierda, seleccione la opcin "Modificar los ajustes del adaptador".
3. Active en el cuadro de dilogo "Propiedades de la conexin LAN" la casilla de
verificacin "Protocolo de Internet versin 4 (TCP/IPv4)".
4. Haga clic en el botn "Propiedades".
5. Seleccione en el cuadro de dilogo "Propiedades del protocolo de Internet versin 4
(TCP/IPv4)" el botn de opcin "Usar la siguiente direccin IP:" apagado.
Instalar Security
3.4 Crear proyecto y mdulo de seguridad
6. Introduzca en los campos previstos al efecto los valores correspondientes al PC,

tomados de la tabla "Crear configuracin IP del PC".
7. Cierre los cuadros de dilogo con "Aceptar" y cierre el panel de control.
3.4 Crear proyecto y mdulo de seguridad

1. Instale el software de configuracin Security Configuration Tool en el PC.
2. Inicie el software de configuracin.
3. Elija el comando de men "Proyecto" > "Nuevo...".
4. En el siguiente cuadro de dilogo cree un usuario con nombre de usuario y la contrasea
correspondiente. Al usuario se le asignar automticamente el papel de "Administrator".
5. Confirme la entrada con "Aceptar".
Resultado: se ha creado un proyecto nuevo. Se abre el cuadro de dilogo "Seleccin de
un mdulo o configuracin de software".
6. Active las opciones siguientes en las reas "Tipo de producto", "Mdulo" y "Versin del
firmware":
Tipo de producto: SCALANCE S
Mdulo: S623
Versin del firmware: V4
7. En el rea "Configuracin", introduzca la direccin MAC en el formato predefinido. La
direccin MAC est impresa en el lado frontal del mdulo SCALANCE S (consulte la
figura).
Instalar Security
3.5 Cargar la configuracin en un mdulo de seguridad
8. En el rea "Configuracin", introduzca la direccin IP externa (192.168.10.1) y la

mscara de subred externa (255.255.255.0).
9. Seleccione la entrada "Modo de enrutamiento" en la lista desplegable "Enrutamiento por
interfaz interno/externo".
10.Introduzca la direccin IP interna (192.168.9.1) y la mscara de subred interna
(255.255.255.0) y confirme con "Aceptar".
11.Seleccione el mdulo de seguridad creado y elija el comando de men "Editar" >
"Propiedades...", ficha "Interfaces".
12.En el rea "Puerto DMZ (X3)" seleccione la casilla de verificacin "Activar interfaz" e
introduzca la direccin IP (192.168.8.1) y la mscara de subred (255.255.255.0) de la
interfaz DMZ.
13.Confirme con "Aceptar".

1. Elija el comando de men "Proyecto" > "Guardar".
2. Seleccione el mdulo de seguridad en el rea de contenido.
3. Elija el comando de men "Transferir" > "A mdulo(s)...".
4. Inicie el proceso de carga con el botn "Iniciar".
Instalar Security
Si el proceso de carga ha concluido sin errores, el mdulo SCALANCE S arranca de nuevo

automticamente y se activa la nueva configuracin.
Resultado: SCALANCE S en modo productivo

SCALANCE S se encuentra ahora en modo productivo. Este estado es sealizado por el
indicador Fault con luz verde. Ahora es posible cargar configuraciones a travs de todas las
interfaces y, dado el caso, modificar las direcciones IP configuradas.
Instalar Security
Instalar Security
Firewall en modo estndar 4
4.1 Ejemplo con un SCALANCE S
4.1.1 Resumen
En este ejemplo se configura el cortafuegos en la vista de configuracin "Modo normal". El
modo normal contiene reglas predefinidas para el trfico de datos.
Con esta configuracin se consigue que el trfico IP solo pueda ser iniciado por la red
interna; desde la red externa solo se permite la respuesta.
Red interna - conexin a la interfaz interna del mdulo de seguridad

En la estructura de test, en la red interna cada nodo de red se realiza por medio de un
PC que est conectado a la interfaz interna del mdulo de seguridad.
PC2: representa un dispositivo de la red interna
Instalar Security
Firewall en modo estndar
Mdulo de seguridad: mdulo SCALANCE S para proteccin de la red interna

Red externa - conexin a la interfaz externa del mdulo de seguridad
La red externa pblica se conecta a la interfaz externa del mdulo de seguridad.
PC1: PC con el software de configuracin Security Configuration Tool
1 SCALANCE S, (adicionalmente, como opcin: un perfil DIN simtrico
correspondientemente instalado, con material de montaje)
1 alimentacin de 24V con conexiones de cables y conectores de bloque de bornes
1 PC en la red externa en el que est instalada la herramienta de configuracin "Security
Configuration Tool"
1 PC en la red interna, para el test de la configuracin
los cables de red y cables TP (Twisted Pair) necesarios segn el estndar IE FC RJ45
4.1.2 Poner a punto los SCALANCE S y la red

1. Saque primero el SCALANCE S de su embalaje y compruebe si est en perfecto estado.
2. Conecte la alimentacin de tensin al SCALANCE S.
Resultado: tras conectar la tensin de servicio se enciende el LED Fault (F) con luz
amarilla.
Instalar Security
ADVERTENCIA
1. Establezca las conexiones fsicas de red conectando los conectores de los cables de red
con las interfaces previstas a tal efecto:
Conecte PC2 con la interfaz interna del mdulo de seguridad.
Conecte PC1 con la interfaz externa del mdulo de seguridad.
2. Encienda los PCs participantes.
Nota
4.1.3 Preparar los ajustes IP de los PCs

Los PCs tienen los siguientes ajustes de direccin IP para el test:

PC1 191.0.0.1 255.255.0.0
PC2 191.0.0.2 255.255.0.0
Proceda del siguiente modo en el PC1 y el PC2:

1. Abra el panel de control en el respectivo PC con el comando de men "Inicio" > "Panel
de control".
Instalar Security

6. Introduzca ahora en los campos previstos a tal efecto los valores correspondientes al PC,
tomados de la tabla "Crear configuracin IP de los PCs".
4.1.4 Crear proyecto y mdulo de seguridad

1. Instala e inicie el software de configuracin "Security Configuration Tool" en el PC1.
Instalar Security

firmware":
Mdulo: S612
6. En el rea "Configuracin", introduzca la direccin MAC en el formato predefinido.
La direccin MAC est impresa en el lado frontal del mdulo SCALANCE S.
7. En el rea "Configuracin", introduzca la direccin IP externa (191.0.0.200) y la mscara
de subred externa (255.255.0.0) en el formato predefinido y confirme el cuadro de
dilogo con "Aceptar".
4.1.5 Configurar firewall

En el modo normal se pueden manejar fcilmente los ajustes del cortafuegos gracias a
reglas predefinidas. Haciendo clic se pueden activar estas reglas.

2. Elija el comando de men "Editar" > "Propiedades...".
3. En el cuadro de dilogo visualizado, seleccione la ficha "Cortafuegos".
Instalar Security
4. Active los ajustes representados a continuacin:
Resultado: el trfico IP solo puede iniciarse desde la red interna; desde la red externa
solo se permite la respuesta.
5. Seleccione adicionalmente la opcin Log para registrar el trfico de datos.
6. Cierre el cuadro de dilogo con "Aceptar".
7. Guarde el proyecto con el comando de men "Proyecto" > "Guardar".
Instalar Security
4.1.6 Cargar la configuracin en un mdulo de seguridad



indicador Fault con luz verde.
Con esto ha terminado la puesta en servicio de la configuracin y el SCALANCE S protege
ahora la red interna (PC2) por medio del cortafuegos instalado.
4.1.7 Probar la funcin Firewall (Ping-Test)
Cmo se puede probar la funcin configurada?

La prueba de la funcin se puede realizar con un comando ping tal como se describe a
continuacin.
Como alternativa existe la posibilidad de utilizar otros programas de comunicacin para el
test de la configuracin.
Nota
En Windows, el cortafuegos puede estar ajustado por defecto de manera que no puedan
pasar comandos ping. Eventualmente tendr que habilitar los servicios ICMP del tipo
"Request" y "Response".
Instalar Security
Seccin de test 1
Pruebe ahora el funcionamiento de la configuracin del cortafuegos, primero para el trfico
de datos IP iniciante permitido desde la red interna, del siguiente modo:
1. En el PC2, llame en la barra de inicio el comando de men "Inicio" > "Todos los
programas" > "Accesorios" > "Smbolo del sistema".
2. Entrada del comando ping de PC2 a PC1 (direccin IP 191.0.0.1)
Directamente en la lnea de comandos de la ventana "Smbolo del sistema", introduzca el
comando "ping 191.0.0.1" en la posicin del cursor.
Recibir el mensaje siguiente (respuesta positiva de PC1):
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 191.0.0.1 lo
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0% de prdida)
Debido a la configuracin, los telegramas ping han podido pasar de la red interna a la
externa. El PC de la red externa ha respondido a los telegramas ping. Por la funcin
"Stateful-Inspection" del cortafuegos, los telegramas de respuesta que llegan ahora de la
red externa son admitidos automticamente en la red interna.
Instalar Security
Seccin de test 2
Pruebe ahora el funcionamiento de la configuracin del cortafuegos para el trfico de datos
IP iniciante bloqueado desde la red externa, del siguiente modo:
Recibir el aviso siguiente (ninguna respuesta de PC2):
Resultado
Los telegramas IP del PC1 no pueden llegar al PC2, ya que no est permitido el trfico de
datos desde la "red externa" (PC1) a la "red interna" (PC2).
Esto se indica en la "estadstica ping" para 191.0.0.2 del siguiente modo:
Enviados = 4
Recibidos = 0
4.1.8 Registro del trfico de datos del firewall (Logging)

En los mdulos de seguridad est activado por defecto el registro local de eventos del
sistema y de Audit.
Adems, en el transcurso de este ejemplo se ha activado, en la configuracin del
cortafuegos, la opcin Log para el trfico de datos correspondiente.
Puede hacerse mostrar en el modo online los eventos registrados.

1. En el PC1, cambie al modo online en la Security Configuration Tool con el comando de
men "Ver" > "Online".
2. Elija el comando de men "Editar" > "Diagnstico online...".
3. Seleccione la ficha "Registro de filtrado de paquetes".
Instalar Security
4. Accione el botn "Iniciar lectura".

5. Confirme el cuadro de dilogo presentado con "Aceptar".
Resultado: las entradas Log se leen del mdulo de seguridad y se presentan aqu.
Instalar Security
4.2 Ejemplo con un CP x43-1 Advanced
4.2.1 Resumen
Con esta configuracin se consigue que el trfico IP solo pueda ser iniciado por la red
interna y por la estacin; desde la red externa solo se permite la respuesta.
Nota
Tenga en cuenta que, tras cargar la configuracin, la estacin solo ser accesible si en el
cortafuegos est habilitado el protocolo S7 (puerto TCP 102) de "Externa => Estacin".
Debera evitarse la comunicacin no cifrada desde la red externa tras la puesta en servicio.
Si no se utiliza un establecimiento de conexin seguro va VPN desde la red externa, el
diagnstico de STEP 7 y la reconfiguracin solo deberan realizarse desde la red interna.
Por este motivo, en el ejemplo siguiente no se abre el puerto para la comunicacin S7 en el
cortafuegos.
Instalar Security

Mdulo de seguridad: CP x43-1 Adv. para proteger la red interna
PC1: PC con el software de configuracin Security Configuration Tool y STEP 7
Requisitos:
El software de configuracin Security Configuration Tool est instalado en el PC1.
STEP 7 est instalado en el PC1, donde ya se ha creado un proyecto de STEP 7 con el
mdulo de seguridad.
La direccin IP del PC1 debe estar en la misma subred que la direccin Gigabit del
mdulo de seguridad.
El CP x43-1 Adv. tiene los ajustes siguientes en STEP 7:
Direccin IP Gigabit: 140.0.0.1, mscara de subred: 255.255.0.0
Direccin IP PROFINET: 192.0.0.1, mscara de subred: 255.255.255.0
Instalar Security
4.2.2 Preparar los ajustes de IP de los PCs

PC Direccin IP Mscara de subred Pasarela estndar

PC1 140.0.0.2 255.255.0.0 140.0.0.1
PC2 192.0.0.2 255.255.255.0 192.0.0.1
Para ello, proceda del siguiente modo en el PC1 y el PC2:

de control".
verificacin "Protocolo Internet versin 4 (TCP/IPv4)".

Instalar Security
6. Introduzca ahora en los campos previstos al efecto los valores correspondientes al PC,

1. Active la casilla de verificacin "Activar seguridad" en la ficha "Seguridad" de las
propiedades del objeto.
Confirme la entrada con "Aceptar".
Resultado: se ha creado un proyecto nuevo de seguridad.
3. En HW Config, abra la Security Configuration Tool con el comando de men "Edicin" >
"Security Configuration Tool".
Resultado: el mdulo de seguridad se muestra en la lista de los mdulos configurados.


Instalar Security
4. Active la casilla de verificacin "Activar cortafuegos".

Resultado: el trfico IP puede iniciarse tanto desde la red interna como desde la
estacin; desde la red externa solo se permite la respuesta. El acceso va HTTPS al
diagnstico online de PC1 al mdulo de seguridad est permitido.
6. Seleccione adicionalmente la opcin Log para registrar el trfico de datos
correspondiente.

