Mostrar - Siemens Industry Online Support

Anuncio
Principios básicos y aplicación
___________________
Prólogo
1
___________________
Introducción y fundamentos
SIMATIC NET
Industrial Ethernet Security
Principios básicos y aplicación
Configuración con Security
2
___________________
Configuration Tool
Crear módulos y ajustar
3
___________________
parámetros de red
4
___________________
Configurar el cortafuegos
Configuración de otras
5
___________________
propiedades de los módulos
Manual de configuración
Comunicación segura en la
6
___________________
VPN a través de túnel IPsec
Redundancia de router y
7
___________________
cortafuegos
8
___________________
SOFTNET Security Client
Funciones online - Test,
9
___________________
Diagnóstico y Logging
A
___________________
Anexo
B
___________________
Bibliografía
09/2013
C79000-G8978-C286-02
Notas jurídicas
Filosofía en la señalización de advertencias y peligros
Este manual contiene las informaciones necesarias para la seguridad personal así como para la prevención de
daños materiales. Las informaciones para su seguridad personal están resaltadas con un triángulo de
advertencia; las informaciones para evitar únicamente daños materiales no llevan dicho triángulo. De acuerdo al
grado de peligro las consignas se representan, de mayor a menor peligro, como sigue.
PELIGRO
Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones
corporales graves.
ADVERTENCIA
Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones
corporales graves.
PRECAUCIÓN
Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse lesiones corporales.
ATENCIÓN
Significa que si no se adoptan las medidas preventivas adecuadas, pueden producirse daños materiales.
Si se dan varios niveles de peligro se usa siempre la consigna de seguridad más estricta en cada caso. Si en una
consigna de seguridad con triángulo de advertencia se alarma de posibles daños personales, la misma consigna
puede contener también una advertencia sobre posibles daños materiales.
Personal cualificado
El producto/sistema tratado en esta documentación sólo deberá ser manejado o manipulado por personal
cualificado para la tarea encomendada y observando lo indicado en la documentación correspondiente a la
misma, particularmente las consignas de seguridad y advertencias en ella incluidas. Debido a su formación y
experiencia, el personal cualificado está en condiciones de reconocer riesgos resultantes del manejo o
manipulación de dichos productos/sistemas y de evitar posibles peligros.
Uso previsto o de los productos de Siemens
Considere lo siguiente:
ADVERTENCIA
Los productos de Siemens sólo deberán usarse para los casos de aplicación previstos en el catálogo y la
documentación técnica asociada. De usarse productos y componentes de terceros, éstos deberán haber sido
recomendados u homologados por Siemens. El funcionamiento correcto y seguro de los productos exige que su
transporte, almacenamiento, instalación, montaje, manejo y mantenimiento hayan sido realizados de forma
correcta. Es preciso respetar las condiciones ambientales permitidas. También deberán seguirse las
indicaciones y advertencias que figuran en la documentación asociada.
Marcas registradas
Todos los nombres marcados con ® son marcas registradas de Siemens AG. Los restantes nombres y
designaciones contenidos en el presente documento pueden ser marcas registradas cuya utilización por terceros
para sus propios fines puede violar los derechos de sus titulares.
Exención de responsabilidad
Hemos comprobado la concordancia del contenido de esta publicación con el hardware y el software descritos.
Sin embargo, como es imposible excluir desviaciones, no podemos hacernos responsable de la plena
concordancia. El contenido de esta publicación se revisa periódicamente; si es necesario, las posibles las
correcciones se incluyen en la siguiente edición.
Siemens AG
Industry Sector
Postfach 48 48
90026 NÜRNBERG
ALEMANIA
Referencia del documento: C79000-G8978-C286-02
Ⓟ 09/2013 Sujeto a cambios sin previo aviso
Copyright © Siemens AG 2012 - 2013.
Reservados todos los derechos
Prólogo
Prólogo
Este manual...
…le ayudará a configurar las funciones de seguridad de los siguientes productos de
"Security Integrated":
● SCALANCE S: S602 / S612 / S623 / S627-2M
● SOFTNET Security Client
● CPs S7: CP 343-1 Advanced, CP 443-1 Advanced
● PC-CP: CP 1628
● Router de telefonía móvil: SCALANCE M875 y SCALANCE M874-x
Denominación genérica "módulo de seguridad"
En la presente documentación los siguientes productos se denominan genéricamente
"módulo de seguridad": SCALANCE S602 / SCALANCE S612 / SCALANCE S623 /
SCALANCE S627-2M, CP 343-1 Advanced, CP 443-1 Advanced, CP 1628.
