Configurazione di Security
1
___________________
Prefazione
Interfaccia di comando e
2
___________________
comandi di menu
SIMATIC NET
Industrial Ethernet Security
Configurazione di Security
Progettazione di indirizzi IP
3
___________________
per SCALANCE S623
4
___________________
Firewall in modalità Standard
5
___________________
Firewall in modalità estesa
Configurazione del tunnel
6
___________________
VPN
Getting Started
09/2013
C79000-G8972-C287-01
Configurazione dell'accesso
7
___________________
remoto tramite tunnel VPN
Avvertenze di legge
Concetto di segnaletica di avvertimento
Questo manuale contiene delle norme di sicurezza che devono essere rispettate per salvaguardare l'incolumità
personale e per evitare danni materiali. Le indicazioni da rispettare per garantire la sicurezza personale sono
evidenziate da un simbolo a forma di triangolo mentre quelle per evitare danni materiali non sono precedute dal
triangolo. Gli avvisi di pericolo sono rappresentati come segue e segnalano in ordine descrescente i diversi livelli
di rischio.
PERICOLO
questo simbolo indica che la mancata osservanza delle opportune misure di sicurezza provoca la morte o gravi
lesioni fisiche.
AVVERTENZA
il simbolo indica che la mancata osservanza delle relative misure di sicurezza può causare la morte o gravi
lesioni fisiche.
CAUTELA
indica che la mancata osservanza delle relative misure di sicurezza può causare lesioni fisiche non gravi.
ATTENZIONE
indica che la mancata osservanza delle relative misure di sicurezza può causare danni materiali.
Nel caso in cui ci siano più livelli di rischio l'avviso di pericolo segnala sempre quello più elevato. Se in un avviso
di pericolo si richiama l'attenzione con il triangolo sul rischio di lesioni alle persone, può anche essere
contemporaneamente segnalato il rischio di possibili danni materiali.
Personale qualificato
Il prodotto/sistema oggetto di questa documentazione può essere adoperato solo da personale qualificato per il
rispettivo compito assegnato nel rispetto della documentazione relativa al compito, specialmente delle avvertenze
di sicurezza e delle precauzioni in essa contenute. Il personale qualificato, in virtù della sua formazione ed
esperienza, è in grado di riconoscere i rischi legati all'impiego di questi prodotti/sistemi e di evitare possibili
pericoli.
Uso conforme alle prescrizioni di prodotti Siemens
Si prega di tener presente quanto segue:
AVVERTENZA
I prodotti Siemens devono essere utilizzati solo per i casi d’impiego previsti nel catalogo e nella rispettiva
documentazione tecnica. Qualora vengano impiegati prodotti o componenti di terzi, questi devono essere
consigliati oppure approvati da Siemens. Il funzionamento corretto e sicuro dei prodotti presuppone un trasporto,
un magazzinaggio, un’installazione, un montaggio, una messa in servizio, un utilizzo e una manutenzione
appropriati e a regola d’arte. Devono essere rispettate le condizioni ambientali consentite. Devono essere
osservate le avvertenze contenute nella rispettiva documentazione.
Marchio di prodotto
Tutti i nomi di prodotto contrassegnati con ® sono marchi registrati della Siemens AG. Gli altri nomi di prodotto
citati in questo manuale possono essere dei marchi il cui utilizzo da parte di terzi per i propri scopi può violare i
diritti dei proprietari.
Esclusione di responsabilità
Abbiamo controllato che il contenuto di questa documentazione corrisponda all'hardware e al software descritti.
Non potendo comunque escludere eventuali differenze, non possiamo garantire una concordanza perfetta. Il
contenuto di questa documentazione viene tuttavia verificato periodicamente e le eventuali correzioni o modifiche
vengono inserite nelle successive edizioni.
Siemens AG
Industry Sector
Postfach 48 48
90026 NÜRNBERG
GERMANIA
N. di ordinazione documentazione: C79000-G8972-C287-01
Ⓟ 09/2013 Con riserva di eventuali modifiche tecniche
Copyright © Siemens AG 2012 - 2013.
Tutti i diritti riservati
Indice del contenuto
1
Prefazione .............................................................................................................................................. 7
2
Interfaccia di comando e comandi di menu .............................................................................................. 9
3
Progettazione di indirizzi IP per SCALANCE S623 ................................................................................ 15
4
5
3.1
Informazioni generali ....................................................................................................................15
3.2
Configurazione di SCALANCE S e rete .......................................................................................16
3.3
Configurazione delle impostazioni IP del PC ...............................................................................17
3.4
Creazione di un progetto e di un'unità security ............................................................................18
3.5
Caricamento della configurazione nell'unità Security ..................................................................20
Firewall in modalità Standard ................................................................................................................ 23
4.1
4.1.1
4.1.2
4.1.3
4.1.4
4.1.5
4.1.6
4.1.7
4.1.8
Esempio con uno SCALANCE S .................................................................................................23
Informazioni generali ....................................................................................................................23
Configurazione di SCALANCE S e della rete ..............................................................................24
Configurazione delle impostazioni IP dei PC ...............................................................................25
Creazione di un progetto e di un'unità security ............................................................................26
Progettazione del firewall .............................................................................................................27
Caricamento della configurazione nell'unità Security ..................................................................29
Test della funzione firewall (test Ping) .........................................................................................29
Registrazione del traffico di dati del firewall (Logging) ................................................................31
4.2
4.2.1
4.2.2
4.2.3
4.2.4
4.2.5
4.2.6
4.2.7
Esempio con un CP x43-1 Advanced ..........................................................................................33
Informazioni generali ....................................................................................................................33
Configurazione delle impostazioni IP dei PC ...............................................................................34
Creazione di un progetto e di un'unità security ............................................................................36
Progettazione del firewall .............................................................................................................36
Caricamento della configurazione nell'unità Security ..................................................................37
Test della funzione firewall (test Ping) .........................................................................................38
Registrazione del traffico di dati del firewall (Logging) ................................................................39
4.3
4.3.1
4.3.2
4.3.3
4.3.4
4.3.5
4.3.6
4.3.7
Esempio con un CP 1628 ............................................................................................................41
Informazioni generali ....................................................................................................................41
Configurazione delle impostazioni IP dei PC ...............................................................................42
Creazione di un progetto e di un'unità security ............................................................................44
Progettazione del firewall .............................................................................................................44
Caricamento della configurazione nell'unità Security ..................................................................45
Test della funzione firewall (test Ping) .........................................................................................46
Registrazione del traffico di dati del firewall (Logging) ................................................................47
Firewall in modalità estesa .................................................................................................................... 49
5.1
5.1.1
5.1.2
5.1.3
5.1.4
SCALANCE S come firewall e router NAT ..................................................................................49
Informazioni generali ....................................................................................................................49
Configurazione di SCALANCE S e della rete ..............................................................................50
Configurazione delle impostazioni IP dei PC ...............................................................................51
Creazione di un progetto e di un'unità security ............................................................................52
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
3
Prefazione
5.1.5
5.1.6
5.1.7
5.1.8
Progettazione dell’esercizio NAT router ...................................................................................... 53
Progettazione di firewall .............................................................................................................. 55
Caricamento della configurazione nell'unità Security ................................................................. 56
Test della funzione router NAT e registrazione del traffico di dati .............................................. 57
5.2
5.2.1
5.2.2
5.2.3
5.2.4
5.2.5
5.2.6
5.2.7
5.2.8
SCALANCE S come firewall tra rete esterna e DMZ .................................................................. 60
Informazioni generali ................................................................................................................... 60
Configurazione di SCALANCE S e rete ...................................................................................... 61
Configurazione delle impostazioni IP dei nodi di rete ................................................................. 62
Creazione di un progetto e di un'unità security ........................................................................... 63
Progettazione di firewall .............................................................................................................. 65
Caricamento della configurazione nell'unità Security ................................................................. 67
Test della funzione firewall tramite l'accesso al Web server ...................................................... 67
Test della funzione firewall tramite test ping ............................................................................... 68
5.3
5.3.1
5.3.2
5.3.3
5.3.4
5.3.5
5.3.6
5.3.7
5.3.8
5.3.9
SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna .................. 70
Informazioni generali ................................................................................................................... 70
Configurazione di SCALANCE S e della rete ............................................................................. 72
Configurazione delle impostazioni IP dei PC .............................................................................. 72
Creazione di un progetto e di un'unità security ........................................................................... 74
Creazione dell'utente accesso remoto ........................................................................................ 75
Impostazione e assegnazione del set di regole IP personalizzato ............................................. 75
Caricamento della configurazione nell'unità Security ................................................................. 77
Login nella pagina Web............................................................................................................... 79
Test della funzione firewall (test Ping) ........................................................................................ 79
5.4
5.4.1
5.4.2
5.4.3
5.4.4
5.4.5
5.4.6
5.4.7
5.4.8
5.4.9
SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete
interna ......................................................................................................................................... 81
Informazioni generali ................................................................................................................... 81
Configurazione di SCALANCE e della rete ................................................................................. 83
Configurazione delle impostazioni IP dei nodi di rete ................................................................. 84
Creazione di un progetto e di un'unità security ........................................................................... 85
Creazione dell'utente accesso remoto ........................................................................................ 87
Impostazione e assegnazione del set di regole IP personalizzato ............................................. 88
Caricamento della configurazione nell'unità Security ................................................................. 90
Login nella pagina Web............................................................................................................... 91
Test della funzione firewall (test ping) ......................................................................................... 92
5.5
5.5.1
5.5.2
5.5.3
5.5.4
5.5.5
5.5.6
5.5.7
CP x43-1 Advanced come firewall e router NAT ........................................................................ 94
Informazioni generali ................................................................................................................... 94
Configurazione delle impostazioni IP dei PC .............................................................................. 95
Creazione di un progetto e di un'unità security ........................................................................... 97
Progettazione dell’esercizio NAT router ...................................................................................... 97
Progettazione del firewall ............................................................................................................ 98
Caricamento della configurazione nell'unità Security ................................................................. 99
Test della funzione router NAT e registrazione del traffico di dati ............................................ 100
5.6
5.6.1
5.6.2
5.6.3
5.6.4
5.6.5
5.6.6
Esempio con un CP 1628 e un CP x43-1 Adv. ......................................................................... 102
Informazioni generali ................................................................................................................. 102
Configurazione delle impostazioni IP dei PC ............................................................................ 103
Creazione di un progetto e di unità Security ............................................................................. 104
Progettazione del firewall .......................................................................................................... 105
Caricamento della configurazione nelle unità Security ............................................................. 107
Test della funzione firewall e registrazione del traffico di dati ................................................... 108
Configurazione di Security
4
Getting Started, 09/2013, C79000-G8972-C287-01
Prefazione
6
Configurazione del tunnel VPN............................................................................................................ 111
6.1
6.1.1
6.1.2
6.1.3
6.1.4
6.1.5
6.1.6
6.1.7
Tunnel VPN tra SCALANCE S e SCALANCE S........................................................................111
Informazioni generali ..................................................................................................................111
Configurazione di SCALANCE S e rete .....................................................................................113
Configurazione delle impostazioni IP dei PC .............................................................................114
Creazione di un progetto e di unità Security ..............................................................................115
Configurazione del gruppo VPN ................................................................................................116
Caricamento della configurazione nelle unità Security ..............................................................117
Test della funzione di tunnel (test Ping) .....................................................................................118
6.2
6.2.1
6.2.2
6.2.3
6.2.4
6.2.5
6.2.6
6.2.7
6.2.8
6.2.9
6.2.10
Tunnel VPN tra SCALANCE S623 e SCALANCE S612 ...........................................................120
Informazioni generali ..................................................................................................................120
Configurazione di SCALANCE e della rete ................................................................................122
Configurazione delle impostazioni IP dei nodi di rete ................................................................123
Creazione di un progetto e di unità Security ..............................................................................124
Configurazione del router standard ...........................................................................................126
Configurazione del gruppo VPN ................................................................................................127
Configurazione delle proprietà VPN dell'unità SCALANCE S612 .............................................127
Configurazione del collegamento VPN ......................................................................................128
Caricamento della configurazione nelle unità Security ..............................................................129
Test della funzione di tunnel (test Ping) .....................................................................................130
6.3
6.3.1
6.3.2
6.3.3
6.3.4
6.3.5
6.3.6
6.3.7
Tunnel VPN tra SCALANCE S e CP .........................................................................................132
Informazioni generali ..................................................................................................................132
Configurazione delle unità Security e della rete ........................................................................134
Configurazione delle impostazioni IP dei PC .............................................................................134
Creazione di un progetto e di unità Security ..............................................................................135
Configurazione del gruppo VPN ................................................................................................137
Caricamento della configurazione nelle unità Security ..............................................................138
Test della funzione di tunnel (test Ping) .....................................................................................139
6.4
6.4.1
6.4.2
6.4.3
6.4.4
6.4.5
6.4.6
Tunnel VPN tra CP 1628 e CP x43-1 Adv. ................................................................................141
Informazioni generali ..................................................................................................................141
Configurazione delle impostazioni IP dei PC .............................................................................142
Creazione di un progetto e di unità Security ..............................................................................144
Configurazione del gruppo VPN ................................................................................................144
Caricamento della configurazione nelle unità Security ..............................................................145
Test della funzione di tunnel (test Ping) .....................................................................................146
6.5
6.5.1
6.5.2
6.5.3
6.5.4
6.5.5
Tunnel VPN tra tutti i prodotti Security .......................................................................................148
Informazioni generali ..................................................................................................................148
Configurazione delle impostazioni IP dei PC .............................................................................150
Creazione di un progetto e di unità Security ..............................................................................152
Configurazione dei gruppi VPN..................................................................................................153
Caricamento della configurazione nelle unità Security e salvataggio della configurazione
nel SOFTNET Security Client ....................................................................................................155
Realizzazione del tunnel con il SOFTNET Security Client ........................................................156
Test della funzione di tunnel (test Ping) .....................................................................................157
6.5.6
6.5.7
7
Configurazione dell'accesso remoto tramite tunnel VPN ...................................................................... 159
7.1
7.1.1
7.1.2
Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security
Client ..........................................................................................................................................159
Informazioni generali ..................................................................................................................159
Configurazione di SCALANCE S e della rete ............................................................................161
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
5
Prefazione
7.1.3
7.1.4
7.1.5
7.1.6
7.1.7
7.1.8
7.2
Configurazione delle impostazioni IP dei PC ............................................................................ 162
Creazione di un progetto e di unità Security ............................................................................. 164
Configurazione del gruppo VPN ............................................................................................... 165
Caricamento della configurazione nell'unità Security e salvataggio della configurazione
nel SOFTNET Security Client ................................................................................................... 166
Realizzazione del tunnel con il SOFTNET Security Client ....................................................... 167
Test della funzione di tunnel (test Ping) .................................................................................... 168
7.2.6
7.2.7
Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET
Security Client ........................................................................................................................... 171
Informazioni generali ................................................................................................................. 171
Configurazione delle impostazioni IP dei PC ............................................................................ 173
Creazione di un progetto e di unità Security ............................................................................. 175
Configurazione del gruppo VPN ............................................................................................... 176
Caricamento della configurazione nelle unità Security e salvataggio della configurazione
nel SOFTNET Security Client ................................................................................................... 177
Realizzazione del tunnel con il SOFTNET Security Client ....................................................... 178
Test della funzione di tunnel (test Ping) .................................................................................... 179
7.3
7.3.1
7.3.2
7.3.3
7.3.4
7.3.5
7.3.6
7.3.7
7.3.8
7.3.9
Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client ....... 182
Informazioni generali ................................................................................................................. 182
Configurazione di SCALANCE M e rete ................................................................................... 184
Configurazione di impostazioni IP dei PC ................................................................................. 184
Creazione di un progetto e di unità Security ............................................................................. 185
Configurazione del gruppo VPN e delle proprietà del gruppo VPN .......................................... 187
Salvataggio della configurazione di SCALANCE M e del SOFTNET Security Client ............... 189
Esecuzione della configurazione dello SCALANCE M ............................................................. 189
Realizzazione del tunnel con il SOFTNET Security Client ....................................................... 193
Test della funzione tunnel (test ping) ........................................................................................ 196
7.4
7.4.1
7.4.2
7.4.3
7.4.4
7.4.5
7.4.6
7.4.7
7.4.8
Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato ... 197
Informazioni generali ................................................................................................................. 197
Configurazione di SCALANCE e della rete ............................................................................... 199
Configurazione delle impostazioni IP dei PC ............................................................................ 200
Creazione di un progetto e di un'unità security ......................................................................... 201
Configurazione del gruppo VPN ............................................................................................... 202
Creazione dell'utente accesso remoto ...................................................................................... 203
Progettazione di firewall ............................................................................................................ 203
Caricamento della configurazione nell'unità Security e salvataggio della configurazione
nel SOFTNET Security Client ................................................................................................... 207
Realizzazione del tunnel con il SOFTNET Security Client ....................................................... 207
Test della funzione firewall (test ping) ....................................................................................... 208
Login nella pagina Web............................................................................................................. 209
Test della funzione firewall (test ping) ....................................................................................... 209
7.2.1
7.2.2
7.2.3
7.2.4
7.2.5
7.4.9
7.4.10
7.4.11
7.4.12
Configurazione di Security
6
Getting Started, 09/2013, C79000-G8972-C287-01
Prefazione
Prefazione
1
Obiettivo raggiunto velocemente con Getting Started
In base a semplici reti di test qui si apprende l'utilizzo di unità Security e dello strumento di
progettazione Security Configuration Tool. Qui viene descritto come possono essere già
realizzate senza complicati lavori di progettazione le funzioni di protezione di unità Security
nella rete.
Possono essere realizzate diverse funzioni di base delle unità Security e del SOFTNET
Security Client in base a diversi esempi di sicurezza:
Impostazioni IP degli esempi
Nota
Le impostazioni IP utilizzate negli esempi sono scelte liberamente e funzionano senza
conflitti nella rete di test isolata.
Nell'insieme di reti reale queste impostazioni IP devono essere adattate all'ambiente di rete
per evitare eventuali conflitti di indirizzo.
Campo di validità di Getting Started
Software di progettazione:
● STEP 7 Classic V5.5 a partire da SP2 Hotfix 1
● Security Configuration Tool (SCT) a partire da V4.0
Prodotti:
● SCALANCE S602 a partire da V4.0, numero di ordinazione: 6GK5 602-0BA10-2AA3
● SCALANCE S612 a partire da V4.0, numero di ordinazione: 6GK5 612-0BA10-2AA3
● SCALANCE S623 a partire da V4.0, numero di ordinazione: 6GK5 623-0BA10-2AA3
● SCALANCE S627-2M a partire da V4.0, numero di ordinazione: 6GK5 627-2BA10-2AA3
● SOFTNET Security Client a partire da V4.0, numero di ordinazione: 6GK1 704-1VW040AA0
● CP 343-1 Advanced GX31 a partire da V3.0, numero di ordinazione: 6GK7 343-1GX310XE0
● CP 443-1 Advanced GX30 a partire da V3.0, numero di ordinazione: 6GK7 443-1GX300XE0
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
7
Prefazione
● CP 1628, numero di ordinazione: 6GK1162-8AA00
● SCALANCE M875, numero di ordinazione: 6GK5 875-0AA10-1AA2
Denominazione generale "Unità Security"
Nella presente documentazione i seguenti prodotti vengono raggruppati nella
denominazione "Unità Security":
CP 343-1 Advanced GX31, CP 443-1 Advanced GX30, CP 1628, SCALANCE S602 V4 /
SCALANCE S612 V4 / SCALANCE S623 V 4 / SCALANCE S627-2M V4.
I CP 343-1 Advanced GX31 e 443-1 Advanced GX30 vengono designati come "CP x43-1
Adv."
SCALANCE M875 viene designato come "SCALANCE M".
Utilizzo delle denominazioni "Interfaccia" e "Porta"
Nella presente documentazione le seguenti denominazioni vengono utilizzate per le porte di
unità Security:
● "Interfaccia esterna": La porta esterna in SCALANCE S602 / S612 / S623 o una porta
esterna in SCALANCE S627-2M
● "Interfaccia interna": La porta interna in SCALANCE S602 / S612 / S623 o una porta
interna in SCALANCE S627-2M
● "Interfaccia DMZ": La porta DMZ in SCALANCE S623/S627-2M
La denominazione "Porta" stessa viene utilizzata se una porta specifica di un'interfaccia è in
primo piano.
Indirizzi IP delle unità Security negli esempi di configurazione
Durante il caricamento di una configurazione in un'unità Security è già necessario indicare
l'indirizzo IP con il quale è attualmente raggiungibile la rispettiva interfaccia. Negli esempi di
configurazione del presente manuale si parte dal presupposto che gli indirizzi IP della
configurazione siano identici agli indirizzi IP attuali dell'unità Security.
Se si intende sapere di più
Per ulteriori informazioni relative all'argomento "Industrial Ethernet Security" consultare il
manuale di progettazione "SIMATIC NET Industrial Ethernet Security - Nozioni di base e
applicazione". In questi capitoli viene descritta dettagliatamente l'intera funzionalità e il
software di progettazione Security Configuration Tool.
Una edizione attuale si trova in Internet alla seguente ID articolo: 61630777
(http://support.automation.siemens.com/WW/view/it/66644895)
Le descrizioni dell'hardware e le avvertenze per l'installazione si trovano nelle
documentazioni delle singole unità.
Configurazione di Security
8
Getting Started, 09/2013, C79000-G8972-C287-01
Interfaccia di comando e comandi di menu
2
Struttura dell'interfaccia di comando in modalità estesa
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
9
Interfaccia di comando e comandi di menu
①
Area di navigazione:
•
Set di regole firewall globali
L'oggetto contiene i set di regole globali firewall progettati Altre cartelle distinguono tra:
–
Firewall set di regole IP
–
Firewall set di regole MAC
•
Set di regole IP specifiche per l'utente
•
Tutte le unità
L'oggetto contiene tutte le unità progettate e le configurazioni SOFTNET del progetto.
•
Gruppi VPN
L'oggetto contiene tutti i gruppi VPN generati.
•
②
Relazioni di ridondanza
L'oggetto contiene tutte le relazioni di ridondanza generate del progetto.
Area del contenuto:
Selezionando un oggetto nell'area di navigazione, nell'area del contenuto si ottengono
informazioni dettagliate su questo oggetto.
Per alcune unità Security in questa area è possibile osservare e adattare gli estratti delle
configurazioni dell'interfaccia.
③
Facendo doppio clic sulle unità Security, se esse offrono le possibilità di configurazione
corrispondenti, vengono aperte le finestre di dialogo delle proprietà per l'inserimento di ulteriori
parametri.
Finestra dei dettagli:
La finestra dei dettagli contiene informazioni supplementari relative all'oggetto selezionato e
consente ad un gruppo VPN nel rispettivo contesto la progettazione di proprietà VPN
specifiche per il collegamento.
④
La finestra dei dettagli può essere disattivata e attivata mediante il menu "Visualizza".
Riga di stato:
La riga di stato illustra gli stati di comando e i messaggi di stato attuali. Ne fanno parte:
•
L'utente attuale e il tipo di utente
•
La visualizzazione di comando - modalità standard / modalità estesa
•
Lo stato operativo - Online / Offline
Barra dei simboli
Qui di seguito è riportata una panoramica dei simboli selezionabili nella barra dei simboli e
del relativo significato.
Icona
Significato / Osservazioni
Crea un nuovo progetto.
Apre un progetto esistente.
Configurazione di Security
10
Getting Started, 09/2013, C79000-G8972-C287-01
Interfaccia di comando e comandi di menu
Icona
Significato / Osservazioni
Salva il progetto aperto nel percorso attuale con il nome del progetto.
Copia l'oggetto selezionato.
Inserisci l'oggetto dagli appunti.
Cancella l'oggetto selezionato.
Crea una nuova unità.
Il simbolo è attivo solo all'interno dell'area di navigazione se ci si trova nella cartella "Tutte
le unità".
Crea un nuovo gruppo VPN.
Il simbolo è attivo solo all'interno dell'area di navigazione ci si trova nella cartella "Gruppi
VPN".
Creazione di un nuovo set di regole IP globale / set di regole MAC o di un set di regole IP
personalizzato.
Il simbolo è attivo solo se all'interno di un'area di navigazione ci si trova in una sottocartella di "Set di regole firewall globali" o su una cartella "Set di regole IP personalizzate"
Creazione di una nuova relazione di ridondanza.
Il simbolo è attivo solo all'interno dell'area di navigazione se ci si trova nella cartella
"Relazioni di ridondanza".
Caricamento della configurazione nelle unità Security selezionate o impostazione dei dati
di configurazione per SOFTNET Security Client / SCALANCE M.
Commutazione nella modalità offline.
Commutazione nella modalità online.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
11
Interfaccia di comando e comandi di menu
Barra dei menu
Qui di seguito è riportata una panoramica delle voci di menu selezionabili e del loro
significato.
Voce di menu
Significato / Osservazioni
Project ▶…
Funzioni per le impostazioni specifiche del progetto,
nonché caricamento e salvataggio dei file del
progetto.
Nuovo...
Combinazione dei tasti
Crea un nuovo progetto.
Per CP: I progetti vengono creati con la progettazione
STEP 7.
Apri...
Apre un progetto esistente.
Per CP: I progetti esistenti possono essere aperti
solo tramite i progetti STEP 7.
Salva
Salva il progetto aperto nel percorso attuale con il
nome del progetto.
Salva con nome...
Salva il progetto aperto nel percorso selezionabile
con il nome del progetto.
Ctrl + S
Per CP: Il progetto è parte del progetto STEP 7. Il
percorso non può essere modificato.
Proprietà...
Si apre la finestra di dialogo delle proprietà del
progetto.
Progetti aperti per ultimi
Possibilità di selezione diretta dei progetti elaborati
finora.
Per CP: I progetti esistenti possono essere aperti
solo tramite STEP 7.
Exit
Edit ▶…
Chiudi progetto.
Voci di menu solo in modalità offline
Avvertenza
Nel progetto attivato le funzioni possono essere
selezionate in parte anche tramite il menu
contestuale.
Copy
Copia l'oggetto selezionato.
Ctrl + C
Paste
Riprende e inserisce l'oggetto dalla memoria
intermedia.
Ctrl + V
Del
Cancella l'oggetto selezionato.
Canc
Rename
Rinomina l'oggetto selezionato.
F2
Nuovo certificato...
Creazione di un nuovo certificato del gruppo per
l'unità selezionata nell'area del contenuto dopo la
selezione del rispettivo gruppo VPN.
Sostituisci unità ...
Sostituzione dell'unità Security selezionata con
un'altra.
Proprietà ...
Apre la finestra di dialogo delle proprietà dell'oggetto
selezionato.
Diagnostica online ...
Accede alle funzioni di test e di diagnostica.
F4
Configurazione di Security
12
Getting Started, 09/2013, C79000-G8972-C287-01
Interfaccia di comando e comandi di menu
Voce di menu
Significato / Osservazioni
Insert ▶…
Voci di menu solo in modalità offline
Unità
Creazione di una nuova unità Security.
Combinazione dei tasti
Ctrl + M
La voce di menu è attiva solo se nell'area di
navigazione è selezionata un'unità Security o un
gruppo VPN.
Group
Crea un nuovo gruppo VPN.
Ctrl + G
La voce di menu è attiva solo se nell'area di
navigazione è selezionato un oggetto gruppi.