1. Cierre la Security Configuration Tool.
2. En HW Config elija el men "Estacin" > "Guardar y compilar".
3. Cargue la nueva configuracin en el mdulo de seguridad utilizando el men "Sistema de
destino" > "Cargar en mdulo ...".
Si el proceso de carga se ha concluido sin errores, el mdulo de seguridad arranca
Instalar Security
Resultado: mdulo de seguridad en modo productivo

La puesta en servicio de la configuracin ha terminado. El mdulo de seguridad protege la
red interna (PC2). Est permitido el trfico IP saliente de red interna a externa.

continuacin.
Nota
Seccin de test 1
Pruebe ahora el funcionamiento de la configuracin del cortafuegos, primero con el trfico
de datos IP saliente permitido:
Instalar Security
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Debido a la configuracin, los telegramas ping han podido pasar de la red interna a la
externa. El PC de la red externa ha respondido a los telegramas ping. Por la funcin
"Stateful-Inspection" del cortafuegos, los telegramas de respuesta que llegan ahora de la
red externa son admitidos automticamente en la red interna.
Seccin de test 2
Pruebe ahora el funcionamiento de la configuracin del cortafuegos para el trfico de datos
IP iniciante bloqueado desde la red externa, del siguiente modo:
Recibir el aviso siguiente (ninguna respuesta de PC2):
Resultado
datos desde la "red externa" (PC1) ni desde la estacin a la "red interna" (PC2).
Enviados = 4
Recibidos = 0
Instalar Security

sistema, de Audit y de filtrado de paquetes.

3. Seleccione la ficha "Registro de filtro de paquetes".
Instalar Security
4.3 Ejemplo con un CP 1628
4.3.1 Resumen
Con esta configuracin se consigue que el trfico IP solo pueda ser iniciado por el PC2;
desde la red externa solo se permite la respuesta.

PC2 y mdulo de seguridad: PC con CP 1628
Requisitos:
mdulo de seguridad.
El PC2 con CP 1628 tiene los ajustes siguientes en STEP 7:
Direccin IP Industrial Ethernet: 192.168.0.5, mscara de subred: 255.255.255.0
La direccin IP NDIS se establece en la configuracin IP del PC.
Instalar Security


PC1 192.168.0.101 255.255.255.0
PC2 NDIS: 192.168.0.105 255.255.255.0

de control".
Instalar Security

Instalar Security



Instalar Security
Resultado: el trfico IP solo puede iniciarse desde el PC2; desde el PC1 solo se permite
la respuesta. El acceso va HTTPS al diagnstico online de PC1 al mdulo de seguridad
est permitido.
5. Seleccione adicionalmente la opcin Log para registrar el trfico de datos.

destino" > "Cargar en mdulo...".

La puesta en servicio de la configuracin ha terminado. El mdulo de seguridad protege el
PC2. Est permitido el trfico IP saliente de PC2 a red externa (PC1).
Instalar Security

continuacin.
Nota
Seccin de test
Pruebe ahora el funcionamiento de la configuracin del cortafuegos, primero con el trfico
de datos IP saliente permitido:
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Debido a la configuracin, los telegramas ping han podido pasar del PC2 al PC1. El PC1 ha
respondido a los telegramas ping. Por la funcin "Stateful-Inspection" del cortafuegos, los
Instalar Security
telegramas de respuesta que llegan ahora del PC1 son admitidos automticamente en el
PC2.

sistema, de Audit y de filtrado de paquetes.

Instalar Security
Instalar Security
Firewall en modo avanzado 5
5.1 SCALANCE S como firewall y router NAT
5.1.1 Resumen
En este ejemplo se configura el modo de router NAT. La configuracin se realiza en la vista
de configuracin "Modo avanzado".
Con la configuracin se consigue que todos los telegramas enviados desde la subred
interna al dispositivo PC1 de la red externa pasen el cortafuegos. Los telegramas se
transmiten al exterior con una direccin IP transformada a la direccin IP del mdulo de
seguridad as como con un nmero de puerto asignado dinmicamente. Desde la red
externa solo se permite la respuesta a estos telegramas.
Instalar Security
Firewall en modo avanzado

correspondientemente instalado, con material de montaje);
1 alimentacin de 24V con conexiones de cables y conectores de bloque de bornes;
Tool";
1 PC en la red interna, para el test de la configuracin;
los cables de red necesarios, cables TP (Twisted Pair) segn el estndar IE FC RJ45
Instalar Security

amarilla.
ADVERTENCIA
Nota
Instalar Security


PC1 192.168.10.100 255.255.255.0 192.168.10.1
PC2 172.10.10.100 255.255.255.0 172.10.10.1

de control".

Instalar Security


firmware":
mdulo S612
7. En el rea "Configuracin", introduzca la direccin IP externa (192.168.10.1) y la
mscara de subred externa (255.255.255.0) en el formato predefinido y confirme el
cuadro de dilogo con "Aceptar".
Instalar Security
5.1.5 Configurar modo NAT Router
Activar el modo de router

1. Cambie la vista de configuracin al modo avanzado con el comando de men "Ver" >
"Modo avanzado".
Resultado: se abre la ficha "Interfaces".
interfaz externa/interna".
5. Complemente en el campo de entrada "Interna (X2)" los datos de direccin para la
interfaz interna del SCALANCE S del siguiente modo:
Direccin IP: 172.10.10.1
Mscara de subred: 255.255.255.0
6. Confirme con "Aplicar".
Activar el modo de router NAT para dispositivos internos

1. Elija la ficha "NAT/NAPT".
2. Active la casilla de verificacin "Activar NAT".
3. Haga clic en el botn "Agregar" del rea de entrada "NAT".
Instalar Security
4. Configure una regla NAT con los parmetros siguientes:

Accin: "NAT de origen"
De: "Interna"
A: "Externa"
Direccin IP de origen: "*"
Conversin de origen: "192.168.10.1"
Resultado: desde SCT se ha generado automticamente una regla de cortafuegos que

permite la comunicacin en el sentido de conversin de direcciones configurado. En el paso
siguiente se especifica esta regla de cortafuegos limitando las direcciones IP de destino
permitidas para telegramas a la direccin IP de PC1.
5.1.6 Configurar el cortafuegos

1. Elija la ficha "Cortafuegos".
2. Complemente la regla de cortafuegos creada por SCT con la informacin siguiente:
Direccin IP de destino: 192.168.10.100
3. En la lnea de la regla de cortafuegos active la casilla de verificacin "Registro". De este
modo se registran los telegramas para los que se aplican las reglas de cortafuegos.
Instalar Security

Instalar Security


5.1.8 Probar la funcin de router NAT y registrar el trfico de datos

continuacin. Para poder reconocer las repercusiones del modo de router NAT, utilice la
posibilidad del registro de filtrado de paquetes.
Observacin sobre el comando ping: como alternativa existe la posibilidad de utilizar otros
programas de comunicacin para el test de la configuracin.
Nota
Seccin de test 1 - Enviar comando ping

Pruebe ahora el funcionamiento del modo de router NAT con el trfico de datos IP de red
interna a red externa del siguiente modo:
A continuacin recibir el mensaje siguiente (respuesta positiva de PC1):
Instalar Security
Resultado
Cuando los telegramas IP llegan al PC1, la "estadstica ping" muestra para 192.168.10.100
lo siguiente:
Enviados = 4
Recibidos = 4
Seccin de test 2 - Evaluar el resultado

1. Cambie al modo online en la Security Configuration Tool con el comando de men "Ver"
> "Online".
2. Seleccione el mdulo que debe editarse y elija el comando de men "Editar" >
"Diagnstico online..." para abrir el cuadro de dilogo online.
Instalar Security
Resultado
En las lneas de salida del registro ver lo siguiente:
Lnea de salida 1
Las direcciones IP de los telegramas de PC2 a PC1 se muestran en la interfaz con la red
externa con la direccin IP externa del mdulo de seguridad (192.168.10.1). Esto
equivale a la conversin de direcciones prevista (aqu no se ve la asignacin adicional de
puerto).
Lnea de salida 2
Los telegramas de respuesta se muestran con la direccin de destino del dispositivo de
la subred interna (PC2: 172.10.10.100).
Equivalen a las siguientes lneas de salida
Instalar Security
5.2 SCALANCE S como cortafuegos entre red externa y DMZ
5.2.1 Resumen
Resumen
En este ejemplo se crea una regla del cortafuegos en la Security Configuration Tool que
permite acceder a un servidor web de la red DMZ desde un PC de la red externa. El acceso
a la red interna se mantiene bloqueado.
Dispositivos/componentes necesarios
Se requieren los siguientes componentes para el montaje:
Tool";
1 servidor web para el test de la configuracin;
Instalar Security
1 PC para el test de la configuracin;

Requisitos:
Se han definido una direccin IP, una mscara de subred y una pasarela estndar para
el servidor web. Los datos de direccin IP utilizados en este ejemplo se encuentran en el
apartado "Preparar los ajustes IP de los dispositivos de red".

estado.
Instalar Security
ADVERTENCIA
Conecte el servidor web con la interfaz DMZ del mdulo de seguridad.
2. Encienda los PCs.
Nota
SCALANCE S.
Instalar Security
5.2.3 Preparar los ajustes IP de los dispositivos de red

Los dispositivos de red tienen los siguientes ajustes de direccin IP para el test:
Dispositivo de red Direccin IP Mscara de subred Pasarela estndar (SCALANCE

S623)
PC1 192.168.2.100 255.255.255.0 192.168.2.1
Servidor web 192.168.3.100 255.255.255.0 192.168.3.1
PC2 192.168.1.100 255.255.255.0 192.168.1.1
Definir las direcciones IP de los PCs

1. Abra el panel de control en el PC1 con el comando de men "Inicio" > "Panel de control".
Instalar Security

tomados de la tabla "Crear configuracin IP de los dispositivos de red".
8. Repita los pasos 1 a 7 para el PC2 de forma anloga.

firmware":
Mdulo: S623
figura).

de subred externa (255.255.255.0) en el formato predefinido.
Instalar Security
7. Seleccione el modo de operacin "Modo de enrutamiento" en la lista desplegable

"Enrutamiento por interfaz externo/interno".
8. Introduzca la direccin IP interna (192.168.2.1) y la mscara de subred interna
(255.255.255.0) en el formato predefinido y confirme el cuadro de dilogo con "Aceptar".
10.Elija el comando de men "Editar" > "Propiedades...".
11.En el rea "Puerto DMZ (X3)" de la ficha "Interfaces" seleccione la casilla de verificacin
"Activar interfaz" e introduzca la direccin IP (192.168.3.1) y la mscara de subred
(255.255.255.0) de la interfaz DMZ.
12.Confirme el cuadro de dilogo con "Aceptar".

A continuacin se define una regla de cortafuegos que permita el acceso al servidor web de
la red DMZ desde el PC2 de la red externa.
Procedimiento para configurar el cortafuegos:

"Modo avanzado".
3. Elija el comando de men "Editar" > "Propiedades...", ficha "Cortafuegos".
Instalar Security
4. Haga clic en el botn "Agregar regla" e introduzca una regla tal como se muestra a
continuacin.
5. Haga clic en el botn "Aplicar" y, a continuacin, en el botn "Servicios IP...".

6. En el cuadro de dilogo "Definiciones de los servicios IP" haga clic en el botn "Agregar
servicio IP" e introduzca un servicio IP tal como se indica a continuacin. El nombre del
servicio IP no afecta su funcin.
7. Cierre el cuadro de dilogo "Definiciones de los servicios IP" con "Aceptar".

8. Para la regla del cortafuegos, seleccione el servicio IP que acaba de definir en la lista
desplegable de la columna "Servicio".
Instalar Security



5.2.7 Probar la funcin del cortafuegos mediante acceso de servidor web

1. Inicie un navegador web en el PC2.
2. Pruebe la accesibilidad del servidor web introduciendo la direccin IP del servidor web
(192.168.3.100) en la barra de direcciones del navegador web. En el presente ejemplo
se abre un documento HTML que se encuentra en el servidor web.
Instalar Security
Resultado
Gracias a la regla de cortafuegos configurada ha sido posible acceder correctamente al
servidor web de la red DMZ desde el PC2 de la red externa.
5.2.8 Probar la funcin de cortafuegos mediante prueba Ping

continuacin.
Nota
Cortafuegos de Windows
Seccin de test
Pruebe ahora el funcionamiento de la configuracin del cortafuegos con el trfico de datos
bloqueado desde la red externa hasta la red interna:
1. Llame el smbolo del sistema en el PC2 mediante el comando de men "Inicio" > "Todos
los programas" > "Accesorios" > "Smbolo del sistema".
Seguidamente, recibir el mensaje siguiente (ninguna respuesta de PC1):
Instalar Security
Resultado
datos desde la red externa hasta la red interna.
Enviado = 4
Recibido = 0
Perdido = 4 (100% prdida)
Instalar Security
5.3 SCALANCE S como cortafuegos personalizado entre red externa y red interna
5.3 SCALANCE S como cortafuegos personalizado entre red externa y

red interna
5.3.1 Sinopsis
Resumen
En este ejemplo se crea un conjunto de reglas IP personalizadas y se asigna a un usuario.
La configuracin se realiza en la vista de configuracin "Modo avanzado".
El usuario creado est autorizado a acceder al PC2 de la red interna desde el PC1 de la red
externa. Para todos los dems usuarios el acceso est bloqueado.

Instalar Security

Tool";
Instalar Security

amarilla.
ADVERTENCIA
Nota
Instalar Security


PC1 192.168.1.100 255.255.255.0 192.168.1.1
PC2 192.168.2.100 255.255.255.0 192.168.2.1

de control".