Las diferencias en el funcionamiento se marcan con símbolos (véase el apartado
"Descripción de los símbolos"). Las descripciones de hardware y las indicaciones relativas a
la instalación se encuentran en la documentación correspondiente a cada módulo.
Uso de las denominaciones "interfaz" y "puerto"
En la presente documentación se utilizan las siguientes denominaciones para los puertos de
los módulos SCALANCE S:
● "Interfaz externa": el puerto externo del SCALANCE S602 / S612 / S623 o bien un puerto
externo del SCALANCE S627-2M (marca roja)
● "Interfaz interna": el puerto interno del SCALANCE S602 / S612 / S623 o bien un puerto
interno del SCALANCE S627-2M (marca verde)
● "Interfaz DMZ": el puerto DMZ del SCALANCE S623 / S627-2M (marca amarilla)
La denominación "puerto" se utilizará cuando se quiera destacar un puerto en particular de
una interfaz.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
3
Prólogo
Denominación general "STEP 7"
La configuración de las funciones de seguridad de los CP es posible a partir de STEP 7
V5.5 SP2 HF1. Por tanto, en la presente documentación, la denominación "STEP 7"
representa a todas las versiones de STEP 7 posteriores a V5.5 SP2 HF1 y anteriores a
STEP 7 V10. Consulte cómo configurar las funciones de seguridad de todos los módulos de
seguridad en STEP 7 a partir de V12 en el sistema de información de STEP 7 a partir de
V12, apartado "Industrial Ethernet Security".
Denominación genérica "CP x43-1 Adv."
En la presente documentación los siguientes productos se denominan genéricamente "CP
x43-1 Adv.": CP 343-1 Advanced / CP 443-1 Advanced.
Security Configuration Tool V4.0: nuevas funciones
La Security Configuration Tool V4.0 incluye las siguientes funciones nuevas:
● SCALANCE S627-2M con dos slots para módulos de medio
SCALANCE S627-2M está equipado, además de con los puertos fijos, con dos slots para
módulos de medio, en los que se puede insertar respectivamente un módulo de medio
eléctrico u óptico de 2 puertos. Las interfaces externa e interna del SCALANCE S627-2M
se amplían de esta forma con dos puertos cada una. Los puertos de los módulos de
medio se pueden utilizar para la integración del SCALANCE S627-2M en topologías de
anillo.
● Soporte de redundancia de medios mediante SCALANCE S627-2M
El SCALANCE S627-2M soporta los métodos de redundancia de medios MRP y HRP
como cliente en ambos casos. Como dispositivo de un anillo MRP/HRP, un SCALANCE
S627-2M puede proteger una célula de automatización o un anillo subordinados. Esta
protección también puede realizarse de forma redundante. Un fallo en los cables será
detectado por un gestor de anillo aparte, por ejemplo, un SCALANCE X308, y se
compensará mediante una desviación en la vía de comunicación.
● Soporte de la detección de topología con LLDP mediante módulos SCALANCE S V4
Los módulos de seguridad SCALANCE S602 V4 / S612 V4 / S623 V4 / S627-2M V4
soportan el protocolo de detección de topología LLDP. Los sistemas de gestión de redes
pueden incluir de este modo los denominados módulos de seguridad en la emulación de
topologías de red.
● Redundancia de router y cortafuegos con SCALANCE S623 V4 / SCALANCE S627-2M
V4
Gracias a la redundancia de router y cortafuegos es posible compensar automáticamente
los fallos de los módulos de seguridad SCALANCE S623 V4 y SCALANCE S627-2M V4
durante el funcionamiento. Para ello se define uno de los dos módulos de seguridad
como módulo primario, el cual estará activo durante el funcionamiento normal. Si falla el
módulo de seguridad activo, el módulo de seguridad pasivo asumirá automáticamente su
función como cortafuegos y router (NAT/NAPT). Para garantizar una configuración
idéntica de los dos módulos de seguridad, estos se conectarán entre sí mediante sus
interfaces DMZ, y su configuración se sincronizará durante el funcionamiento.