Set di regole firewall
Creazione di un nuovo set di regole IP firewall
globale, di un set di regole MAC o di un set di regole
IP personalizzato.
Ctrl + F
La voce di menu è attiva solo se nell'area di
navigazione è selezionato un oggetto firewall.
La voce di menu è visibile solo in modalità estesa.
Relazione di ridondanza
Creazione di una nuova relazione di ridondanza.
Ctrl + R
La voce di menu è attiva solo all'interno dell'area di
navigazione se ci si trova nella cartella "Relazioni di
ridondanza".
Transfer ▶…
All'unità/alle unità...
Caricamento della configurazione nell'unità/nelle
unità Security selezionate o creazione dei dati di
configurazione per SOFTNET Security Client /
SCALANCE M / dispositivi VPN / NCP VPN Client
(Android).
Osservazione: possono essere caricati solo dati di
progetto coerenti.
Per CP: I dati del progetto possono essere caricati
solo tramite STEP 7.
A tutte le unità...
Caricamento della configurazione in tutte le unità
Security.
Osservazione: possono essere caricati solo dati di
progetto coerenti.
Stato della
configurazione…
Visualizza in un elenco lo stato di configurazione
delle unità Security progettate.
Trasferimento del
firmware ...
Caricamento del nuovo firmware nell'unità Security
selezionata.
Per CP S7: Il firmware viene caricato nel CP tramite il
centro di aggiornamento della diagnostica Web.
View ▶…
Modalità estesa
Commuta dalla modalità standard (preimpostazione)
alla modalità estesa.
Ctrl + E
Attenzione
Una commutazione nella modalità estesa per il
progetto attuale non può più essere annullata.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
13
Interfaccia di comando e comandi di menu
Voce di menu
Significato / Osservazioni
Combinazione dei tasti
Mostra finestra dei dettagli Mostra e nasconde i dettagli supplementari relativi
all'oggetto selezionato.
Ctrl + Alt + D
Offline
Preimpostazione. Commutazione nella
visualizzazione di progettazione offline.
Ctrl + Maiu + D
Online
Commutazione nella visualizzazione di diagnostica
online.
Ctrl + D
Servizi IP...
Apre la finestra di dialogo per le definizioni dei servizi
per le regole IP Firewall.
Options ▶…
La voce di menu è visibile solo in modalità estesa.
Servizi MAC...
Apre la finestra di dialogo per le definizioni dei servizi
per le regole MAC Firewall.
La voce di menu è visibile solo in modalità estesa.
Adattatore di rete...
Tramite l'adattatore di rete selezionato a
SCALANCE S viene assegnato un indirizzo IP.
Lingua...
Seleziona la lingua visualizzata nell'interfaccia SCT.
Per il SCT in STEP 7 la lingua dell'interfaccia SCT
viene definita tramite la selezione della lingua in
STEP 7.
File Log...
Visualizzazione dei file Log salvati.
Symbolic Names...
Impostazione di nomi simbolici per indirizzi IP o MAC.
Configurazione del server
NTP...
Imposta e modifica il server NTP
Configurazione del server
RADIUS...
Creazione e modifica del server RADIUS.
Controlli della coerenza...
Controllare la coerenza dell'intero progetto. Come
risultato viene visualizzato un elenco dei risultati.
Gestione utenti...
Creazione e modifica di utenti e ruoli, assegnazione
di diritti e definizione di direttive password.
Manager dei certificati...
Visualizza o importa / esporta certificati.
Argomenti della guida...
Guida alle funzioni e ai parametri che si trovano
nell'SCT.
Informazioni...
Informazioni sulla versione dell'SCT.
Help ▶…
F1
Configurazione di Security
14
Getting Started, 09/2013, C79000-G8972-C287-01
Progettazione di indirizzi IP per SCALANCE S623
3.1
3
Informazioni generali
Informazioni generali
In questo esempio nel Security Configuration Tool vengono progettati indirizzi IP per un'unità
SCALANCE S623 che si trova nello stato delle impostazioni di fabbrica. Infine la
configurazione viene caricata tramite l'interfaccia esterna nell'unità Security.
Realizzazione della rete di test
Apparecchi/componenti necessari:
Per la struttura utilizzare i seguenti componenti:
● 1 x SCALANCE S623 (inoltre opzionalmente: una guida ad U appositamente montata con
materiale di montaggio)
● 1 alimentazione elettrica di 24V con collegamenti dei cavi e connettori morsettiera;
● 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool"
● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet
Requisito richiesto
Per poter effettuare questo esempio è necessario soddisfare il seguente requisito:
● L'unità Security si trova nello stato delle impostazioni di fabbrica. Questo stato può
essere ripristinato azionando il pulsante reset sull'unità Security e tendendolo premuto
per almeno 5 secondi. Per ulteriori informazioni relative al pulsante Reset dell'unità
Security, vedere capitolo "4.3 Pulsante Reset - Reset della configurazione alle
impostazioni di fabbrica" nel manuale "SIMATIC NET Industrial Ethernet Security SCALANCE S V4".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
15
Progettazione di indirizzi IP per SCALANCE S623
3.2 Configurazione di SCALANCE S e rete
Panoramica delle seguenti operazioni:
3.2
Configurazione di SCALANCE S e rete
Procedimento:
1. Disimballare dapprima SCALANCE S623 e controllare che i componenti non siano
danneggiati.
2. Collegare la tensione di alimentazione a SCALANCE S623.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo.
AVVERTENZA
Utilizzare solo tensione di sicurezza a basso voltaggio
L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso
voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo
tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805.
L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2
(campo di tensione 18-32 V, corrente necessaria ca. 250 mA).
Configurazione di Security
16
Getting Started, 09/2013, C79000-G8972-C287-01
Progettazione di indirizzi IP per SCALANCE S623
3.3 Configurazione delle impostazioni IP del PC
1. Realizzare quindi un collegamento di rete fisico collegando l'interfaccia esterna dell'unità
Security con il PC.
2. Accendere quindi il PC.
Nota
Le interfacce Ethernet vengono trattate da SCALANCE S in modo diverso e non devono
quindi essere scambiate durante il collegamento alla rete di comunicazione:
• Interfaccia X1 - External Network
Contrassegno rosso = area di rete non protetta;
• Interfaccia X2 - Internal Network
Contrassegno verde = rete protetta con SCALANCE S;
• Interfaccia X3 - porta DMZ (interfaccia di rete universale)
Contrassegno giallo = area di rete non protetta o area di rete protetta con SCALANCE
S.
In caso di scambio delle interfacce il dispositivo perde la sua funzione di protezione.
3.3
Configurazione delle impostazioni IP del PC
Il PC ottiene le seguenti impostazioni di indirizzo IP.
PC
Indirizzo IP
Finestra della sotto-rete
PC
192.168.10.2
255.255.255.0
Procedere quindi nel modo seguente:
1. Aprire nel PC il pannello di controllo con la voce di menu "Start" > "Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
4. Fare clic sul pulsante "Proprietà".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
17
Progettazione di indirizzi IP per SCALANCE S623
3.4 Creazione di un progetto e di un'unità security
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
del PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
3.4
Creazione di un progetto e di un'unità security
Procedimento:
1. Installare il software di progettazione Security Configuration Tool sul PC.
2. Avviare il software di progettazione.
3. Selezionare la voce di menu "Progetto > Nuovo...".
4. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Configurazione di Security
18
Getting Started, 09/2013, C79000-G8972-C287-01
Progettazione di indirizzi IP per SCALANCE S623
3.4 Creazione di un progetto e di un'unità security
5. Confermare l'immissione con "OK".
Risultato: Il nuovo progetto è creato. La finestra di dialogo "Selezione di un'unità o
configurazione software" si apre
6. Selezionare nelle aree "Tipo di prodotto", "Unità" e "Release del firmware" le seguenti
opzioni:
– Tipo di prodotto: SCALANCE S
– Unità: S623
– Release del firmware: V4
7. Nell'area "Configurazione" inserire l'indirizzo MAC nel formato indicato. L'indirizzo MAC è
stampigliato frontalino dell'unità SCALANCE S (vedere figura).
8. Inserire nell'area "Configurazione" l'indirizzo IP esterno (192.168.10.1) e la maschera
della sotto-rete esterna (255.255.255.0).
9. Selezionare la voce modalità routing dalla casella di riepilogo "Routing interfaccia
interno/esterno".
10.Inserire l'indirizzo IP interno (192.168.9.1) e la maschera della sottorete interna
(255.255.255.0) e confermare con "OK".
11.Selezionare l'unità Security creata quindi la voce di menu "Modifica" > "Proprietà...",
scheda "Interfacce".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
19
Progettazione di indirizzi IP per SCALANCE S623
3.5 Caricamento della configurazione nell'unità Security
12.Nell'area "Porta DMZ (X3)" attivare la casella di controllo "Attiva interfaccia" e inserire
l'indirizzo IP (192.168.8.1) e la maschera della sottorete (255.255.255.0) per l'interfaccia
DMZ.
13.Confermare con "OK".
3.5
Caricamento della configurazione nell'unità Security
Procedimento:
1. Selezionare la voce di menu "Progetto" > "Salva".
2. Selezionare l'unità Security nell'area del contenuto.
3. Selezionare la voce di menu "Trasferisci" > "Alla/alle unità...".
4. Avviare l'operazione di caricamento con il pulsante "Start".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità SCALANCE S viene
riavviata automaticamente e la nuova configurazione viene attivata.
Risultato: SCALANCE S in esercizio produttivo
SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato
dall'indicatore Fault attraverso luce verde. A questo punto è possibile caricare configurazioni
tramite tutte le interfacce e modificare contemporaneamente gli indirizzi IP eventualmente
progettati.
Configurazione di Security
20
Getting Started, 09/2013, C79000-G8972-C287-01
Progettazione di indirizzi IP per SCALANCE S623
3.5 Caricamento della configurazione nell'unità Security
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
21
Progettazione di indirizzi IP per SCALANCE S623
3.5 Caricamento della configurazione nell'unità Security
Configurazione di Security
22
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.1
Esempio con uno SCALANCE S
4.1.1
Informazioni generali
4
In questo esempio viene progettato il firewall nella visualizzazione di progettazione "Modalità
standard". La modalità standard contiene regole predefinite per il traffico di dati.
Con questa configurazione il traffico IP può essere inizializzato solo da rete interna; dalla
rete esterna è ammessa solo la risposta.
Realizzazione della rete di test
● Rete interna - Collegamento all'interfaccia interna dell'unità Security
Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato
all'interfaccia interna dell'unità Security.
– PC2: Rappresenta un nodo della rete interna
● Unità Security: Unità SCALANCE S per la protezione della rete interna
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
23
Firewall in modalità Standard
4.1 Esempio con uno SCALANCE S
● Rete esterna - Collegamento all'interfaccia esterna dell'unità Security
La rete pubblica, esterna viene collegata all'interfaccia esterna dell'unità Security.
– PC1: PC con software di configurazione Security Configuration Tool
Apparecchi/componenti necessari:
Per la struttura utilizzare i seguenti componenti:
● 1 SCALANCE S, (inoltre opzionalmente: una guida ad U appositamente montata con
materiale di montaggio)
● 1 alimentazione elettrica di 24V con collegamenti dei cavi e connettori morsettiera;
● 1 PC nella rete esterna sul quale è installato lo strumento di progettazione Security
Configuration Tool
● 1 PC nella rete interna per il test della configurazione
● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet
Panoramica delle seguenti operazioni:
4.1.2
Configurazione di SCALANCE S e della rete
Procedimento:
1. Disimballare dapprima SCALANCE S e controllare che i componenti non siano
danneggiati.
2. Collegare la tensione di alimentazione a SCALANCE S.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F)
giallo.
Configurazione di Security
24
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.1 Esempio con uno SCALANCE S
AVVERTENZA
Utilizzare solo tensione di sicurezza a basso voltaggio
L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso
voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo
tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805.
L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2
(campo di tensione 18-32 V, corrente necessaria ca. 250 mA).
1. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di
rete nelle interfacce previste:
– Collegare PC2 con l'interfaccia interna dell'unità Security.
– Collegare PC1 con l'interfaccia esterna dell'unità Security.
2. Inserire quindi i PC interessati.
Nota
Le interfacce Ethernet vengono trattate da SCALANCE S in modo diverso e non devono
quindi essere scambiate durante il collegamento alla rete di comunicazione:
• Interfaccia X1 - External Network
Contrassegno rosso = area di rete non protetta;
• Interfaccia X2 - Internal Network
Contrassegno verde = rete protetta con SCALANCE S;
In caso di scambio delle interfacce il dispositivo perde la sua funzione di protezione.
4.1.3
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete
PC1
191.0.0.1
255.255.0.0
PC2
191.0.0.2
255.255.0.0
Per il PC1 e il PC2 procedere quindi nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
25
Firewall in modalità Standard
4.1 Esempio con uno SCALANCE S
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
4.1.4
Creazione di un progetto e di un'unità security
Procedimento:
1. Installare e avviare il software di progettazione Security Configuration Tool sul PC1.
2. Selezionare la voce di menu "Progetto > Nuovo...".
3. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Configurazione di Security
26
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.1 Esempio con uno SCALANCE S
4. Confermare l'immissione con "OK".
Risultato: Il nuovo progetto è creato. La finestra di dialogo "Selezione di un'unità o
configurazione software" si apre
5. Selezionare nelle aree "Tipo di prodotto", "Unità" e "Release del firmware" le seguenti
opzioni:
– Tipo di prodotto: SCALANCE S
– Unità: S612
– Release del firmware: V4
6. Nell'area "Configurazione" inserire l'indirizzo MAC nel formato indicato.
L'indirizzo MAC è stampigliato sul frontalino dell'unità SCALANCE S.
7. Inserire nell'area "Configurazione" l'indirizzo IP esterno (191.0.0.200) e la maschera della
sotto-rete esterna (255.255.0.0) nel formato indicato e confermare la finestra di dialogo
con "OK".
4.1.5
Progettazione del firewall
Nella modalità Standard, le regole predefinite semplificano il comando delle impostazioni del
firewall. Queste regole possono essere attivate mediante clic con il mouse.
Procedimento:
1. Selezionare l'unità Security nell'area del contenuto.
2. Selezionare la voce di menu "Modifica" > "Proprietà...".
3. Selezionare nella finestra di dialogo visualizzata la scheda "Firewall".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
27
Firewall in modalità Standard
4.1 Esempio con uno SCALANCE S
4. Attivare le impostazioni rappresentate di seguito:
Risultato: Il traffico IP può essere inizializzato solo dalla rete interna; dalla rete esterna è
ammessa solo la risposta.
5. Selezionare inoltre l'opzione Log per registrare il traffico di dati.
6. Chiudere la finestra di dialogo con "OK".
7. Salvare il progetto con la voce di menu "Progetto" > "Salva".
Configurazione di Security
28
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.1 Esempio con uno SCALANCE S
4.1.6
Caricamento della configurazione nell'unità Security
Procedimento:
1. Selezionare l'unità Security nell'area del contenuto.
2. Selezionare la voce di menu "Trasferisci" > "Alla/alle unità...".
3. Avviare l'operazione di caricamento con il pulsante "Start".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità SCALANCE S viene
riavviata automaticamente e la nuova configurazione viene attivata.
Risultato: SCALANCE S in esercizio produttivo
SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato
dall'indicatore Fault attraverso luce verde.
La messa in servizio della configurazione è quindi conclusa e SCALANCE S protegge ora la
rete interna (PC 2) tramite il firewall configurato.
4.1.7
Test della funzione firewall (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
29
Firewall in modalità Standard
4.1 Esempio con uno SCALANCE S
Sequenza di test 1
Testare ora il funzionamento della configurazione del firewall dapprima per il traffico di dati
IP dalla rete interna nel modo seguente:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP 191.0.0.1)
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il comando "ping 191.0.0.1" .
Compare il seguente messaggio (risposta positiva del PC1):
Risultato
Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per 191.0.0.1
quanto segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0% di perdita)
A causa della progettazione, i telegrammi Ping possono finire dalla rete interna nella rete
esterna. Il PC nella rete esterna ha risposto ai telegrammi Ping. Con la funzione "StatefulInspection" del firewall i telegrammi di risposta, provenienti solo dalla rete esterna, vengono
autorizzati automaticamente nella rete interna.
Configurazione di Security
30
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.1 Esempio con uno SCALANCE S
Sequenza di test 2
Testare quindi il funzionamento della configurazione del firewall per il traffico di dati IP
inizialmente bloccato dalla dalla rete interna nel modo seguente:
1. Richiamare sul PC1 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC1 sul PC2 (indirizzo IP 191.0.0.2)
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il comando "ping 191.0.0.2" .
Compare il seguente messaggio (nessuna risposta del PC2):
Risultato
I telegrammi IP del PC1 non possono raggiungere il PC2 in quanto il traffico di dati
proveniente dalla "rete esterna" (PC1) verso la "rete interna" (PC2) non è consentito.
Nella "Statistica Ping" per 191.0.0.2 viene visualizzato quanto segue:
● Inviati = 4
● Ricevuti = 0
● Persi = 4 (100% di perdita)
4.1.8
Registrazione del traffico di dati del firewall (Logging)
Nelle unità Security è inserita come standard la registrazione locale degli eventi del sistema
e audit.
Inoltre nel corso nell'esempio durante la progettazione del firewell è stata attivata l'opzione
Log per il traffico di dati corrispondente.
Nella modalità online è possibile visualizzare gli eventi attivati.
Procedimento:
1. Passare al PC1 nel Security Configuration Tool con la voce di menu "Visualizza" >
"Online" nel modo di funzionamento online.
2. Selezionare la voce di menu "Modifica" > "Diagnostica online ...".
3. Selezionare la scheda "Log filtro pacchetto".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
31
Firewall in modalità Standard
4.1 Esempio con uno SCALANCE S
4. Azionare il pulsante "Start Reading"
5. Confermare la finestra di dialogo visualizzata con "OK".
Risultato: le voci Log vengono lette dall'unità Security e visualizzate.
Configurazione di Security
32
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.2 Esempio con un CP x43-1 Advanced
4.2
Esempio con un CP x43-1 Advanced
4.2.1
Informazioni generali
In questo esempio viene progettato il firewall nella visualizzazione di progettazione "Modalità
standard". La modalità standard contiene regole predefinite per il traffico di dati.
Con questa configurazione il traffico IP può essere inizializzato solo da rete interna e dalla
stazione; dalla rete esterna è ammessa solo la risposta.
Nota
Osservare che dopo il caricamento della progettazione la stazione è raggiungibile solo se nel
firewall è abilitato il protocollo S7 (porta TCP 102) da "Esterno => Stazione". Una
comunicazione non codificata dalla rete esterna deve essere evitata dopo la messa in
servizio. Se non si utilizza nessuna realizzazione sicura del collegamento tramite VPN dalla
rete esterna, la diagnostica STEP7 e la modifica della progettazione deve essere eseguita
solo nella rete interna.
Per questo motivo nel seguente esempio la porta per la comunicazione S7 nel firewall non
viene aperta.
Realizzazione della rete di test
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
33
Firewall in modalità Standard
4.2 Esempio con un CP x43-1 Advanced
● Rete interna - Collegamento all'interfaccia interna dell'unità Security
Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato
all'interfaccia interna dell'unità Security.
– PC2: Rappresenta un nodo della rete interna
● Unità Security: CP x43-1 Adv. per la protezione della rete interna
● Rete esterna - Collegamento all'interfaccia esterna dell'unità Security
La rete pubblica, esterna viene collegata all'interfaccia esterna dell'unità Security.
– PC1: PC con software di configurazione Security Configuration Tool e STEP 7
Presupposto:
Per poter effettuare l'esempio è necessario soddisfare i seguenti requisiti:
● Il software di progettazione Security Configuration Tool è installato sul PC1.
● STEP 7 è installato sul PC1 ed è già creato un progetto STEP 7 con l'unità Security.
● L'indirizzo IP del PC1 deve essere nella stessa sotto-rete dell'indirizzo Gigabit dell'unità
Security.
● In STEP 7 il CP x43-1 Adv. ha le seguenti impostazioni:
– Indirizzo IP Gigabit: 140.0.0.1, maschera della sotto-rete: 255.255.0.0
– Indirizzo IP PROFINET: 192.0.0.1, maschera della sotto-rete: 255.255.255.0
Panoramica delle seguenti operazioni:
4.2.2
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete
Standard gateway
PC1
140.0.0.2
255.255.0.0
140.0.0.1
PC2
192.0.0.2
255.255.255.0
192.0.0.1
Configurazione di Security
34
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.2 Esempio con un CP x43-1 Advanced
Per il PC1 e il PC2 procedere quindi nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
35
Firewall in modalità Standard
4.2 Esempio con un CP x43-1 Advanced
4.2.3
Creazione di un progetto e di un'unità security
Procedimento:
1. Nelle proprietà dell'oggetto nella scheda "Security" attivare la casella opzione "Attiva
Security".
2. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: È creato un nuovo progetto Security.
3. Aprire nella configurazione HW il Security Configuration Tool tramite la voce di menu
"Modifica" > "Security Configuration Tool".
Risultato: L'unità Security viene visualizzata nell'elenco delle unità configurate.
4.2.4
Progettazione del firewall
Nella modalità Standard, le regole predefinite semplificano il comando delle impostazioni del
firewall. Queste regole possono essere attivate mediante clic con il mouse.
Procedimento:
1. Selezionare l'unità Security nell'area del contenuto.
2. Selezionare la voce di menu "Modifica" > "Proprietà...".
3. Selezionare nella finestra di dialogo visualizzata la scheda "Firewall".
4. Attivare la casella di controllo "Attiva firewall".
Configurazione di Security
36
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.2 Esempio con un CP x43-1 Advanced
5. Attivare le impostazioni rappresentate di seguito:
Risultato: Il traffico IP può essere inizializzato da rete interna e dalla stazione; dalla rete
esterna è ammessa solo la risposta. È ammesso l'accesso tramite HTTPS per la
diagnostica online da PC1 all'unità Security.
6. Selezionare inoltre l'opzione Log per attivare il traffico di dati corrispondente.
7. Chiudere la finestra di dialogo con "OK".
4.2.5
Caricamento della configurazione nell'unità Security
Procedimento:
1. Chiudere il Security Configuration Tool.
2. Nella configurazione HW selezionare il menu "Stazione" > "Salva e compila".
3. Caricare la nuova configurazione nell'unità Security con il menu "Sistema di destinazione"
> "Carica nell'unità ...".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità Security si avvia
automaticamente e la nuova configurazione è attivata.
Risultato: Unità Security nel funzionamento produttivo:
La messa in servizio della configurazione è conclusa. L'unità Security protegge la rete
interna (PC2). È consentito il traffico IP in uscita dalla rete interna alla rete esterna.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
37
Firewall in modalità Standard
4.2 Esempio con un CP x43-1 Advanced
4.2.6
Test della funzione firewall (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sequenza di test 1
Testare ora il funzionamento della configurazione del firewall dapprima per il traffico di dati
IP in uscita nel modo seguente:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP 140.0.0.2)
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il comando "ping 140.0.0.2" .
Compare il seguente messaggio (risposta positiva del PC1):
Risultato
Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per 140.0.0.2
quanto segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0% di perdita)
Configurazione di Security
38
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.2 Esempio con un CP x43-1 Advanced
A causa della progettazione, i telegrammi Ping possono finire dalla rete interna nella rete
esterna. Il PC nella rete esterna ha risposto ai telegrammi Ping. Con la funzione "StatefulInspection" del firewall i telegrammi di risposta, provenienti solo dalla rete esterna, vengono
autorizzati automaticamente nella rete interna.
Sequenza di test 2
Testare quindi il funzionamento della configurazione del firewall per il traffico di dati IP
inizialmente bloccato dalla dalla rete interna nel modo seguente:
1. Richiamare sul PC1 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC1 sul PC2 (indirizzo IP 192.0.0.2)
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il comando "ping 192.0.0.2" .
Compare il seguente messaggio (nessuna risposta del PC2):
Risultato
I telegrammi IP del PC1 non possono raggiungere il PC2 in quanto il traffico di dati
proveniente dalla "rete esterna" (PC1) e dalla stazione verso la "rete interna" (PC2) non è
consentito.
Nella "Statistica Ping" per 192.0.0.2 viene visualizzato quanto segue:
● Inviati = 4
● Ricevuto = 0
● Perso = 4 (100% perdita)
4.2.7
Registrazione del traffico di dati del firewall (Logging)
Nelle unità Security è inserita come standard la registrazione locale degli eventi del sistema,
audit e del filtro pacchetti.
Inoltre nel corso nell'esempio durante la progettazione del firewell è stata attivata l'opzione
Log per il traffico di dati corrispondente.
Nella modalità online è possibile visualizzare gli eventi attivati.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
39
Firewall in modalità Standard
4.2 Esempio con un CP x43-1 Advanced
Procedimento:
1. Passare al PC1 nel Security Configuration Tool con la voce di menu "Visualizza" >
"Online" nel modo di funzionamento online.
2. Selezionare la voce di menu "Modifica" > "Diagnostica online ...".
3. Selezionare la scheda "Log filtro pacchetto".
4. Azionare il pulsante "Start Reading"
5. Confermare la finestra di dialogo visualizzata con "OK".
Risultato: le voci Log vengono lette dall'unità Security e visualizzate.
Configurazione di Security
40
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.3 Esempio con un CP 1628
4.3
Esempio con un CP 1628
4.3.1
Informazioni generali
In questo esempio viene progettato il firewall nella visualizzazione di progettazione "Modalità
standard". La modalità standard contiene regole predefinite per il traffico di dati.
Con questa configurazione il traffico IP può essere inizializzato solo da PC2; dalla rete
esterna è ammessa solo la risposta.
Realizzazione della rete di test
● PC1: PC con software di configurazione Security Configuration Tool e STEP 7
● PC2 e unità Security: PC con CP 1628
Presupposto:
Per poter effettuare l'esempio è necessario soddisfare i seguenti requisiti:
● Il software di progettazione Security Configuration Tool è installato sul PC1.
● STEP 7 è installato sul PC1 ed è già creato un progetto STEP 7 con l'unità Security.
● In STEP 7 il PC2 con CP 1628 ha le seguenti impostazioni:
– Indirizzo IP Industrial Ethernet 192.168.0.5, maschera della sotto-rete: 255.255.255.0
L'indirizzo IP NDIS viene configurato nelle impostazioni IP del PC.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
41
Firewall in modalità Standard
4.3 Esempio con un CP 1628
Panoramica delle seguenti operazioni:
4.3.2
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete
PC1
192.168.0.101
255.255.255.0
PC2
NDIS: 192.168.0.105
255.255.255.0
Per il PC1 e il PC2 procedere quindi nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
Configurazione di Security
42
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.3 Esempio con un CP 1628
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
43
Firewall in modalità Standard
4.3 Esempio con un CP 1628
4.3.3
Creazione di un progetto e di un'unità security
Procedimento:
1. Nelle proprietà dell'oggetto nella scheda "Security" attivare la casella opzione "Attiva
Security".
2. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: È creato un nuovo progetto Security.
3. Aprire nella configurazione HW il Security Configuration Tool tramite la voce di menu
"Modifica" > "Security Configuration Tool".
Risultato: L'unità Security viene visualizzata nell'elenco delle unità configurate.
4.3.4
Progettazione del firewall
Nella modalità Standard, le regole predefinite semplificano il comando delle impostazioni del
firewall. Queste regole possono essere attivate mediante clic con il mouse.