Instalar Security

firmware":
Mdulo: S612
Instalar Security
5.3.5 Crear un usuario Remote Access
Crear un usuario Remote Access

1. Elija el comando de men "Opciones" > "Administracin de usuarios...".
2. Haga clic en el botn "Agregar..." de la ficha "Usuario".
3. Cree un usuario nuevo con los ajustes siguientes:

5. Cierre la administracin de usuarios con "Aceptar".
5.3.6 Ajustar y asignar un conjunto de reglas IP personalizadas
Cmo se accede a esa funcin

"Modo avanzado".
2. En el rea de navegacin, seleccione el objeto "Conjuntos de reglas IP personalizadas".
3. Elija la entrada "Insertar conjunto de reglas..." del men contextual.
Instalar Security
4. En el cuadro de dilogo presentado, introduzca una regla del siguiente modo:
5. En la lista "Usuarios disponibles y roles" seleccione la entrada "Remote (usuario)" y haga

clic en el botn "Asignar".
Instalar Security
Procedimiento para asignar un conjunto de reglas

1. Seleccione el mdulo de seguridad en el rea de navegacin y, manteniendo pulsado el
botn izquierdo del ratn, arrstrelo al nuevo conjunto de reglas IP personalizadas.
2. Puede controlar la asignacin abriendo el cuadro de dilogo para ajustar las propiedades
del mdulo y seleccionando la ficha "Cortafuegos". El conjunto de reglas IP
personalizadas se ha almacenado en la ficha secundaria "Reglas IP".
3. Pulsando el botn "Desplegar conjuntos de reglas" puede visualizar el conjunto de reglas

en detalle.
Resultado: la configuracin offline ha terminado.

Instalar Security


5.3.8 Iniciar sesin en pgina web
Iniciar sesin mediante pgina web

1. En el navegador web del PC1 introduzca la direccin "https://192.168.1.1".
2. En la ventana siguiente, introduzca el nombre de usuario "Remote" y la contrasea
correspondiente y haga clic en el botn "Iniciar sesin".
Instalar Security
3. El conjunto de reglas IP definido para el usuario "Remote" est activado. El acceso del
PC1 en la red externa al PC2 en la red interna est permitido.

continuacin.
Nota
Seccin de test
Pruebe ahora el funcionamiento de la configuracin del cortafuegos del siguiente modo:
Instalar Security
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Debido a la configuracin, los telegramas ping han podido pasar de la red externa a la
interna. El PC de la red interna ha respondido a los telegramas ping. Por la funcin "Stateful-
Inspection" del cortafuegos, los telegramas de respuesta que llegan ahora de la red interna
son admitidos automticamente en la red externa.
Instalar Security
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz DMZ y red interna
5.4 SCALANCE S como cortafuegos personalizado entre red en interfaz

DMZ y red interna
5.4.1 Resumen
Resumen
En este ejemplo se crea un conjunto de reglas IP personalizadas y se asigna a un usuario.
La configuracin se realiza en la vista de configuracin "Modo avanzado".
El usuario creado est autorizado a acceder al PC1 de la red interna desde el PC3 de la red
en la interfaz DMZ. Para todos los dems usuarios el acceso est bloqueado.
Instalar Security

En la red interna hay un PC que est conectado a la interfaz interna del mdulo de
seguridad.
Red en la interfaz DMZ - conexin a la interfaz DMZ del mdulo de seguridad
En la red de la interfaz DMZ hay un PC que se conecta a la interfaz DMZ del mdulo de
seguridad. En el PC est instalado el software de configuracin "Security Configuration
Tool".
El PC conectado a la interfaz externa representa un dispositivo de la red externa.
Dispositivos/componentes necesarios
1 PC en la red de la interfaz DMZ en el que est instalado el software de configuracin
"Security Configuration Tool";
2 PCs en la red interna y externa para el test de la configuracin;
Requisitos:
Se han configurado direcciones IP en la Security Configuration Tool para las interfaces
del mdulo SCALANCE S623 y la configuracin se ha cargado en el mdulo de
seguridad por medio de la interfaz externa o interna. En el captulo siguiente se explica
cmo crear una configuracin de este tipo y cargarla en el mdulo de seguridad por
medio de la interfaz externa:
Configurar direcciones IP para SCALANCE S623 (Pgina 19)
Instalar Security
Los pasos siguientes resumidos
5.4.2 Instalar SCALANCE S y red

estado.
amarilla.
ADVERTENCIA
El dispositivo SCALANCE S est previsto para funcionar con baja tensin de seguridad.
En consecuencia, a las conexiones de alimentacin solo se deben conectar bajas
tensiones de seguridad (SELV) segn IEC950/EN60950/ VDE0805.
Instalar Security
Conecte PC3 con la interfaz DMZ del mdulo de seguridad.
4. Encienda los PCs.
Nota
SCALANCE S.

Los dispositivos de red tienen los siguientes ajustes de direccin IP para el test:
Dispositivo de red Direccin IP Mscara de subred Pasarela estndar (SCALANCE

S623)
PC1 192.168.2.100 255.255.255.0 192.168.2.1
PC2 192.168.3.100 255.255.255.0 192.168.3.1
PC3 192.168.1.100 255.255.255.0 192.168.1.1
Definir las direcciones IP de los PCs

1. Abra el panel de control en el PC1 con el comando de men "Inicio" > "Panel de control".
Instalar Security

tomados de la tabla "Crear configuracin IP de los dispositivos de red".
8. Repita los pasos 1 a 7 para el PC2 y PC3 de forma anloga.

Instalar Security

firmware":
Mdulo: S623
figura).

10.Elija el comando de men "Editar" > "Propiedades...".
Instalar Security
11.En el rea "Puerto DMZ (X3)" de la ficha "Interfaces" seleccione la casilla de verificacin
"Activar interfaz" e introduzca la direccin IP (192.168.1.1) y la mscara de subred
(255.255.255.0) de la interfaz DMZ.
12.Confirme el cuadro de dilogo con "Aceptar".


Instalar Security
5.4.6 Ajustar y asignar un conjunto de reglas IP personalizadas
Ajustar un conjunto de reglas IP personalizadas

"Modo avanzado".
4. En el cuadro de dilogo que se abre, haga clic en el botn "Agregar regla" para insertar
una regla nueva.
5. Introduzca una regla tal como se muestra a continuacin:
Observacin: en este ejemplo se describe un acceso completo al dispositivo de red con

la direccin IP "192.168.2.100" en la red interna sin filtrado a nivel de puerto. Encontrar
Instalar Security
un ejemplo para crear reglas de cortafuegos especficas en el captulo siguiente:

Configurar el cortafuegos (Pgina 69)
Para ms informacin, consulte el manual de configuracin "SIMATIC NET Industrial
Ethernet Security - Principios bsicos y aplicacin de seguridad".
7. Confirme el cuadro de dilogo con "Aceptar".
Asignar un conjunto de reglas IP personalizadas

1. Seleccione el mdulo de seguridad en el rea de navegacin y, manteniendo pulsado el
botn izquierdo del ratn, arrstrelo al nuevo conjunto de reglas IP personalizadas.
personalizadas se ha almacenado en la ficha secundaria "Reglas IP".

IP en detalle.
Instalar Security



Instalar Security

1. En el navegador web del PC3 introduzca la direccin "https://192.168.1.1".
3. El conjunto de reglas IP definido para el usuario "Remote" est activado. El acceso al

PC1 de la red interna est autorizado desde el PC3 de la red en la interfaz DMZ.
5.4.9 Probar la funcin del cortafuegos (prueba Ping)

continuacin.
Nota
Instalar Security
Seccin de test 1
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Debido a la configuracin, los telegramas ping han podido pasar de la red en la interfaz
DMZ a la red interna. El PC1 de la red interna ha respondido a los telegramas ping. Por la
funcin "Stateful-Inspection" del cortafuegos, los telegramas de respuesta que llegan ahora
de la red interna son admitidos automticamente en la red de la interfaz DMZ.
Instalar Security
Seccin de test 2
bloqueado desde la red en la interfaz DMZ hasta la red externa:
1. Llame de nuevo el smbolo del sistema en el PC3 mediante el comando de men "Inicio"
> "Todos los programas" > "Accesorios" > "Smbolo del sistema".
Resultado
datos desde la red en la interfaz DMZ hasta la red externa.
Enviados = 4
Recibidos = 0
Instalar Security
5.5 CP x43-1 Advanced como firewall y router NAT
5.5.1 Resumen
En este ejemplo se configura el modo de router NAT. La configuracin se realiza en la vista
de configuracin "Modo avanzado".
Con la configuracin se consigue que todos los telegramas enviados desde la subred
interna al dispositivo PC1 de la red externa pasen el cortafuegos. Los telegramas se
transmiten al exterior con una direccin IP transformada a la direccin IP del mdulo de
seguridad as como con un nmero de puerto asignado dinmicamente. Desde la red
externa solo se permite la respuesta a estos telegramas.
Nota
cortafuegos.
Instalar Security

Requisitos:
mdulo de seguridad.
La direccin IP del PC1 debe estar en la misma subred que la direccin Gigabit del
mdulo de seguridad.
Instalar Security


PC1 140.0.0.2 255.255.0.0 140.0.0.1
PC2 192.0.0.2 255.255.255.0 192.0.0.1

de control".

Instalar Security


5.5.4 Configurar modo NAT Router
Activar el modo de router NAT

"Modo avanzado".
Resultado: se abre la ficha "Interfaces".
Instalar Security
4. Elija la ficha "NAT/NAPT".

5. Active la casilla de verificacin "Activar NAT".
6. Haga clic en el botn "Agregar" del rea de entrada "NAT".
7. Configure una regla NAT con los parmetros siguientes:
Accin: "NAT de origen"
De: "Interna"
A: "Externa"
Direccin IP de origen: "*"
Conversin de origen: "140.0.0.1"
Resultado: desde SCT se ha generado automticamente una regla de cortafuegos que

permite la comunicacin en el sentido de conversin de direcciones configurado. En el paso
siguiente se especifica esta regla de cortafuegos limitando las direcciones IP de destino
permitidas para telegramas a la direccin IP de PC1.
Instalar Security

1. Elija la ficha "Cortafuegos".
3. Complemente la regla de cortafuegos creada por SCT con la informacin siguiente:
Direccin IP de destino: 140.0.0.2
4. En la lnea de la regla de cortafuegos active la casilla de verificacin "Registro". De este
modo se registran los telegramas para los que se aplican las reglas de cortafuegos.
Instalar Security

destino" > "Cargar en mdulo ...".

La puesta en servicio de la configuracin ha terminado. El mdulo de seguridad protege la
red interna (PC2). Est permitido el trfico IP saliente de red interna a PC1.
5.5.7 Probar la funcin de router NAT y registrar el trfico de datos

continuacin. Para poder reconocer las repercusiones del modo de router NAT, utilice la
posibilidad del registro de filtrado de paquetes.
Observacin sobre el comando ping: como alternativa existe la posibilidad de utilizar otros
programas de comunicacin para el test de la configuracin.
Nota
Instalar Security
Seccin de test 1 - Enviar comando ping

Pruebe ahora el funcionamiento del modo de router NAT con el trfico de datos IP de red
interna a red externa del siguiente modo:
Resultado
siguiente:
Enviados = 4
Recibidos = 4

> "Online".
2. Seleccione el mdulo de seguridad que debe editarse y elija el comando de men
"Editar" > "Diagnstico online..." para abrir el cuadro de dilogo online.
Instalar Security

Resultado
En las lneas de salida del registro ver lo siguiente:
Lnea de salida 1
Las direcciones IP de los telegramas de PC2 a PC1 se muestran en la interfaz hacia la
red externa con la direccin IP externa del mdulo de seguridad (140.0.0.1). Esto
equivale a la conversin de direcciones prevista (aqu no se ve la asignacin adicional de
puerto).
Lnea de salida 2
Los telegramas de respuesta se muestran con la direccin de destino del dispositivo de
la subred interna (PC2: 192.0.0.2).
Equivalen a las siguientes lneas de salida
Instalar Security
5.6 Ejemplo con un CP 1628 y CP x43-1 Adv.
5.6.1 Resumen
En este ejemplo, la configuracin se realiza en la vista de configuracin "Modo avanzado".
Con la configuracin se consigue que todos los telegramas enviados desde el dispositivo
PC2 al mdulo de seguridad 1 pasen el cortafuegos y viceversa. Asimismo, desde el PC1 se
permite el acceso al PC2 y al mdulo de seguridad 1.
Mdulo de seguridad 1: CP x43-1 Advanced

PC2 con mdulo de seguridad 2: PC con CP 1628
Requisitos:
STEP 7 est instalado en el PC1, donde ya se ha creado un proyecto de STEP 7.
En el proyecto de STEP 7 se ha creado una conexin S7 TCP/IP especificada entre el
CP 1628 (PC2) y el CP x43-1 Adv. El CP 1628 es el dispositivo activo.
Instalar Security
El CP 1628 tiene los ajustes siguientes en STEP 7:



PC1 192.168.0.110 255.255.255.0
PC2 NDIS: 192.168.0.105 255.255.255.0

de control".
Instalar Security

5.6.3 Crear proyecto y mdulos de seguridad

propiedades de objeto del CP 1628.
Instalar Security
3. Pase a las propiedades de objeto del CP x43-1 Adv. y active tambin la casilla de
verificacin "Activar seguridad" en la ficha "Seguridad".
Resultado: los mdulos de seguridad se muestran en la lista de los mdulos configurados.
Definir una regla de cortafuegos para el CP 1628

"Modo avanzado".
2. Seleccione el mdulo de seguridad del tipo "CP1628" en el rea de contenido.
Instalar Security
6. Haga clic en el botn "Agregar regla" e introduzca la regla de cortafuegos en la tercera

lnea tal como se muestra a continuacin. Las dos primeras reglas se crean
automticamente para la conexin configurada.
Definir una regla de cortafuegos para el CP x43-1 Advanced

1. Seleccione el mdulo de seguridad del tipo "CP443-1 Adv. (GX30)" o "CP343-1 Adv.
(GX31) en el rea de contenido.
Instalar Security

5. Haga clic en el botn "Agregar regla" e introduzca las reglas de cortafuegos en la tercera
y cuarta lnea tal como se muestra a continuacin. Las dos primeras reglas se crean
automticamente para la conexin configurada.