Principios básicos y aplicación
4
Manual de configuración, 09/2013, C79000-G8978-C286-02
Prólogo
● Conversión de direcciones con NAT/NAPT en túneles VPN
La conversión de direcciones con NAT/NAPT se puede realizar para relaciones de
comunicación establecidas a través de túneles VPN. Esto se soporta para SCALANCE
S612 V4 / S623 V4 / S627-2M V4.
● Autenticación de usuario mediante servidor RADIUS
Los usuarios pueden autenticarse mediante un servidor RADIUS, en el que se pueden
almacenar los datos de todos los usuarios de forma centralizada. La autenticación
mediante un servidor RADIUS es posible al activar un conjunto de reglas de IP
específico de un usuario.
● Sincronización horaria "NTP (seguro)" para módulos SCALANCE S V4
El modo de sincronización horaria "NTP (seguro)" puede utilizarse para módulos
SCALANCE S V4.
● Ampliación de la funcionalidad DNS
Se soporta el establecimiento activo de conexión VPN de un SCALANCE S V4 (S612 /
S623 / S627-2M) en un módulo de seguridad a través de su FQDN.
Para la configuración de routers, servidores Syslog, direcciones IP WAN, servidores NTP
y servidores RADIUS se soportan FQDN para módulos SCALANCE S V4, además de
direcciones IP.
Ámbito de validez de este manual
Este manual es válido para los siguientes módulos SIMATIC NET:
Módulo
Referencia
Versión de firmware
SCALANCE S602
6GK5 602-0BA10-2AA3
A partir de V4
SCALANCE S612
6GK5 612-0BA10-2AA3
A partir de V4
SCALANCE S623
6GK5 623-0BA10-2AA3
A partir de V4
SCALANCE S627-2M
6GK5 627-2BA10-2AA3
A partir de V4
CP 343-1 Advanced
6GK7 343-1GX31-0XE0
A partir de V3
CP 443-1 Advanced
6GK7 443-1GX30-0XE0
A partir de V3
CP 1628
6GK1162-8AA00
A partir de V8.2.2
Este manual es válido para las siguientes herramientas de configuración SIMATIC NET:
Herramienta de configuración
Referencia
Versión
SOFTNET Security Client
6GK1 704-1VW04-0AA0
V4.0 Hotfix 1
Security Configuration Tool (SCT)
-
V4.0
Destinatarios
Este manual está dirigido a las personas encargadas de las funciones Industrial Ethernet
Security de una red.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
5
Prólogo
SIMATIC NET Manual Collection (referencia A5E00069051)
Los módulos SCALANCE S, el CP S7 y el PC-CP 1628 llevan adjunta la Manual Collection
de SIMATIC NET. Esta Manual Collection se actualiza periódicamente; contiene los
manuales de producto y las descripciones actuales en el momento de su creación.
Símbolos utilizados en estas instrucciones
El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para
SCALANCE S a partir de V3.0.
El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para
SCALANCE S a partir de V4.0.
El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para
SCALANCE S.
El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los
módulos de seguridad excepto SCALANCE S602.
El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para
SCALANCE S602 a partir de V3.1.
El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para
SCALANCE S623.
El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para
SCALANCE S627-2M.
El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para
SCALANCE S623 y SCALANCE S627-2M.
El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para
SCALANCE S623 a partir de V4.0 y SCALANCE S627-2M a partir de V4.0.
El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para CP S7.
Principios básicos y aplicación
6
Manual de configuración, 09/2013, C79000-G8978-C286-02
Prólogo
El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los
módulos de seguridad excepto los CP S7.
El capítulo descrito / el apartado descrito / la línea descrita solo es relevante para CP PC.
El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los
módulos de seguridad excepto los PC-CP.
El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los CP
S7 y CP PC.
El capítulo descrito / el apartado descrito / la línea descrita es relevante para todos los
módulos de seguridad excepto los CP.
Con este símbolo se hace referencia a consejos especiales en estas instrucciones.
El símbolo hace referencia a bibliografía especialmente recomendada.
Este símbolo indica que se puede obtener una ayuda contextual detallada. Se puede
acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de diálogo en
cuestión.
Referencias bibliográficas /.../
Las referencias a documentación adicional se indican a través de índices bibliográficos
escritos entre barras /.../. Por medio de estos números se puede localizar el título de la
documentación en la lista de bibliografía que aparece al final del manual.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
7
Prólogo
Consulte también
Páginas del Customer Support
(http://support.automation.siemens.com/WW/view/sp/18701555/130000)
Glosario de SIMATIC NET
Las explicaciones de los términos utilizados en esta documentación están recogidas en el
glosario de SIMATIC NET.