Procedimento:
1. Selezionare l'unità Security nell'area del contenuto.
2. Selezionare la voce di menu "Modifica" > "Proprietà...".
3. Selezionare nella finestra di dialogo visualizzata la scheda "Firewall".
Configurazione di Security
44
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.3 Esempio con un CP 1628
4. Attivare le impostazioni rappresentate di seguito:
Risultato: Il traffico IP può essere inizializzato solo dal PC2; dal PC1 è ammessa solo la
risposta. È ammesso l'accesso tramite HTTPS per la diagnostica online da PC1 all'unità
Security.
5. Selezionare inoltre l'opzione Log per registrare il traffico di dati.
6. Chiudere la finestra di dialogo con "OK".
4.3.5
Caricamento della configurazione nell'unità Security
Procedimento:
1. Chiudere il Security Configuration Tool.
2. Nella configurazione HW selezionare il menu "Stazione" > "Salva e compila".
3. Caricare la nuova configurazione nell'unità Security con il menu "Sistema di destinazione"
> "Carica nell'unità...".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità Security si avvia
automaticamente e la nuova configurazione è attivata.
Risultato: Unità Security nel funzionamento produttivo:
La messa in servizio della configurazione è conclusa. L'unità Security protegge il PC2. È
consentito il traffico IP in uscita dal PC2 alla rete esterna (PC1).
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
45
Firewall in modalità Standard
4.3 Esempio con un CP 1628
4.3.6
Test della funzione firewall (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sezione di test
Testare ora il funzionamento della configurazione del firewall dapprima per il traffico di dati
IP in uscita nel modo seguente:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP 192.168.0.101)
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il comando "ping 192.168.0.101" .
Compare il seguente messaggio (risposta positiva del PC1):
Risultato
Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per
192.168.0.101 quanto segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0% di perdita)
Configurazione di Security
46
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità Standard
4.3 Esempio con un CP 1628
A causa della progettazione, i telegrammi Ping possono finire dal PC2 al PC1. Il PC1 ha
risposto ai telegrammi Ping. Con la funzione "Stateful-Inspection" del firewall i telegrammi di
risposta, provenienti dal PC1, vengono ammessi automaticamente al PC2.
4.3.7
Registrazione del traffico di dati del firewall (Logging)
Nelle unità Security è inserita come standard la registrazione locale degli eventi del sistema,
audit e del filtro pacchetti.
Inoltre nel corso nell'esempio durante la progettazione del firewell è stata attivata l'opzione
Log per il traffico di dati corrispondente.
Nella modalità online è possibile visualizzare gli eventi attivati.
Procedimento:
1. Passare al PC1 nel Security Configuration Tool con la voce di menu "Visualizza" >
"Online" nel modo di funzionamento online.
2. Selezionare la voce di menu "Modifica" > "Diagnostica online ...".
3. Selezionare la scheda "Log filtro pacchetto".
4. Azionare il pulsante "Start Reading"
5. Confermare la finestra di dialogo visualizzata con "OK".
Risultato: le voci Log vengono lette dall'unità Security e visualizzate.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
47
Firewall in modalità Standard
4.3 Esempio con un CP 1628
Configurazione di Security
48
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.1
SCALANCE S come firewall e router NAT
5.1.1
Informazioni generali
5
In questo esempio è descritta la progettazione del funzionamento router NAT. La
progettazione viene eseguita nella visualizzazione di progettazione "Modalità estesa".
La configurazione consente ai telegrammi trasmessi dalla sotto-rete interna ai nodi PC1
nella rete esterna di passare attraverso il firewall. I telegrammi vengono inoltrati verso
l'esterno con un indirizzo IP trasformato in indirizzi IP dell'unità Security e un numero di porta
indicato dinamicamente. Dalla rete esterna viene consentita solo la risposta a questo
telegramma.
Realizzazione della rete di test
● Rete interna - Collegamento all'interfaccia interna dell'unità Security
Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato
all'interfaccia interna dell'unità Security.
– PC2: Rappresenta un nodo della rete interna
● Unità Security: Unità SCALANCE S per la protezione della rete interna
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
49
Firewall in modalità estesa
5.1 SCALANCE S come firewall e router NAT
● Rete esterna - Collegamento all'interfaccia esterna dell'unità Security
La rete pubblica, esterna viene collegata all'interfaccia esterna dell'unità Security.
PC1: PC con software di configurazione Security Configuration Tool
Apparecchi/componenti necessari:
Per la struttura utilizzare i seguenti componenti:
● 1 SCALANCE S, (inoltre opzionalmente: una guida ad U appositamente montata con
materiale di montaggio);
● 1 alimentazione elettrica di 24V con collegamenti dei cavi e connettori morsettiera;
● 1 PC sul quale è installato lo strumento di progettazione Security Configuration Tool;
● 1 PC nella rete interna per il test della configurazione;
● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet.
Panoramica delle seguenti operazioni:
5.1.2
Configurazione di SCALANCE S e della rete
Procedimento:
1. Disimballare dapprima SCALANCE S e controllare che i componenti non siano
danneggiati.
2. Collegare la tensione di alimentazione a SCALANCE S.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F)
giallo.
Configurazione di Security
50
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.1 SCALANCE S come firewall e router NAT
AVVERTENZA
Utilizzare solo tensione di sicurezza a basso voltaggio
L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso
voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo
tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805.
L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2
(campo di tensione 18-32 V, corrente necessaria ca. 250 mA).
1. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di
rete nelle interfacce previste:
– Collegare PC2 con l'interfaccia interna dell'unità Security.
– Collegare PC1 con l'interfaccia esterna dell'unità Security.
2. Inserire quindi i PC interessati.
Nota
Le interfacce Ethernet vengono trattate da SCALANCE S in modo diverso e non devono
quindi essere scambiate durante il collegamento alla rete di comunicazione:
• Interfaccia X1 - External Network
Contrassegno rosso = area di rete non protetta;
• Interfaccia X2 - Internal Network
Contrassegno verde = rete protetta con SCALANCE S;
In caso di scambio delle interfacce il dispositivo perde la sua funzione di protezione.
5.1.3
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete
Standard gateway
PC1
192.168.10.100
255.255.255.0
192.168.10.1
PC2
172.10.10.100
255.255.255.0
172.10.10.1
Per il PC1 e il PC2 procedere nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
51
Firewall in modalità estesa
5.1 SCALANCE S come firewall e router NAT
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
5.1.4
Creazione di un progetto e di un'unità security
Procedimento:
1. Installare e avviare il software di progettazione Security Configuration Tool sul PC1.
2. Selezionare la voce di menu "Progetto > Nuovo...".
3. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Configurazione di Security
52
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.1 SCALANCE S come firewall e router NAT
4. Confermare l'immissione con "OK".
Risultato: Il nuovo progetto è creato. La finestra di dialogo "Selezione di un'unità o
configurazione software" si apre
5. Selezionare nelle aree "Tipo di prodotto", "Unità" e "Release del firmware" le seguenti
opzioni:
– Tipo di prodotto: SCALANCE S
– Unità S612
– Release del firmware: V4
6. Nell'area "Configurazione" inserire l'indirizzo MAC nel formato indicato.
L'indirizzo MAC è stampigliato sul frontalino dell'unità SCALANCE S.
7. Inserire nell'area "Configurazione" l'indirizzo IP esterno (192.168.10.1) e la maschera
della sotto-rete esterna (255.255.255.0) nel formato indicato e confermare la finestra di
dialogo con "OK".
5.1.5
Progettazione dell’esercizio NAT router
Attivazione del funzionamento router
1. Commutare la visualizzazione della progettazione con la voce di menu "Visualizza" >
"Modalità estesa" nella modalità estesa.
2. Selezionare l'unità Security nell'area del contenuto.
3. Selezionare la voce di menu "Modifica" > "Proprietà...".
Risultato: La scheda "Interfacce" viene aperta.
4. Selezionare dalla casella di riepilogo "Routing interfaccia esterno/interno" la voce
"Modalità routing".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
53
Firewall in modalità estesa
5.1 SCALANCE S come firewall e router NAT
5. Nel campo di immissione "Interno (X2)" completare l'inserimento dell'indirizzo per
l'interfaccia interna dello SCALANCE S nel modo seguente:
– Indirizzo IP: 172.10.10.1
– Finestra della sotto-rete: 255.255.255.0
6. Confermare con "Applica".
Attivazione del funzionamento router NAT per nodi interni
1. Selezionare la scheda "NAT/NAPT”.
2. Attivare la casella di controllo "Attiva NAT".
3. Fare clic nel campo di immissione "NAT" sul pulsante "Aggiungi".
Configurazione di Security
54
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.1 SCALANCE S come firewall e router NAT
4. Progettare una regola NAT con i seguenti parametri:
– Azione: "NAT sorgente"
– Da: "Interno"
– A: "Esterno"
– Indirizzo IP sorgente: "*"
– Trasferimento sorgente: "192.168.10.1"
5. Confermare con "Applica".
Risultato: Da SCT è stata generata automaticamente una regola firewall che abilita la
comunicazione nella direzione di conversione di indirizzo progettata. Nella fase successiva
specificare questa regola firewall limitato gli indirizzi IP di destinazione ammessi dei
telegrammi all'indirizzo IP di PC1.
5.1.6
Progettazione di firewall
Procedimento:
1. Selezionare la scheda "Firewall”.
2. Completare la regola firewall creata da SCT e seguire le indicazioni:
– Indirizzo IP di destinazione: 192.168.10.100
3. Nella riga della regola firewall attivare la casella di controllo "Logging". In questo modo i
telegrammi ai quali viene applicata la regola firewall vengono registrati.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
55
Firewall in modalità estesa
5.1 SCALANCE S come firewall e router NAT
4. Confermare con "Applica".
5. Chiudere la finestra di dialogo con "OK".
5.1.7
Caricamento della configurazione nell'unità Security
Procedimento:
1. Selezionare la voce di menu "Progetto" > "Salva".
2. Selezionare l'unità Security nell'area del contenuto.
3. Selezionare la voce di menu "Trasferisci" > "Alla/alle unità...".
4. Avviare l'operazione di caricamento con il pulsante "Start".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità SCALANCE S viene
riavviata automaticamente e la nuova configurazione viene attivata.
Configurazione di Security
56
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.1 SCALANCE S come firewall e router NAT
Risultato: SCALANCE S in esercizio produttivo
SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato
dall'indicatore Fault attraverso luce verde.
5.1.8
Test della funzione router NAT e registrazione del traffico di dati
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping. Per poter riconoscere la modalità router NAT utilizzare il logging filtro pacchetto.
Osservazione per il comando Ping: in alternativa possono essere utilizzati anche altri
programmi di comunicazione per il test della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sezione di test 1 - Trasmissione del comando ping
Testare ora il funzionamento della modalità NAT router per il traffico di dati IP dall'interno
all'esterno nel modo seguente:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP 192.168.10.100)
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il comando "ping 192.168.10.100" .
Compare di conseguenza il seguente messaggio (risposta positiva del PC1):
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
57
Firewall in modalità estesa
5.1 SCALANCE S come firewall e router NAT
Risultato
Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per
192.168.10.100 quanto segue:
● Inviati = 4
● Ricevuto = 4
● Perso = 0 (0% perdita)
Sezione di test 2 - Analisi del risultato
1. Passare in modalità online nel Security Configuration Tool con la voce di menu
"Visualizza" > "Online".
2. Selezionare l'unità da modificare e selezionare la voce di menu "Modifica" > "Diagnostica
online..." per aprire la finestra di dialogo online.
3. Selezionare la scheda "Log filtro pacchetto".
4. Azionare il pulsante "Start Reading"
5. Confermare la finestra di dialogo visualizzata con "OK".
Risultato: le voci Log vengono lette dall'unità Security e visualizzate.
Configurazione di Security
58
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.1 SCALANCE S come firewall e router NAT
Risultato
Nelle righe di visualizzazione della registrazione si riconosce quanto segue:
● Riga di visualizzazione 1
Gli indirizzi IP dei telegrammi da PC2 a PC1 vengono indicati sull'interfaccia verso la rete
esterna con l'indirizzo IP esterno dell'unità Security (192.168.10.1). Questo corrisponde
alla conversione estesa di indirizzo (qui non è visibile l'assegnazione di porta
supplementare).
● Riga di visualizzazione 2
I telegrammi di risposta vengono visualizzati con l'indirizzo di destinazione del nodo nella
sotto-rete interna (PC2: 172.10.10.100).
● In base alle seguenti righe di visualizzazione
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
59
Firewall in modalità estesa
5.2 SCALANCE S come firewall tra rete esterna e DMZ
5.2
SCALANCE S come firewall tra rete esterna e DMZ
5.2.1
Informazioni generali
Informazioni generali
In questo esempio creare nel Security Configuration Tool una regola firewall che consenta
l'accesso da un PC dalla rete esterna ad un server Web nella rete DMZ. L'accesso alla rete
interna rimane bloccato.
Realizzazione della rete di test
Apparecchi/componenti necessari
Per la realizzazione sono necessari utilizzare i seguenti componenti:
● 1 SCALANCE S623, (inoltre opzionalmente: una guida ad U appositamente montata con
materiale di montaggio);
● 1 alimentazione elettrica di 24V con collegamento del cavo e connettore morsettiera;
● 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool";
● 1 server Web per il test della configurazione;
● 1 PC per il test della configurazione;
● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet.
Configurazione di Security
60
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.2 SCALANCE S come firewall tra rete esterna e DMZ
Requisito richiesto:
Per poter effettuare l'esempio è necessario soddisfare il seguente requisito:
● Per il server Web è stato definito un indirizzo IP, una maschera della sottorete e un
gateway standard. Le indicazioni di indirizzo IP utilizzate in questo esempio sono
illustrate nel capitolo "Configurazione delle impostazioni IP dei nodi di rete".
Panoramica delle seguenti operazioni:
5.2.2
Configurazione di SCALANCE S e rete
Procedimento:
1. Disimballare dapprima SCALANCE S623 e controllare che i componenti non siano
danneggiati.
2. Collegare la tensione di alimentazione a SCALANCE S623.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo.
AVVERTENZA
Utilizzare solo tensione di sicurezza a basso voltaggio
L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso
voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo
tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805.
L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2
(campo di tensione 18-32 V, corrente necessaria ca. 250 mA).
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
61
Firewall in modalità estesa
5.2 SCALANCE S come firewall tra rete esterna e DMZ
1. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di
rete nelle interfacce previste:
– Collegare PC1 con l'interfaccia interna dell'unità Security.
– Collegare il server Web con l'interfaccia DMZ dell'unità Security.
– Collegare PC2 con l'interfaccia esterna dell'unità Security.
2. Accendere quindi i PC.
Nota
Le interfacce Ethernet vengono trattate da SCALANCE S in modo diverso e non devono
quindi essere scambiate durante il collegamento alla rete di comunicazione:
• Interfaccia X1 - External Network
Contrassegno rosso = area di rete non protetta;
• Interfaccia X2 - Internal Network
Contrassegno verde = rete protetta con SCALANCE S;
• Interfaccia X3 - porta DMZ (interfaccia di rete universale)
Contrassegno giallo = area di rete non protetta o area di rete protetta con SCALANCE
S.
In caso di scambio delle interfacce il dispositivo perde la sua funzione di protezione.
5.2.3
Configurazione delle impostazioni IP dei nodi di rete
Per il test nei nodi di rete essere impostati i seguenti indirizzi IP:
Nodi di rete
Indirizzo IP
Finestra della sottorete
Gateway standard (SCALANCE
S623)
PC1
192.168.2.100
255.255.255.0
192.168.2.1
Webserver
192.168.3.100
255.255.255.0
192.168.3.1
PC2
192.168.1.100
255.255.255.0
192.168.1.1
Definizione degli indirizzi IP dei PC
1. Aprire nel PC1 il pannello di controllo con la voce di menu "Start" > "Pannello di
controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
Configurazione di Security
62
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.2 SCALANCE S come firewall tra rete esterna e DMZ
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
nei nodi di rete" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
8. Ripetere le operazioni 1-7 come per PC2.
5.2.4
Creazione di un progetto e di un'unità security
Procedimento:
1. Installare e avviare il software di progettazione Security Configuration Tool sul PC2.
2. Selezionare la voce di menu "Progetto > Nuovo...".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
63
Firewall in modalità estesa
5.2 SCALANCE S come firewall tra rete esterna e DMZ
3. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: Il nuovo progetto è creato. La finestra di dialogo "Selezione di un'unità o
configurazione software" si apre
4. Selezionare nelle aree "Tipo di prodotto", "Unità" e "Release del firmware" le seguenti
opzioni:
– Tipo di prodotto: SCALANCE S
– Unità: S623
– Release del firmware: V4
5. Nell'area "Configurazione" inserire l'indirizzo MAC nel formato indicato. L'indirizzo MAC è
stampigliato frontalino dell'unità SCALANCE S (vedere figura).
6. Inserire nell'area "Configurazione" l'indirizzo IP esterno (192.168.1.1) e la maschera della
sotto-rete esterna (255.255.255.0) nel formato indicato.
7. Selezionare dalla casella di riepilogo "Routing interfaccia esterno/interno" il modo
operativo "Modalità routing".
8. Inserire nel formato indicato l'indirizzo IP interno (192.168.2.1) e la maschera della sottorete interna (255.255.255.0) e confermare la finestra di dialogo con "OK".
9. Selezionare l'unità Security nell'area del contenuto.
10.Selezionare la voce di menu "Modifica" > "Proprietà...".
Configurazione di Security
64
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.2 SCALANCE S come firewall tra rete esterna e DMZ
11.Attivare nell'area "Porta DMZ (X3)" della scheda "Interfacce" la casella di controllo "Attiva
interfaccia" e inserire l'indirizzo IP (192.168.3.1) e la maschera della sottorete
(255.255.255.0) per l'interfaccia DMZ.
12.Confermare la finestra di dialogo con "OK".
5.2.5
Progettazione di firewall
Di seguito definire una regola firewall che consenta l'accesso dal PC2 nella rete esterna al
server Web nella rete DMZ.
Progettazione del firewall - Procedimento
1. Commutare la visualizzazione della progettazione con la voce di menu "Visualizza" >
"Modalità estesa" nella modalità estesa.
2. Selezionare l'unità Security nell'area del contenuto.
3. Selezionare la voce di menu "Modifica " > Proprietà...", scheda "Firewall"
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
65
Firewall in modalità estesa
5.2 SCALANCE S come firewall tra rete esterna e DMZ
4. Fare clic sul pulsante "Aggiungi regola" e inserire una regola come illustrato di seguito.
5. Fare clic sul pulsante "Applica" e quindi sul pulsante "Servizi IP...".
6. Nella finestra di dialogo "Definizioni dei servizi IP" fare clic sul pulsante "Aggiungi servizio
IP" e inserire un servizio IP come illustrato di seguito. Il nome del servizio IP non ha
nessun effetto sulla sua funzione.
7. Chiudere la finestra di dialogo "Definizioni dei servizi IP" con "OK".
8. Per la regola firewall selezionare il servizio IP attualmente definito dalla casella di
riepilogo nella colonna "Servizio".
9. Chiudere la finestra di dialogo con "OK".
Configurazione di Security
66
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.2 SCALANCE S come firewall tra rete esterna e DMZ
5.2.6
Caricamento della configurazione nell'unità Security
Procedimento:
1. Selezionare la voce di menu "Progetto" > "Salva".
2. Selezionare l'unità Security nell'area del contenuto.
3. Selezionare la voce di menu "Trasferisci" > "Alla/alle unità...".
4. Avviare l'operazione di caricamento con il pulsante "Start".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità SCALANCE S viene
riavviata automaticamente e la nuova configurazione viene attivata.
Risultato: SCALANCE S in esercizio produttivo
SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato
dall'indicatore Fault attraverso luce verde.
5.2.7
Test della funzione firewall tramite l'accesso al Web server
Procedimento:
1. Avviare un Webbrowser sul PC2.
2. Testare la raggiungibilità del server Web inserendo l'indirizzo IP del server Web
(192.168.3.100) nella riga dell'indirizzo del Web browser. Nel seguente caso viene ad es.
richiamato un file HTML che si trova nel server Web.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
67
Firewall in modalità estesa
5.2 SCALANCE S come firewall tra rete esterna e DMZ
Risultato
Con la regola firewall progettata l'accesso dal PC2 nella rete esterna al server Web nella
rete DMZ ha potuto essere realizzato correttamente.
5.2.8
Test della funzione firewall tramite test ping
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Firewall in Windows
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sezione di test
Testare ora il funzionamento della configurazione del firewall per il traffico di dati disabilitato
dalla rete esterna alla rete interna nel modo seguente:
1. Richiamare il prompt dei comandi dalla voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi" sul PC2.
2. Inserimento dell'istruzione ping da PC2 a PC1 (indirizzo IP 192.168.2.100).
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 192.168.2.100"
Compare di conseguenza il seguente messaggio (nessuna risposta del PC1):
Configurazione di Security
68
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.2 SCALANCE S come firewall tra rete esterna e DMZ
Risultato
I telegrammi IP del PC2 non possono raggiungere il PC1 in quanto il traffico di dati
proveniente dalla rete esterna verso la rete interna non è consentito.
Nella "Statistica Ping" per 192.168.2.100 viene visualizzato quanto segue:
● Inviati = 4
● Ricevuto = 0
● Perso = 4 (100% perdita)
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
69
Firewall in modalità estesa
5.3 SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna
5.3
SCALANCE S come firewall specifico per l'utente tra rete esterna e
la rete interna
5.3.1
Informazioni generali
Informazioni generali
In questo esempio creare un set di regole IP personalizzate e assegnalo ad un utente. La
progettazione viene eseguita nella visualizzazione di progettazione "Modalità estesa".
L'utente creato può accedere dal PC1 nella rete esterna al PC2 nella rete interna. Per gli altri
utenti l'accesso rimane bloccato.
Realizzazione della rete di test
● Rete interna - Collegamento all'interfaccia interna dell'unità Security
Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato
all'interfaccia interna dell'unità Security.
– PC2: Rappresenta un nodo della rete interna
● Unità Security: Unità SCALANCE S per la protezione della rete interna
Configurazione di Security
70
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.3 SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna
● Rete esterna - Collegamento all'interfaccia esterna dell'unità Security
La rete pubblica, esterna viene collegata all'interfaccia esterna dell'unità Security.
PC1: PC con software di configurazione Security Configuration Tool
Apparecchi/componenti necessari:
Per la struttura utilizzare i seguenti componenti:
● 1 SCALANCE S, (inoltre opzionalmente: una guida ad U appositamente montata con
materiale di montaggio);
● 1 alimentazione elettrica di 24V con collegamento del cavo e connettore morsettiera;
● 1 PC sul quale è installato lo strumento di progettazione Security Configuration Tool;
● 1 PC nella rete interna per il test della configurazione;
● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet.
Panoramica delle seguenti operazioni:
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
71
Firewall in modalità estesa
5.3 SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna
5.3.2
Configurazione di SCALANCE S e della rete
Procedimento:
1. Disimballare dapprima SCALANCE S e controllare che i componenti non siano
danneggiati.
2. Collegare la tensione di alimentazione a SCALANCE S.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F)
giallo.
AVVERTENZA
Utilizzare solo tensione di sicurezza a basso voltaggio
L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso
voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo
tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805.
L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2
(campo di tensione 18-32 V, corrente necessaria ca. 250 mA).
1. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di
rete nelle interfacce previste:
– Collegare PC2 con l'interfaccia interna dell'unità Security.
– Collegare PC1 con l'interfaccia esterna dell'unità Security.
2. Inserire quindi i PC interessati.
Nota
Le interfacce Ethernet vengono trattate da SCALANCE S in modo diverso e non devono
quindi essere scambiate durante il collegamento alla rete di comunicazione:
• Interfaccia X1 - External Network
Contrassegno rosso = area di rete non protetta;
• Interfaccia X2 - Internal Network
Contrassegno verde = rete protetta con SCALANCE S;
In caso di scambio delle interfacce il dispositivo perde la sua funzione di protezione.
5.3.3
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete Standard gateway
PC1
192.168.1.100
255.255.255.0
192.168.1.1
PC2
192.168.2.100
255.255.255.0
192.168.2.1
Configurazione di Security
72
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.3 SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna
Per il PC1 e il PC2 procedere quindi nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
73
Firewall in modalità estesa
5.3 SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna
5.3.4
Creazione di un progetto e di un'unità security
Procedimento:
1. Installare e avviare il software di progettazione Security Configuration Tool sul PC1.
2. Selezionare la voce di menu "Progetto > Nuovo...".
3. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: Il nuovo progetto è creato. La finestra di dialogo "Selezione di un'unità o
configurazione software" si apre
4. Selezionare nelle aree "Tipo di prodotto", "Unità" e "Release del firmware" le seguenti
opzioni:
– Tipo di prodotto: SCALANCE S
– Unità: S612
– Release del firmware: V4
5. Nell'area "Configurazione" inserire l'indirizzo MAC nel formato indicato.
L'indirizzo MAC è stampigliato sul frontalino dell'unità SCALANCE S.
6. Inserire nell'area "Configurazione" l'indirizzo IP esterno (192.168.1.1) e la maschera della
sotto-rete esterna (255.255.255.0) nel formato indicato.
7. Selezionare dalla casella di riepilogo "Routing interfaccia esterno/interno" il modo
operativo "Modalità routing".
8. Inserire nel formato indicato l'indirizzo IP interno (192.168.2.1) e la maschera della sottorete interna (255.255.255.0) e confermare la finestra di dialogo con "OK".
Configurazione di Security
74
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.3 SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna
5.3.5
Creazione dell'utente accesso remoto
Creazione di un utente accesso remoto
1. Selezionare la voce di menu "Opzioni" > "Gestione utenti...".
2. Fare clic sul pulsante "Aggiungi..." nella scheda "Utenti".
3. Creare un nuovo utente con le seguenti impostazioni:
4. Chiudere la finestra di dialogo con "OK".
5. Chiudere la gestione utenti con "OK".
5.3.6
Impostazione e assegnazione del set di regole IP personalizzato
A questa funzione si accede nel modo seguente
1. Commutare la visualizzazione della progettazione con la voce di menu "Visualizza" >
"Modalità estesa" nella modalità estesa.
2. Nell'area di navigazione selezionare l'oggetto "Set di regole IP personalizzati"
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
75
Firewall in modalità estesa
5.3 SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna
3. Selezionare la voce "Inserisci set di regole..." nel menu contestuale.
4. Inserire nella finestra di dialogo visualizzata una regola come rappresentato di seguito:
5. Selezionare dall'elenco "Utenti e ruoti disponibili" la voce "Remoto (utente)" e fare clic sul
pulsante "Assegna".
6. Chiudere la finestra di dialogo con "OK".
Configurazione di Security
76
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.3 SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna
Assegnazione del set regole - Procedimento
1. Selezionare nell'area di navigazione l'unità Security e trascinarla sul nuovo set di regole
IP personalizzato creato tenendo premuto il tasto sinistro del mouse.
2. L'assegnazione può essere controllata aprendo la finestra di dialogo per l'impostazione
delle proprietà dell'unità e selezionando la scheda "Firewall". Il set di regole IP
personalizzato è stato creato nella sottoscheda "Regole IP".
3. Azionando il pulsante "Apri set regole" si visualizza il blocco di regola in dettaglio.
Risultato: La configurazione offline è conclusa.