Observacin: en este ejemplo se describen accesos completos de dispositivos de red o a
dispositivos de red sin filtrado a nivel de puerto. Encontrar un ejemplo para crear reglas de
cortafuegos especficas en el captulo siguiente:
Configurar el cortafuegos (Pgina 69)
Para ms informacin, consulte el manual de configuracin "SIMATIC NET Industrial
Ethernet Security - Principios bsicos y aplicacin de seguridad".
5.6.5 Cargar la configuracin en mdulos de seguridad

Instalar Security
3. En HW Config elija el men "Estacin" > "Guardar y compilar" para el primer CP.
5. Realice los pasos 3-4 para el segundo CP.
Si el proceso de carga se ha concluido sin errores, los mdulos de seguridad arrancan
Resultado: mdulos de seguridad en modo productivo

La puesta en servicio de la configuracin ha terminado. El mdulo de seguridad 2 protege el
PC2. Est permitido el trfico IP saliente del CP 1628 (mdulo de seguridad 2) al CP x43-1
Adv. (mdulo de seguridad 1).
5.6.6 Probar el funcionamiento del cortafuegos y registrar el trfico de datos

continuacin.
Nota
Instalar Security
Seccin de test 1
IP saliente permitido:
2. Entrada del comando ping del PC2 al CP x43-1 Adv. (direccin IP 192.168.0.11)
Recibir el mensaje siguiente (respuesta positiva del CP x43-1 Adv.):
Resultado
Cuando los telegramas IP llegan al CP x43-1 Adv., la "estadstica ping" muestra para
192.168.0.11 lo siguiente:
Enviados = 4
Recibidos = 4
Debido a la configuracin, los telegramas ping han podido pasar del PC2 al CP x43-1 Adv.
El CP x43-1 Adv. ha respondido a los telegramas ping. Por la funcin "Stateful-Inspection"
del cortafuegos, los telegramas de respuesta que llegan ahora del CP x43-1 Adv. son
admitidos automticamente en el PC2.

> "Online".
2. Seleccione el mdulo del tipo "CP1628" y elija el comando de men "Editar" >
"Diagnstico online..." para abrir el cuadro de dilogo online.
Instalar Security
Resultado
En las lneas de salida del registro se muestra los telegramas que han pasado el
cortafuegos debido a las reglas de cortafuegos configuradas:
Instalar Security
Instalar Security
Configurar tnel VPN 6
6.1 Tnel VPN entre SCALANCE S y SCALANCE S
6.1.1 Resumen
En este ejemplo se configura la funcin de tnel en la vista de configuracin "Modo normal".
Los mdulos de seguridad 1 y 2 constituyen en este ejemplo los dos puntos finales del tnel
para la conexin de tnel protegida.
Con esta configuracin se consigue que el trfico IP y el trfico de la Layer 2 (solo en el
modo bridge) solo sea posible a travs de las conexiones de tnel establecidas emtre
interlocutores autorizados.
Instalar Security
Configurar tnel VPN

PC1: representa un dispositivo de la red interna 1
Mdulo de seguridad 1: mdulo SCALANCE S (excepto S602) para proteccin de la red
interna 1
interna 2
2 SCALANCE (excepto S602), (opcional: uno o dos rieles de perfil de sombrero
correspondientemente instalados, con material de montaje);
1 o 2 fuentes de alimentacin de 24V con conexiones de cables y conectores de bloque
de bornes (ambos mdulos pueden funcionar tambin con una fuente de alimentacin
comn);
Tool";
2 PCs en las redes internas, para el test de la configuracin;
1 hub o switch de red para el establecimiento de conexiones de red con los dos mdulos
de seguridad as como los PCs/las PGs;
Instalar Security
Configurar tnel VPN

1. Saque primero los dispositivos SCALANCE S de su embalaje y compruebe si estn en
perfecto estado.
2. Conecte la alimentacin de tensin a los dispositivos SCALANCE S.
ADVERTENCIA
Conecte el PC1 a la interfaz interna del mdulo de seguridad 1 y el PC2 a la interfaz
interna del mdulo de seguridad 2.
Conecte la interfaz externa del mdulo de seguridad 1 y la interfaz externa del mdulo
de seguridad 2 al hub/switch.
Conecte tambin el PC3 al hub/switch.
Nota
Instalar Security
Configurar tnel VPN


PC1 191.0.0.1 255.255.0.0
PC2 191.0.0.2 255.255.0.0
PC3 191.0.0.3 255.255.0.0
Proceda del siguiente modo para PC1, PC2 y PC3:

de control".
Instalar Security
Configurar tnel VPN


firmware":
Mdulo: S612
de subred externa (255.255.0.0) en el formato predefinido y confirme con "Aceptar".
7. Elija el comando de men "Insertar" > "Mdulo".
Resultado: se abre el cuadro de dilogo "Seleccin de un mdulo o configuracin de
software".
8. Repita los pasos 4-6 de forma anloga para el mdulo de seguridad 2. Asigne los
parmetros de direccin siguientes al mdulo de seguridad:
Direccin IP (ext.): 191.0.0.202
Mscara de subred (ext.): 255.255.0.0
Instalar Security
Configurar tnel VPN
6.1.5 Configurar un grupo VPN

Dos mdulos de seguridad pueden crear un tnel IPsec para la comunicacin segura si
estn asignados a un mismo grupo VPN en el proyecto.

1. Seleccione "Grupos VPN" en el rea de navegacin y elija el comando de men
"Insertar" > "Grupo".
Resultado: se crea un grupo VPN. El grupo VPN recibe automticamente el nombre
"Grupo1".
2. Elija la entrada "Todos los mdulos" en el rea de navegacin.

3. Seleccione el primer mdulo de seguridad en el rea de contenido y arrstrelo al grupo
VPN "Grupo1" en el rea de navegacin.
El mdulo de seguridad est asignado ahora a dicho grupo VPN.
El color del smbolo de la llave cambia de gris a azul.
Instalar Security
Configurar tnel VPN
4. Seleccione el segundo mdulo de seguridad en el rea de contenido y arrstrelo al grupo

El mdulo de seguridad tambin est asignado ahora a dicho grupo VPN.
La configuracin de la conexin de tnel ha terminado.

1. Llame el siguiente cuadro de dilogo con el comando de men "Transferir" > "A todos los
mdulos ..." en la Security Configuration Tool del PC3:
2. Seleccione ambos mdulos de seguridad por medio del botn "Seleccionar todos".
Si el proceso de carga ha concluido sin errores, los mdulos de seguridad arrancan de
nuevo automticamente y se activa la nueva configuracin.
Resultado: Mdulos SCALANCE S en modo productivo

Los mdulos SCALANCE S se encuentran ahora en modo productivo. Este estado es
sealizado por el diodo indicador Fault con luz verde.
Con esto ha concluido la puesta en servicio de la configuracin y los dos mdulos
SCALANCE S pueden crear un tnel de comunicacin a travs del que se pueden
comunicar de forma segura los nodos de las dos redes internas.
Instalar Security
Configurar tnel VPN
6.1.7 Probar la funcin Tnel (Ping-Test)

continuacin. Como alternativa existe la posibilidad de utilizar otros programas de
comunicacin para el test de la configuracin.
Nota
Seccin de test 1
Compruebe ahora el funcionamiento de la conexin de tnel establecida entre PC1 y PC2
del siguiente modo:
Seguidamente, recibir el mensaje siguiente (respuesta positiva de PC2):
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Dado que no estaba permitida ninguna otra comunicacin, estos telegramas solo se pueden
haber transportado por el tnel VPN.
Instalar Security
Configurar tnel VPN
Seccin de test 2
Repita el test emitiendo un comando ping desde el PC3.
2. Emita el mismo comando ping ("ping 191.0.0.2") en la ventana del smbolo del sistema
del PC3.
Resultado
Los telegramas IP del PC3 no pueden llegar al PC2, ya que no hay configurada ninguna
comunicacin de tnel entre estos dispositivos ni tampoco se permite el trfico de datos IP
normal.
Enviados = 4
Recibidos = 0
Instalar Security
Configurar tnel VPN
6.2 Tnel VPN entre SCALANCE S623 y SCALANCE S612
6.2.1 Resumen
En este ejemplo, los mdulos de seguridad SCALANCE S623 y SCALANCE S612
constituyen los dos puntos finales de un tnel VPN que permite establecer una conexin
segura va Internet. El tnel VPN se crea entre la interfaz de telemantenimiento (interfaz
DMZ) del mdulo SCALANCE S623 y la interfaz externa del mdulo SCALANCE S612. En
este caso, la interfaz de telemantenimiento del mdulo SCALANCE S623 obtiene su
direccin IP va PPPoE. En esta configuracin, el mdulo SCALANCE S623 es el iniciador
VPN, mientras que el mdulo SCALANCE S612 representa el respondedor VPN.
Con esta configuracin se consigue que el trfico IP entre dos interlocutores autorizados
solo sea posible a travs de la conexin de tnel VPN establecida.
Instalar Security
Configurar tnel VPN

En cada una de las dos redes internas hay un PC que est conectado a la interfaz
interna del mdulo de seguridad correspondiente.
Mdulo de seguridad 1: mdulo SCALANCE S623 para proteccin de la red interna 1
Mdulo de seguridad 2: mdulo SCALANCE S612 para proteccin de la red interna 2
Red DMZ o red externa
El acceso a Internet se lleva a cabo mediante un mdem DSL o un router DSL conectado
a la interfaz DMZ del mdulo de seguridad 1 y a la interfaz externa del mdulo de
seguridad 2, respectivamente. El tnel VPN garantiza una comunicacin segura entre el
PC1 y el PC2 a travs de Internet.
1 o 2 fuentes de alimentacin de 24V con conexiones de cables y conectores de bloque
de bornes (ambos mdulos pueden funcionar tambin con una fuente de alimentacin
comn);
2 PCs en los que est instalada la herramienta de configuracin "Security Configuration
Tool";
1 mdem DSL (conexin a Internet para PC1)
1 router DSL (conexin a Internet para PC2)
Observacin: la conexin DSL que utiliza el router DSL debe disponer de una direccin
IP esttica.
Requisitos:
Para el router DSL, la opcin Port Forwarding debe estar configurada de modo que los
telegramas entrantes en los nmeros de puerto UDP 500 o UDP 4500 se reenven a la
direccin IP configurada para la interfaz externa del mdulo de seguridad 2.
Instalar Security
Configurar tnel VPN

1. Saque primero los dispositivos SCALANCE S de su embalaje y compruebe si estn en
perfecto estado.
2. Conecte la alimentacin de tensin a los dispositivos SCALANCE S.
amarilla.
ADVERTENCIA
Instalar Security
Configurar tnel VPN
Conecte la interfaz DMZ del mdulo de seguridad 1 al mdem DSL.
Conecte la interfaz externa del mdulo de seguridad 2 al router DSL.
Nota
SCALANCE S.

Los PCs y el router DSL tienen los siguientes ajustes de direccin IP para el test. Las
pasarelas estndar tienen que corresponderse con las direcciones IP configuradas para las
interfaces a las que estn conectados los respectivos PCs.

PC1 192.168.1.100 255.255.255.0 192.168.1.1
PC2 192.168.5.100 255.255.255.0 192.168.5.1
Router DSL 192.168.8.100 255.255.255.0 -

de control".
Instalar Security
Configurar tnel VPN

6. Introduzca en los campos previstos a tal efecto los valores correspondientes al PC,
tomados de la tabla "Preparar los ajustes IP de los dispositivos de red".

1. Instale el software de configuracin "Security Configuration Tool" en el PC1 y PC2.
2. Inicie el software de configuracin en el PC1.
Instalar Security
Configurar tnel VPN

firmware":
Mdulo: S623
La direccin MAC est impresa en el lado frontal del mdulo SCALANCE S (consulte la
figura).

Observacin: la direccin IP de la interfaz externa no se utiliza en este ejemplo. Solo se
indica con el fin de obtener una configuracin completa del mdulo de seguridad.
9. Seleccione el modo de enrutamiento en la lista desplegable "Enrutamiento por interfaz
externo/interno".
11.Seleccione el mdulo de seguridad en el rea de contenido y elija el comando de men
"Editar" > "Propiedades...".
12.En el rea "Puerto DMZ (X3)" active la casilla de verificacin "Activar interfaz" y elija la
entrada "PPPoE" en la lista desplegable "Asignacin IP".
13.Confirme con "Aplicar".
14.En la ficha "Conexin a Internet" introduzca los datos que utiliza para autentificarse en su
Internet Service Provider (ISP).
Instalar Security
Configurar tnel VPN
15.Confirme con "Aceptar".