Encontrará el glosario de SIMATIC NET aquí:
● SIMATIC NET Manual Collection
Este DVD se adjunta a algunos productos SIMATIC NET.
● En Internet, bajo el siguiente ID de artículo:
50305045 (http://support.automation.siemens.com/WW/view/es/50305045)
Principios básicos y aplicación
8
Manual de configuración, 09/2013, C79000-G8978-C286-02
Índice
Prólogo ................................................................................................................................................... 3
1
2
Introducción y fundamentos .................................................................................................................. 15
1.1
Información importante ................................................................................................................15
1.2
Introducción y fundamentos .........................................................................................................18
1.3
1.3.1
1.3.2
1.3.3
Características del producto ........................................................................................................18
Sinopsis de funciones ..................................................................................................................18
Capacidades ................................................................................................................................20
Cambiar un módulo ......................................................................................................................22
1.4
Uso del SOFTNET Security Client ...............................................................................................24
1.5
Uso de SCALANCE S602 ............................................................................................................25
1.6
Uso de SCALANCE S612, S623 y S627-2M ...............................................................................28
1.7
Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M ......................................31
1.8
Uso del puerto de módulo de medios de SCALANCE S627-2M .................................................34
1.9
Uso de CP 343-1 Advanced y CP 443-1 Advanced ....................................................................35
1.10
Uso de CP 1628 ...........................................................................................................................38
1.11
Configuración y administración ....................................................................................................40
Configuración con Security Configuration Tool ...................................................................................... 41
2.1
Vista general - Prestaciones y funcionamiento............................................................................41
2.2
2.2.1
Instalación de Security Configuration Tool ..................................................................................43
Sistemas operativos soportados ..................................................................................................43
2.3
Interfaz de usuario y comandos de menú ....................................................................................45
2.4
2.4.1
2.4.2
2.4.3
2.4.4
2.4.5
2.4.6
2.4.7
Crear y administrar proyectos ......................................................................................................51
Security Configuration Tool Standalone (versión autónoma) ......................................................51
Security Configuration Tool en STEP 7 .......................................................................................51
Migrar datos de STEP 7 ...............................................................................................................55
Resumen ......................................................................................................................................57
Definición de valores de inicialización estándar para un proyecto ..............................................61
Check Consistency ......................................................................................................................61
Asignación de nombre simbólicos para direcciones IP o MAC ...................................................62
2.5
Datos de configuración para módulos SCALANCE M .................................................................66
2.6
Datos de configuración para dispositivos VPN ............................................................................69
2.7
Datos de configuración para clientes NCP VPN (Android) ..........................................................71
2.8
2.8.1
2.8.2
2.8.3
Administrar usuarios ....................................................................................................................73
Sinopsis de la administración de usuarios ...................................................................................73
Crear usuarios..............................................................................................................................75
Crear roles ...................................................................................................................................76
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
9
Índice
3
4
2.8.4
2.8.5
2.8.6
2.8.6.1
2.8.6.2
2.8.6.3
Administrar derechos .................................................................................................................. 79
Configuración de normas para las contraseñas ......................................................................... 83
Autenticación mediante servidor RADIUS .................................................................................. 84
Resumen ..................................................................................................................................... 84
Definición de servidores RADIUS ............................................................................................... 87
Asignación de servidor RADIUS a un módulo de seguridad ...................................................... 88
2.9
2.9.1
2.9.2
2.9.3
Administrar certificados ............................................................................................................... 89
Sinopsis ....................................................................................................................................... 89
Renovar certificados ................................................................................................................... 91
Reemplazar certificados .............................................................................................................. 93
Crear módulos y ajustar parámetros de red ........................................................................................... 95
3.1
Parámetros del área de contenido .............................................................................................. 98
3.2
3.2.1
3.2.2
3.2.3
3.2.4
3.2.5
3.2.6
3.2.6.1
3.2.6.2
3.2.7
Configurar interfaces (SCALANCE S) ...................................................................................... 100
Resumen de posibilidades de conexión ................................................................................... 100
Interfaces................................................................................................................................... 104
Conexión a Internet ................................................................................................................... 108
DNS dinámico (DDNS).............................................................................................................. 110