5.3.7
Caricamento della configurazione nell'unità Security
Procedimento:
1. Selezionare la voce di menu "Progetto" > "Salva".
2. Selezionare l'unità Security nell'area del contenuto.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
77
Firewall in modalità estesa
5.3 SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna
3. Selezionare la voce di menu "Trasferisci" > "Alla/alle unità...".
4. Avviare l'operazione di caricamento con il pulsante "Start".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità SCALANCE S viene
riavviata automaticamente e la nuova configurazione viene attivata.
Risultato: SCALANCE S in esercizio produttivo
SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato
dall'indicatore Fault attraverso luce verde.
Configurazione di Security
78
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.3 SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna
5.3.8
Login nella pagina Web
Login tramite pagina Web
1. Nel Web Browser del PC1 inserire l'indirizzo "https://192.168.1.1".
2. Nella finestra successiva inserire il nome utente "Remoto" nonché la relativa password e
fare clic sul pulsante "Login".
3. Il set di regole firewall IP definito per l'utente "Remoto" è attivato. È consentito l'accesso
dal PC1 nella rete esterna al PC2 nella rete interna.
5.3.9
Test della funzione firewall (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
79
Firewall in modalità estesa
5.3 SCALANCE S come firewall specifico per l'utente tra rete esterna e la rete interna
Sezione di test
Testare ora il funzionamento della configurazione nel modo seguente:
1. Richiamare sul PC1 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC1 sul PC2 (indirizzo IP 192.168.2.100)
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il comando "ping 192.168.2.100" .
Compare il seguente messaggio (risposta positiva del PC2):
Risultato
Quando si sono raggiunti i telegrammi IP PC2 , la "Statistica Ping" visualizza per
192.168.2.100 quanto segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0% di perdita)
A causa della progettazione, i telegrammi Ping possono finire dalla rete esterna nella rete
interna. Il PC nella rete interna ha risposto ai telegrammi Ping. Con la funzione "StatefulInspection" del firewall i telegrammi di risposta, provenienti dalla rete interna vengono
ammessi automaticamente nella rete esterna.
Configurazione di Security
80
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
5.4
SCALANCE S come firewall specifico per l'utente tra rete
sull'interfaccia DMZ e la rete interna
5.4.1
Informazioni generali
Informazioni generali
In questo esempio creare un set di regole IP personalizzate e assegnalo ad un utente. La
progettazione viene eseguita nella visualizzazione di progettazione "Modalità estesa".
L'utente creato può accedere dal PC3 nella rete sull'interfaccia DMZ al PC1 nella rete
interna. Per gli altri utenti l'accesso rimane bloccato.
Realizzazione della rete di test
● Rete interna - Collegamento all'interfaccia interna dell'unità Security
Nella rete interna si trova un PC collegato all'interfaccia interna dell'unità Security.
● Rete sull'interfaccia DMZ - Collegamento all'interfaccia DMZ dell'unità Security
Nella rete sull'interfaccia DMZ si trova un PC che viene collegato all'interfaccia DMZ
dell'unità Security. Sul PC è installato il software di progettazione Security Configuration
Tool
● Rete esterna - Collegamento all'interfaccia esterna dell'unità Security
Il PC collegato all'interfaccia esterna rappresenta un nodo della rete esterna.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
81
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
Apparecchi/componenti necessari
Per la struttura utilizzare i seguenti componenti:
● 1 x SCALANCE S623 (inoltre opzionalmente: una guida ad U appositamente montata con
materiale di montaggio);
● 1 alimentazione elettrica di 24V con collegamento del cavo e connettore morsettiera;
● 1 PC nella rete sull'interfaccia DMZ sul quale è installato il software di progettazione
Security Configuration Tool;
● 2 PC nella rete interna o nella rete esterna per il test della configurazione;
● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet.
Requisito richiesto:
Per poter effettuare l'esempio è necessario soddisfare i seguenti requisiti:
● Per Le interfacce dell'unità SCALANCE S623 nel Security Configuration Tool sono stati
configurati indirizzi IP e la configurazione è stata caricata tramite l'interfaccia esterna o
interna sull'unità Security. La creazione di una configurazione di questo tipo e il
caricamento della configurazione nell'unità Security tramite l'interfaccia esterna sono
descritti nel seguente capitolo:
– Progettazione di indirizzi IP per SCALANCE S623 (Pagina 15)
Panoramica delle seguenti operazioni
Configurazione di Security
82
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
5.4.2
Configurazione di SCALANCE e della rete
Procedimento:
1. Disimballare dapprima SCALANCE S623 e controllare che i componenti non siano
danneggiati.
2. Collegare la tensione di alimentazione a SCALANCE S623.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F)
giallo.
AVVERTENZA
Utilizzare solo tensione di sicurezza a basso voltaggio
L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a
basso voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere
collegate solo tensioni di sicurezza a basso voltaggio (SELV) secondo
IEC950/EN60950/ VDE0805.
L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2
(campo di tensione 18-32 V, corrente necessaria ca. 250 mA).
3. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di
rete nelle interfacce previste:
– Collegare PC1 con l'interfaccia interna dell'unità Security.
– Collegare PC2 con l'interfaccia esterna dell'unità Security.
– Collegare PC3 con l'interfaccia DMZ dell'unità Security.
4. Accendere quindi i PC.
Nota
Le interfacce Ethernet vengono trattate da SCALANCE S in modo diverso e non devono
quindi essere scambiate durante il collegamento alla rete di comunicazione:
• Interfaccia X1 - External Network
Contrassegno rosso = area di rete non protetta;
• Interfaccia X2 - Internal Network
Contrassegno verde = rete protetta con SCALANCE S;
• Interfaccia X3 - porta DMZ (interfaccia di rete universale)
Contrassegno giallo = area di rete non protetta o area di rete protetta con SCALANCE
S.
In caso di scambio delle interfacce il dispositivo perde la sua funzione di protezione.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
83
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
5.4.3
Configurazione delle impostazioni IP dei nodi di rete
Per il test nei nodi di rete essere impostati i seguenti indirizzi IP:
Nodi di rete
Indirizzo IP
Finestra della sottorete
Gateway standard (SCALANCE
S623)
PC1
192.168.2.100
255.255.255.0
192.168.2.1
PC2
192.168.3.100
255.255.255.0
192.168.3.1
PC3
192.168.1.100
255.255.255.0
192.168.1.1
Definizione degli indirizzi IP dei PC
1. Aprire nel PC1 il pannello di controllo con la voce di menu "Start" > "Pannello di
controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
4. Fare clic sul pulsante "Proprietà".
Configurazione di Security
84
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
nei nodi di rete" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
8. Ripetere le operazioni 1-7 come per PC2 e PC3.
5.4.4
Creazione di un progetto e di un'unità security
Procedimento:
1. Installare e avviare il software di progettazione Security Configuration Tool sul PC3.
2. Selezionare la voce di menu "Progetto > Nuovo...".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
85
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
3. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: Il nuovo progetto è creato. La finestra di dialogo "Selezione di un'unità o
configurazione software" si apre
4. Selezionare nelle aree "Tipo di prodotto", "Unità" e "Release del firmware" le seguenti
opzioni:
– Tipo di prodotto: SCALANCE S
– Unità: S623
– Release del firmware: V4
5. Nell'area "Configurazione" inserire l'indirizzo MAC nel formato indicato. L'indirizzo MAC è
stampigliato frontalino dell'unità SCALANCE S (vedere figura).
6. Inserire nell'area "Configurazione" l'indirizzo IP esterno (192.168.3.1) e la maschera della
sotto-rete esterna (255.255.255.0) nel formato indicato.
7. Selezionare dalla casella di riepilogo "Routing interfaccia esterno/interno" il modo
operativo "Modalità routing".
8. Inserire nel formato indicato l'indirizzo IP interno (192.168.2.1) e la maschera della sottorete interna (255.255.255.0) e confermare la finestra di dialogo con "OK".
9. Selezionare l'unità Security nell'area del contenuto.
10.Selezionare la voce di menu "Modifica" > "Proprietà...".
Configurazione di Security
86
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
11.Attivare nell'area "Porta DMZ (X3)" della scheda "Interfacce" la casella di controllo "Attiva
interfaccia" e inserire l'indirizzo IP (192.168.1.1) e la maschera della sottorete
(255.255.255.0) per l'interfaccia DMZ.
12.Confermare la finestra di dialogo con "OK".
5.4.5
Creazione dell'utente accesso remoto
Creazione di un utente accesso remoto
1. Selezionare la voce di menu "Opzioni" > "Gestione utenti...".
2. Fare clic sul pulsante "Aggiungi..." nella scheda "Utenti".
3. Creare un nuovo utente con le seguenti impostazioni:
4. Chiudere la finestra di dialogo con "OK".
5. Chiudere la gestione utenti con "OK".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
87
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
5.4.6
Impostazione e assegnazione del set di regole IP personalizzato
Impostazione del set di regole IP personalizzato
1. Commutare la visualizzazione della progettazione con la voce di menu "Visualizza" >
"Modalità estesa" nella modalità estesa.
2. Nell'area di navigazione selezionare l'oggetto "Set di regole IP personalizzati"
3. Selezionare la voce "Inserisci set di regole..." nel menu contestuale.
4. Nella finestra di dialogo visualizzata fare clic sul pulsante "Aggiungi regola" per inserire
una nuova regola.
Configurazione di Security
88
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
5. Inserire una regola come illustrato di seguito:
Osservazione: In questo esempio viene descritto un accesso totale ai nodi di rete con
indirizzo IP "192.168.2.100" nella rete interna senza filtro sul livello della porta. Un
esempio per la creazione di regole firewall specifiche si trovano nel seguente capitolo:
Progettazione di firewall (Pagina 65)
Per ulteriori dettagli vedere il manuale di progettazione "SIMATIC NET Industrial Ethernet
Security - Nozioni di base e applicazione"
6. Selezionare dall'elenco "Utenti e ruoti disponibili" la voce "Remoto (utente)" e fare clic sul
pulsante "Assegna".
7. Confermare la finestra di dialogo con "OK".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
89
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
Assegnazione del set di regole IP personalizzato
1. Selezionare nell'area di navigazione l'unità Security e trascinarla sul nuovo set di regole
IP personalizzato creato tenendo premuto il tasto sinistro del mouse.
2. L'assegnazione può essere controllata aprendo la finestra di dialogo per l'impostazione
delle proprietà dell'unità e selezionando la scheda "Firewall". Il set di regole IP
personalizzato è stato creato nella sottoscheda "Regole IP".
3. Azionando il pulsante "Apri set regole" è possibile visualizzare il set di regole IP in
dettaglio.
Risultato: La configurazione offline è conclusa.
5.4.7
Caricamento della configurazione nell'unità Security
Procedimento:
1. Selezionare la voce di menu "Progetto" > "Salva".
2. Selezionare l'unità Security nell'area del contenuto.
Configurazione di Security
90
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
3. Selezionare la voce di menu "Trasferisci" > "Alla/alle unità...".
4. Avviare l'operazione di caricamento con il pulsante "Start".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità SCALANCE S viene
riavviata automaticamente e la nuova configurazione viene attivata.
Risultato: SCALANCE S in esercizio produttivo
SCALANCE S si trova ora nell'esercizio produttivo. Questo stato operativo viene segnalato
dall'indicatore Fault attraverso luce verde.
5.4.8
Login nella pagina Web
Login tramite pagina Web
1. Nel Web browser del PC3 inserire l'indirizzo "https://192.168.1.1".
2. Nella finestra successiva inserire il nome utente "Remoto" nonché la relativa password e
fare clic sul pulsante "Login".
3. Il set di regole firewall IP definito per l'utente "Remoto" è attivato. È consentito l'accesso
dal PC3 nella rete sull'interfaccia DMZ al PC1 nella rete interna.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
91
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
5.4.9
Test della funzione firewall (test ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Firewall in Windows
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sequenza di test 1
Testare ora il funzionamento della configurazione nel modo seguente:
1. Richiamare sul PC3 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Inserimento dell'istruzione ping da PC3 a PC1 (indirizzo IP 192.168.2.100).
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 192.168.2.100"
Compare di conseguenza il seguente messaggio (risposta positiva del PC1):
Risultato
Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per
192.168.2.100 quanto segue:
● Inviati = 4
● Ricevuto = 4
● Perso = 0 (0% perdita)
Configurazione di Security
92
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.4 SCALANCE S come firewall specifico per l'utente tra rete sull'interfaccia DMZ e la rete interna
A causa della progettazione, i telegrammi ping possono finire dalla rete sull'interfaccia DMZ
nella rete interna. Il PC1 nella rete interna ha risposto ai telegrammi Ping. Con la funzione
"Stateful-Inspection" del firewall i telegrammi di risposta, provenienti dalla rete interna
vengono ammessi automaticamente nella rete sull'interfaccia DMZ.
Sequenza di test 2
Testare ora il funzionamento della configurazione del firewall per il traffico di dati disabilitato
dalla rete sull'interfaccia DMZ alla rete esterna nel modo seguente:
1. Richiamare di nuovo il prompt dei comandi sul PC3 dalla voce di menu "Start" > "Tutti i
programmi" > "Accessori" > "Prompt dei comandi"
2. Inserimento dell'istruzione ping da PC3 a PC2 (indirizzo IP 192.168.3.100).
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 192.168.3.100"
Compare di conseguenza il seguente messaggio (nessuna positiva del PC2):
Risultato
I telegrammi IP del PC3 non possono raggiungere il PC2 in quanto il traffico di dati
proveniente dalla rete sull'interfaccia DMZ verso la rete esterna non è consentito.
Nella "Statistica Ping" per 192.168.3.100 viene visualizzato quanto segue:
● Inviati = 4
● Ricevuto = 0
● Perso = 4 (100% perdita)
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
93
Firewall in modalità estesa
5.5 CP x43-1 Advanced come firewall e router NAT
5.5
CP x43-1 Advanced come firewall e router NAT
5.5.1
Informazioni generali
In questo esempio è descritta la progettazione del funzionamento router NAT. La
progettazione viene eseguita nella visualizzazione di progettazione "Modalità estesa".
La configurazione consente ai telegrammi trasmessi dalla sotto-rete interna ai nodi PC1
nella rete esterna di passare attraverso il firewall. I telegrammi vengono inoltrati verso
l'esterno con un indirizzo IP trasformato in indirizzi IP dell'unità Security e un numero di porta
indicato dinamicamente. Dalla rete esterna viene consentita solo la risposta a questo
telegramma.
Nota
Osservare che dopo il caricamento della progettazione la stazione è raggiungibile solo se nel
firewall è abilitato il protocollo S7 (porta TCP 102) da "Esterno => Stazione". Una
comunicazione non codificata dalla rete esterna deve essere evitata dopo la messa in
servizio. Se non si utilizza nessuna realizzazione sicura del collegamento tramite VPN dalla
rete esterna, la diagnostica STEP7 e la modifica della progettazione deve essere eseguita
solo nella rete interna.
Per questo motivo nel seguente esempio la porta per la comunicazione S7 nel firewall non
viene aperta.
Realizzazione della rete di test
Configurazione di Security
94
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.5 CP x43-1 Advanced come firewall e router NAT
● Rete interna - Collegamento all'interfaccia interna dell'unità Security
Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato
all'interfaccia interna dell'unità Security.
– PC2: Rappresenta un nodo della rete interna
● Unità Security: CP x43-1 Adv. per la protezione della rete interna
● Rete esterna - Collegamento all'interfaccia esterna dell'unità Security
La rete pubblica, esterna viene collegata all'interfaccia esterna dell'unità Security.
– PC1: PC con software di configurazione Security Configuration Tool e STEP 7
Presupposto:
Per poter effettuare l'esempio è necessario soddisfare i seguenti requisiti:
● Il software di progettazione Security Configuration Tool è installato sul PC1.
● STEP 7 è installato sul PC1 ed è già creato un progetto STEP 7 con l'unità Security.
● L'indirizzo IP del PC1 deve essere nella stessa sotto-rete dell'indirizzo Gigabit dell'unità
Security.
● In STEP 7 il CP x43-1 Adv. ha le seguenti impostazioni:
– Indirizzo IP Gigabit: 140.0.0.1, maschera della sotto-rete: 255.255.0.0
– Indirizzo IP PROFINET: 192.0.0.1, maschera della sotto-rete: 255.255.255.0
Panoramica delle seguenti operazioni:
5.5.2
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete
Standard gateway
PC1
140.0.0.2
255.255.0.0
140.0.0.1
PC2
192.0.0.2
255.255.255.0
192.0.0.1
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
95
Firewall in modalità estesa
5.5 CP x43-1 Advanced come firewall e router NAT
Per il PC1 e il PC2 procedere nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
Configurazione di Security
96
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.5 CP x43-1 Advanced come firewall e router NAT
5.5.3
Creazione di un progetto e di un'unità security
Procedimento:
1. Nelle proprietà dell'oggetto nella scheda "Security" attivare la casella opzione "Attiva
Security".
2. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: È creato un nuovo progetto Security.
3. Aprire nella configurazione HW il Security Configuration Tool tramite la voce di menu
"Modifica" > "Security Configuration Tool".
Risultato: L'unità Security viene visualizzata nell'elenco delle unità configurate.
5.5.4
Progettazione dell’esercizio NAT router
Attivazione del funzionamento router NAT
1. Commutare la visualizzazione della progettazione con la voce di menu "Visualizza" >
"Modalità estesa" nella modalità estesa.
2. Selezionare l'unità Security nell'area del contenuto.
3. Selezionare la voce di menu "Modifica" > "Proprietà...".
Risultato: La scheda "Interfacce" viene aperta.
4. Selezionare la scheda "NAT/NAPT”.
5. Attivare la casella di controllo "Attiva NAT".
6. Fare clic nel campo di immissione "NAT" sul pulsante "Aggiungi".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
97
Firewall in modalità estesa
5.5 CP x43-1 Advanced come firewall e router NAT
7. Progettare una regola NAT con i seguenti parametri:
– Azione: "NAT sorgente"
– Da: "Interno"
– A: "Esterno"
– Indirizzo IP sorgente: "*"
– Trasferimento sorgente: "140.0.0.1"
8. Confermare con "Applica".
Risultato: Da SCT è stata generata automaticamente una regola firewall che abilita la
comunicazione nella direzione di conversione di indirizzo progettata. Nella fase successiva
specificare questa regola firewall limitato gli indirizzi IP di destinazione ammessi dei
telegrammi all'indirizzo IP di PC1.
5.5.5
Progettazione del firewall
Procedimento:
1. Selezionare la scheda "Firewall”.
2. Attivare la casella di controllo "Attiva firewall".
3. Completare la regola firewall creata da SCT e seguire le indicazioni:
– Indirizzo IP di destinazione: 140.0.0.2
Configurazione di Security
98
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.5 CP x43-1 Advanced come firewall e router NAT
4. Nella riga della regola firewall attivare la casella di controllo "Logging". In questo modo i
telegrammi ai quali viene applicata la regola firewall vengono registrati.
5. Confermare con "Applica".
6. Chiudere la finestra di dialogo con "OK".
5.5.6
Caricamento della configurazione nell'unità Security
Procedimento:
1. Selezionare la voce di menu "Progetto" > "Salva".
2. Chiudere il Security Configuration Tool.
3. Nella configurazione HW selezionare il menu "Stazione" > "Salva e compila".
4. Caricare la nuova configurazione nell'unità Security con il menu "Sistema di destinazione"
> "Carica nell'unità ...".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità Security si avvia
automaticamente e la nuova configurazione è attivata.
Risultato: Unità Security nel funzionamento produttivo:
La messa in servizio della configurazione è conclusa. L'unità Security protegge la rete
interna (PC2). È consentito il traffico IP in uscita dalla rete interna al PC1.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
99
Firewall in modalità estesa
5.5 CP x43-1 Advanced come firewall e router NAT
5.5.7
Test della funzione router NAT e registrazione del traffico di dati
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping. Per poter riconoscere la modalità router NAT utilizzare il logging filtro pacchetto.
Osservazione per il comando Ping: in alternativa possono essere utilizzati anche altri
programmi di comunicazione per il test della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sezione di test 1 - Trasmissione del comando ping
Testare ora il funzionamento della modalità router NAT per il traffico di dati IP dalla rete
interna alla rete esterna nel modo seguente:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP 140.0.0.2)
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il comando "ping 140.0.0.2".
Compare di conseguenza il seguente messaggio (risposta positiva del PC1):
Risultato
Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per 140.0.0.2
quanto segue:
● Inviati = 4
● Ricevuto = 4
● Perso = 0 (0% perdita)
Configurazione di Security
100
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.5 CP x43-1 Advanced come firewall e router NAT
Sezione di test 2 - Analisi del risultato
1. Passare in modalità online nel Security Configuration Tool con la voce di menu
"Visualizza" > "Online".
2. Selezionare l'unità Security da modificare e selezionare la voce di menu "Modifica" >
"Diagnostica online..." per aprire la finestra di dialogo online.
3. Selezionare la scheda "Log filtro pacchetto".
4. Azionare il pulsante "Start Reading"
5. Confermare la finestra di dialogo visualizzata con "OK".
Risultato: le voci Log vengono lette dall'unità Security e visualizzate.
Risultato
Nelle righe di visualizzazione della registrazione si riconosce quanto segue:
● Riga di visualizzazione 1
Gli indirizzi IP dei telegrammi da PC2 a PC1 vengono indicati sull'interfaccia verso la rete
esterna con l'indirizzo IP esterno dell'unità Security (140.0.0.1). Questo corrisponde alla
conversione estesa di indirizzo (qui non è visibile l'assegnazione di porta supplementare).
● Riga di visualizzazione 2
I telegrammi di risposta vengono visualizzati con l'indirizzo di destinazione del nodo nella
sotto-rete interna (PC2: 192.0.0.2).
● In base alle seguenti righe di visualizzazione
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
101
Firewall in modalità estesa
5.6 Esempio con un CP 1628 e un CP x43-1 Adv.
5.6
Esempio con un CP 1628 e un CP x43-1 Adv.
5.6.1
Informazioni generali
In questo esempio la progettazione viene eseguita nella visualizzazione di progettazione
"Modalità estesa".
La configurazione consente a tutti telegrammi trasmessi dal nodo PC2 all'unità Security 1 di
passare attraverso il firewall. Inoltre è possibile accedere dal PC1 al PC2 e all'unità Security
1.
Realizzazione della rete di test
● Unità Security 1: CP x43-1 Advanced
● PC1: PC con software di configurazione Security Configuration Tool e STEP 7
● PC2 con unità Security 2: PC con CP 1628
Presupposto:
Per poter effettuare l'esempio è necessario soddisfare i seguenti requisiti:
● Il software di progettazione Security Configuration Tool è installato sul PC1.
● STEP 7 è installato sul PC1 ed è già creato un progetto STEP 7.
● Nel progetto STEP 7 è creato un collegamento TCP/IP S7 specificato tra il CP 1628
(PC2) e il CP x43-1 Adv. Il CP 1628 è il nodo attivo.
Configurazione di Security
102
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.6 Esempio con un CP 1628 e un CP x43-1 Adv.
● In STEP 7 il CP 1628 ha le seguenti impostazioni:
– Indirizzo IP Industrial Ethernet 192.168.0.5, maschera della sotto-rete: 255.255.255.0
L'indirizzo IP NDIS viene configurato nelle impostazioni IP del PC.
● In STEP 7 il CP x43-1 Adv. ha le seguenti impostazioni:
– Indirizzo IP Gigabit: 192.168.0.11, maschera della sotto-rete: 255.255.255.0
– Indirizzo IP PROFINET: 192.168.1.11, maschera della sotto-rete: 255.255.255.0
Panoramica delle seguenti operazioni:
5.6.2
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete
PC1
192.168.0.110
255.255.255.0
PC2
NDIS: 192.168.0.105
255.255.255.0
Per il PC1 e il PC2 procedere nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
103
Firewall in modalità estesa
5.6 Esempio con un CP 1628 e un CP x43-1 Adv.
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
5.6.3
Creazione di un progetto e di unità Security
Procedimento:
1. Nelle proprietà dell'oggetto del CP 1628, nella scheda "Security" attivare la casella
opzione "Attiva Security".
2. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: È creato un nuovo progetto Security.
Configurazione di Security
104
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.6 Esempio con un CP 1628 e un CP x43-1 Adv.
3. Passare alle proprietà dell'oggetto del CP x43-1 Adv. e attivare anche nella scheda
"Security" la casella opzione "Attiva Security".
4. Aprire nella configurazione HW il Security Configuration Tool tramite la voce di menu
"Modifica" > "Security Configuration Tool".
Risultato: Le unità Security vengono visualizzate nell'elenco delle unità configurate.
5.6.4
Progettazione del firewall
Definizione della regola firewall per CP 1628
1. Commutare la visualizzazione della progettazione con la voce di menu "Visualizza" >
"Modalità estesa" nella modalità estesa.
2. Selezionare l'unità Security del tipo "CP1628" nell'area del contenuto.
3. Selezionare la voce di menu "Modifica" > "Proprietà...".
4. Selezionare nella finestra di dialogo visualizzata la scheda "Firewall".
5. Attivare la casella di controllo "Attiva firewall".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
105
Firewall in modalità estesa
5.6 Esempio con un CP 1628 e un CP x43-1 Adv.
6. Fare clic sul pulsante "Aggiungi regola" e inserire la regola firewall nella terza riga come
illustrato di seguito. Le prime due regole vengono create automaticamente per il
collegamento progettato.
7. Chiudere la finestra di dialogo con "OK".
Definizione della regola firewall per CP x43-1 Advanced
1. Selezionare nell'area del contenuto l'unità Security del tipo "CP443-1 Adv. (GX30)" o
"CP343-1 Adv. (GX31).
2. Selezionare la voce di menu "Modifica" > "Proprietà...".
3. Selezionare nella finestra di dialogo visualizzata la scheda "Firewall".
Configurazione di Security
106
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.6 Esempio con un CP 1628 e un CP x43-1 Adv.
4. Attivare la casella di controllo "Attiva firewall".
5. Fare clic sul pulsante "Aggiungi regola" e inserire le regole firewall nella terza e quarta
riga come illustrato di seguito. Le prime due regole vengono create automaticamente per
il collegamento progettato.
Risultato: La configurazione offline è conclusa.
Osservazione: In questo esempio vengono descritti accessi completi dai nodi di rete o ai
nodi di rete senza filtro sul livello di porta. Un esempio per la creazione di regole firewall
specifiche si trovano nel seguente capitolo:
Progettazione di firewall (Pagina 65)
Per ulteriori dettagli vedere il manuale di progettazione "SIMATIC NET Industrial Ethernet
Security - Nozioni di base e applicazione"
5.6.5
Caricamento della configurazione nelle unità Security
Procedimento:
1. Selezionare la voce di menu "Progetto" > "Salva".
2. Chiudere il Security Configuration Tool.
3. Nella configurazione HW selezionare il menu "Stazione" > "Salva e compila" per il primo
CP.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
107
Firewall in modalità estesa
5.6 Esempio con un CP 1628 e un CP x43-1 Adv.
4. Caricare la nuova configurazione nell'unità Security con il menu "Sistema di destinazione"
> "Carica nell'unità...".
5. Eseguire i passi 3-4 per il secondo CP.
Se l'operazione di caricamento è stata conclusa senza errori, le unità Security si avviano
automaticamente e la nuova configurazione è attivata.