16.Elija el comando de men "Insertar" > "Mdulo".
Resultado: se abre el cuadro de dilogo "Seleccin de un mdulo o configuracin de
software".
17.Active las opciones siguientes en las reas "Tipo de producto", "Mdulo" y "Versin del
firmware":
Mdulo: S612
18.En el rea "Configuracin", introduzca la direccin MAC en el formato predefinido.
19.En el rea "Configuracin", introduzca la direccin IP externa (192.168.8.1) y la mscara
20.Seleccione el modo de enrutamiento en la lista desplegable "Enrutamiento por interfaz
externo/interno".
Resultado: los mdulos de seguridad estn creados y se muestran en el rea de contenido
de la Security Configuration Tool.
6.2.5 Configurar el router estndar

1. Seleccione el mdulo de seguridad del tipo SCALANCE S612.
2. Elija el comando de men "Editar" > "Propiedades...", ficha "Routing".
Instalar Security
Configurar tnel VPN
3. Como router estndar introduzca la direccin IP del router DSL al que est conectado el
mdulo de seguridad (192.168.8.100).
Observacin: el router estndar del mdulo SCALANCE S623 viene determinado por el
ISP.


Resultado: se crea el grupo VPN. El grupo VPN recibe automticamente el nombre
"Grupo1".

3. Seleccione el primer mdulo de seguridad en el rea de contenido y arrstrelo al grupo
El mdulo de seguridad tambin est asignado ahora a dicho grupo VPN.
Instalar Security
Configurar tnel VPN
6.2.7 Configurar las propiedades VPN del mdulo SCALANCE S612

1. Seleccione el mdulo de seguridad del tipo SCALANCE S612 en el rea de contenido.
2. Elija el comando de men "Editar" > "Propiedades...", ficha "VPN".
3. En la lista desplegable "Permiso para iniciar el establecimiento de la conexin", elija la
entrada "Esperando al interlocutor (respondedor)".
4. Introduzca la direccin IP WAN del router DSL en el campo de entrada "Direccin IP
WAN / FQDN". La direccin IP WAN es una direccin IP esttica asignada por el ISP.
5. Confirme con "Aceptar".
6.2.8 Configurar una conexin VPN

1. Haga clic en "Grupo1" de "Grupos VPN" en el rea de navegacin.
2. Seleccione el mdulo de seguridad del tipo SCALANCE S623 en el rea de contenido.
Resultado: En la ventana detallada se muestran detalles de los interlocutores VPN.
3. Seleccione la entrada "Puerto DMZ (dinmico)" como "Interfaz local".
Instalar Security
Configurar tnel VPN
4. Si se selecciona "Mdulo2" en el rea de contenido, se mostrar automticamente la

entrada "Puerto DMZ (dinmico)" del mdulo 1 como "Interfaz interlocutora".
Resultado: la configuracin de la conexin VPN ha terminado.

2. En la Security Configuration Tool del PC1, seleccione el mdulo de seguridad del tipo
SCALANCE S623.
4. Inicie el proceso de carga con el botn "Iniciar". Si el proceso de carga ha concluido sin
errores, el SCALANCE S arranca de nuevo automticamente y se activa la nueva
configuracin.
5. Guarde el proyecto actual en un medio de almacenamiento extrable y transfiera el
proyecto al PC2.
6. Inicie la Security Configuration Tool en el PC2 y abra el proyecto.
7. Repita los pasos 2 a 4 para el mdulo de seguridad del tipo SCALANCE S612 de forma
anloga.
Instalar Security
Configurar tnel VPN

Ambos SCALANCE S se encuentran ahora en modo productivo. Este estado es sealizado
por el diodo indicador Fault con luz verde.
Con esto ha concluido la puesta en servicio de la configuracin y los dos SCALANCE S
pueden crear un tnel de comunicacin a travs del que se pueden comunicar de forma
segura los nodos de las dos redes internas.
6.2.10 Probar la funcin tnel (Ping-Test)

Nota
Seccin de test 1
Compruebe ahora el funcionamiento de la conexin de tnel establecida entre los mdulos
de seguridad, del siguiente modo:
Instalar Security
Configurar tnel VPN
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Seccin de test 2
Pruebe ahora el funcionamiento de la conexin de tnel establecida en el sentido contrario:
Resultado
siguiente:
Enviados = 4
Recibidos = 4
La comunicacin a travs de la conexin de tnel configurada funciona en ambos sentidos.
Observacin: si se ha configurado una conexin bajo demanda para el router DSL, es
posible que se pierdan 1 o 2 telegramas.
Instalar Security
Configurar tnel VPN
6.3 Tnel VPN entre SCALANCE S y CP
6.3.1 Resumen
Con esta configuracin se consigue que el trfico IP entre interlocutores autorizados solo
sea posible a travs de la conexin de tnel establecida.
Nota
cortafuegos.
Instalar Security
Configurar tnel VPN

PC que est conectado a la interfaz interna del mdulo de seguridad correspondiente.
interna 1
Mdulo de seguridad 2: CP x43-1 Adv. para proteger la red interna 2
Requisitos:
Los mdulos de seguridad disponen de la hora y fecha actuales.
Instalar Security
Configurar tnel VPN
6.3.2 Instalar mdulos de seguridad y red

Conecte la interfaz externa del mdulo de seguridad 1 y la interfaz externa del mdulo
de seguridad 2 al hub/switch.
Conecte tambin el PC3 al hub/switch.
Nota
Las conexiones Ethernet en la interfaz interna y externa son tratadas de forma diferente
por el mdulo de seguridad, por lo que no se deben confundir al establecer la conexin
con la red de comunicacin:
Si se intercambian las interfaces, los dispositivos pierden su funcin de proteccin.


PC1 191.0.0.1 255.255.0.0 191.0.0.201
PC2 191.1.0.1 255.255.0.0 191.1.0.201
PC3 191.0.0.3 255.255.0.0 191.0.0.201

de control".
Instalar Security
Configurar tnel VPN


1. En HW Config, active la casilla de verificacin "Activar seguridad" en la ficha "Seguridad"
de las propiedades del objeto.
Resultado: se ha creado un proyecto nuevo.
Instalar Security
Configurar tnel VPN
Resultado: el CP creado se mostrar en la lista de los mdulos configurados.
4. Cree un mdulo SCALANCE S con los parmetros siguientes en la Security
Configuration Tool utilizando el comando de men "Insertar" > "Mdulo":
Mdulo: S612
Direccin MAC: segn la impresin en la parte frontal del mdulo de seguridad
Direccin IP (ext.): 191.0.0.202
Mscara de subred (ext.): 255.255.0.0
Resultado: el CP y el mdulo SCALANCE S se muestran en la lista de los mdulos
configurados dentro de la Security Configuration Tool.
Instalar Security
Configurar tnel VPN


"Grupo1".
2. Haga clic en la entrada "Todos los mdulos" en el rea de navegacin y a continuacin

en el mdulo SCALANCE S en el rea de contenido.
3. Arrastre el mdulo SCALANCE S hasta el grupo VPN "Grupo1" en el rea de
navegacin.
4. Seleccione el CP en el rea de contenido y arrstrelo hasta el grupo VPN "Grupo1" en el
rea de navegacin.
Resultado: el CP tambin est asignado ahora a dicho grupo VPN y la configuracin de la
conexin de tnel ha terminado.
Instalar Security
Configurar tnel VPN
SCALANCE S - procedimiento:
mdulos ..." en la Security Configuration Tool:
En la lista se muestra el mdulo SCALANCE S.

1. Asegrese de que la casilla de verificacin junto a la entrada "Mdulo1 (SCALANCE S)"
est activada.
CP - procedimiento:

Con esto ha concluido la puesta en servicio de la configuracin y los dos mdulos de
seguridad pueden crear un tnel de comunicacin a travs del que se pueden comunicar de
forma segura los nodos de las dos redes internas.
Instalar Security
Configurar tnel VPN

Nota
Seccin de test 1
Pruebe ahora el funcionamiento de la conexin de tnel establecida, del siguiente modo:
comando "ping 191.1.0.1" en la posicin del cursor. Seguidamente, recibir el mensaje
siguiente (respuesta positiva de PC2):
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Instalar Security
Configurar tnel VPN
Seccin de test 2
del PC3.
Resultado
normal.
Enviados = 4
Recibidos = 0
Instalar Security
Configurar tnel VPN
6.4 Tnel VPN entre CP 1628 y CP x43-1 Adv.
6.4.1 Resumen
Con esta configuracin se consigue que el trfico IP y el trfico de la Layer 2 solo sea
posible a travs de las conexiones de tnel establecidas entre interlocutores autorizados de
un grupo VPN.
Nota
cortafuegos.
Instalar Security
Configurar tnel VPN
PC1 con mdulo de seguridad 1: PC con CP 1628

Mdulo de seguridad 2: CP x43-1 Adv.
Requisitos:
Los CPs disponen de la hora y fecha actuales.
El CP 1628 tiene los ajustes siguientes en STEP 7:
Instalar Security
Configurar tnel VPN


PC1 NDIS: 192.168.0.105 255.255.255.0
PC2 192.168.0.110 255.255.255.0

de control".

Instalar Security
Configurar tnel VPN


propiedades de objeto del CP 1628.
3. Pase a las propiedades de objeto del CP x43-1 Adv. y active tambin la casilla de
verificacin "Activar seguridad" en la ficha "Seguridad".
Resultado: los mdulos de seguridad se muestran en la lista de los mdulos configurados.
Instalar Security
Configurar tnel VPN


"Grupo1".

en el primer CP en el rea de contenido.
3. Arrastre el CP al grupo VPN "Grupo1" del rea de navegacin.
4. Seleccione el segundo CP en el rea de contenido y arrstrelo hasta el grupo VPN
"Grupo1" en el rea de navegacin.
Resultado: el segundo CP tambin est asignado ahora a dicho grupo VPN y la
configuracin de la conexin de tnel ha terminado.

2. En HW Config elija el comando de men "Estacin" > "Guardar y compilar".
3. Cargue la nueva configuracin en el mdulo de seguridad utilizando el comando de
men "Sistema de destino" > "Cargar en mdulo...".
4. Realice los pasos 2-3 para el segundo mdulo de seguridad.
Instalar Security
Configurar tnel VPN


Con esto ha concluido la puesta en servicio de la configuracin y los dos mdulos de
seguridad pueden crear un tnel de comunicacin.

Nota
Seccin de test 1
Compruebe ahora el funcionamiento de la conexin de tnel establecida entre PC1 y
mdulo de seguridad 2, del siguiente modo:
2. Entrada del comando ping del PC1 al mdulo de seguridad 2 (direccin IP 192.168.0.11)
A continuacin recibir el mensaje siguiente (respuesta positiva del mdulo de seguridad
2):
Instalar Security
Configurar tnel VPN
Resultado
Cuando los telegramas IP llegan al mdulo de seguridad 2, la "estadstica ping" muestra
para 192.168.0.11 lo siguiente:
Enviados = 4
Recibidos = 4
Seccin de test 2
2. Emita el mismo comando ping ("ping 192.168.0.11") en la ventana del smbolo del
sistema del PC2.
A continuacin recibir el mensaje siguiente (ninguna respuesta del mdulo de seguridad
2):
Resultado
Los telegramas IP del PC2 no pueden llegar al mdulo de seguridad 2, ya que no hay
configurada ninguna comunicacin de tnel entre estos dispositivos ni tampoco se permite
el trfico de datos IP normal.
Enviados = 4
Recibidos = 0
Instalar Security
Configurar tnel VPN
6.5 Tnel VPN entre todos los productos Security
6.5.1 Sinopsis
Resumen
Con esta configuracin se consigue que el trfico IP entre interlocutores autorizados de los
diferentes grupos VPN solo sea posible a travs de las conexiones de tnel establecidas. El
acceso desde la PG de servicio en la que est instalado el SOFTNET Security Client est
permitido para los cuatro mdulos de seguridad.
Instalar Security
Configurar tnel VPN
Grupo VPN Dispositivo VPN

1 SCALANCE S612 V4.0
CP 443-1 Advanced GX30
SOFTNET Security Client
2 CP 343-1 Advanced GX31
3 CP 1628
Requisitos:
El software de configuracin Security Configuration Tool y el SOFTNET Security Client
estn instalados en el PC2.
STEP 7 est instalado en el PC2, donde ya se ha creado un proyecto de STEP 7 con los
mdulos de seguridad siguientes:
Todos los mdulos de seguridad disponen de la hora y fecha actuales.
Mdulo de seguridad Direccin IP Mscara de subred

CP 443-1 Advanced GX30 Gigabit: 90.12.150.41 255.255.0.0
PROFINET: 110.100.150.41 255.255.255.0
CP 343-1 Advanced GX31 Gigabit: 90.12.150.11 255.255.0.0
PROFINET: 110.100.150.11 255.255.255.0
CP 1628 Industrial Ethernet: 90.12.150.101 255.255.0.0
Instalar Security
Configurar tnel VPN
Instalar Security
Configurar tnel VPN


PC1 110.100.150.52 255.255.255.0
PC2 90.12.150.117 255.255.0.0

de control".