LLDP ......................................................................................................................................... 112
Redundancia de medios en topologías de anillo ...................................................................... 112
Redundancia de medios con MRP/HRP ................................................................................... 112
Configuración de MRP/HRP para el módulo de seguridad ...................................................... 114
Particularidades del modo Ghost .............................................................................................. 115
Configurar el cortafuegos .....................................................................................................................121
4.1
4.1.1
4.1.1.1
4.1.1.2
4.1.1.3
4.1.1.4
4.1.2
4.1.2.1
4.1.2.2
CPs en el modo normal............................................................................................................. 123
CP x43-1-Adv. ........................................................................................................................... 124
Ajuste predeterminado del cortafuegos .................................................................................... 124
Configurar el cortafuegos .......................................................................................................... 126
Configurar una lista de acceso.................................................................................................. 127
Agregar una entrada a la lista de acceso ................................................................................. 129
CP 1628 .................................................................................................................................... 130
Ajuste predeterminado del cortafuegos .................................................................................... 130
Configurar el cortafuegos .......................................................................................................... 132
4.2
4.2.1
4.2.2
4.2.3
SCALANCE S en el modo normal ............................................................................................ 134
Preajuste del firewall ................................................................................................................. 134
Configurar el cortafuegos para SCALANCE S ≥ V3.0 .............................................................. 139
Configurar el cortafuegos para SCALANCE S < V3.0 .............................................................. 142
4.3
4.3.1
4.3.2
4.3.2.1
4.3.2.2
4.3.3
4.3.3.1
4.3.4
4.3.5
4.3.6
4.3.7
4.3.8
Cortafuegos en modo avanzado ............................................................................................... 144
Configuración del cortafuegos en modo avanzado .................................................................. 144
Conjuntos de reglas de cortafuegos globales ........................................................................... 145
Conjuntos de reglas de cortafuegos globales - Convenios ...................................................... 147
Crear y asignar conjuntos de reglas de cortafuegos globales .................................................. 147
Conjuntos de reglas IP específicos de usuario ......................................................................... 148
Crear y asignar conjuntos de reglas IP específicos del usuario ............................................... 149
Reglas de cortafuegos automáticas referidas a conexiones .................................................... 151
Ajuste de reglas de filtros de paquetes IP locales .................................................................... 154
Reglas de filtrado de paquetes IP ............................................................................................. 155
Definir servicios IP .................................................................................................................... 162
Definir servicios ICMP ............................................................................................................... 163
Principios básicos y aplicación
10
Manual de configuración, 09/2013, C79000-G8978-C286-02
Índice
4.3.9
4.3.10
4.3.11
4.3.12
4.3.13
5
6
7
Ajustar reglas para filtrado de paquetes MAC ...........................................................................164
Reglas para filtrado de paquetes MAC ......................................................................................165
Definir servicios MAC .................................................................................................................168
Configurar grupos de servicios ..................................................................................................171
Adaptar reglas estándar para servicios IP .................................................................................172
Configuración de otras propiedades de los módulos ............................................................................ 175
5.1
5.1.1
5.1.2
5.1.3
5.1.4
5.1.5
5.1.6
5.1.7
Módulo de seguridad como router .............................................................................................175
Sinopsis ......................................................................................................................................175
Definir un router predeterminado y rutas ...................................................................................176
Enrutamiento NAT/NAPT ...........................................................................................................177
Conversión de direcciones con NAT/NAPT ...............................................................................180
Conversión de direcciones con NAT/NAPT en túneles VPN .....................................................186
Relación entre router NAT/NAPT y cortafuegos ........................................................................188
Relación entre router NAT/NAPT y cortafuegos específico del usuario ....................................189
5.2
5.2.1
5.2.2
Módulo de seguridad como servidor DHCP ..............................................................................191
Sinopsis ......................................................................................................................................191
Configurar un servidor DHCP ....................................................................................................192
5.3
5.3.1
5.3.2
5.3.3
Sincronización horaria ...............................................................................................................196
Sinopsis ......................................................................................................................................196
Configurar el control de la hora..................................................................................................197
Definir un servidor NTP ..............................................................................................................198
5.4
5.4.1
5.4.2
SNMP .........................................................................................................................................199
Sinopsis ......................................................................................................................................199
Activar SNMP .............................................................................................................................200
5.5
Proxy ARP..................................................................................................................................201