Risultato: Unità Security nel funzionamento produttivo
La messa in servizio della configurazione è conclusa. L'unità Security 2 protegge il PC2. È
consentito il traffico IP in uscita dal CP 1628 (unità Security 2) al CP x43-1 Adv. (unità
Security 1).
5.6.6
Test della funzione firewall e registrazione del traffico di dati
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Configurazione di Security
108
Getting Started, 09/2013, C79000-G8972-C287-01
Firewall in modalità estesa
5.6 Esempio con un CP 1628 e un CP x43-1 Adv.
Sequenza di test 1
Testare ora il funzionamento della configurazione del firewall per il traffico di dati IP in uscita
nel modo seguente:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Inserimento del comando ping del PC2 sul CP x43-1 Adv. (indirizzo IP 192.168.0.11)
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il comando "ping 192.168.0.11" .
Compare il seguente messaggio (risposta positiva del CP x43-1 Adv.):
Risultato
Quando si sono raggiunti i telegrammi del CP x43-1 Adv., la "Statistica Ping" visualizza per
192.168.0.11 quanto segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0% di perdita)
A causa della progettazione i telegrammi ping non hanno potuto essere inviati dal PC2 al
CP x43-1 Adv. Il CP x43-1 Adv. ha risposto ai telegrammi ping. Con la funzione "StatefulInspection" del firewall i telegrammi di risposta, provenienti dal CP x43-1 Adv., vengono
autorizzato automaticamente al PC2.
Sezione di test 2 - Analisi del risultato
1. Passare in modalità online nel Security Configuration Tool con la voce di menu
"Visualizza" > "Online".
2. Selezionare il modulo del tipo "CP1628" e selezionare la voce di menu "Modifica" >
"Diagnostica online..." per aprire la finestra di dialogo online.
3. Selezionare la scheda "Log filtro pacchetto".
4. Azionare il pulsante "Start Reading"
5. Confermare la finestra di dialogo visualizzata con "OK".
Risultato: le voci Log vengono lette dall'unità Security e visualizzate.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
109
Firewall in modalità estesa
5.6 Esempio con un CP 1628 e un CP x43-1 Adv.
Risultato
Nelle righe di visualizzazione della registrazione si riconoscono i telegrammi che hanno
attraversato il firewall a causa delle regole firewall progettate:
Configurazione di Security
110
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.1
Tunnel VPN tra SCALANCE S e SCALANCE S
6.1.1
Informazioni generali
6
In questo esempio viene progettata la funzione di tunnel nella visualizzazione di
progettazione "Modalità standard". L'unità Security 1 e l'unità Security 2 formano in questo
esempio i due punti terminali del tunnel per il collegamento sicuro tramite tunnel.
Con questa configurazione il traffico IP e Layer 2 (solo modalità Bridge) è possibile solo
tramite i collegamenti via tunnel configurati tra partner autorizzati.
Realizzazione della rete di test
● Rete interna - Collegamento all'interfaccia interna dell'unità Security
Nella rete interna la struttura di test dei nodi di rete viene realizzata rispettivamente con
un PC collegato all'interfaccia interna dell'unità Security.
– PC1: Rappresenta un nodo della rete interna 1
– PC2: Rappresenta un nodo della rete interna 2
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
111
Configurazione del tunnel VPN
6.1 Tunnel VPN tra SCALANCE S e SCALANCE S
● Unità Security 1: unità SCALANCE S (non S602) per la protezione della rete interna 1
● Unità Security 2: unità SCALANCE S (non S602) per la protezione della rete interna 2
● Rete esterna - Collegamento all'interfaccia esterna dell'unità Security
La rete pubblica, esterna viene collegata all'interfaccia esterna dell'unità Security.
PC3: PC con software di configurazione Security Configuration Tool
Apparecchi/componenti necessari:
Per la struttura utilizzare i seguenti componenti:
● 2 SCALANCE (non S602) (opzionalmente: 1 o 2 guide ad U appositamente montate con
materiale di montaggio);
● 1 o 2 alimentazioni elettriche di 24V con collegamenti cavi e connettori morsettiera
(entrambe le unità possono essere utilizzate anche con un'alimentazione elettrica
comune);
● 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool";
● 2 PC nelle reti interne per il test della configurazione;
● 1 hub o switch di rete per la realizzazione di collegamenti di rete con i due unità Security
e i PC/PG;
● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet.
Panoramica delle seguenti operazioni:
Configurazione di Security
112
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.1 Tunnel VPN tra SCALANCE S e SCALANCE S
6.1.2
Configurazione di SCALANCE S e rete
Procedimento:
1. Disimballare dapprima gli apparecchi SCALANCE S e controllare che i componenti non
siano danneggiati.
2. Collegare la tensione di alimentazione agli apparecchi SCALANCE S.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo.
AVVERTENZA
Utilizzare solo tensione di sicurezza a basso voltaggio
L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso
voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo
tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805.
L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2
(campo di tensione 18-32 V, corrente necessaria ca. 250 mA).
1. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di
rete nelle interfacce previste:
– Collegare il PC1 all'interfaccia interna dell'unità Security 1 e il PC2 all'interfaccia
interna dell'unità Security 2.
– Collegare l'interfaccia esterna dell'unità Security 1 e l'interfaccia esterna dell'unità 2
all'hub/allo switch.
– Collegare anche il PC3 all'hub/allo switch.
2. Inserire quindi i PC interessati.
Nota
Le interfacce Ethernet vengono trattate da SCALANCE S in modo diverso e non devono
quindi essere scambiate durante il collegamento alla rete di comunicazione:
• Interfaccia X1 - External Network
Contrassegno rosso = area di rete non protetta;
• Interfaccia X2 - Internal Network
Contrassegno verde = rete protetta con SCALANCE S;
In caso di scambio delle interfacce il dispositivo perde la sua funzione di protezione.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
113
Configurazione del tunnel VPN
6.1 Tunnel VPN tra SCALANCE S e SCALANCE S
6.1.3
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete
PC1
191.0.0.1
255.255.0.0
PC2
191.0.0.2
255.255.0.0
PC3
191.0.0.3
255.255.0.0
Per PC1, PC2 e PC3 procedere rispettivamente nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
4. Fare clic sul pulsante "Proprietà".
Configurazione di Security
114
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.1 Tunnel VPN tra SCALANCE S e SCALANCE S
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
6.1.4
Creazione di un progetto e di unità Security
Procedimento:
1. Installare e avviare il software di progettazione Security Configuration Tool sul PC3.
2. Selezionare la voce di menu "Progetto > Nuovo...".
3. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: Il nuovo progetto è creato. La finestra di dialogo "Selezione di un'unità o
configurazione software" si apre
4. Selezionare nelle aree "Tipo di prodotto", "Unità" e "Release del firmware" le seguenti
opzioni:
– Tipo di prodotto: SCALANCE S
– Unità: S612
– Release del firmware: V4
5. Nell'area "Configurazione" inserire l'indirizzo MAC nel formato indicato.
L'indirizzo MAC è stampigliato sul frontalino dell'unità SCALANCE S.
6. Inserire nell'area "Configurazione" l'indirizzo IP esterno (191.0.0.201) e la maschera della
sotto-rete esterna (255.255.0.0) nel formato indicato e confermare la finestra di dialogo
con "OK".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
115
Configurazione del tunnel VPN
6.1 Tunnel VPN tra SCALANCE S e SCALANCE S
7. Selezionare la voce di menu "Inserisci" > "Unità".
Risultato: La finestra di dialogo "Selezione di un'unità o configurazione software" si apre
8. Ripetere i passi 4-6 in modo analogo per l'unità Security 2. Inserire qui i seguenti
parametri di indirizzo sull'unità Security:
– Indirizzo IP (est.): 191.0.0.202
– Maschera sotto-rete (est.): 255.255.0.0
6.1.5
Configurazione del gruppo VPN
Due unità Security possono realizzare un tunnel IPsec per la comunicazione protetta se nel
progetto essi sono assegnati allo stesso gruppo VPN.
Procedimento:
1. Selezionare nell'area di navigazione l'oggetto "Gruppi VPN" e quindi la voce di menu
"Inserisci" > "Gruppo".
Risultato: viene creato un gruppo VPN. Il gruppo VPN ottiene automaticamente il nome
"Gruppo1".
Configurazione di Security
116
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.1 Tunnel VPN tra SCALANCE S e SCALANCE S
2. Selezionare la voce "Tutte le unità" nell'area di navigazione.
3. Selezionare nell'area del contenuto la prima unità Security e trascinarla sul gruppo VPN
"Gruppo1" nell'area di navigazione.
L'unità Security è ora assegnata a questo gruppo VPN.
Il colore del simbolo della chiave passa da grigio a blu.
4. Selezionare nell'area del contenuto la seconda unità Security e trascinarla sul gruppo
VPN "Gruppo1" nell'area di navigazione.
Anche l'unità Security è ora assegnata a questo gruppo VPN.
5. Salvare il progetto con la voce di menu "Progetto" > "Salva".
La configurazione del collegamento tramite tunnel è conclusa.
6.1.6
Caricamento della configurazione nelle unità Security
Procedimento:
1. Richiamare la seguente finestra di dialogo con la voce di menu "Trasferisci" > "A tutte le
unità…" nel Security Configuration Tool sul PC3:
2. Selezionare entrambe le unità con il pulsante "Seleziona tutto".
3. Avviare l'operazione di caricamento con il pulsante "Start".
Se l'operazione di caricamento è stata conclusa senza errori, le unità Security vengono
riavviate automaticamente e la nuova configurazione viene attivata.
Risultato: Unità SCALANCE S in esercizio produttivo
Entrambe le unità SCALANCE S si trovano ora nell'esercizio produttivo. Questo stato
operativo viene segnalato dal LED di indicazione Fault attraverso luce verde.
La messa in servizio della configurazione è quindi conclusa ed entrambe le unità
SCALANCE S possono realizzare un tunnel di comunicazione con il quale i nodi della rete
possono comunicare in modo protetto da entrambe le reti interne.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
117
Configurazione del tunnel VPN
6.1 Tunnel VPN tra SCALANCE S e SCALANCE S
6.1.7
Test della funzione di tunnel (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping. in alternativa possono essere utilizzati anche altri programmi di comunicazione per il
test della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sequenza di test 1
Testare ora il funzionamento del collegamento tramite tunnel tra PC1 e PC2 nel modo
seguente:
1. Richiamare sul PC1 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC1 sul PC2 (indirizzo IP 191.0.0.2)
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 191.0.0.2".
Compare di conseguenza il seguente messaggio (risposta positiva del PC2):
Risultato
Quando si sono raggiunti i telegrammi IP PC2 , la "Statistica Ping" visualizza per 191.0.0.2
quanto segue:
● Trasmesso = 4
● Ricevuto = 4
● Perso = 0 (0% perdita)
Poiché non era ammessa nessun'altra comunicazione, questi telegrammi possono essere
stati trasportati solo tramite tunnel VPN.
Configurazione di Security
118
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.1 Tunnel VPN tra SCALANCE S e SCALANCE S
Sequenza di test 2
Ripetere il test inserendo un comando Ping dal PC3.
1. Richiamare sul PC3 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Inserire lo stesso comando Ping ("ping 191.0.0.2") nella finestra del prompt dei comandi
da PC3.
Compare di conseguenza il seguente messaggio (nessuna positiva del PC2):
Risultato
I telegrammi IP del PC3 non possono raggiungere il PC2 in quanto non è configurata una
comunicazione tramite tunnel tra questi apparecchi, né è ammesso un traffico di dati IP
normale.
Nella "Statistica Ping" per 191.0.0.2 viene visualizzato quanto segue:
● Inviati = 4
● Ricevuto = 0
● Perso = 4 (100% perdita)
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
119
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
6.2
Tunnel VPN tra SCALANCE S623 e SCALANCE S612
6.2.1
Informazioni generali
In questo esempio le unità Security SCALANCE S623 e SCALANCE S612 formano i due
punti terminali di un tunnel VPN con il quale può essere realizzato un collegamento protetto
tramite Internet. Il tunnel VPN viene quindi realizzato tra l'interfaccia di manutenzione remota
(interfaccia DMZ) dell'unità SCALANCE S623 e l'interfaccia esterna dell'unità SCALANCE
S612. L'interfaccia di manutenzione remota dell'unità SCALANCE S623 riceve quindi il suo
indirizzo IP tramite PPPoE. In questa configurazione l'unità SCALANCE S623 è il VPN
Initiator, mentre l'unità SCALANCE S612 rappresenta il VPN Responder.
Con questa configurazione il traffico IP è possibile solo tramite il collegamento via tunnel
VPN configurato tra partner autorizzati.
Realizzazione della rete di test
Configurazione di Security
120
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
● Rete interna - Collegamento all'interfaccia interna dell'unità Security
Nelle due reti interne si trova rispettivamente un PC collegato all'interfaccia interna
dell'unità Security.
– PC1: Rappresenta un nodo della rete interna 1
– PC2: Rappresenta un nodo della rete interna 2
● Unità Security 1: unità SCALANCE S623 per la protezione della rete interna 1
● Unità Security 2: unità SCALANCE S612 per la protezione della rete interna 2
● Rete DMZ o rete esterna
L'accesso a Internet viene eseguito tramite un modem DSL o un router DSL che viene
collegato all'interfaccia DMZ dell'unità 1 o all'interfaccia esterna dell'unità Security 2. Il
tunnel VPN garantisce la comunicazione sicura tra PC1 e PC2 tramite Internet.
Apparecchi/componenti necessari:
Per la struttura utilizzare i seguenti componenti:
● 1 SCALANCE S623 (inoltre opzionalmente: una guida ad U appositamente montata con
materiale di montaggio);
● 1 SCALANCE S612 (inoltre opzionalmente: una guida ad U appositamente montata con
materiale di montaggio);
● 1 o 2 alimentazioni elettriche di 24V con collegamenti cavi e connettori morsettiera
(entrambe le unità possono essere utilizzate anche con un'alimentazione elettrica
comune);
● 2 PC sui quali è installato lo strumento di progettazione "Security Configuration Tool";
● 1 modem DSL (collegamento in Internet per PC1)
● 1 router DSL (collegamento in Internet per PC2)
Osservazione: Il collegamento DSL sul quale viene utilizzato il router DSL deve disporre
di un indirizzo IP fisso.
● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet.
Requisito richiesto:
● Per il router DSL il forwarding delle porte deve essere configurato in modo che i
telegrammi in ingresso sui numero di porte UDP 500 e UDP 4500 vengano inoltrati
all'indirizzo IP che viene progettato per l'interfaccia esterna dall'unità Security 2.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
121
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
Panoramica delle seguenti operazioni:
6.2.2
Configurazione di SCALANCE e della rete
Procedimento:
1. Disimballare dapprima gli apparecchi SCALANCE S e controllare che i componenti non
siano danneggiati.
2. Collegare la tensione di alimentazione agli apparecchi SCALANCE S.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F)
giallo.
AVVERTENZA
Utilizzare solo tensione di sicurezza a basso voltaggio
L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a
basso voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere
collegate solo tensioni di sicurezza a basso voltaggio (SELV) secondo
IEC950/EN60950/ VDE0805.
L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2
(campo di tensione 18-32 V, corrente necessaria ca. 250 mA).
Configurazione di Security
122
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
3. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di
rete nelle interfacce previste:
– Collegare il PC1 all'interfaccia interna dell'unità Security 1 e il PC2 all'interfaccia
interna dell'unità Security 2.
– Collegare l'interfaccia DMZ dell'unità Security 1 al modem DSL.
– Collegare l'interfaccia esterna dell'unità Security 2 al router DSL.
4. Inserire quindi i PC interessati.
Nota
Le interfacce Ethernet vengono trattate da SCALANCE S in modo diverso e non devono
quindi essere scambiate durante il collegamento alla rete di comunicazione:
• Interfaccia X1 - External Network
Contrassegno rosso = area di rete non protetta;
• Interfaccia X2 - Internal Network
Contrassegno verde = rete protetta con SCALANCE S;
• Interfaccia X3 - porta DMZ (interfaccia di rete universale)
Contrassegno giallo = area di rete non protetta o area di rete protetta con SCALANCE
S.
In caso di scambio delle interfacce il dispositivo perde la sua funzione di protezione.
6.2.3
Configurazione delle impostazioni IP dei nodi di rete
Per il test nei PC e nel router DSL devono essere impostati i seguenti indirizzi IP. I gateway
standard devono corrispondere agli indirizzi IP progettati delle interfacce con le quali i PC
sono rispettivamente collegati.
PC
Indirizzo IP
Finestra della sotto- Standard gateway
rete
PC1
192.168.1.100
255.255.255.0
192.168.1.1
PC2
192.168.5.100
255.255.255.0
192.168.5.1
Router DSL
192.168.8.100
255.255.255.0
-
Per il PC1 e il PC2 procedere nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
4. Fare clic sul pulsante "Proprietà".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
123
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei nodi di rete" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
6.2.4
Creazione di un progetto e di unità Security
Procedimento:
1. Installare il software di progettazione Security Configuration Tool sul PC1 e sul PC2.
2. Avviare il software di progettazione sul PC1.
3. Selezionare la voce di menu "Progetto > Nuovo...".
4. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Configurazione di Security
124
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
5. Confermare l'immissione con "OK".
Risultato: Il nuovo progetto è creato. La finestra di dialogo "Selezione di un'unità o
configurazione software" si apre
6. Attivare nelle aree "Tipo di prodotto", "Unità" e "Release del firmware" le seguenti opzioni:
– Tipo di prodotto: SCALANCE S
– Unità: S623
– Release del firmware: V4
7. Nell'area "Configurazione" inserire l'indirizzo MAC nel formato indicato.
L'indirizzo MAC è stampigliato frontalino dell'unità SCALANCE S (vedere figura).
8. Inserire nell'area "Configurazione" l'indirizzo IP esterno (192.168.2.1) e la maschera della
sotto-rete esterna (255.255.255.0) nel formato indicato.
Osservazione: L'indirizzo IP dell'interfaccia esterna non viene utilizzato in questo
esempio. Esso viene indicato solo in previsione di una progettazione completa dell'unità
Security.
9. Selezionare dalla casella di riepilogo "Routing interfaccia esterno/interno" la modalità
routing.
10.Inserire nel formato indicato l'indirizzo IP interno (192.168.1.1) e la maschera della sottorete interna (255.255.255.0) e confermare la finestra di dialogo con "OK".
11.Selezionare nell'area del contenuto l'unità Security creata quindi la voce di menu
"Modifica" > "Proprietà...".
12.Attivare nell'area "Porta DMZ (X3)" la casella di controllo "Attiva interfaccia" e selezionare
la voce "PPPoE" dalla casella di riepilogo "Assegnazione IP".
13.Confermare con "Applica".
14.Inserire nella scheda "Collegamento Internet" i dati con i quali ci si autentica nel proprio
Internet Service Provider (ISP).
15.Confermare con "OK".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
125
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
16.Selezionare la voce di menu "Inserisci" > "Unità".
Risultato: La finestra di dialogo "Selezione di un'unità o configurazione software" si apre
17.Attivare nelle aree "Tipo di prodotto", "Unità" e "Release del firmware" le seguenti opzioni:
– Tipo di prodotto: SCALANCE S
– Unità: S612
– Release del firmware: V4
18.Nell'area "Configurazione" inserire l'indirizzo MAC nel formato indicato.
L'indirizzo MAC è stampigliato sul frontalino dell'unità SCALANCE S.
19.Inserire nell'area "Configurazione" l'indirizzo IP esterno (192.168.8.1) e la maschera della
sotto-rete esterna (255.255.255.0) nel formato indicato.
20.Selezionare dalla casella di riepilogo "Routing interfaccia esterno/interno" la modalità
routing.
21.Inserire nel formato indicato l'indirizzo IP interno (192.168.5.1) e la maschera della sottorete interna (255.255.255.0) e confermare la finestra di dialogo con "OK".
Risultato: Le unità security sono create e vengono visualizzate nell'area del contenuto del
Security Configuration Tool.
6.2.5
Configurazione del router standard
Procedimento:
1. Selezionare l'unità Security del tipo SCALANCE S612.
2. Selezionare la voce di menu "Modifica " > Proprietà...", scheda "Routing"
3. Come router standard inserire l'indirizzo IP del router DSL con il quale è collegata l'unità
Security (192.168.8.100).
Osservazione: Il router standard dell'unità SCALANCE S623 viene indicato dall'ISP.
4. Chiudere la finestra di dialogo con "OK".
Configurazione di Security
126
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
6.2.6
Configurazione del gruppo VPN
Due unità Security possono realizzare un tunnel IPsec per la comunicazione protetta se nel
progetto essi sono assegnati allo stesso gruppo VPN.
Procedimento:
1. Selezionare nell'area di navigazione l'oggetto "Gruppi VPN" e quindi la voce di menu
"Inserisci" > "Gruppo".
Risultato: viene creato il gruppo VPN. Il gruppo VPN ottiene automaticamente il nome
"Gruppo1".
2. Selezionare la voce "Tutte le unità" nell'area di navigazione.
3. Selezionare nell'area del contenuto la prima unità Security e trascinarla sul gruppo VPN
"Gruppo1" nell'area di navigazione.
L'unità Security è ora assegnata a questo gruppo VPN.
Il colore del simbolo della chiave passa da grigio a blu.
4. Selezionare nell'area del contenuto la seconda unità Security e trascinarla sul gruppo
VPN "Gruppo1" nell'area di navigazione.
Anche l'unità Security è ora assegnata a questo gruppo VPN.
5. Salvare il progetto con la voce di menu "Progetto" > "Salva".
La configurazione del collegamento tramite tunnel è conclusa.
6.2.7
Configurazione delle proprietà VPN dell'unità SCALANCE S612
Procedimento:
1. Selezionare nell'area del contenuto l'unità Security del tipo SCALANCE S612.
2. Selezionare la voce di menu "Modifica " > Proprietà...", scheda "VPN"
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
127
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
3. Selezionare la voce "Attendi punto opposto (responder)" dalla casella di riepilogo
"Autorizzazione all'inizializzazione della realizzazione del collegamento".
4. Inserire l’indirizzo IP WAN del router DSL nella casella di inserimento "Indirizzo IP WAN /
FQDN". Per l'indirizzo IP WAN si tratta di l'indirizzo IP fisso che viene indicato da ISP.
5. Confermare con "OK".
6.2.8
Configurazione del collegamento VPN
Procedimento:
1. Nell'area di navigazione fare clic sul "Gruppo1" in "Gruppi VPN".
2. Selezionare nell'area del contenuto l'unità Security del tipo SCALANCE S623.
Risultato: Nella finestra dei dettagli vengono visualizzati i dettagli relativi ai partner VPN.
3. Come "Interfaccia locale" selezionare la voce "Porta DMZ (dinamica)".
4. Se nell'area del contenuto si seleziona "Unità2", come "Interfaccia partner" viene
visualizzata automaticamente la voce "Porta DMZ (dinamica)" dell'unità1.
Risultato: La configurazione del collegamento VPN è conclusa.
Configurazione di Security
128
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
6.2.9
Caricamento della configurazione nelle unità Security
Procedimento:
1. Selezionare la voce di menu "Progetto" > "Salva".
2. Selezionare nel Security Configuration Tool sul PC1 l'unità Security del tipo SCALANCE
S623.
3. Selezionare la voce di menu "Trasferisci" > "Alla/alle unità...".
4. Avviare l'operazione di caricamento con il pulsante "Start". Se l'operazione di
caricamento è stata conclusa senza errori, SCALANCE S viene riavviato
automaticamente e la nuova configurazione viene attivata.
5. Salvare il progetto attuale su supporto dati esterno e trasferire il progetto sul PC2.
6. Avviare il Security Configuration Tool sul PC2 e aprire il progetto.
7. Ripetere i passi 2-4 in modo analogo per l'unità del tipo SCALANCE S612.
Risultato: SCALANCE S in esercizio produttivo
Entrambi gli SCALANCE S si trovano ora nell'esercizio produttivo. Questo stato operativo
viene segnalato dal LED di indicazione Fault attraverso luce verde.
La messa in servizio della configurazione è quindi conclusa ed entrambi gli SCALANCE S
possono realizzare un tunnel di comunicazione con il quale i nodi della rete possono
comunicare in modo protetto da entrambe le reti interne.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
129
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
6.2.10
Test della funzione di tunnel (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping. in alternativa possono essere utilizzati anche altri programmi di comunicazione per il
test della configurazione.
Nota
Firewall in Windows
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sequenza di test 1
Testare ora il funzionamento del collegamento via tunnel tra le unità Security nel modo
seguente:
1. Richiamare sul PC1 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC1 sul PC2 (indirizzo IP 192.168.5.100)
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 192.168.5.100".
Compare di conseguenza il seguente messaggio (risposta positiva del PC2):
Risultato
Quando si sono raggiunti i telegrammi IP PC2 , la "Statistica Ping" visualizza per
192.168.5.100 quanto segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0% di perdita)
Poiché non era ammessa nessuna comunicazione, questi telegrammi possono essere stati
trasportati solo tramite il tunnel VPN.
Configurazione di Security
130
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.2 Tunnel VPN tra SCALANCE S623 e SCALANCE S612
Sequenza di test 2
Testare quindi il funzionamento del collegamento via tunnel realizzato in direzione contraria:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP 192.168.1.100)
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 192.168.1.100".
Compare di conseguenza il seguente messaggio (risposta positiva del PC1):
Risultato
Se i telegrammi IP hanno raggiunto PC1, la "Statistica ping" per 192.168.1.100 visualizza
quando segue:
● Inviati = 4
● Ricevuto = 4
● Perso = 0 (0% perdita)
La comunicazione sul collegamento via tunnel progettato funziona in entrambe le direzioni.
Osservazione: Se per il router DSL è progettato un collegamento On Demand, possono
essere persi 1 o 2 telegrammi.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
131
Configurazione del tunnel VPN
6.3 Tunnel VPN tra SCALANCE S e CP
6.3
Tunnel VPN tra SCALANCE S e CP
6.3.1
Informazioni generali
In questo esempio viene progettata la funzione di tunnel nella visualizzazione di
progettazione "Modalità standard". L'unità Security 1 e l'unità Security 2 formano in questo
esempio i due punti terminali del tunnel per il collegamento sicuro tramite tunnel.
Con questa configurazione il traffico IP è possibile solo tramite il collegamento via tunnel
configurato tra partner autorizzati.
Nota
Osservare che dopo il caricamento della progettazione la stazione è raggiungibile solo se nel
firewall è abilitato il protocollo S7 (porta TCP 102) da "Esterno => Stazione". Una
comunicazione non codificata dalla rete esterna deve essere evitata dopo la messa in
servizio. Se non si utilizza nessuna realizzazione sicura del collegamento tramite VPN dalla
rete esterna, la diagnostica STEP7 e la modifica della progettazione deve essere eseguita
solo nella rete interna.
Per questo motivo nel seguente esempio la porta per la comunicazione S7 nel firewall non
viene aperta.
Realizzazione della rete di test
Configurazione di Security
132
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.3 Tunnel VPN tra SCALANCE S e CP
● Rete interna - Collegamento all'interfaccia interna dell'unità Security
Nella rete interna la struttura di test dei nodi di rete viene realizzata rispettivamente con
un PC collegato all'interfaccia interna della rispettiva unità Security.