Instalar Security
Configurar tnel VPN
Activar la seguridad para los CPs

1. En HW Config, active la casilla de verificacin "Activar seguridad" en la ficha "Seguridad"
de las propiedades del objeto del CP 443-1 Advanced GX30.
Confirme la entrada con "OK".
3. Active consecutivamente la casilla de verificacin "Activar seguridad" en la ficha
"Seguridad" de las propiedades del objeto del CP 343-1 Advanced GX31 y del CP 1628.
Resultado: los CPs creados que tienen la seguridad activada se muestran en la lista de los
mdulos configurados.
Crear un SCALANCE S y SOFTNET Security Client

2. Cree un mdulo de seguridad con el comando de men "Insertar" > "Mdulo". Configure
los parmetros siguientes:
Mdulo: S612
Versin del firmware V4
Direccin MAC: segn la impresin en la parte frontal del mdulo de seguridad.
Direccin IP (ext.): 90.12.150.51, mscara de subred (ext.): 255.255.0.0.
interfaz externa/interna" e introduzca los siguientes datos de direccin:
Direccin IP (int.): 110.100.150.51, mscara de subred (int.): 255.255.255.0
4. Haga clic en el botn "OK".
Resultado: el mdulo SCALANCE S creado se agrega a la lista de los mdulos
configurados como "Mdulo1".
Instalar Security
Configurar tnel VPN
6. Cree un segundo mdulo con el comando de men "Insertar" > "Mdulo". Configure los
parmetros siguientes:
Tipo de producto: SOFTNET Configuration (SOFTNET Security Client, dispositivo
VPN, cliente NCP VPN)
Mdulo: SOFTNET Security Client
Observacin: al seleccionar la opcin "V4" estar disponible toda la funcionalidad de
SOFTNET Security Client V4 y SOFTNET Security Client V5.
Resultado: el SOFTNET Security Client creado se agrega a la lista de los mdulos
configurados como "Mdulo2".
en la lnea con el nombre de mdulo "Mdulo1" en el rea de contenido.
9. Haga clic en la columna "Nombre" e introduzca el nombre "SCA612".
10.Haga clic en la lnea con el nombre de mdulo "Mdulo2".
11.Haga clic en la columna "Nombre" e introduzca el nombre "SSC-PC2".
Resultado: los CPs, el mdulo SCALANCE S y el SOFTNET Security Client se muestran en
la lista de los mdulos configurados dentro de la Security Configuration Tool.
Instalar Security
Configurar tnel VPN
6.5.4 Configurar grupos VPN

Los mdulos de seguridad pueden crear un tnel IPsec para la comunicacin segura si

"Grupo1".
2. Cree dos grupos VPN ms.
Resultado: los grupos VPN reciben automticamente los nombres "Grupo2" y "Grupo3".
3. En el rea de navegacin, seleccione el objeto "Todos los mdulos"

4. Arrastre consecutivamente el mdulo SCALANCE S, el CP 443-1 Advanced GX30 y el
SOFTNET Security Client al grupo VPN "Grupo1" en el rea de navegacin.
Resultado: los mdulos estn asignados ahora al grupo VPN "Grupo1". El color de los
smbolos de la llave cambia de gris a azul.
5. Arrastre consecutivamente el CP 343-1 Advanced GX31, el CP 443-1 Advanced GX30 y
el SOFTNET Security Client al "Grupo2" en el rea de navegacin.
Resultado: los mdulos estn asignados ahora al grupo VPN "Grupo2". El color del
smbolo de la llave del CP 343-1 Advanced GX31 cambia de gris a azul.
6. Arrastre consecutivamente el CP 1628, el CP 343-1 Advanced GX31 y el SOFTNET
Security Client al "Grupo3" en el rea de navegacin.
Resultado: los mdulos estn asignados ahora al grupo VPN "Grupo3". El color del
smbolo de la llave del CP 1628 cambia de gris a azul.
8. Cierre la SCT.
Instalar Security
Configurar tnel VPN

Procedimiento para SCALANCE S y SOFTNET Security Client:

mdulos ..." en la Security Configuration Tool:

4. Guarde el archivo de configuracin "NombreDeProyecto.SSC-PC2.dat" en el directorio
elegido y asigne una contrasea como clave privada del certificado.
CPs - procedimiento:
2. En HW Config elija el comando de men "Estacin" > "Guardar y compilar" para el CP
443-1 Advanced.
3. Cargue la nueva configuracin en el mdulo de seguridad utilizando el comando de
men "Sistema de destino" > "Cargar en mdulo...".
4. Realice los pasos 2-3 de forma anloga para el CP 343-1 y el CP 1628.
Instalar Security
Configurar tnel VPN
6.5.6 Construccin del tnel con el SOFTNET Security Client
Nota
En Windows 7, el cortafuegos del sistema operativo debe estar activado para que funcione
el establecimiento del tnel VPN.

1. Inicie el SOFTNET Security Client en PC2.
2. Pulse el botn "Load configuration", cambie al directorio elegido anteriormente y cargue
el archivo de configuracin "NombreDeProyecto.SSC-PC2.dat".
3. Active la casilla de verificacin "Establish VPN tunnel to the internal nodes" en el cuadro
de dilogo "VPN configuration".
4. Seleccione el adaptador de red desde cuya direccin IP deba establecerse el tnel VPN.
5. Introduzca la contrasea para la clave privada del certificado y confirme con "Next".
6. Haga clic en el botn "Tunnel Overview".
7. Para que las subredes aprendidas puedan comunicarse, actvelas utilizando el men
contextual.
Resultado: conexin de tnel activa

Se han establecido los tneles entre el SOFTNET Security Client y los mdulos de
seguridad. Este estado operativo se sealiza con un crculo verde.
En la consola de registro de la vista general de tneles se muestran, entre otros, datos
sobre el proceso de los intentos de conexin realizados.
Instalar Security
Configurar tnel VPN
Con esto ha concluido la puesta en servicio de la configuracin y los mdulos de seguridad

de los grupos VPN configurados y del SOFTNET Security Client han creado tneles de
comunicacin a travs de los que se pueden comunicar de forma segura.

Nota
Instalar Security
Configurar tnel VPN
Seccin de test
Compruebe ahora el funcionamiento de la conexin de tnel establecida entre PC2 y PC3
del siguiente modo:
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Repetir seccin de test

Pruebe ahora consecutivamente el funcionamiento de las conexiones de tnel establecidas
entre PC2 y PC1, PC2 y CP 443-1 Advanced GX30 y PC2 y CP 343-1 Advanced GX31, tal
como se describe en el apartado "Seccin de test". Si la conexin de tnel se ha establecido
correctamente, recibir de cada PC o mdulo de seguridad una respuesta positiva a la
correspondiente consulta ping.
Instalar Security
Configurar un acceso remoto va tnel VPN 7
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y
7.1.1 Resumen
En este ejemplo se configura la funcin de tnel VPN en la vista de configuracin "Modo
normal". Un mdulo de seguridad y el SOFTNET Security Client constituyen en este ejemplo
los dos puntos finales del tnel para la conexin de tnel protegida a travs de una red
pblica.
Con esta configuracin se consigue que el trfico IP entre los dos interlocutores autorizados
Instalar Security
Configurar un acceso remoto va tnel VPN
7.1 Acceso remoto - Ejemplo de tnel VPN con SCALANCE S612 y SOFTNET Security Client

Mdulo de seguridad: mdulo SCALANCE S (excepto S602) para proteccin de la red
interna
PC2: PC con el software de configuracin Security Configuration Tool y el software
SOFTNET Security Client para el acceso VPN seguro a la red interna
PC3: PC de test para la seccin de test 2
Nota
En el ejemplo, en representacin de una red WAN externa pblica (Internet) se recurre a
una red local para explicar los aspectos bsicos del funcionamiento correspondiente.
En los lugares correspondientes se dan explicaciones relativas al uso de una WAN.
1 mdulo SCALANCE S (excepto S602), (opcional: un perfil DIN simtrico
1 PC en el cual va instalada la herramienta de configuracin "Security Configuration
Tool" y el cliente VPN "SOFTNET Security Client";
1 PC en la red externa, para el test de la configuracin;
1 hub o switch de red para el establecimiento de conexiones de red con el mdulo
SCALANCE S as como los PCs;
Instalar Security
7.1.2 Instalar el SCALANCE S y la red

ADVERTENCIA
Instalar Security
1. Establezca las conexiones fsicas de red conectando los conectores con las interfaces
previstas a tal efecto:
Conecte la interfaz externa del mdulo de seguridad al hub/switch.
Conecte tambin PC2 y PC3 al hub/switch.
Nota
Para el uso de una WAN como red externa pblica, las conexiones con el hub/switch se
tienen que reemplazar por las conexiones con la red WAN (acceso a Internet).
Nota
7.1.3 Preparar ajustes IP de los PCs

Los PCs obtienen los siguientes ajustes de direccin IP para el test:

PC1 192.168.0.1 255.255.255.0 192.168.0.201
PC2 191.0.0.2 255.255.0.0 191.0.0.201
PC3 191.0.0.3 255.255.0.0 191.0.0.201
Nota
Para el uso de una WAN como red externa pblica se tienen que preparar en PC2, PC3 y el
mdulo de seguridad los respectivos ajustes IP para la conexin con la red WAN (Internet).

de control".
Instalar Security



Instalar Security
3. Confirme la entrada.
4. Elija las siguientes opciones:
Mdulo: S612
Direccin MAC: segn la impresin en la parte frontal del mdulo de seguridad
Direccin IP (ext.): 191.0.0.201, mscara de subred (ext.): 255.255.0.0
Nota
Si se utiliza una WAN como red externa pblica, debe introducirse en "Direccin IP
ext." una direccin IP de la subred interna del router DSL. Como router estndar debe
indicarse la direccin IP interna del router DSL. La direccin IP pblica asignada por
el proveedor debe introducirse en "Direccin IP WAN / FQDN" de la ficha "VPN", en
las propiedades del mdulo.
Si se utiliza un router DSL como pasarela de Internet, deben reenviarse en dicho
router al menos los puertos siguientes a la direccin IP del mdulo de seguridad:
puerto 500 (ISAKMP)
puerto 4500 (NAT-T)

interfaz externa/interna" e introduzca los siguientes datos de direccin para la interfaz
interna del mdulo de seguridad:
Direccin IP (int.): 192.168.0.201, mscara de subred (int.): 255.255.255.0
Resultado: el mdulo se muestra en la lista de los mdulos configurados.
7. Elija el comando de men "Insertar" > "Mdulo" e indique los parmetros siguientes:
Instalar Security
9. Haga clic en el objeto "Todos los mdulos" en el rea de navegacin y a continuacin en

la lnea con el nombre de mdulo "Mdulo2" en el rea de contenido.
10.Haga clic en la columna "Nombre" e introduzca el nombre "SSC-PC2".
Resultado: los ajustes han concluido y deberan corresponderse con la figura siguiente:

Un SCALANCE S y el SOFTNET Security Client pueden crear un tnel IPsec para la
comunicacin segura si estn asignados a un mismo grupo VPN en el proyecto.

"Grupo1".

en el mdulo SCALANCE S en el rea de contenido.
Instalar Security
3. Arrastre el mdulo SCALANCE S hasta el grupo VPN "Grupo1" en el rea de

navegacin.
4. Seleccione el mdulo SOFTNET Security Client en el rea de contenido y arrstrelo al
grupo VPN "Grupo1" en el rea de navegacin.
El mdulo tambin est asignado ahora a dicho grupo VPN.
Resultado: La configuracin de la conexin de tnel ha terminado.
7.1.6 Cargar la configuracin en un mdulo de seguridad y guardar la configuracin

de SOFTNET Security Client
Nota
Si como red externa pblica se utiliza una WAN, no es posible configurar un mdulo de
seguridad con ajustes de fbrica a travs de dicha WAN. Configure en este caso el mdulo
de seguridad desde la red interna.

mdulos...":

del proyecto y asigne una contrasea como clave privada del certificado.
Si el proceso de carga ha concluido sin errores, el mdulo de seguridad arranca de nuevo
Instalar Security

El mdulo de seguridad est en modo productivo. Este estado es sealizado por el diodo
Fault con luz verde.

2. Pulse el botn "Load configuration", cambie a su directorio de proyecto y cargue el
archivo de configuracin "NombreDeProyecto.SSC-PC2.dat".

Se ha establecido el tnel entre SCALANCE S y SOFTNET Security Client. Este estado
operativo se sealiza con un crculo verde en la entrada "Mdulo1".
Instalar Security
Con esto ha concluido la puesta en servicio de la configuracin y el mdulo SCALANCE S y

el SOFTNET Security Client pueden crear un tnel de comunicacin a travs del que se
pueden comunicar de forma segura los nodos de la red interna y PC2.
Instalar Security

continuacin.
Nota
Seccin de test 1
2. Entrada del comando ping de PC2 a PC1 (direccin IP 192.168.0.1).
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Instalar Security
Seccin de test 2
Repita ahora el test emitiendo un comando ping desde el PC3.
del PC3.
Resultado
normal.
Enviados = 4
Recibidos = 0
Instalar Security
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y SOFTNET Security Client
7.2 Acceso remoto - ejemplo de tnel VPN con CP x43-1 Advanced y

7.2.1 Resumen
normal". Un mdulo de seguridad y un SOFTNET Security Client constituyen en este
ejemplo los dos puntos finales del tnel para la conexin de tnel protegida a travs de una
red pblica.
Con esta configuracin se consigue que el trfico IP entre los dos interlocutores autorizados

Instalar Security

PC2: PC con el software de configuracin STEP 7, la Security Configuration Tool y el
software SOFTNET Security Client para el acceso VPN seguro a la red interna
PC3: PC de test para la seccin de test 2
Nota
En el ejemplo, en representacin de una red WAN externa pblica (Internet) se recurre a
una red local para explicar los aspectos bsicos del funcionamiento correspondiente.
En los lugares correspondientes se dan explicaciones relativas al uso de una WAN.
Requisitos:
El mdulo de seguridad dispone de la hora y fecha actuales.
Instalar Security
7.2.2 Preparar ajustes IP de los PCs

Los PCs obtienen los siguientes ajustes de direccin IP para el test:

PC1 192.168.0.1 255.255.255.0 192.168.0.201
PC2 191.0.0.2 255.255.0.0 191.0.0.201
PC3 191.0.0.3 255.255.0.0 191.0.0.201
Nota
Para el uso de una WAN como red externa pblica se tienen que preparar en PC2, PC3 y el
mdulo de seguridad los respectivos ajustes IP para la conexin con la red WAN (Internet).

de control".
Instalar Security


propiedades del objeto del mdulo de seguridad en STEP 7.
Confirme la entrada con "OK".
1. En el rea de navegacin, haga clic en el objeto "Todos los mdulos".
2. Cree otro mdulo con el comando de men "Insertar" > "Mdulo".
Configure lo siguiente:
3. Cierre el cuadro de dilogo con "OK".
Instalar Security
Nota
Si se utiliza una WAN como red externa pblica, debe introducirse como direccin IP
Gigabit en HW Config una direccin IP de la subred interna del router DSL. Como router
estndar debe indicarse la direccin IP interna del router DSL. La direccin IP pblica
asignada por el proveedor debe introducirse en la SCT en "Direccin IP WAN / FQDN"
de la ficha "VPN", en las propiedades del mdulo.
Si se utiliza un router DSL como pasarela de Internet, deben reenviarse en dicho router
al menos los puertos siguientes a la direccin IP del mdulo de seguridad:
puerto 500 (ISAKMP)
puerto 4500 (NAT-T)

la lnea con el nombre de mdulo "Mdulo1" en el rea de contenido.
5. Haga clic en la columna "Nombre" e introduzca el nombre "SSC-PC2".
Instalar Security

El mdulo de seguridad y el SOFTNET Security Client pueden crear un tnel IPsec para la

"Grupo1".
2. En el rea de navegacin, seleccione el objeto "Todos los mdulos".