Comunicación segura en la VPN a través de túnel IPsec .................................................................... 203
6.1
VPN con módulos de seguridad ................................................................................................203
6.2
Método de autenticación ............................................................................................................206
6.3
6.3.1
6.3.2
6.3.3
Grupos VPN ...............................................................................................................................207
Reglas para la creación de grupos VPN ....................................................................................207
Relaciones de comunicación tunelada soportadas ...................................................................208
Crear grupos VPN y asignar módulos .......................................................................................210
6.4
Configuración de túnel en modo normal ....................................................................................211
6.5
6.5.1
6.5.2
6.5.3
6.5.4
Configuración de túneles en el modo avanzado........................................................................212
Configuración de propiedades del grupo VPN ..........................................................................212
Incluir un módulo de seguridad en un grupo VPN configurado .................................................216
Configuración de propiedades VPN específicas del módulo .....................................................218
Configuración de propiedades VPN conexión a conexión ........................................................221
6.6
6.6.1
6.6.2
6.6.3
Configuración de nodos de red internos ....................................................................................223
Configuración de otros dispositivos y subredes para el túnel VPN ...........................................223
Funcionamiento del modo de aprendizaje .................................................................................225
Visualización de los nodos de red internos encontrados ..........................................................228
Redundancia de router y cortafuegos .................................................................................................. 229
7.1
Resumen ....................................................................................................................................229
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
11
Índice
8
9
A
B
7.2
Crear relaciones de redundancia y asignar módulos de seguridad ......................................... 230
7.3
Configuración de relaciones de redundancia............................................................................ 231
SOFTNET Security Client ....................................................................................................................233
8.1
Uso de SOFTNET Security Client ............................................................................................. 233
8.2
8.2.1
8.2.2
Instalación y puesta en servicio del SOFTNET Security Client ................................................ 236
Instalación e inicio de SOFTNET Security Client...................................................................... 236
Desinstalación de SOFTNET Security Client............................................................................ 237
8.3
Crear un archivo de configuración con la herramienta de configuración Security
Configuration Tool ..................................................................................................................... 237
8.4
Operación de SOFTNET Security Client .................................................................................. 240
8.5
Configuración y edición de túneles ........................................................................................... 242
Funciones online - Test, Diagnóstico y Logging ....................................................................................253
9.1
Panorámica de funciones del cuadro de diálogo online ........................................................... 255
9.2
9.2.1
9.2.2
9.2.3
Registro de eventos (Logging) .................................................................................................. 257
Registro local - ajustes en la configuración .............................................................................. 259
Network Syslog - Ajustes en la configuración ........................................................................... 262
Configuración del registro de paquetes .................................................................................... 265
Anexo ..................................................................................................................................................267
A.1
Conformidad DNS ..................................................................................................................... 267
A.2
Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red ..... 267
A.3
Dirección MAC .......................................................................................................................... 269
Bibliografía...........................................................................................................................................271
B.1
Introducción - sin CD/DVD ........................................................................................................ 271
B.2
CP S7 / para la configuración, puesta en servicio y utilización del CP .................................... 272
B.3
Para la configuración con STEP 7 / NCM S7 ........................................................................... 272
B.4
CP S7 para el montaje y la puesta en servicio del CP ............................................................. 273
B.5
Para el montaje y la operación de una red Industrial Ethernet ................................................. 274
B.6
Principios básicos de SIMATIC y STEP 7 ................................................................................ 274
B.7
Comunicación industrial Tomo 2 ............................................................................................... 275
B.8
Para la configuración de equipos PC / PG ............................................................................... 275
B.9
Para la configuración de CP PC ............................................................................................... 275
B.10
SIMATIC NET Industrial Ethernet Security ............................................................................... 276
Índice alfabético ...................................................................................................................................277
Principios básicos y aplicación
12
Manual de configuración, 09/2013, C79000-G8978-C286-02
Índice
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
13
Introducción y fundamentos
1
Indicaciones de seguridad
Nota
Siemens ofrece para su portfolio de productos de automatización y accionamientos
mecanismos de seguridad con objetivo de hacer más seguro el funcionamiento de la
instalación o máquina. Nuestros productos también se desarrollan continuamente en el
aspecto de la seguridad industrial. Por ello, se recomienda que se informe periódicamente
sobre las actualizaciones de nuestros productos y que solo utilice las versiones actuales en
cada caso. Encontrará más información al respecto en:
(http://support.automation.siemens.com/WW/llisapi.dll?func=cslib.csinfo2&aktprim=99&lang=
es)
Aquí puede registrarse para recibir un newsletter específico de producto.