– PC1: Rappresenta un nodo della rete interna 1
– PC2: Rappresenta un nodo della rete interna 2
● Unità Security 1: unità SCALANCE S (non S602) per la protezione della rete interna 1
● Unità Security 2: CP x43-1 Adv. per la protezione della rete interna 2
● Rete esterna - Collegamento all'interfaccia esterna dell'unità Security
La rete pubblica, esterna viene collegata all'interfaccia esterna dell'unità Security.
PC3: PC con software di configurazione Security Configuration Tool e STEP 7
Presupposto:
Per poter effettuare l'esempio è necessario soddisfare i seguenti requisiti:
● Il software di progettazione Security Configuration Tool è installato sul PC3.
● Le unità Security dispongono dell'ora attuale e della data attuale.
● In STEP 7 il CP x43-1 Adv. ha le seguenti impostazioni:
– Indirizzo IP Gigabit: 191.0.0.201, Maschera della sotto-rete: 255.255.0.0
– Indirizzo IP PROFINET: 191.1.0.201, maschera della sotto-rete: 255.255.0.0
Panoramica delle seguenti operazioni:
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
133
Configurazione del tunnel VPN
6.3 Tunnel VPN tra SCALANCE S e CP
6.3.2
Configurazione delle unità Security e della rete
Procedimento:
1. Realizzare i collegamenti di rete fisici innestando il connettore del cavo di rete nelle
interfacce previste:
– Collegare il PC1 all'interfaccia interna dell'unità Security 1 e il PC2 all'interfaccia
interna dell'unità Security 2.
– Collegare l'interfaccia esterna dell'unità Security 1 e l'interfaccia esterna dell'unità 2
all'hub/allo switch.
– Collegare anche il PC3 all'hub/allo switch.
2. Inserire quindi i PC interessati.
Nota
I collegamenti Ethernet all'interfaccia interna ed esterna vengono trattati dall'unità
Security in modo diverso e non devono quindi essere scambiati durante il collegamento
alla rete di comunicazione:
In caso di scambio delle interfacce i dispositivi perdono la loro funzione di protezione.
6.3.3
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete Standard gateway
PC1
191.0.0.1
255.255.0.0
191.0.0.201
PC2
191.1.0.1
255.255.0.0
191.1.0.201
PC3
191.0.0.3
255.255.0.0
191.0.0.201
Per PC1, PC2 e PC3 procedere rispettivamente nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
Configurazione di Security
134
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.3 Tunnel VPN tra SCALANCE S e CP
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
6.3.4
Creazione di un progetto e di unità Security
Procedimento:
1. Nella Config. HW, nella scheda "Security" delle proprietà dell'oggetto attivare la casella
opzione "Attiva Security".
2. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: Il nuovo progetto è creato.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
135
Configurazione del tunnel VPN
6.3 Tunnel VPN tra SCALANCE S e CP
3. Aprire nella configurazione HW il Security Configuration Tool tramite la voce di menu
"Modifica" > "Security Configuration Tool".
Risultato: Il CP creato viene visualizzato nell'elenco delle unità configurate.
4. Creare un'unità SCALANCE S con i seguenti parametri nel Security Configuration Tool
con la voce di menu "Inserisci" > "Unità".
– Unità: S612
– Release del firmware: V4
– Indirizzo MAC: in base alla stampigliatura sul frontalino dell'unità Security
– Indirizzo IP (est.): 191.0.0.202
– Maschera sotto-rete (est.): 255.255.0.0
Risultato: Il CP e l'unità SCALANCE S vengono visualizzati nel Security Configuration Tool
nell'elenco delle unità configurate.
Configurazione di Security
136
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.3 Tunnel VPN tra SCALANCE S e CP
6.3.5
Configurazione del gruppo VPN
Due unità Security possono realizzare un tunnel IPsec per la comunicazione protetta se nel
progetto essi sono assegnati allo stesso gruppo VPN.
Procedimento:
1. Selezionare nell'area di navigazione l'oggetto "Gruppi VPN" e quindi la voce di menu
"Inserisci" > "Gruppo".
Risultato: viene creato il gruppo VPN. Il gruppo VPN ottiene automaticamente il nome
"Gruppo1".
2. Fare clic nell'area di navigazione sulla voce "Tutte le unità" e successivamente nell'area
del contenuto sull'unità SCALANCE S.
3. Trascinare l'unità SCALANCE S sul gruppo VPN "Gruppo1" nell'area di navigazione.
L'unità Security è ora assegnata a questo gruppo VPN.
Il colore del simbolo della chiave passa da grigio a blu.
4. Selezionare nell'area del contenuto il CP e trascinarlo sul gruppo VPN "Gruppo1"
nell'area di navigazione.
Risultato: A questo punto, anche il CP è assegnato a questo gruppo VPN e la configurazione
del collegamento via tunnel è conclusa.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
137
Configurazione del tunnel VPN
6.3 Tunnel VPN tra SCALANCE S e CP
6.3.6
Caricamento della configurazione nelle unità Security
SCALANCE S - Procedimento:
1. Aprire nella configurazione HW il Security Configuration Tool tramite la voce di menu
"Modifica" > "Security Configuration Tool".
2. Richiamare la seguente finestra di dialogo con la voce di menu "Trasferisci" > "A tutte le
unità…" nel Security Configuration Tool:
Nell'elenco viene visualizzata l'unità SCALANCE S.
1. Assicurarsi che la casella di controllo di fianco alla voce "Unità1 (SCALANCE S)" sia
attivata.
2. Avviare l'operazione di caricamento con il pulsante "Start".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità SCALANCE S viene
riavviata automaticamente e la nuova configurazione viene attivata.
CP - Procedimento:
1. Chiudere il Security Configuration Tool.
2. Nella configurazione HW selezionare il menu "Stazione" > "Salva e compila".
3. Caricare la nuova configurazione nell'unità Security con il menu "Sistema di destinazione"
> "Carica nell'unità...".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità Security si avvia
automaticamente e la nuova configurazione è attivata.
Risultato: Unità Security nel funzionamento produttivo
La messa in servizio della configurazione è quindi conclusa ed entrambe le unità Security
possono realizzare un tunnel di comunicazione con il quale i nodi della rete possono
comunicare in modo protetto da entrambe le reti interne.
Configurazione di Security
138
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.3 Tunnel VPN tra SCALANCE S e CP
6.3.7
Test della funzione di tunnel (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping. in alternativa possono essere utilizzati anche altri programmi di comunicazione per il
test della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sequenza di test 1
Testare ora il funzionamento del collegamento via tunnel realizzato:
1. Richiamare sul PC1 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC1 sul PC2 (indirizzo IP 191.1.0.1)
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 191.1.0.1". Compare di
conseguenza il seguente messaggio (risposta positiva del PC2):
Risultato
Quando si sono raggiunti i telegrammi IP PC2 , la "Statistica Ping" visualizza per 191.1.0.1
quanto segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0% di perdita)
Poiché non era ammessa nessuna comunicazione, questi telegrammi possono essere stati
trasportati solo tramite il tunnel VPN.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
139
Configurazione del tunnel VPN
6.3 Tunnel VPN tra SCALANCE S e CP
Sequenza di test 2
Ripetere il test inserendo un comando Ping dal PC3.
1. Richiamare sul PC3 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Inserire lo stesso comando Ping ("ping 191.1.0.1") nella finestra del prompt dei comandi
da PC3.
Compare di conseguenza il seguente messaggio (nessuna positiva del PC2):
Risultato
I telegrammi IP del PC3 non possono raggiungere il PC2 in quanto non è configurata una
comunicazione tramite tunnel tra questi apparecchi, né è ammesso un traffico di dati IP
normale.
Nella "Statistica Ping" per 191.1.0.1 viene visualizzato quanto segue:
● Inviati = 4
● Ricevuti = 0
● Persi = 4 (100% di perdita)
Configurazione di Security
140
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.4 Tunnel VPN tra CP 1628 e CP x43-1 Adv.
6.4
Tunnel VPN tra CP 1628 e CP x43-1 Adv.
6.4.1
Informazioni generali
In questo esempio viene progettata la funzione di tunnel nella visualizzazione di
progettazione "Modalità standard". L'unità Security 1 e l'unità Security 2 formano in questo
esempio i due punti terminali del tunnel per il collegamento sicuro tramite tunnel.
Con questa configurazione il traffico IP e Layer 2 è possibile solo tramite i collegamenti via
tunnel configurati tra partner autorizzati di un gruppo VPN.
Nota
Osservare che dopo il caricamento della progettazione la stazione è raggiungibile solo se nel
firewall è abilitato il protocollo S7 (porta TCP 102) da "Esterno => Stazione". Una
comunicazione non codificata dalla rete esterna deve essere evitata dopo la messa in
servizio. Se non si utilizza nessuna realizzazione sicura del collegamento tramite VPN dalla
rete esterna, la diagnostica STEP7 e la modifica della progettazione deve essere eseguita
solo nella rete interna.
Per questo motivo nel seguente esempio la porta per la comunicazione S7 nel firewall non
viene aperta.
Realizzazione della rete di test
● PC1 con unità Security 1: PC con CP 1628
● PC2: PC con software di configurazione Security Configuration Tool e STEP 7
● Unità Security 2: CP x43-1 Adv.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
141
Configurazione del tunnel VPN
6.4 Tunnel VPN tra CP 1628 e CP x43-1 Adv.
Presupposto:
Per poter effettuare l'esempio è necessario soddisfare i seguenti requisiti:
● Il software di progettazione Security Configuration Tool è installato sul PC2.
● STEP 7 è installato sul PC2 ed è già creato un progetto STEP 7.
● I CP dispongono dell'ora attuale e della data attuale.
● In STEP 7 il CP 1628 ha le seguenti impostazioni:
– Indirizzo IP Industrial Ethernet 192.168.0.5, maschera della sotto-rete: 255.255.255.0
L'indirizzo IP NDIS viene configurato nelle impostazioni IP del PC.
● In STEP 7 il CP x43-1 Adv. ha le seguenti impostazioni:
– Indirizzo IP Gigabit: 192.168.0.11, maschera della sotto-rete: 255.255.255.0
– Indirizzo IP PROFINET: 192.168.1.11, maschera della sotto-rete: 255.255.255.0
Panoramica delle seguenti operazioni:
6.4.2
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete
PC1
NDIS: 192.168.0.105
255.255.255.0
PC2
192.168.0.110
255.255.255.0
Per il PC1 e il PC2 procedere nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
Configurazione di Security
142
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.4 Tunnel VPN tra CP 1628 e CP x43-1 Adv.
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
143
Configurazione del tunnel VPN
6.4 Tunnel VPN tra CP 1628 e CP x43-1 Adv.
6.4.3
Creazione di un progetto e di unità Security
Procedimento:
1. Nelle proprietà dell'oggetto del CP 1628, nella scheda "Security" attivare la casella
opzione "Attiva Security".
2. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: È creato un nuovo progetto Security.
3. Passare alle proprietà dell'oggetto del CP x43-1 Adv. e attivare anche nella scheda
"Security" la casella opzione "Attiva Security".
4. Aprire nella configurazione HW il Security Configuration Tool tramite la voce di menu
"Modifica" > "Security Configuration Tool".
Risultato: Le unità Security vengono visualizzate nell'elenco delle unità configurate.
6.4.4
Configurazione del gruppo VPN
Due unità Security possono realizzare un tunnel IPsec per la comunicazione protetta se nel
progetto essi sono assegnati allo stesso gruppo VPN.
Configurazione di Security
144
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.4 Tunnel VPN tra CP 1628 e CP x43-1 Adv.
Procedimento:
1. Selezionare nell'area di navigazione l'oggetto "Gruppi VPN" e quindi la voce di menu
"Inserisci" > "Gruppo".
Risultato: viene creato il gruppo VPN. Il gruppo VPN ottiene automaticamente il nome
"Gruppo1".
2. Fare clic nell'area di navigazione sula voce "Tutte le unità" e successivamente nell'area
del contenuto sul primo CP.
3. Trascinare il CP sul gruppo VPN "Gruppo1" nell'area di navigazione.
L'unità Security è ora assegnata a questo gruppo VPN.
Il colore del simbolo della chiave passa da grigio a blu.
4. Selezionare nell'area del contenuto il secondo CP e trascinarlo sul gruppo VPN
"Gruppo1" nell'area di navigazione.
Risultato: A questo punto, anche il secondo CP è assegnato a questo gruppo VPN e la
configurazione del collegamento via tunnel è conclusa.
6.4.5
Caricamento della configurazione nelle unità Security
Procedimento:
1. Chiudere il Security Configuration Tool.
2. Nella configurazione HW selezionare la voce di menu "Stazione" > "Salva e compila".
3. Caricare la nuova configurazione nell'unità Security con la voce di "Sistema di
destinazione" > "Carica nell'unità...".
4. Eseguire i passi 2-3 per la seconda unità Security.
Se l'operazione di caricamento è stata conclusa senza errori, le unità Security si avviano
automaticamente e la nuova configurazione è attivata.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
145
Configurazione del tunnel VPN
6.4 Tunnel VPN tra CP 1628 e CP x43-1 Adv.
Risultato: Unità Security nel funzionamento produttivo
La messa in servizio della configurazione è quindi conclusa ed entrambe le unità Security
possono realizzare un tunnel di comunicazione.
6.4.6
Test della funzione di tunnel (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping. in alternativa possono essere utilizzati anche altri programmi di comunicazione per il
test della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sequenza di test 1
Testare ora il funzionamento del collegamento tramite tunnel tra PC1 e unità Security 2 nel
modo seguente:
1. Richiamare sul PC1 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione del comando ping del PC1 sull'unità Security 2 (indirizzo IP 192.168.0.11)
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 192.168.0.11".
Compare di conseguenza il seguente messaggio (risposta positiva dell'unità Security 2):
Configurazione di Security
146
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.4 Tunnel VPN tra CP 1628 e CP x43-1 Adv.
Risultato
Quando si sono raggiunti i telegrammi dell'unità Security 2, la "Statistica Ping" visualizza per
192.168.0.11 quanto segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0% di perdita)
Poiché non era ammessa nessuna comunicazione, questi telegrammi possono essere stati
trasportati solo tramite il tunnel VPN.
Sequenza di test 2
Ripetere il test inserendo un comando Ping dal PC2.
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Inserire lo stesso comando ping ("ping 192.168.0.11") nella finestra del prompt dei
comandi da PC2.
Compare di conseguenza il seguente messaggio (nessuna risposta dell'unità Security 2):
Risultato
I telegrammi IP del PC2 non possono raggiungere l'unità Security 2 in quanto non è
configurata una comunicazione tramite tunnel tra questi apparecchi, né è ammesso un
traffico di dati IP normale.
Nella "Statistica Ping" per 192.168.0.11 viene visualizzato quanto segue:
● Inviati = 4
● Ricevuti = 0
● Persi = 4 (100% di perdita)
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
147
Configurazione del tunnel VPN
6.5 Tunnel VPN tra tutti i prodotti Security
6.5
Tunnel VPN tra tutti i prodotti Security
6.5.1
Informazioni generali
Informazioni generali
In questo esempio viene progettata la funzione di tunnel nella visualizzazione di
progettazione "Modalità standard". Con questa configurazione il traffico IP è possibile solo
tramite i collegamenti via tunnel configurati tra partner autorizzati dei singoli gruppi VPN.
L'accesso dal PG Service, sul quale è installato il SOFTNET Security Client, è consentito per
tutte e quattro le unità Security.
Configurazione di Security
148
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.5 Tunnel VPN tra tutti i prodotti Security
Gruppo VPN
Nodo VPN
1
SCALANCE S612 V4.0
CP 443-1 Advanced GX30
SOFTNET Security Client
2
CP 343-1 Advanced GX31
CP 443-1 Advanced GX30
SOFTNET Security Client
3
CP 1628
CP 343-1 Advanced GX31
SOFTNET Security Client
Presupposto:
Per poter effettuare l'esempio è necessario soddisfare i seguenti requisiti:
● Il software di progettazione del Security Configuration Tool e del SOFTNET Security
Client sono installati sul PC2.
● STEP 7 è installato sul PC2 ed è già creato un progetto STEP 7 con le seguenti unità
Security.
● Tutte le unità Security dispongono dell'ora attuale e della data attuale.
Unità Security
Indirizzo IP
Finestra della sotto-rete
CP 443-1 Advanced GX30
Gigabit: 90.12.150.41
255.255.0.0
PROFINET: 110.100.150.41
255.255.255.0
Gigabit: 90.12.150.11
255.255.0.0
PROFINET: 110.100.150.11
255.255.255.0
Industrial Ethernet: 90.12.150.101
255.255.0.0
CP 343-1 Advanced GX31
CP 1628
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
149
Configurazione del tunnel VPN
6.5 Tunnel VPN tra tutti i prodotti Security
Panoramica delle seguenti operazioni:
6.5.2
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sotto-rete
PC1
110.100.150.52
255.255.255.0
PC2
90.12.150.117
255.255.0.0
Per il PC1 e il PC2 procedere quindi nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
Configurazione di Security
150
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.5 Tunnel VPN tra tutti i prodotti Security
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
151
Configurazione del tunnel VPN
6.5 Tunnel VPN tra tutti i prodotti Security
6.5.3
Creazione di un progetto e di unità Security
Attivazione di Security per i CP
1. Nella Config. HW, nella scheda "Security" delle proprietà dell'oggetto del CP 443-1
Advanced GX30, attivare la casella opzione "Attiva Security".
2. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: È creato un nuovo progetto Security.
3. Nelle proprietà dell'oggetto del CP 343-1 Advanced GX31 e del CP 1628, nella scheda
"Security" attivare in successione la casella opzione "Attiva Security".
4. Aprire nella configurazione HW il Security Configuration Tool tramite la voce di menu
"Modifica" > "Security Configuration Tool".
Risultato: I CP creati, nei quali è attivata la Security, vengono visualizzati nell'elenco delle
unità configurate.
Creazione di SCALANCE S e SOFTNET Security Client
1. Selezionare la voce "Tutte le unità" nell'area di navigazione.
2. Creare una nuova unità Security con la voce di menu "Inserisci" > "Unità". Configurare
quindi i seguenti parametri:
– Tipo di prodotto: SCALANCE S
– Unità: S612
– Release del firmware V4
– Indirizzo MAC: in base alla stampigliatura sul frontalino dell'unità Security.
– Indirizzo IP (est.): 90.12.150.51, maschera sotto-rete (est.): 255.255.0.0.
3. Selezionare dalla casella di riepilogo "Routing interfaccia esterno/interno" la voce
"Modalità routing" e inserire i seguenti dati di indirizzo:
– Indirizzo IP (int.): 110.100.150.51, maschera sotto-rete (int.): 255.255.255.0
4. Fare clic sul pulsante "OK".
Risultato: L'unità SCALANCE S creata viene aggiunta nell'elenco delle unità configurate
come "Unità1".
5. Selezionare la voce "Tutte le unità" nell'area di navigazione.
6. Generare un'ulteriore unità con la voce di menu "Inserisci" > "Unità". Configurare quindi i
seguenti parametri:
– Tipo di prodotto: Configurazione SOFTNET (SOFTNET Security Client, SCALANCE
M87x/MD74x, NCP VPN Client, dispositivo VPN)
– Unità: SOFTNET Security Client
– Release del firmware: V4
Configurazione di Security
152
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.5 Tunnel VPN tra tutti i prodotti Security
7. Fare clic sul pulsante "OK".
Risultato: Il SOFTNET Security Client creato viene aggiunto nell'elenco delle unità come
"Unità2".
8. Fare clic nell'area di navigazione sulla voce "Tutte le unità" e successivamente nell'area
del contenuto sulla riga con il nome di unità "Unità1".
9. Fare clic nella colonna "Nome" e inserire il nome "SCA612".
10.Fare clic sulla riga con il nome di unità "Unità2".
11.Fare clic nella colonna "Name" e inserire il nome "SSC-PC2".
Risultato: I CP, l'unità SCALANCE S e il SOFTNET Security Client vengono visualizzati nel
Security Configuration Tool nell'elenco delle unità configurate.
6.5.4
Configurazione dei gruppi VPN
Unità Security possono realizzare un tunnel IPsec per la comunicazione protetta se nel
progetto essi sono assegnati allo stesso gruppo VPN.
Procedimento:
1. Selezionare nell'area di navigazione l'oggetto "Gruppi VPN" e quindi la voce di menu
"Inserisci" > "Gruppo".
Risultato: viene creato il gruppo VPN. Il gruppo VPN ottiene automaticamente il nome
"Gruppo1".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
153
Configurazione del tunnel VPN
6.5 Tunnel VPN tra tutti i prodotti Security
2. Creare altri due gruppi VPN.
Risultato: I gruppi VPN ottengono automaticamente i nomi "Gruppo 2" e "Gruppo3".
3. Selezionare l'oggetto "Tutte le unità" nell'area di navigazione.
4. Trascinare in successione l'unità SCALANCE S, il CP 443-1 Advanced GX30 e il
SOFTNET Security Client sul gruppo VPN "Gruppo1" nell'area di navigazione.
Risultato: Le unità sono ora assegnate al gruppo VPN "Gruppo1". Il colore dei simboli
della chiave passa da grigio a blu.
5. Trascinare in successione il CP 343-1 Advanced GX31, il CP 443-1 Advanced GX30 e il
SOFTNET Security Client sul "Gruppo2" nell'area di navigazione.
Risultato: Le unità sono ora assegnate al gruppo VPN "Gruppo2". Il colore del simbolo
della chiave del CP 343-1 Advanced GX31 passa da grigio a blu.
6. Trascinare in successione il CP 1628, il CP 343-1 Advanced GX31 e il SOFTNET
Security Client sul "Gruppo3" nell'area di navigazione.
Risultato: Le unità sono ora assegnate al gruppo VPN "Gruppo3". Il colore del simbolo
della chiave del CP 1628 passa da grigio a blu.
7. Selezionare la voce di menu "Progetto" > "Salva".
8. Chiudere l'SCT.
La configurazione del collegamento tramite tunnel è conclusa.
Configurazione di Security
154
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.5 Tunnel VPN tra tutti i prodotti Security
6.5.5
Caricamento della configurazione nelle unità Security e salvataggio della
configurazione nel SOFTNET Security Client
SCALANCE S e SOFTNET Security Client - Procedimento:
1. Aprire nella configurazione HW il Security Configuration Tool tramite la voce di menu
"Modifica" > "Security Configuration Tool".
2. Richiamare la seguente finestra di dialogo con la voce di menu "Trasferisci" > "A tutte le
unità…" nel Security Configuration Tool:
3. Avviare l'operazione di caricamento con il pulsante "Start".
4. Salvare il file di configurazione "Projectname.SSC-PC2.dat" in una directory a scelta e
assegnare una password per il codice privato del certificato.
Se l'operazione di caricamento è stata conclusa senza errori, l'unità SCALANCE S viene
riavviata automaticamente e la nuova configurazione viene attivata.
CP - Procedimento:
1. Chiudere il Security Configuration Tool.
2. Nella configurazione HW selezionare la voce di menu "Stazione" > "Salva e compila" per
il CP 443-1 Advanced.
3. Caricare la nuova configurazione nell'unità Security con la voce di "Sistema di
destinazione" > "Carica nell'unità...".
4. Eseguire i passi 2-3 in modo analogo per il CP 343-1 e per il CP 1628.
Se l'operazione di caricamento è stata conclusa senza errori, le unità Security si avviano
automaticamente e la nuova configurazione è attivata.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
155
Configurazione del tunnel VPN
6.5 Tunnel VPN tra tutti i prodotti Security
6.5.6
Realizzazione del tunnel con il SOFTNET Security Client
Nota
In Windows 7 il firewall del sistema operativo deve essere attivato in modo che funzioni la
realizzazione del tunnel VPN.
Procedimento:
1. Avviare il SOFTNET Security Client sul PC2.
2. Azionare il pulsante "Carica configurazione", passare alla directory precedentemente
selezionata e caricare il file di configurazione "Projectname.SSC-PC2.dat".
3. Inserire la password per il codice privato del certificato e confermare con "Avanti".
4. A questo punto viene chiesto se i collegamenti via tunnel devono essere attivati per tutti i
nodi interni. In questa finestra di dialogo fare clic sul pulsante "Sì".
5. Fare clic sul pulsante "Panoramica del tunnel".
6. Per consentire che le sotto-reti apprese possa comunicare, attivarle tramite il menu
contestuale.
Risultato: Collegamento via tunnel attivo
Il tunnel tra il SOFTNET Security Client e le unità Security è stato realizzato. Questo stato
operativo viene segnalato con il cerchio verde.
Nella consolle loggin della panoramica del tunnel vengono inoltre visualizzati altri dati relativi
allo svolgimento dei tentatici di collegamento eseguiti.
Configurazione di Security
156
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione del tunnel VPN
6.5 Tunnel VPN tra tutti i prodotti Security
La messa in servizio della configurazione è quindi conclusa e le unità Security dei gruppi
VPN configurati e del SOFTNET Security Client hanno realizzato il tunnel di comunicazione
con il quale possono comunicare in modo sicuro.
6.5.7
Test della funzione di tunnel (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping. in alternativa possono essere utilizzati anche altri programmi di comunicazione per il
test della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
157
Configurazione del tunnel VPN
6.5 Tunnel VPN tra tutti i prodotti Security
Sezione di test
Testare ora il funzionamento del collegamento tramite tunnel tra PC2 e PC3 nel modo
seguente:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC2 sul PC3 (indirizzo IP 90.12.150.101)
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 90.12.150.101".
Compare di conseguenza il seguente messaggio (risposta positiva del PC3):
Risultato
Quando si sono raggiunti i telegrammi IP PC3, la "Statistica Ping" visualizza per
90.12.150.101 quanto segue:
● Inviati = 4
● Ricevuto = 4
● Perso = 0 (0% perdita)
Poiché non era ammessa nessuna comunicazione, questi telegrammi possono essere stati
trasportati solo tramite il tunnel VPN.
Ripetere la sezione di test
A questo punto testare in successione il funzionamento dei collegamenti via tunnel realizzati
tra PC2 e PC1, PC2 e CP 443-1 Advanced GX30 e PC2 e CP 343-1 Advanced GX31 come
descritto nel paragrafo "Sezione di test". Se il collegamento via tunnel è realizzato
correttamente, ciascun PC o ciascuna unità Security invia una risposta positiva alla rispettiva
richiesta ping.
Configurazione di Security
158
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel
VPN
7
7.1
Accesso remoto - esempio tunnel VPN con SCALANCE S612 e
SOFTNET Security Client
7.1.1
Informazioni generali
In questo esempio viene progettata la funzione di tunnel VPN nella visualizzazione di
progettazione "Modalità standard". Un'unità Security e il SOFTNET Security Client formano
in questo esempio i due punto terminali del tunnel per il collegamento via tunnel protetto
tramite una rete pubblica.
Con questa configurazione il traffico IP è possibile solo tramite il collegamento via tunnel
VPN configurato tra i due partner autorizzati.
Realizzazione della rete di test
● Rete interna - Collegamento all'interfaccia interna dell'unità Security
Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato
all'interfaccia interna dell'unità Security.
– PC1: rappresenta un nodo della rete interna
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
159
Configurazione dell'accesso remoto tramite tunnel VPN
7.1 Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security Client
● Unità Security: unità SCALANCE S (non S602) per la protezione della rete interna
● Rete esterna - Collegamento all'interfaccia esterna dell'unità Security
La rete pubblica, esterna viene collegata all'interfaccia esterna dell'unità Security.