3. Seleccione el CP en el rea de contenido y arrstrelo hasta el grupo VPN "Grupo1" en el
rea de navegacin.
4. Seleccione el mdulo SOFTNET Security Client en el rea de contenido y arrstrelo al
grupo VPN "Grupo1" en el rea de navegacin.
El mdulo tambin est asignado ahora a dicho grupo VPN.
Instalar Security

Nota
Si como red externa pblica se utiliza una WAN, no es posible configurar un mdulo de
seguridad con ajustes de fbrica a travs de dicha WAN. Configure en este caso el mdulo
de seguridad desde la red interna.

mdulos":

elegido y asigne una contrasea como clave privada del certificado.

Instalar Security

Se ha establecido el tnel entre el mdulo de seguridad y el SOFTNET Security Client. Este
estado operativo se sealiza con un crculo verde en la entrada "CP-443-1-Advanced".
Con esto ha concluido la puesta en servicio de la configuracin y el mdulo de seguridad y

el SOFTNET Security Client han creado un tnel de comunicacin a travs del que se
pueden comunicar de forma segura los nodos de la red interna y PC2.
Instalar Security

continuacin.
Nota
Seccin de test 1
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Instalar Security
Seccin de test 2
Repita ahora el test emitiendo un comando ping desde el PC3.
del PC3.
Resultado
normal.
Enviados = 4
Recibidos = 0
Instalar Security
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y SOFTNET Security Client
7.3 Acceso remoto - Ejemplo de tnel VPN con SCALANCE M y

7.3.1 Sinopsis
avanzado". Un SCALANCE M y el SOFTNET Security Client forman los dos puntos finales
del tnel para la conexin de tnel segura a travs de una red pblica.
Con esta configuracin se consigue que el trfico IP entre dos interlocutores autorizados
Nota
Para la configuracin en este ejemplo es necesario obtener del proveedor (proveedor de
telefona mvil) una direccin IP pblica, no modificable, para la tarjeta SIM del SCALANCE
M, a la que se pueda acceder a travs de Internet.
Otra posibilidad es utilizar una direccin DynDNS para el SCALANCE M.
Configuracin de la red de test:
Red interna - conexin a la interfaz X2 del SCALANCE M ("red interna")

En la configuracin de test, en la red interna cada nodo de red se realiza por medio de
un PC que est conectado a la interfaz interna ("X2") de un mdulo SCALANCE M.
SCALANCE M: mdulo SCALANCE M para proteccin de la red interna
Red pblica externa - conexin a travs de la antena SCALANCE M ("red externa")
La red externa pblica para el SCALANCE M es una red GSM o de telefona mvil, que
puede ser seleccionada por el abonado del proveedor (de telefona mvil) y a la que se
Instalar Security
accede a travs de la antena del mdulo SCALANCE M. El PC2 se conecta a una red
GSM o de telefona mvil utilizando una tarjeta SIM de un proveedor o bien est
conectado a Internet por medio de un router DSL.
PC2: PC con el software de configuracin Security Configuration Tool y el software
SOFTNET Security Client para el acceso VPN seguro a la red interna
1 mdulo SCALANCE M con tarjeta SIM (opcional: un perfil DIN simtrico
1 fuente de alimentacin de 24V con conector de cable y enchufe para bloque de bornes;
1 PC en el cual va instalada la herramienta de configuracin "Security Configuration
Tool" y el cliente VPN "SOFTNET Security Client";
1 PC en la red interna del SCALANCE M con un navegador web para la configuracin del
SCALANCE M y el test de la configuracin;
1 router DSL (conexin a Internet para el PC con el cliente VPN (RDSI, ADSL, UMTS,
etc.);
Los cables de red, cables TP (Twisted Pair) necesarios segn el estndar IE FC RJ45
Los pasos siguientes resumidos
Instalar Security
7.3.2 Instalar SCALANCE M y red

1. Saque primero el SCALANCE M de su embalaje y compruebe si est en perfecto estado.
2. Siga la puesta en servicio "paso a paso" descrita en el manual de sistema del
SCALANCE M hasta llegar al punto en el que deber configurar segn sus requisitos.
Utilice para ello el PC1.
Conecte el PC1 con la interfaz interna X2 ("red interna") del SCALANCE M
Conecte PC2 con el DSL-Router
Instalacin del SCALANCE M, consulte el captulo:
Realizar la configuracin del SCALANCE M (Pgina 194)
7.3.3 Configurar los ajustes de IP de los PCs

Los PCs deberan tener los siguientes ajustes de direccin IP para el test:

PC1 192.168.1.101 255.255.255.0 192.168.1.1
PC2 192.168.2.202 255.255.255.0 192.168.2.1
Para la pasarela estndar del PC1 indique la direccin IP que se asignar al mdulo
SCALANCE M para la interfaz de red interna en la siguiente configuracin. Para el PC2
indique la direccin IP del router DSL.
Nota
La direccin IP del PC2 debe estar en la red interna del router DSL (192.168.2.0/24).

de control".
Instalar Security


Instalar Security
4. Confirme la entrada.
5. Configure los parmetros siguientes:
Asigne el nombre de mdulo "SSC-PC2" y cierre el cuadro de dilogo con "OK".
6. En el rea de navegacin, haga clic en el objeto "Todos los mdulos".
7. Cree otro mdulo con el comando de men "Insertar" > "Mdulo". Configure los
parmetros siguientes:
Tipo de producto: SCALANCE M
Mdulo: SCALANCE M875/MD741-1
8. En el rea "Configuracin" asigne el nombre de mdulo "SCALANCE M" e introduzca en
el formato prescrito la direccin IP externa as como la mscara de subred externa que
haya obtenido de su proveedor.
Nota
Para la configuracin en este ejemplo es necesario obtener del proveedor (proveedor de
telefona mvil) una direccin IP pblica, no modificable, para la tarjeta SIM del
SCALANCE M, a la que se pueda acceder a travs de Internet. Introduzca la direccin IP
como direccin IP externa para su mdulo.
Si trabaja con direcciones dinmicas para el SCALANCE M, necesitar una direccin
DynDNS para el mdulo. En este caso no necesita adaptar la direccin IP externa en
este lugar. La direccin IP insertada sirve nicamente como comodn. En la
configuracin del SOFTNET Security Client, indique posteriormente un nombre DNS en
lugar de una direccin IP externa.
Instalar Security
9. En el rea "Configuracin", introduzca la direccin IP interna (192.168.1.1) y la mscara

de subred interna (255.255.255.0) en el formato predefinido y confirme el cuadro de
dilogo con "OK".
7.3.5 Configurar un grupo VPN y las propiedades del grupo VPN

Un SCALANCE M y el SOFTNET Security Client pueden crear un tnel IPsec para la

"Grupo1".
2. En el rea de navegacin, seleccione el objeto "Todos los mdulos"
Instalar Security
3. Seleccione el mdulo SCALANCE M en el rea de contenido y arrstrelo al grupo VPN

"Grupo1" en el rea de navegacin.
Resultado: el mdulo est asignado a dicho grupo VPN.
4. Seleccione el mdulo SOFTNET Security Client "SSC-PC2" en el rea de contenido y
arrstrelo al grupo VPN "Grupo1" en el rea de navegacin.
Resultado: el mdulo est asignado tambin a dicho grupo VPN.
5. Cambie al modo avanzado con el comando de men "Ver" > "Modo avanzado".
6. Seleccione el grupo VPN "Grupo1" en el rea de navegacin.
7. Elija el comando de men "Editar" > "Propiedades..." para abrir las propiedades del
grupo VPN.
8. Modifique la vida til SA de la fase 1 y de la fase 2 a 1440 minutos y deje todos los
dems ajustes tal como estn. El uso de parmetros diferentes a los de la ilustracin
siguiente puede ocasionar que los dos interlocutores del tnel no puedan establecer
entre s conexin VPN alguna.

Instalar Security
7.3.6 Guardar la configuracin del SCALANCE M y del SOFTNET Security Client

mdulos...":

del proyecto y asigne una contrasea como clave privada del certificado. En el directorio
del proyecto se guardan los siguientes archivos:
"NombreDeProyecto.SSC-PC2.dat"
"NombreDeProyecto.SecuenciaDeCaracteres.SSC-PC2.p12"
"NombreDeProyecto.Grupo1.cer"
4. Guarde el archivo de configuracin "NombreDeProyecto.SCALANCE-M.txt" en el
directorio del proyecto y asigne una contrasea como clave privada del certificado. En el
directorio del proyecto se guardan los siguientes archivos:
"NombreDeProyecto.SCALANCE-M.txt"
"NombreDeProyecto.SecuenciaDeCaracteres.SCALANCE-M.p12"
"NombreDeProyecto.Grupo1.SCALANCE-M.cer"
Ha guardado todos los archivos y certificados necesarios y puede poner en servicio el
SCALANCE M y el SOFTNET Security Client.
7.3.7 Realizar la configuracin del SCALANCE M

Con la ayuda del archivo de texto guardado "NombreDeProyecto.SCALANCE-M.txt", puede
llevar a cabo fcilmente la configuracin con la interfaz web del SCALANCE M. A
continuacin, tomando este ejemplo, se le muestra paso a paso la configuracin del
SCALANCE M.
Instalar Security
Para la configuracin se realiza lo siguiente:

el SCALANCE M es accesible va Internet utilizando una direccin IP pblica fija;
el SOFTNET Security Client utiliza una direccin IP dinmica.
Paralelamente se le indicar donde corresponda que configure un nombre DynDNS para el
SCALANCE M.

1. Conctese por medio del PC1 con la plataforma web del SCALANCE M.
Observacin: si el SCALANCE M tiene ajustes de fbrica, entonces la interfaz interna del
mdulo tiene la direccin IP 192.168.1.1
2. Navegue hasta el directorio "IPsec VPN" > "Certificados".
3. Ha guardado los certificados necesarios en el ltimo captulo de PC2, y ha indicado una
contrasea para la clave privada. Transfiera primero al PC1 los certificados
("NombreDeProyecto.SecuenciaDeCaracteres.SCALANCE-M.p12",
"NombreDeProyecto.Grupo1.SCALANCE-M.cer") para el SCALANCE M.
4. Cargue ahora en el mdulo el certificado de los interlocutores
"NombreDeProyecto.Grupo1.SCALANCE-M.cer" y el archivo PKCS12
"NombreDeProyecto.SecuenciaDeCaracteres.SCALANCE-M.p12".
Instalar Security
Modo VPN Roadwarrior del SCALANCE M

Puesto que el SOFTNET Security Client est conectado a Internet por medio de una
direccin IP dinmica, se utiliza el modo VPN Roadwarrior del SCALANCE M para
establecer una conexin segura.
Modo Roadwarrior del SCALANCE M:
En el modo VPN Roadwarrior, el SCALANCE M puede aceptar conexiones VPN de
interlocutores con direccin desconocida. Se pueden aplicar de forma mvil, por
ejemplo, interlocutores que obtengan de forma dinmica su direccin de IP.
La conexin VPN debe ser establecida a travs de los interlocutores. Es posible una
conexin VPN en el modo Roadwarrior. Las conexiones VPN en el modo normal
pueden, para ello, ser operadas en paralelo.