Para el funcionamiento seguro de una instalación o máquina es necesario además integrar
los componentes de automatización en un concepto de seguridad industrial unitario para
toda la instalación o máquina que corresponda a los últimos avances tecnológicos.
Encontrará la información necesaria en:
(http://www.siemens.com/industrialsecurity)
También hay que tener en cuenta los productos de otros fabricantes que se estén utilizando.
1.1
Información importante
General
Nota
Protección contra el acceso no autorizado
Asegúrese de que el equipo de configuración (PC o PG) y, dado el caso, el proyecto, estén
protegidos contra el acceso no autorizado.
Nota
Desactivar la cuenta de invitado
Asegúrese de que la cuenta de invitado está desactivada en el equipo de configuración.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
15
Introducción y fundamentos
1.1 Información importante
Nota
Fecha y hora actuales en los módulos de seguridad
Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos
de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados
utilizados se considerarán no válidos y la comunicación segura no funcionará.
Nota
Software antivirus actualizado
Se recomienda tener instalado y activado siempre un antivirus actualizado en todos los
equipos de configuración.
Nota
FTPS
Cuando en la presente documentación se utiliza la designación "FTPS", esta hace
referencia a FTPS en el modo explícito (FTPES).
Nota
No es posible regresar al modo normal
Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede
regresar al normal.
Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.
Nota
Medidas de seguridad adicionales al utilizar el SOFTNET Security Client
El SOFTNET Security Client ofrece una solución para la comunicación segura con células
de automatización a través de VPN. Para la protección intrínseca del PC/la PG y de la célula
de automatización conectada al mismo o a la misma, se recomienda emplear medidas
adicionales como, p. ej., escáners de virus y el cortafuegos de Windows.
En Windows 7 debe estar activado el cortafuegos del sistema operativo para que se
establezca correctamente el túnel VPN.
Principios básicos y aplicación
16
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.1 Información importante
CP x43-1 Adv.
Nota
Ajustes de seguridad adicionales
Para evitar que en el CP puedan cargarse datos de configuración no autorizados, hay que
realizar ajustes de seguridad adicionales en el cortafuegos del CP (p. ej., bloquear la
comunicación S7 o permitir solo comunicación tunelada) o aplicar medidas de seguridad
externas.
STEP 7
Nota
"Guardar y compilar" tras realizar cambios
Para que los ajustes de seguridad se apliquen en los correspondientes bloques de sistema
(offline), tras realizar los cambios elija el menú "Estación" > "Guardar y compilar" en HW
Config o bien "Red" > "Guardar y compilar" en NetPro.
Nota
Abrir una estación con la Security Configuration Tool abierta
Cierre la Security Configuration Tool antes de abrir otra estación a través del SIMATIC
Manager o NetPro.
Nota
No hay multiproyectos de STEP 7 referentes a la seguridad
Para cada proyecto de STEP 7 se crea una configuración de seguridad unívoca en el
momento de activar la seguridad. Por este motivo no se soportan multiproyectos de STEP 7
relacionados con la seguridad.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
17
Introducción y fundamentos
1.2 Introducción y fundamentos
1.2
Introducción y fundamentos
Con los módulos de seguridad SIMATIC NET y SIMATIC NET SOFTNET Security Client se
ha decidido por el concepto de seguridad SIEMENS, que satisface los altos requisitos
exigidos a la seguridad de la comunicación en la técnica de automatización industrial.
Nota
Software antivirus actual
Recomendamos tener siempre instalado un software antivirus actual en todos los equipos
de configuración.
Este capítulo le proporciona una visión de conjunto de las funciones de seguridad propias
de los equipos y los componentes:
● SCALANCE S
● CP x43-1 Adv.
● CP 1628
● SOFTNET Security Client
Sugerencia:
Encontrará una descripción del acceso rápido a los módulos de seguridad en el documento
"SIMATIC NET Security - Getting Started (primeros pasos)".
1.3
Características del producto
1.3.1
Sinopsis de funciones
Sinopsis de funciones de los tipos de módulo
Consulte en la tabla siguiente qué funciones soportan los diferentes módulos de seguridad.