– PC2: PC con software di configurazione Security Configuration Tool e software
SOFTNET Security Client per l'accesso VPN sicuro nella rete interna
– PC3: PC di test per sezione di test 2
Nota
Nell'esempio, al posto di una WAN (Internet) pubblica esterna, viene illustrata una rete
locale per la spiegazione del principio del relativo tipo di funzione.
Le spiegazioni relative all'utilizzo di una WAN vengono indicate nei relativi punti.
Apparecchi/componenti necessari:
Per la struttura utilizzare i seguenti componenti:
● 1 unità SCALANCE S (non S602), (opzionalmente: una guida ad U appositamente
montata con materiale di montaggio);
● 1 alimentazione elettrica di 24V con collegamento del cavo e connettore morsettiera;
● 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool" e il
client VPN "SOFTNET Security Client";
● 1 PC nella rete interna per il test della configurazione;
● 1 PC nella rete esterna per il test della configurazione;
● 1 hub o switch di rete per la realizzazione di collegamenti di rete con l'unità SCALANCE
S e i PC;
● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet.
Configurazione di Security
160
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.1 Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security Client
Panoramica delle seguenti operazioni:
7.1.2
Configurazione di SCALANCE S e della rete
Procedimento:
1. Disimballare dapprima SCALANCE S e controllare che i componenti non siano
danneggiati.
2. Collegare la tensione di alimentazione a SCALANCE S.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F) giallo.
AVVERTENZA
Utilizzare solo tensione di sicurezza a basso voltaggio
L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a basso
voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere collegate solo
tensioni di sicurezza a basso voltaggio (SELV) secondo IEC950/EN60950/ VDE0805.
L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2
(campo di tensione 18-32 V, corrente necessaria ca. 250 mA).
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
161
Configurazione dell'accesso remoto tramite tunnel VPN
7.1 Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security Client
1. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore nelle
interfacce previste:
– Collegare PC1 con l'interfaccia interna dell'unità Security.
– Collegare l'interfaccia esterna dell'unità Security all'hub/allo switch.
– Collegare anche il PC2 e il PC3 all'hub/allo switch.
2. Inserire quindi i PC interessati.
Nota
Per l'utilizzo di una WAN come rete pubblica esterna, i collegamenti all'hub/allo switch
vanno sostituiti con collegamenti alla WAN (accesso internet).
Nota
Le interfacce Ethernet vengono trattate da SCALANCE S in modo diverso e non devono
quindi essere scambiate durante il collegamento alla rete di comunicazione:
• Interfaccia X1 - External Network
Contrassegno rosso = area di rete non protetta;
• Interfaccia X2 - Internal Network
Contrassegno verde = rete protetta con SCALANCE S;
In caso di scambio delle interfacce il dispositivo perde la sua funzione di protezione.
7.1.3
Configurazione delle impostazioni IP dei PC
Per il test i PC ottengono le seguenti impostazioni di indirizzi IP.
PC
Indirizzo IP
Finestra della sotto-rete
Standard gateway
PC1
192.168.0.1
255.255.255.0
192.168.0.201
PC2
191.0.0.2
255.255.0.0
191.0.0.201
PC3
191.0.0.3
255.255.0.0
191.0.0.201
Nota
Per l'utilizzo di una WAN come rete pubblica esterna, sul PC2, sul PC3 e sull'unità Security
devono essere configurare le rispettive impostazioni IP per il collegamento con la WAN
(Internet).
Configurazione di Security
162
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.1 Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security Client
Per PC1, PC2 e PC3 procedere rispettivamente nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
163
Configurazione dell'accesso remoto tramite tunnel VPN
7.1 Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security Client
7.1.4
Creazione di un progetto e di unità Security
Procedimento:
1. Selezionare la voce di menu "Progetto > Nuovo...".
2. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
3. Confermare l'immissione.
Risultato: Il nuovo progetto è creato. La finestra di dialogo "Selezione di un'unità o
configurazione software" si apre
4. Selezionare le seguenti opzioni:
– Tipo di prodotto: SCALANCE S
– Unità: S612
– Release del firmware: V4
– Indirizzo MAC: in base alla stampigliatura sul frontalino dell'unità Security
– Indirizzo IP (est.): 191.0.0.201, maschera sotto-rete (est.): 255.255.0.0
Nota
Se una WAN viene utilizzata come rete pubblica esterna, come "Indirizzo IP est."
inserire un indirizzo IP dalla sottorete interna del proprio router DSL. Come router
standard deve essere inserito l'indirizzo IP interno del router DSL. Inserire l'indirizzo IP
pubblico assegnato dal provider nelle proprietà dell'unità, nella scheda "VPN" in
"Indirizzo IP WAN / FQDN".
Se si utilizza un router DSL come Internet Gateway, ad esso devono essere inoltrate
almeno le seguenti porte sull'indirizzo IP dell'unità security:
• Porta 500 (ISAKMP)
• Porta 4500 (NAT-T)
5. Selezionare dalla casella di riepilogo "Routing interfaccia esterno/interno" la voce
"Modalità routing" e inserire i seguenti dati di indirizzo per l'interfaccia interna dell'unità
Security:
– Indirizzo IP (int.): 192.168.0.201, maschera della sotto-rete (int.): 255.255.255.0
6. Fare clic sul pulsante "OK".
Risultato: L'unità viene visualizzata nell'elenco delle unità configurate.
7. Selezionare la voce di menu "Inserisci" > "Unità" e inserire i seguenti parametri:
– Tipo di prodotto: Configurazione SOFTNET (SOFTNET Security Client, SCALANCE
M87x/MD74x, NCP VPN Client, dispositivo VPN)
– Unità: SOFTNET Security Client
– Release del firmware: V4
Configurazione di Security
164
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.1 Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security Client
8. Fare clic sul pulsante "OK".
Risultato: L'unità viene visualizzata nell'elenco delle unità configurate.
9. Fare clic nell'area di navigazione sull'oggetto "Tutte le unità" e successivamente nell'area
del contenuto sulla riga con il nome di unità "Unità2".
10.Fare clic nella colonna "Nome" e inserire il nome "SSC-PC2".
Risultato: Le impostazioni sono concluse e devono corrispondere alla seguente figura:
7.1.5
Configurazione del gruppo VPN
Uno SCALANCE S e il SOFTNET Security Client possono realizzare un tunnel IPsec per la
comunicazione protetta se nel progetto essi sono assegnati allo stesso gruppo VPN.
Procedimento:
1. Selezionare nell'area di navigazione l'oggetto "Gruppi VPN" e quindi la voce di menu
"Inserisci" > "Gruppo".
Risultato: viene creato il gruppo VPN. Il gruppo VPN ottiene automaticamente il nome
"Gruppo1".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
165
Configurazione dell'accesso remoto tramite tunnel VPN
7.1 Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security Client
2. Fare clic nell'area di navigazione sulla voce "Tutte le unità" e successivamente nell'area
del contenuto sull'unità SCALANCE S.
3. Trascinare l'unità SCALANCE S sul gruppo VPN "Gruppo1" nell'area di navigazione.
L'unità Security è ora assegnata a questo gruppo VPN.
Il colore del simbolo della chiave passa da grigio a blu.
4. Selezionare nell'area del contenuto l'unità SOFTNET Security Client e trascinarla sul
gruppo VPN "Gruppo1" nell'area di navigazione.
Anche l'unità è ora assegnata a questo gruppo VPN.
Il colore del simbolo della chiave passa da grigio a blu.
5. Selezionare la voce di menu "Progetto" > "Salva".
Risultato: La configurazione del collegamento tramite tunnel è conclusa.
7.1.6
Caricamento della configurazione nell'unità Security e salvataggio della
configurazione nel SOFTNET Security Client
Nota
Se come rete pubblica esterna viene utilizzata una WAN, un'unità Security non può essere
configurata con le impostazioni di fabbrica tramite questa WAN. Configurare in questo caso
l'unità Security fuori dalla rete interna.
Procedimento:
1. Richiamare la seguente finestra di dialogo con la voce di menu "Trasferisci" > "A tutte le
unità…":
2. Avviare l'operazione di caricamento con il pulsante "Start".
3. Salvare il file di configurazione "Projectname.SSC-PC2.dat" nella directory del progetto e
assegnare una password per il codice privato del certificato.
Configurazione di Security
166
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.1 Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security Client
Se l'operazione di caricamento è stata conclusa senza errori, l'unità Security viene riavviata
automaticamente e la nuova configurazione viene attivata.
Risultato: SCALANCE S in esercizio produttivo
L'unità Security si trova nel funzionamento produttivo. Questo stato operativo viene
segnalato dal LED Fault attraverso luce verde.
7.1.7
Realizzazione del tunnel con il SOFTNET Security Client
Procedimento:
1. Avviare il SOFTNET Security Client sul PC2.
2. Azionare il pulsante "Load Configuration", passare alla directory del progetto e caricare il
file di configurazione "Projectname.SSC-PC2.dat".
3. Inserire la password per il codice privato del certificato e confermare con "Avanti".
4. A questo punto viene chiesto se i collegamenti via tunnel devono essere attivati per tutti i
nodi interni. In questa finestra di dialogo fare clic sul pulsante "Sì".
5. Fare clic sul pulsante "Panoramica del tunnel".
Risultato: Collegamento via tunnel attivo
Il tunnel tra SCALANCE S e SOFTNET Security Client è stato realizzato. Questo stato
operativo viene segnalato con il cerchio verde nella voce "Unità1".
Nella consolle loggin della panoramica del tunnel vengono inoltre visualizzati altri dati relativi
allo svolgimento dei tentatici di collegamento eseguiti.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
167
Configurazione dell'accesso remoto tramite tunnel VPN
7.1 Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security Client
La messa in servizio della configurazione è quindi conclusa e il modulo SCALANCE S e il
SOFTNET Security Client hanno realizzato un tunnel di comunicazione con il quale i nodi
della rete possono comunicare in modo protetto dalla rete interna e PC2.
7.1.8
Test della funzione di tunnel (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Configurazione di Security
168
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.1 Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security Client
Sequenza di test 1
Testare ora il funzionamento del collegamento via tunnel realizzato:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Immissione dell'istruzione Ping del PC2 sul PC1 (indirizzo IP 192.168.0.1).
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 192.168.0.1".
Compare di conseguenza il seguente messaggio (risposta positiva del PC1):
Risultato
Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per 192.168.0.1
quanto segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0% di perdita)
Poiché non era ammessa nessuna comunicazione, questi telegrammi possono essere stati
trasportati solo tramite il tunnel VPN.
Sequenza di test 2
Ripetere ora il test inserendo un comando Ping dal PC3.
1. Richiamare sul PC3 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Inserire lo stesso comando Ping ("ping 192.168.0.1") nella finestra del prompt dei
comandi da PC3.
Compare di conseguenza il seguente messaggio (nessuna risposta del PC1):
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
169
Configurazione dell'accesso remoto tramite tunnel VPN
7.1 Accesso remoto - esempio tunnel VPN con SCALANCE S612 e SOFTNET Security Client
Risultato
I telegrammi IP del PC3 non possono raggiungere il PC1 in quanto non è configurata una
comunicazione tramite tunnel tra questi apparecchi, né è ammesso un traffico di dati IP
normale.
Nella "Statistica Ping" per 192.168.0.1 viene visualizzato quanto segue:
● Inviati = 4
● Ricevuto = 0
● Perso = 4 (100% perdita)
Configurazione di Security
170
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.2 Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET Security Client
7.2
Accesso remoto - esempio di un tunnel VPN con CP x43-1
Advanced e SOFTNET Security Client
7.2.1
Informazioni generali
In questo esempio viene progettata la funzione di tunnel VPN nella visualizzazione di
progettazione "Modalità standard". Un'unità Security e un SOFTNET Security Client formano
in questo esempio i due punto terminali del tunnel per il collegamento via tunnel protetto
tramite una rete pubblica.
Con questa configurazione il traffico IP è possibile solo tramite il collegamento via tunnel
VPN configurato tra i due partner autorizzati.
Realizzazione della rete di test
● Rete interna - Collegamento all'interfaccia interna dell'unità Security
Nella rete interna la struttura di test dei nodi di rete viene realizzata con un PC collegato
all'interfaccia interna dell'unità Security.
– PC1: rappresenta un nodo della rete interna
● Unità Security: CP x43-1 Adv. per la protezione della rete interna
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
171
Configurazione dell'accesso remoto tramite tunnel VPN
7.2 Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET Security Client
● Rete esterna - Collegamento all'interfaccia esterna dell'unità Security
La rete pubblica, esterna viene collegata all'interfaccia esterna dell'unità Security.
– PC2: PC con software di configurazione STEP 7, il Security Configuration Tool e il
software SOFTNET Security Client per l'accesso VPN sicuro nella rete interna
– PC3: PC di test per sezione di test 2
Nota
Nell'esempio, al posto di una WAN (Internet) pubblica esterna, viene illustrata una rete
locale per la spiegazione del principio del relativo tipo di funzione.
Le spiegazioni relative all'utilizzo di una WAN vengono indicate nei relativi punti.
Presupposto:
Per poter effettuare l'esempio è necessario soddisfare i seguenti requisiti:
● Il software di progettazione Security Configuration Tool è installato sul PC2.
● STEP 7 è installato sul PC2 ed è già creato un progetto STEP 7.
● L'unità Security dispone dell'ora attuale e della data attuale.
● In STEP 7 il CP x43-1 Adv. ha le seguenti impostazioni:
– Indirizzo IP Gigabit: 191.0.0.201, Maschera della sotto-rete: 255.255.0.0
– Indirizzo IP PROFINET: 192.168.0.201, maschera della sotto-rete: 255.255.255.0
Panoramica delle seguenti operazioni:
Configurazione di Security
172
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.2 Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET Security Client
7.2.2
Configurazione delle impostazioni IP dei PC
Per il test i PC ottengono le seguenti impostazioni di indirizzi IP.
PC
Indirizzo IP
Finestra della sotto-rete
Standard gateway
PC1
192.168.0.1
255.255.255.0
192.168.0.201
PC2
191.0.0.2
255.255.0.0
191.0.0.201
PC3
191.0.0.3
255.255.0.0
191.0.0.201
Nota
Per l'utilizzo di una WAN come rete pubblica esterna, sul PC2, sul PC3 e sull'unità Security
devono essere configurare le rispettive impostazioni IP per il collegamento con la WAN
(Internet).
Per PC1, PC2 e PC3 procedere rispettivamente nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
173
Configurazione dell'accesso remoto tramite tunnel VPN
7.2 Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET Security Client
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
Configurazione di Security
174
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.2 Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET Security Client
7.2.3
Creazione di un progetto e di unità Security
Procedimento:
1. Nelle proprietà dell'oggetto dell'unità Security, nella scheda "Security" attivare la casella
opzione "Attiva Security".
2. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Confermare l'immissione con "OK".
Risultato: È creato un nuovo progetto Security.
3. Aprire nella configurazione HW il Security Configuration Tool tramite la voce di menu
"Modifica" > "Security Configuration Tool".
Risultato: L'unità Security viene visualizzata nell'elenco delle unità configurate.
1. Fare clic sull'oggetto "Tutte le unità" nell'area di navigazione.
2. Generare una seconda unità con la voce di menu "Inserisci" > "Unità".
Configurare:
– Tipo di prodotto: Configurazione SOFTNET (SOFTNET Security Client, SCALANCE
M87x/MD74x, NCP VPN Client, dispositivo VPN)
– Unità: SOFTNET Security Client
– Release del firmware: V4
3. Chiudere la finestra di dialogo con "OK".
Risultato: L'unità viene visualizzata nell'elenco delle unità configurate.
Nota
Se una WAN viene utilizzata come rete pubblica esterna, come indirizzo IP Gigabit nella
Config. HW inserire un indirizzo IP dalla sottorete interna del proprio router DSL. Come
router standard deve essere inserito l'indirizzo IP interno del router DSL. Inserire
l'indirizzo IP pubblico assegnato dal provider nell'SCT, nelle proprietà dell'unità, nella
scheda "VPN" in "Indirizzo IP WAN / FQDN".
Se si utilizza un router DSL come Internet Gateway, ad esso devono essere inoltrate
almeno le seguenti porte sull'indirizzo IP dell'unità security:
• Porta 500 (ISAKMP)
• Porta 4500 (NAT-T)
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
175
Configurazione dell'accesso remoto tramite tunnel VPN
7.2 Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET Security Client
4. Fare clic nell'area di navigazione sull'oggetto "Tutte le unità" e successivamente nell'area
del contenuto sulla riga con il nome di unità "Unità1".
5. Fare clic nella colonna "Nome" e inserire il nome "SSC-PC2".
Risultato: Le impostazioni sono concluse e devono corrispondere alla seguente figura:
7.2.4
Configurazione del gruppo VPN
L'unità Security e il SOFTNET Security Client possono realizzare un tunnel IPsec per la
comunicazione protetta se nel progetto essi sono assegnati allo stesso gruppo.
Procedimento:
1. Selezionare nell'area di navigazione l'oggetto "Gruppi VPN" e quindi la voce di menu
"Inserisci" > "Gruppo".
Risultato: viene creato il gruppo VPN. Il gruppo VPN ottiene automaticamente il nome
"Gruppo1".
2. Selezionare l'oggetto "Tutte le unità" nell'area di navigazione.
Configurazione di Security
176
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.2 Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET Security Client
3. Selezionare nell'area del contenuto il CP e trascinarlo sul gruppo VPN "Gruppo1"
nell'area di navigazione.
L'unità Security è ora assegnata a questo gruppo VPN.
Il colore del simbolo della chiave passa da grigio a blu.
4. Selezionare nell'area del contenuto l'unità SOFTNET Security Client e trascinarla sul
gruppo VPN "Gruppo1" nell'area di navigazione.
Anche l'unità è ora assegnata a questo gruppo VPN.
5. Selezionare la voce di menu "Progetto" > "Salva".
La configurazione del collegamento tramite tunnel è conclusa.
7.2.5
Caricamento della configurazione nelle unità Security e salvataggio della
configurazione nel SOFTNET Security Client
Nota
Se come rete pubblica esterna viene utilizzata una WAN, un'unità Security non può essere
configurata con le impostazioni di fabbrica tramite questa WAN. Configurare in questo caso
l'unità Security fuori dalla rete interna.
Procedimento:
1. Richiamare la seguente finestra di dialogo con la voce di menu "Trasferisci" > "A tutte le
unità":
2. Avviare l'operazione di caricamento con il pulsante "Start".
3. Salvare il file di configurazione "Projectname.SSC-PC2.dat" in una directory a scelta e
assegnare una password per il codice privato del certificato.
4. Chiudere il Security Configuration Tool.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
177
Configurazione dell'accesso remoto tramite tunnel VPN
7.2 Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET Security Client
5. Nella configurazione HW selezionare il menu "Stazione" > "Salva e compila".
6. Caricare la nuova configurazione nell'unità Security con il menu "Sistema di destinazione"
> "Carica nell'unità...".
Se l'operazione di caricamento è stata conclusa senza errori, l'unità Security si avvia
automaticamente e la nuova configurazione è attivata.
7.2.6
Realizzazione del tunnel con il SOFTNET Security Client
Procedimento:
1. Avviare il SOFTNET Security Client sul PC2.
2. Azionare il pulsante "Load Configuration", passare alla directory del progetto e caricare il
file di configurazione "Projectname.SSC-PC2.dat".
3. Inserire la password per il codice privato del certificato e confermare con "Avanti".
4. A questo punto viene chiesto se i collegamenti via tunnel devono essere attivati per tutti i
nodi interni. In questa finestra di dialogo fare clic sul pulsante "Sì".
5. Fare clic sul pulsante "Panoramica del tunnel".
Risultato: Collegamento via tunnel attivo
Il tunnel tra l'unità Security e il SOFTNET Security Client è stato realizzato. Questo stato
operativo viene segnalato con il cerchio verde nella voce "CP-443-1-Advanced".
Nella consolle loggin della panoramica del tunnel vengono inoltre visualizzati altri dati relativi
allo svolgimento dei tentatici di collegamento eseguiti.
Configurazione di Security
178
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.2 Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET Security Client
La messa in servizio della configurazione è quindi conclusa e l'unità Security e il SOFTNET
Security Client hanno realizzato un tunnel di comunicazione con il quale i nodi della rete
possono comunicare in modo protetto dalla rete interna e PC2.
7.2.7
Test della funzione di tunnel (test Ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
179
Configurazione dell'accesso remoto tramite tunnel VPN
7.2 Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET Security Client
Sequenza di test 1
Testare ora il funzionamento del collegamento via tunnel realizzato:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Inserimento dell'istruzione ping da PC2 a PC1 (indirizzo IP 192.168.0.1).
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 192.168.0.1"
Compare di conseguenza il seguente messaggio (risposta positiva del PC1):
Risultato
Quando si sono raggiunti i telegrammi IP PC1, la "Statistica Ping" visualizza per 192.168.0.1
quanto segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0% di perdita)
Poiché non era ammessa nessuna comunicazione, questi telegrammi possono essere stati
trasportati solo tramite il tunnel VPN.
Sequenza di test 2
Ripetere ora il test inserendo un comando Ping dal PC3.
1. Richiamare sul PC3 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Inserire lo stesso comando Ping ("ping 192.168.0.1") nella finestra del prompt dei
comandi da PC3.
Compare di conseguenza il seguente messaggio (nessuna risposta del PC1):
Configurazione di Security
180
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.2 Accesso remoto - esempio di un tunnel VPN con CP x43-1 Advanced e SOFTNET Security Client
Risultato
I telegrammi IP del PC3 non possono raggiungere il PC1 in quanto non è configurata una
comunicazione tramite tunnel tra questi apparecchi, né è ammesso un traffico di dati IP
normale.
Nella "Statistica Ping" per 192.168.0.1 viene visualizzato quanto segue:
● Inviati = 4
● Ricevuto = 0
● Perso = 4 (100% perdita)
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
181
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
7.3
Accesso remoto - esempio tunnel VPN con SCALANCE M e
SOFTNET Security Client
7.3.1
Informazioni generali
In questo esempio viene progettata la funzione di tunnel VPN nella visualizzazione di
progettazione "Modalità estesa". Uno SCALANCE M e il SOFTNET Security Client formano i
due punti terminali del tunnel per il collegamento via tunnel protetto tramite una rete
pubblica.
Con questa configurazione il traffico IP è possibile solo tramite il collegamento via tunnel
VPN configurato tra partner autorizzati.
Nota
Per la configurazione in questo esempio, per la scheda SIM di SCALANCE M il proprio
Provider (società di telefonia mobile) deve mettere a disposizione un indirizzo IP pubblico
non modificabile, raggiungibile anche da Internet.
In alternativa è possibile utilizzare anche un indirizzo DynDNS per SCALANCE M.
Struttura della rete di test:
● Rete interna - Collegamento a SCALANCE M interfaccia X2 ("Rete interna")
Nella rete interna la struttura di test di un nodo di rete viene realizzata con un PC
collegato all'interfaccia ("X2") di un'unità SCALANCE M.
– PC1: rappresenta un nodo della rete interna
● SCALANCE M: Unità SCALANCE M per la protezione della rete interna
Configurazione di Security
182
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
● Rete pubblica esterna - collegamento tramite antenna SCALANCE M ("Rete esterna")
Per SCALANCE M la rete pubblica esterna è una rete GSM o una rete mobile che
l'utente può scegliere dal provider (società di telefonia mobile) e che viene raggiunta
tramite l'antenna dell'unità. PC2 si collega tramite una rispettiva scheda SIM di un
provider in una rete GSM o una rete mobile o è collegato a Internet tramite un router
DSL.
– PC2: PC con software di configurazione Security Configuration Tool e software
SOFTNET Security Client per l'accesso VPN sicuro nella rete interna
Apparecchi/componenti necessari:
Per la struttura utilizzare i seguenti componenti:
● 1 unità SCALANCE M con scheda SIM, (opzionale: una guida ad U appositamente
montata con materiale di montaggio);
● 1 alimentazione elettrica di 24 V con collegamento del cavo e connettore morsettiera;
● 1 PC sul quale è installato lo strumento di progettazione "Security Configuration Tool" e il
client VPN "SOFTNET Security Client";
● 1 PC nella rete interna dello SCALANCE M con un Web Browser per la progettazione
dello SCALANCE M e il test della configurazione;
● 1 DSL Router (collegamento in Internet per il PC con VPN Client (ISDN, DSL, UMTS,
ecc.);
● I cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet.
Panoramica delle seguenti operazioni
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
183
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
7.3.2
Configurazione di SCALANCE M e rete
Procedimento:
1. Disimballare dapprima SCALANCE M e controllare che i componenti non siano
danneggiati.
2. Seguire la messa in servizio "passo-passo" del manuale di sistema SCALANCE M fino al
punto nel quale si deve effettuare la configurazione in base alle proprie esigenze.
Utilizzare quindi PC1.
3. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di
rete nelle interfacce previste:
– Collegare il PC1 all'interfaccia interna X2 ("Rete interna") di SCALANCE M
– Collegare il PC2 al DSL Router
4. Inserire quindi i PC interessati.
Configurazione di SCALANCE M, vedere capitolo:
Esecuzione della configurazione dello SCALANCE M (Pagina 189)
7.3.3
Configurazione di impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP.
PC
IP address
Finestra della sotto-rete Standard gateway
PC1
192.168.1.101
255.255.255.0
192.168.1.1
PC2
192.168.2.202
255.255.255.0
192.168.2.1
Per il gateway standard di PC1 inserire l'indirizzo IP che si assegna all'unità SCALANCE M
nella progettazione successiva per l'interfaccia di rete interna. Per PC2 inserire l’indirizzo IP
del router DSL.
Nota
L'indirizzo IP di PC2 deve trovarsi nella rete interna del router DSL (192.168.2.0/24).
Per il PC1 e il PC2 procedere rispettivamente nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
Configurazione di Security
184
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
7.3.4
Creazione di un progetto e di unità Security
Procedimento:
1. Installare e avviare il software di progettazione Security Configuration Tool sul PC2.
2. Selezionare la voce di menu "Progetto > Nuovo...".
3. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
185
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
4. Confermare l'immissione.
Risultato: Il nuovo progetto è creato. La finestra di dialogo "Selezione di un'unità o
configurazione software" si apre
5. Configurare i seguenti parametri:
– Tipo di prodotto: Configurazione SOFTNET (SOFTNET Security Client, SCALANCE
M87x/MD74x, NCP VPN Client, dispositivo VPN)
– Unità: SOFTNET Security Client
– Release del firmware: V4
Assegnare il nome di unità "SSC-PC2" e chiudere la finestra di dialogo con "OK".
6. Fare clic sull'oggetto "Tutte le unità" nell'area di navigazione.
7. Generare una seconda unità con la voce di menu "Inserisci" > "Unità". Configurare i
seguenti parametri:
– Tipo di prodotto: Configurazione SOFTNET (SOFTNET Security Client, SCALANCE
M87x/MD74x, NCP VPN Client, dispositivo VPN)
– Unità: SCALANCE M87x/MD74x
– Release del firmware: SCALANCE M875/MD74x
8. Nell'area "Configurazione" assegnare il nome di unità "SCALANCE-M" e inserire
l'indirizzo IP esterno e la maschera della sottorete esterna ottenuti dal provider nel
formato predefinito.
Nota
Per la configurazione in questo esempio, per la scheda SIM di SCALANCE M il proprio
Provider (società di telefonia mobile) deve mettere a disposizione un indirizzo IP pubblico
non modificabile, raggiungibile anche da Internet. Inserire questo indirizzo IP come
indirizzo IP esterno per l'unità.