1. Navegue hasta el directorio "IPsec VPN" > "Conexiones".
2. Haga clic en el botn "Editar" de "Ajustes".
3. Realice los ajustes del Roadwarrior VPN tal y como se muestra en la siguiente figura, y
gurdelos.
Puede determinar la "ID del interlocutor" desde el archivo de texto
"NombreDeProyecto.SCALANCE-M.txt". La entrada de la ID del interlocutor es posible
opcionalmente.
4. Haga clic en el botn "Editar" de IKE en la ventana "Conexiones VPN IPsec".
Instalar Security
5. Realice los ajustes IKE del Roadwarrior VPN tal y como se muestra en el siguiente
grfico, y gurdelos.
Nota
Solo se puede crear una conexin de tnel correcta entre SCALANCE M y SOFTNET
Security Client si se respetan estrictamente los siguientes parmetros.
El uso de parmetros diferentes hace que los dos partner de tunneling no establezcan
entre s conexin VPN alguna.
Procedimiento de autenticacin: Certificado de interlocutores X.509
Fase 1 - ISKAMP SA:
ISAKMP-SA encriptacin: 3DES-168
ISAKMP-SA Hash: SHA-1
Modo ISAKMP-SA: Main Mode
ISAKMP-SA vida (segundos): 86400
Fase 2 - IPsec SA:
Encriptacin IPsec SA: 3DES-168
IPsec SA Hash: SHA-1
PSec SA vida (segundos): 86400
Grupo DH/PFS: DH-2 1024
6. Para poder utilizar la funcin de diagnstico del SOFTNET Security Client para un tnel
VPN correctamente establecido en conexin con el SCALANCE M, deber admitir un
ping de la red externa del SCALANCE M.
Navegue para ello hasta el directorio "Seguridad" > "Avanzado".
Instalar Security
Ponga el ajuste "ICMP de externa a SCALANCE M" en el valor "Permitir ping" y guarde
la entrada.
Nota
Si no autoriza esta funcin no podr utilizar la funcin de diagnstico del SOFTNET
Security Client para un tnel VPN correctamente construido en conexin con el
SCALANCE M. Entonces no recibir mensaje alguno sobre si el tnel se ha establecido
correctamente, pero puede comunicarse de forma segura a travs del tnel. Entonces no
recibir mensaje alguno sobre si el tnel se ha establecido correctamente, pero puede
comunicarse de forma segura a travs del tnel.
Nota
Si desea llegar al SCALANCE M por medio del nombre DNS, parametrice en el siguiente
directorio la conexin del servidor DynDNS. El SCALANCE M nicamente soporta el
proveedor"dyndns.org".
"Red externa" > "Ajustes avanzados" > "DynDNS"
1. Cambie el ajuste "Notificar este dispositivo en un servidor DynDNS" al valor "S".
2. Indique su nombre de usuario y la contrasea de su cuenta DynDNS.
3. Introduzca ntegramente la direccin DynDNS en el campo "Nombre de host del
servidor DynDNS". Introduzca tambin el dominio de dicha direccin (p. ej.
"mydns.dyndns.org").

Instalar Security
3. Para una configuracin del SCALANCE M, el SOFTNET Security Client abre el cuadro
de dilogo "Ajustes IP/DNS". En este cuadro de dilogo, indique la direccin IP pblica
del SCALANCE M que haya recibido de su proveedor. Confirme el cuadro de dilogo con
"OK".
Observacin: Si trabaja con un nombre DNS, entonces puede configurarlo en dicho

cuadro de dilogo en lugar de una direccin IP.
7. Pulse el botn "Tunnel Overview".

Se ha establecido el tnel entre SCALANCE M y SOFTNET Security Client.
Tomando el icono azul en la entrada "MD741-1" est usted reconociendo que se ha
establecido una Policy para esta conexin de comunicacin.
El estado operativo de que es posible acceder al SCALANCE M,se seala mediante el
"crculo verde" en la entrada "MD741-1".
Nota
Tenga en cuenta que esta funcin es independiente de la autorizacin de la funcin ping en
el SCALANCE M.
Instalar Security

Con esto ha terminado la puesta en servicio de la configuracin. El SCALANCE M y el

SOFTNET Security Client han establecido un tnel de comunicacin a travs del cual
pueden comunicarse de forma segura los nodos de la red interna con PC2.
Instalar Security
7.3.9 Probar la funcin del tnel (prueba Ping)

La prueba de la funcin se realiza con un comando ping tal como se describe a
continuacin.
Nota
En caso de Windows, el cortafuegos (Firewall) puede estar ajustado como estndar de
manera que no puedan pasar comandos ping. Eventualmente tendr que habilitar los
servicios ICMP del tipo "Request" y "Response".
Seccin de test
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Perdidos = 0 (0 % de prdida)
Instalar Security
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con acceso personalizado
7.4 Acceso remoto - SCALANCE S y SOFTNET Security Client con

acceso personalizado
7.4.1 Resumen
Resumen
En este ejemplo se utiliza el SOFTNET Security Client para establecer un tnel VPN entre
un PC y un mdulo de seguridad. Detrs del mdulo de seguridad hay un PC en la red
interna. En la Security Configuration Tool se configura el cortafuegos de modo que
nicamente un usuario concreto pueda acceder desde el PC2 de la red externa al PC1 de la
red interna segura (situado despus del mdulo de seguridad) pasando por el tnel VPN.
Se requieren los siguientes componentes para el montaje:
1 SCALANCE S612 (como opcin: un perfil DIN simtrico correspondientemente
instalado, con material de montaje);
1 PC en la red externa en el que estn instalados la herramienta de configuracin
Security Configuration Tool y el SOFTNET Security Client;
Requisitos:
El software de configuracin Security Configuration Tool y el SOFTNET Security Client
estn instalados en el PC2.
Instalar Security

amarilla.
ADVERTENCIA
Instalar Security
Nota
Las interfaces Ethernet son tratadas de forma diferente por el SCALANCE S, por lo que no
se deben confundir al establecer la conexin con la red de comunicacin:
7.4.3 Preparar los ajustes IP de los PCs


PC1 192.168.1.100 255.255.255.0 192.168.1.1
PC2 192.168.2.100 255.255.255.0 192.168.2.1

de control".
Instalar Security


1. Instala e inicie la Security Configuration Tool en el PC2.
2. Elija el comando de men "Proyecto" > "Nuevo..." en la Security Configuration Tool.
4. Confirme la entrada con "OK".
Instalar Security
firmware":
Mdulo: S612
direccin MAC est impresa en el lado frontal del mdulo SCALANCE S.
interfaz externo/interno".
(255.255.255.0) en el formato predefinido y confirme el cuadro de dilogo con "OK".
10.Cree otro mdulo con los parmetros siguientes mediante el comando de men "Insertar"
> "Mdulo":
Resultado: los mdulos estn creados y se muestran en el rea de contenido de la Security
Configuration Tool.
Instalar Security


"Modo avanzado".
2. Seleccione el objeto "Grupos VPN" en el rea de navegacin y cree un grupo con el
comando de men "Insertar" > "Grupo".
"Grupo1".

el primer mdulo de seguridad en el rea de contenido.
4. Arrastre el mdulo de seguridad hasta el grupo VPN "Grupo1" en el rea de navegacin.
Resultado: el mdulo de seguridad est asignado ahora a dicho grupo VPN.
Resultado: el segundo mdulo de seguridad tambin est asignado ahora a dicho grupo
VPN y la configuracin de la conexin de tnel ha terminado.

Instalar Security


En este ejemplo se configura el cortafuegos de forma que solo el usuario Remote Access
creado tenga la posibilidad de acceder al PC de la red interna a travs de un tnel VPN.
Procedimiento para ajustar un conjunto de reglas IP personalizadas:

3. En el cuadro de dilogo que se abre, haga clic en el botn "Agregar regla" para insertar
una regla nueva.
Instalar Security
4. Introduzca el conjunto de reglas IP tal como se muestra a continuacin:

Instalar Security
Procedimiento para asignar un conjunto de reglas IP personalizadas:

1. Haga clic en la entrada "Todos los mdulos" del rea de navegacin, seleccione el
mdulo de seguridad del tipo "S612 V4" en el rea de contenido y, manteniendo pulsado
el botn izquierdo del ratn, arrstrelo al nuevo conjunto de reglas IP personalizado.
personalizadas se ha almacenado en la ficha "Reglas IP".

IP en detalle.
4. Haga clic en el botn "Aceptar".
Procedimiento para ajustar reglas de cortafuegos locales:

1. Seleccione el mdulo de seguridad del tipo "S612 V4" en el rea de contenido.
3. Elija la ficha "Cortafuegos" y haga clic en el botn "Agregar regla".
Instalar Security
4. Introduzca las reglas tal como se muestra a continuacin:
Instalar Security
7.4.8 Cargar la configuracin en un mdulo de seguridad y guardar la configuracin

de SOFTNET Security Client

mdulos...":

4. Guarde el archivo de configuracin en su directorio del proyecto y asigne una contrasea
como clave privada del certificado.
Si el proceso de carga ha concluido sin errores, el mdulo de seguridad arranca de
nuevo automticamente y se activa la nueva configuracin.

El mdulo de seguridad est en modo productivo. Este estado es sealizado por el diodo
Fault con luz verde.

Instalar Security

Con esto ha concluido la puesta en servicio de la configuracin y el mdulo de seguridad y
el SOFTNET Security Client pueden crear un tnel de comunicacin a travs del que se
puede comunicar de forma segura el PC2 de la red externa con el PC1.
Se ha establecido el tnel entre el SOFTNET Security Client y el mdulo de seguridad. Este
estado operativo se sealiza con un smbolo azul y un crculo verde.

continuacin.
Nota
Seccin de test
Recibir el mensaje siguiente (ninguna respuesta de PC1):
Instalar Security
Resultado
datos desde el tnel VPN hasta la red interna.
Enviados = 4
Recibidos = 0

1. En un navegador web del PC2 introduzca la direccin "https://192.168.2.1".
3. El conjunto de reglas IP definido para el usuario "Remote" est activado. El acceso del
PC2 en la red externa al PC1 en la red interna est permitido.
Instalar Security

continuacin.
Nota
Seccin de test
Pruebe ahora la configuracin del cortafuegos del siguiente modo:
Resultado
siguiente:
Enviados = 4
Recibidos = 4
Debido a la configuracin del conjunto de reglas IP personalizadas, los telegramas ping han
podido pasar a la red interna a travs del tnel VPN. El PC de la red interna ha respondido a
Instalar Security
los telegramas. Por la funcin "Stateful-Inspection" del cortafuegos, los telegramas de

respuesta que llegan ahora de la red interna son admitidos automticamente en la red
externa.
Instalar Security

GS IE-Security 78

Caricato da

Informazioni sul documento

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

GS IE-Security 78

Caricato da

Copyright:

Formati disponibili

Instalar Security Prlogo 1

Siemens AG Referencia del documento: C79000-G8978-C287-04 Copyright Siemens AG 2012 - 2015.

5.1.5 Configurar modo NAT Router ................................................................................................ 58

6 Configurar tnel VPN .......................................................................................................................... 117

7.1.3 Preparar ajustes IP de los PCs ............................................................................................ 168

Configuracin IP de los ejemplos

mbito de validez del Getting Started

Denominacin genrica "mdulo de seguridad"

Uso de las denominaciones "interfaz" y "puerto"

Direcciones IP de los mdulos de seguridad en los ejemplos de configuracin

El objeto contiene los conjuntos de reglas globales de cortafuegos configurados. Otras

El objeto contiene todos los grupos VPN generados.

El objeto contiene todas las relaciones de redundancia generadas del proyecto.

Icono Significado / observaciones

Abrir un proyecto ya existente.

Guardar un proyecto abierto en la ruta y con el nombre de proyecto actuales.

Copiar el objeto seleccionado.

Insertar un objeto del portapapeles.

Borrar el objeto seleccionado.

Icono Significado / observaciones

Cargar una configuracin en los mdulos de seguridad seleccionados o crear datos de

Cambiar al modo online.

Comando de men Significado / observaciones Combinacin de teclas

Project Funciones para ajustes especficos del proyecto, as

Edit Comandos de men solo en el modo offline

Comando de men Significado / observaciones Combinacin de teclas

Comando de men Significado / observaciones Combinacin de teclas

Realizacin de la red de test

Los pasos siguientes resumidos:

3.2 Poner a punto los SCALANCE S y la red

Proceda del siguiente modo:

1. Establezca la conexin fsica de red conectando la interfaz externa del mdulo de

3.3 Preparar los ajustes IP de los PCs

PC Direccin IP Mscara de subred

Para ello, proceda del siguiente modo:

6. Introduzca en los campos previstos al efecto los valores correspondientes al PC,

3.4 Crear proyecto y mdulo de seguridad

Proceda del siguiente modo:

8. En el rea "Configuracin", introduzca la direccin IP externa (192.168.10.1) y la

3.5 Cargar la configuracin en un mdulo de seguridad

Proceda del siguiente modo:

4. Inicie el proceso de carga con el botn "Iniciar".

Si el proceso de carga ha concluido sin errores, el mdulo SCALANCE S arranca de nuevo

Resultado: SCALANCE S en modo productivo

Realizacin de la red de test

Red interna - conexin a la interfaz interna del mdulo de seguridad

Mdulo de seguridad: mdulo SCALANCE S para proteccin de la red interna

Los pasos siguientes resumidos:

4.1.2 Poner a punto los SCALANCE S y la red

Proceda del siguiente modo:

4.1.3 Preparar los ajustes IP de los PCs

PC Direccin IP Mscara de subred

Proceda del siguiente modo en el PC1 y el PC2:

4. Haga clic en el botn "Propiedades".

5. Seleccione en el cuadro de dilogo "Propiedades del protocolo de Internet versin 4

4.1.4 Crear proyecto y mdulo de seguridad

Proceda del siguiente modo:

4. Confirme la entrada con "Aceptar".

4.1.5 Configurar firewall

Proceda del siguiente modo:

4. Active los ajustes representados a continuacin:

4.1.6 Cargar la configuracin en un mdulo de seguridad

Proceda del siguiente modo:

3. Inicie el proceso de carga con el botn "Iniciar".