Se si utilizzano indirizzi dinamici per SCALANCE M, per l'unità è necessario un indirizzo
DynDNS. In questo caso non è necessario adattare l'indirizzo IP esterno in questa
posizione. L'indirizzo IP inserito serve quindi solo come segnaposto. Durante la
configurazione del SOFTNET Security Client, al posto di un indirizzo IP esterno inserire
un nome DNS.
Configurazione di Security
186
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
9. Inserire nell'area "Configurazione" l'indirizzo IP interno (192.168.1.1) e la maschera della
sotto-rete interna (255.255.255.0) nel formato indicato e confermare la finestra di dialogo
con "OK".
Risultato: Le impostazioni sono concluse e devono corrispondere alla seguente figura:
7.3.5
Configurazione del gruppo VPN e delle proprietà del gruppo VPN
Uno SCALANCE M e il SOFTNET Security Client possono realizzare un tunnel IPsec per la
comunicazione protetta se nel progetto essi sono assegnati allo stesso gruppo VPN.
Procedimento:
1. Selezionare nell'area di navigazione l'oggetto "Gruppi VPN" e quindi la voce di menu
"Inserisci" > "Gruppo".
Risultato: viene creato il gruppo VPN. Il gruppo VPN ottiene automaticamente il nome
"Gruppo1".
2. Selezionare l'oggetto "Tutte le unità" nell'area di navigazione.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
187
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
3. Selezionare nell'area del contenuto l'unità SCALANCE M e trascinarla sul gruppo VPN
"Gruppo1" nell'area di navigazione.
Risultato: L'unità è assegnata a questo gruppo VPN.
Il colore del simbolo della chiave passa da grigio a blu.
4. Selezionare nell'area del contenuto l'unità SOFTNET Security Client "SSC-PC2" e
trascinarla sul gruppo VPN "Gruppo1" nell'area di navigazione.
Risultato: Anche l'unità è assegnata a questo gruppo VPN.
Il colore del simbolo della chiave passa da grigio a blu.
5. Commutare in modalità estesa con la voce di menu "Visualizza" > "Modalità estesa".
6. Selezionare il gruppo VPN "Gruppo1" nell'area di navigazione.
7. Selezionare la voce di menu "Modifica " > Proprietà..." per aprire le proprietà del gruppo
VPN.
8. Modificare la durata SA per Phase 1 e Phase 2 a 1440 minuti e lasciare invariate tutte le
altre impostazioni. L'impiego di parametri diversi dalla seguente figura può comportare la
mancata realizzazione del collegamento VPN da parte dei due partner del tunnel.
9. Salvare il progetto con la voce di menu "Progetto" > "Salva".
La configurazione del collegamento tramite tunnel è conclusa.
Configurazione di Security
188
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
7.3.6
Salvataggio della configurazione di SCALANCE M e del SOFTNET Security
Client
Procedimento:
1. Richiamare la seguente finestra di dialogo con la voce di menu "Trasferisci" > "A tutte le
unità…":
2. Avviare l'operazione di caricamento con il pulsante "Start".
3. Salvare il file di configurazione "Projectname.SSC-PC2.dat" nella directory del progetto e
assegnare una password per il codice privato del certificato. Nella directory del progetto
vengono salvati i seguenti file:
– "Projectname.SSC-PC2.dat"
– "Projectname.string.SSC-PC2.p12"
– "Projectname.group1.cer"
4. Salvare il file di configurazione "Projectname.SCALANCE-M.txt" nella directory del
progetto e assegnare una password per il codice privato del certificato. Nella directory del
progetto vengono salvati i seguenti file:
– "Projectname.SCALANCE-M.txt"
– "Projectname.string.SCALANCE-M.p12"
– "Projectname.Group1.SCALANCE-M.cer"
A questo punto sono stati salvati tutti i file e i certificati necessari ed è possibile mettere in
servizio SCALANCE M e il SOFTNET Security Client.
7.3.7
Esecuzione della configurazione dello SCALANCE M
Grazie al file di testo salvato "Projectname.SCALANCE-M.txt" è possibile eseguire una
configurazione in modo semplice in base all'interfaccia Web di SCALANCE M. Qui di seguito
viene illustrato passo per passo un esempio di configurazione di SCALANCE M.
Per la configurazione viene richiesto quanto segue:
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
189
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
● SCALANCE M è raggiungibile da Internet tramite un indirizzo IP pubblico fisso;
● SOFTNET Security Client utilizza un indirizzo IP dinamico.
Parallelamente, al punto corrispondente viene visualizzata anche l'avvertenza relativa alla
progettazione di un nome DynDNS per SCALANCE M.
Procedimento:
1. Collegarsi tramite PC1 alla superficie Web di SCALANCE M.
Osservazione: Se SCALANCE M è con l'impostazione di fabbrica, l'interfaccia interna
dell'unità ha l'indirizzo IP 192.168.1.1
2. Navigare alla directory "IPSec-VPN" > "Certificati".
3. I certificati necessari sono stati salvati sul PC2 in base al capitolo precedente ed è stata
assegnata una password per il codice privato. Trasferire i certificati
("Projectname.string.SCALANCE-M.p12", "Projectname.group1.SCALANCE-M.cer") per
SCALANCE M dapprima nel PC1.
4. Caricare quindi il certificato del punto opposto "Projectname.group1.SCALANCE-M.cer" e
il file PKCS12 "Projectname.string.SCALANCE-M.p12" sull'unità.
Modalità VPN Roadwarrior di SCALANCE M
Poiché il SOFTNET Security Client è collegato a Internet tramite un indirizzo IP dinamico,
viene utilizzata la modalità VPN Roadwarrior di SCALANCE M per realizzare un
collegamento protetto.
● Modalità Roadwarrior di SCALANCE M:
– Nella modalità VPN Roadwarrior SCALANCE M può accettare collegamenti VPN dai
punti opposti con indirizzo sconosciuto. Possono ad esempio essere punti opposti in
impiego mobile che rilevato il proprio indirizzo IP dinamicamente.
– Il collegamento VPN deve essere realizzato attraverso il punto opposto. È possibile un
solo collegamento VPN in modalità Roadwarrior. I collegamenti VPN in modalità
standard possono essere utilizzati parallelamente.
Configurazione di Security
190
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
Procedimento:
1. Navigare alla directory "IPSec-VPN" > "Collegamenti".
2. In "Impostazioni" fare clic sul pulsante "Modifica".
3. Modificare le impostazioni di Roadwarrior VPN come illustrato nella seguente figura e
salvare gli inserimenti.
La "ID del punto opposto" può essere rilevata dal file di testo "Projectname.SCALANCEM.txt". L'inserimento dell'ID del punto opposto è possibile in modo opzionale.
4. Nella finestra "IPSec-VPN - Collegamenti" in IKE fare clic pulsante "Modifica".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
191
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
5. Modificare le impostazioni IKE di Roadwarrior VPN come illustrato nella seguente figura e
salvare gli inserimenti.
Nota
Un collegamento via tunnel corretto tra SCALANCE M e SOFTNET Security Client può
essere realizzato solo se vengono rispettati i parametri riportati di seguito.
L'impiego di parametri diversi comporta la mancata realizzazione della connessione VPN
tra i due partner del tunnel.
Metodo di autenticazione: X.509 Certificato punto opposto
Phase 1 - ISKAMP SA:
• ISAKMP-SA codifica:: 3DES-168
• ISAKMP-SA Hash: SHA-1
• ISAKMP-SA modalità: Main Mode
• ISAKMP-SA durata (secondi): 86400
Phase 2 - IPSec SA:
• IPSec SA codifica: 3DES-168
• IPSec SA Hash: SHA-1
• IPSec SA durata (secondi): 86400
Gruppo DH/PFS: DH-2 1024
6. Per poter utilizzare la funzione di diagnostica del SOFTNET Security Client per i tunnel
VPN realizzati con successo in combinazione con SCALANCE M, è necessario
consentire un ping dalla rete esterna di SCALANCE M.
Navigare quindi nella directory "Sicurezza" > "Estesa".
Configurazione di Security
192
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
Inserire l'impostazione "Externat ICMP to SCALANCE M" sul valore "Allow Ping" e
salvare l'inserimento.
Nota
Se non si abilita questa funzione, non è possibile utilizzare la funzione di diagnostica del
SOFTNET Security Client per il tunnel VPN necessario realizzato in combinazione con
SCALANCE M. Non si ottiene alcuna risposta se il tunnel è stato realizzato con
successo, ma è tuttavia possibile comunicare in modo sicuro tramite il tunnel. Non si
ottiene alcuna risposta che la realizzazione del tunnel è riuscita, ma è tuttavia possibile
comunicare in modo sicuro tramite il tunnel.
Nota
Se si vuole raggiungere SCALANCE M tramite un nome DNS, parametrizzare nella
seguente directory il collegamento server DynDNS. SCALANCE M supporta solo il
provider "dyndns.org".
"External Network" > "Advanced Settings" > "DynDNS"
1. Modificare l'impostazione "Eseguire il logiin di questo dispositivo su un server
DynDNS" al valore "Sì".
2. Inserire il nome utente e la password del proprio DynDNS account.
3. Inserire l'indirizzo DynDNS completo nella casella "Nome host del server DynDNS".
Indicare anche i domini per questo indirizzo (ad es. "mydns.dyndns.org").
7.3.8
Realizzazione del tunnel con il SOFTNET Security Client
Procedimento:
1. Avviare il SOFTNET Security Client sul PC2.
2. Azionare il pulsante "Load Configuration", passare alla directory del progetto e caricare il
file di configurazione "Projectname.SSC-PC2.dat".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
193
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
3. Per una configurazione SCALANCE M il SOFTNET Security Client apre la finestra di
dialogo "Impostazioni IP/DNS MD741-1". Inserire in questa finestra di dialogo l'indirizzo
IP pubblico di SCALANCE M ricevuto dal proprio provider. Confermare la finestra di
dialogo con "OK".
Osservazione: Se si utilizza un nome DNS, in questa finestra di dialogo è possibile
configurare questo nome al posto di un indirizzo IP.
4. Inserire la password per il certificato e confermare con "Next".
5. A questo punto viene chiesto se i collegamenti via tunnel devono essere attivati per tutti i
nodi interni. In questa finestra di dialogo fare clic sul pulsante "Sì".
6. Azionare il pulsante "Panoramica del tunnel".
Risultato: Collegamento via tunnel attivo
Il tunnel tra SCALANCE M e SOFTNET Security Client è stato realizzato.
Dall'icona blu nella voce "MD741-1" si riconosce che è stata creata una Policy per questo
collegamento di comunicazione.
Configurazione di Security
194
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
Lo stato operativo che indica la raggiungibilità di SCALANCE M, viene segnalato dal "cerchio
verde" nella voce "MD741-1".
Nota
Fare attenzione che questa funzione dipende dall'abilitazione della funzione ping su
SCALANCE M.
Nella consolle loggin della panoramica del tunnel vengono inoltre visualizzati altri dati relativi
allo svolgimento dei tentatici di collegamento eseguiti.
La messa in servizio della configurazione è quindi conclusa. SCALANCE M e il SOFTNET
Security Client hanno realizzato un tunnel di comunicazione con il quale dai nodi della rete
interna è possibile comunicare in modo sicuro con PC2.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
195
Configurazione dell'accesso remoto tramite tunnel VPN
7.3 Accesso remoto - esempio tunnel VPN con SCALANCE M e SOFTNET Security Client
7.3.9
Test della funzione tunnel (test ping)
Come può essere testata la funzione configurata?
Eseguire i test della funzione come descritto qui di seguito con un'istruzione ping.
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni pin. Eventualmente i servizi ICMP del tipo "Request" e "Response"
devono essere abilitati.
Sezione di test
Testare ora il funzionamento del collegamento via tunnel realizzato:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Inserimento dell'istruzione ping da PC2 a PC1 (indirizzo IP 192.168.1.101).
Direttamente nella riga dell'istruzione della finestra visualizzata "Prompt dei comandi",
sulla posizione del cursore, inserire il comando "ping 192.168.1.101"
Compare di conseguenza il seguente messaggio (risposta positiva del PC1):
Risultato
Se i telegrammi IP hanno raggiunto PC1, la "Statistica ping" per 192.168.1.101 visualizza
quando segue:
● Inviati = 4
● Ricevuti = 4
● Persi = 0 (0 % di perdita)
Poiché non era ammessa nessuna comunicazione, questi telegrammi possono essere stati
trasportati solo tramite il tunnel VPN.
Configurazione di Security
196
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
7.4
Accesso remoto - SCALANCE S e SOFTNET Security Client con
accesso personalizzato
7.4.1
Informazioni generali
Informazioni generali
In questo esempio viene realizzato un tunnel VPN tra un PC e un'unità Security mediante il
SOFTNET Security Client. Dopo l'unità Security si trova un ulteriore PC nella rete. Nel
Security Configuration Tool il firewall viene quindi configurato in modo che l'accesso dal PC2
nella rete esterna sia possibile tramite il tunnel VPN sul PC1 nella rete interna protetta dopo
l'unità Security solo per un determinato utente.
Apparecchi/componenti necessari:
Per la realizzazione sono necessari utilizzare i seguenti componenti:
● 1 SCALANCE S612, (opzionalmente: una guida ad U appositamente montata con
materiale di montaggio);
● 1 alimentazione elettrica di 24V con collegamento del cavo e connettore morsettiera;
● 1 PC nella rete esterna sul quale è installato lo strumento di progettazione Security
Configuration Tool e il SOFTNET Security Client;
● 1 PC nella rete interna per il test della configurazione;
● i cavi di rete necessari, cavo TP (Twisted Pair) secondo lo standard IE FC RJ45 per
Industrial Ethernet.
Requisito richiesto:
Per poter effettuare l'esempio è necessario soddisfare i seguenti requisiti:
● Il software di progettazione del Security Configuration Tool e del SOFTNET Security
Client sono installati sul PC2.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
197
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
Panoramica delle seguenti operazioni:
Configurazione di Security
198
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
7.4.2
Configurazione di SCALANCE e della rete
Procedimento:
1. Disimballare dapprima SCALANCE S e controllare che i componenti non siano
danneggiati.
2. Collegare la tensione di alimentazione a SCALANCE S.
Risultato: dopo il collegamento della tensione di esercizio si accende il Fault LED (F)
giallo.
AVVERTENZA
Utilizzare solo tensione di sicurezza a basso voltaggio
L'apparecchio SCALANCE S è concepito per l'esercizio con tensione di sicurezza a
basso voltaggio. Di conseguenza ai collegamenti di alimentazione possono essere
collegate solo tensioni di sicurezza a basso voltaggio (SELV) secondo
IEC950/EN60950/ VDE0805.
L'alimentatore per l'alimentazione di SCALANCE S deve corrispondere a NEC Class 2
(campo di tensione 18-32 V, corrente necessaria ca. 250 mA).
3. Realizzare a questo punto i collegamenti di rete fisici innestando il connettore del cavo di
rete nelle interfacce previste:
– Collegare PC1 con l'interfaccia interna dell'unità Security.
– Collegare PC2 con l'interfaccia esterna dell'unità Security.
4. Inserire quindi i PC interessati.
Nota
Le interfacce Ethernet vengono trattate da SCALANCE S in modo diverso e non devono
quindi essere scambiate durante il collegamento alla rete di comunicazione:
• Interfaccia X1 - External Network
Contrassegno rosso = area di rete non protetta;
• Interfaccia X2 - Internal Network
Contrassegno verde = rete protetta con SCALANCE S;
In caso di scambio delle interfacce il dispositivo perde la sua funzione di protezione.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
199
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
7.4.3
Configurazione delle impostazioni IP dei PC
Per il test nei PC devono essere impostati i seguenti indirizzi IP:
PC
Indirizzo IP
Finestra della sottorete
Standard gateway
PC1
192.168.1.100
255.255.255.0
192.168.1.1
PC2
192.168.2.100
255.255.255.0
192.168.2.1
Per il PC1 e il PC2 procedere quindi nel modo seguente:
1. Aprire nel PC interessato il pannello di controllo con la seguente voce di menu "Start" >
"Pannello di controllo":
2. Aprire il simbolo "Centro connessioni di rete e condivisione" e selezionare dal menu di
navigazione a sinistra l'opzione "Modifica impostazioni scheda".
3. Attivare nella finestra di dialogo "Proprietà della connessione alla rete locale (LAN)" la
casella di opzione "Protocollo internet versione 4 (TCP/IPv4)".
4. Fare clic sul pulsante "Proprietà".
5. Selezionare nella finestra di dialogo "Proprietà del protocollo interno versione 4
(TCP/IPv4)" la casella opzione "Utilizza il seguente indirizzo IP:" .
Configurazione di Security
200
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
6. Inserire i valori assegnati al PC rilevati dalla tabella "Configurazione delle impostazioni IP
dei PC" nelle caselle previste.
7. Chiudere le finestre di dialogo con "OK" e uscire dal pannello di controllo.
7.4.4
Creazione di un progetto e di un'unità security
Procedimento:
1. Installare e avviare il Security Configuration Tool sul PC2.
2. Selezionare la voce di menu "Progetto > Nuovo..." nel Security Configuration Tool.
3. Creare nella seguente finestra di dialogo un nuovo utente con il nome utente e la
rispettiva password. All'utente viene assegnato automaticamente il ruolo "Administrator".
4. Confermare l'immissione con "OK".
Risultato: Il nuovo progetto è creato. La finestra di dialogo "Selezione di un'unità o
configurazione software" si apre
5. Selezionare nelle aree "Tipo di prodotto", "Unità" e "Release del firmware" le seguenti
opzioni:
– Tipo di prodotto: SCALANCE S
– Unità: S612
– Release del firmware: V4
6. Nell'area "Configurazione" inserire l'indirizzo MAC nel formato indicato. L'indirizzo MAC è
stampigliato sul frontalino dell'unità SCALANCE S.
7. Inserire nell'area "Configurazione" l'indirizzo IP esterno (192.168.2.1) e la maschera della
sotto-rete esterna (255.255.255.0) nel formato indicato.
8. Selezionare dalla casella di riepilogo "Routing interfaccia esterno/interno" la voce
"Modalità routing".
9. Inserire nel formato indicato l'indirizzo IP interno (192.168.1.1) e la maschera della sottorete interna (255.255.255.0) e confermare la finestra di dialogo con "OK".
10.Creare un'altra unità con i seguenti parametri dalla voce di menu "Inserisci" > "Unità".
– Tipo di prodotto: Configurazione SOFTNET (SOFTNET Security Client, SCALANCE
M87x/MD74x, NCP VPN Client, dispositivo VPN)
– Unità: SOFTNET Security Client
– Release del firmware: V4
Risultato: Le unità sono create e vengono visualizzate nell'area del contenuto del Security
Configuration Tool.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
201
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
7.4.5
Configurazione del gruppo VPN
Due unità Security possono realizzare un tunnel IPSec per la comunicazione protetta se nel
progetto essi sono assegnati allo stesso gruppo VPN.
Procedimento:
1. Commutare la visualizzazione della progettazione con la voce di menu "Visualizza" >
"Modalità estesa" nella modalità estesa.
2. Selezionare nell'area di navigazione l'oggetto "Gruppi VPN" e creare un nuovo gruppo
VPN con la voce di menu "Inserisci" > "Gruppo":
Risultato: viene creato il gruppo VPN. Il gruppo VPN ottiene automaticamente il nome
"Gruppo1".
3. Fare clic nell'area di navigazione sull'oggetto "Tutte le unità" e successivamente nell'area
del contenuto sulla prima unità Security.
Configurazione di Security
202
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
4. Trascinare l'unità Security sul gruppo VPN "Gruppo1" nell'area di navigazione.
Risultato: L'unità Security è ora assegnata a questo gruppo VPN.
Il colore del simbolo della chiave passa da grigio a blu.
5. Selezionare nell'area del contenuto la seconda unità Security e trascinarla sul gruppo
VPN "Gruppo1" nell'area di navigazione.
Risultato: A questo punto, anche la seconda unità Security è assegnata a questo gruppo
VPN e la configurazione del collegamento via tunnel è conclusa.
7.4.6
Creazione dell'utente accesso remoto
Creazione di un utente accesso remoto
1. Selezionare la voce di menu "Opzioni" > "Gestione utenti...".
2. Fare clic sul pulsante "Aggiungi..." nella scheda "Utenti".
3. Creare un nuovo utente con le seguenti impostazioni:
4. Chiudere la finestra di dialogo con "OK".
5. Chiudere la gestione utenti con "OK".
7.4.7
Progettazione di firewall
In questo esempio progettare il firewall in modo che l'accesso sia possibile tramite un tunnel
VPN sul PC nella rete interna solo per l'utente Remote Access creato.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
203
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
Impostazione del set di regole IP personalizzato - Procedimento:
1. Nell'area di navigazione selezionare l'oggetto "Set di regole IP personalizzati"
2. Selezionare la voce "Inserisci set di regole..." nel menu contestuale.
3. Nella finestra di dialogo visualizzata fare clic sul pulsante "Aggiungi regola" per inserire
una nuova regola.
4. Inserire il set di regole IP come illustrato di seguito:
5. Selezionare dall'elenco "Utenti e ruoti disponibili" la voce "Remoto (utente)" e fare clic sul
pulsante "Assegna".
6. Confermare la finestra di dialogo con "OK".
Configurazione di Security
204
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
Assegnazione del set di regole IP personalizzato - Procedimento:
1. Nell'area di navigazione fare clic sulla voce "Tutte le unità", selezionare nell'area del
contenuto l'unità Security del tipo "S612 V4" e trascinarla sul nuovo set di regole firewall
IP personalizzato creato tenendo premuto il tasto sinistro del mouse.
2. L'assegnazione può essere controllata aprendo la finestra di dialogo per l'impostazione
delle proprietà dell'unità e selezionando la scheda "Firewall". Il set di regole IP
personalizzato è stato creato nella scheda "Regole IP".
3. Azionando il pulsante "Apri set regole" è possibile visualizzare il set di regole IP in
dettaglio.
4. Fare clic sul pulsante "OK".
Impostazione della regola firewall locale - Procedimento
1. Selezionare nell'area del contenuto l'unità Security del tipo "S612 V4".
2. Selezionare la voce di menu "Modifica" > "Proprietà...".
3. Selezionare la scheda "Firewall" e fare clic sul pulsante "Aggiungi regola".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
205
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
4. Inserire la regola come rappresentato di seguito:
5. Confermare la finestra di dialogo con "OK".
Configurazione di Security
206
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
7.4.8
Caricamento della configurazione nell'unità Security e salvataggio della
configurazione nel SOFTNET Security Client
Procedimento:
1. Selezionare la voce di menu "Progetto" > "Salva".
2. Richiamare la seguente finestra di dialogo con la voce di menu "Trasferisci" > "A tutte le
unità...":
3. Avviare l'operazione di caricamento con il pulsante "Start".
4. Salvare il file di configurazione nella directory del progetto e assegnare una password per
il codice privato del certificato.
Se l'operazione di caricamento è stata conclusa senza errori, l'unità Security viene
riavviata automaticamente e la nuova configurazione viene attivata.
Risultato: SCALANCE S in esercizio produttivo
L'unità Security si trova nel funzionamento produttivo. Questo stato operativo viene
segnalato dal LED Fault attraverso luce verde.
7.4.9
Realizzazione del tunnel con il SOFTNET Security Client
Procedimento:
1. Avviare il SOFTNET Security Client sul PC2.
2. Azionare il pulsante "Carica configurazione", passare alla directory del progetto e caricare
il file di configurazione creato.
3. Inserire la password per il codice privato del certificato e confermare con "Avanti".
4. A questo punto viene chiesto se i collegamenti via tunnel devono essere attivati per tutti i
nodi interni. In questa finestra di dialogo fare clic sul pulsante "Sì".
5. Azionare il pulsante "Panoramica del tunnel".
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
207
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
Risultato: Collegamento via tunnel attivo
La messa in servizio della configurazione è quindi conclusa e l'unità Security e il SOFTNET
Security Client possono realizzare un tunnel di comunicazione con il quale il PC2 può
comunicare in modo protetto con il PC1 dalla rete esterna.
Il tunnel tra il SOFTNET Security Client e l'unità Security è stato realizzato. Questo stato
operativo viene segnalato con l'icona blu e il cerchio verde.
7.4.10
Test della funzione firewall (test ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Firewall in Windows
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sezione di test
Testare ora il funzionamento della configurazione nel modo seguente:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Inserimento dell'istruzione ping da PC2 a PC1 (indirizzo IP 192.168.1.100).
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il comando "ping 192.168.1.100" .
Compare il seguente messaggio (nessuna positiva del PC1):
Configurazione di Security
208
Getting Started, 09/2013, C79000-G8972-C287-01
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
Risultato
I telegrammi IP del PC2 non possono raggiungere il PC1 in quanto il traffico di dati
proveniente dal tunnel VPN nella interna non è consentito.
Nella "Statistica Ping" per 192.168.1.100 viene visualizzato quanto segue:
● Inviati = 4
● Ricevuto = 0
● Perdita = 4 (100% di perdita)
7.4.11
Login nella pagina Web
Login tramite pagina Web
1. In un Web Browser sul PC2 inserire l'indirizzo "https://192.168.2.1".
2. Nella finestra successiva inserire il nome utente "Remoto" nonché la relativa password e
fare clic sul pulsante "Login".
3. Il set di regole firewall IP definito per l'utente "Remoto" è attivato. È consentito l'accesso
dal PC2 nella rete esterna al PC1 nella rete interna.
7.4.12
Test della funzione firewall (test ping)
Come può essere testata la funzione configurata?
Il test della funzione può essere eseguita come descritto qui di seguito con un'istruzione
Ping.
Configurazione di Security
Getting Started, 09/2013, C79000-G8972-C287-01
209
Configurazione dell'accesso remoto tramite tunnel VPN
7.4 Accesso remoto - SCALANCE S e SOFTNET Security Client con accesso personalizzato
in alternativa possono essere utilizzati anche altri programmi di comunicazione per il test
della configurazione.
Nota
Firewall in Windows
Con Windows il Firewall può essere impostato come standard in modo che non possano
essere eseguite istruzioni ping. Eventualmente i servizi ICMP del tipo "Request" e
"Response" devono essere abilitati.
Sezione di test
Testare ora la configurazione del firewall nel modo seguente:
1. Richiamare sul PC2 nella barra di avvio la voce di menu "Start" > "Tutti i programmi" >
"Accessori" > "Prompt dei comandi"
2. Inserimento dell'istruzione ping da PC2 a PC1 (indirizzo IP 192.168.1.100).
Immettere direttamente nella riga di comando della finestra visualizzata "Prompt dei
comandi", sulla posizione del cursore, il comando "ping 192.168.1.100" .
Compare il seguente messaggio (risposta positiva del PC1):
Risultato
Se i telegrammi IP hanno raggiunto PC1, la "Statistica ping" per 192.168.1.100 visualizza
quando segue:
● Inviati = 4
● Ricevuto = 4
● Perso = 0 (0% perdita)
A causa della progettazione del set di regole IP, i telegrammi Ping possono finire nella rete
interna tramite il tunnel VPN. Il PC nella rete interna ha risposto ai telegrammi. Con la
funzione "Stateful-Inspection" del firewall i telegrammi di risposta, provenienti dalla rete
interna vengono consentiti automaticamente nella rete esterna.
Configurazione di Security
210
Getting Started, 09/2013, C79000-G8972-C287-01