Nota
En este manual se describen todas las funciones. Observe en la tabla siguiente qué
funciones son aplicables al módulo de seguridad utilizado.
Preste también atención a los datos adicionales indicados en los títulos de capítulo.
Principios básicos y aplicación
18
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.3 Características del producto
Tabla 1- 1
Sinopsis de funciones
Función
CP x43-1 Adv.
CP 1628
SCALANCE S ≥ V4.0
Security Configuration Tool
-
-
x
Security Configuration Tool integrada
en STEP 7
x
x
x
Compatibilidad con listas IP Access
Control (ACL)
x
-
-
Router NAT/NAPT
x
-
x
Enrutamiento NAT/NAPT en
conexiones VPN
-
-
x
Servidor DHCP
-
-
x
Reglas de cortafuegos locales
x
x
x
Conjuntos de reglas de cortafuegos
globales
x
x
x
Conjuntos de reglas IP específicos de
usuario
-
-
x
x
x
x
Administración de usuarios
x
x
x
Migración de la administración de
usuarios actual
x
-
x
Autenticación de usuario mediante
servidor RADIUS
-
-
x
SNMPv3
x
x
x
Servidor HTTPS
x
-
x
Servidor FTP
x
-
-
Cliente FTPS
x
-
-
Cliente NTP
x
x
x
Cliente NTP (seguro)
x
x
x
Cliente PPPoE
-
-
x
Cliente DDNS/cliente DNS
-
-
x
LLDP
x
-
x
Cliente MRP/HRP
-
-
x
Registro de eventos de sistema
x
x
x
Registro de eventos de auditoría
x
x
x
Configuración mediante
General
Cortafuegos
IPsec
Estructura de túneles IPsec
Administración de usuarios
Protocolos soportados
Registro
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
19
Introducción y fundamentos
1.3 Características del producto
Función
CP x43-1 Adv.
CP 1628
SCALANCE S ≥ V4.0
Registro de eventos de filtrado de
paquetes
x
x
x
Mensajes de auditoría en los búfers de
diagnóstico del módulo de seguridad
x
x
-
Acceso vía Security Configuration Tool
a búfer de registro del módulo de
seguridad
x
x
x
Diagnóstico mediante la Security
Configuration Tool
x
x
x
Envío de los mensajes a un servidor
Syslog
x
x
x
Diagnóstico web
x
-
-
-
-
x
-
-
x
-
-
x
Modo Ghost
Determinación de la dirección IP del
dispositivo interno en el tiempo de
ejecución y aplicación de la dirección
IP para el puerto externo del módulo
de seguridad
Zona desmilitarizada (DMZ)
Creación de una DMZ para desacoplar
la red segura de la red no segura
Redundancia de router y cortafuegos
Ejecución redundante de los módulos
de seguridad para conservar la
funcionalidad de router y de
cortafuegos en caso de fallo de un
módulo de seguridad
Se soporta la función x
- No se soporta la función
1.3.2
Capacidades
Nota
Encontrará una vista general de las capacidades admisibles en la siguiente dirección de
Internet: (http://support.automation.siemens.com/WW/view/es/58217657).
Principios básicos y aplicación
20
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.3 Características del producto
Capacidades
Función
CP x43-1 Adv.
CP 1628
SCALANCE S ≥ V4.0
Máx. 32
Máx. 64
Máx. 128
Túneles VPN por cada módulo de seguridad
Reglas de cortafuegos por cada módulo de
seguridad
Máx. 256
Servidores NTP que pueden crearse para
todo el proyecto (servidores NTP asignables
por cada módulo de seguridad)
32 (4)
¿Qué reglas son aplicables para nombres de usuario, nombres de rol y contraseñas?
Al crear o modificar un usuario, un rol o una contraseña, observe las siguientes reglas:
Caracteres permitidos
Se admiten los siguientes caracteres del juego US-ASCII:
0123456789
A...Z a...z
!#$%&()*+,-./:;<=>?@ [\]_{|}~¦^`
Caracteres no permitidos
"'
Longitud del nombre de usuario
(método de autenticación
"Contraseña")
1 ... 32 caracteres
Longitud del nombre de usuario
(método de autenticación
"RADIUS")
1 ... 255 caracteres
Longitud de la contraseña
8 ... 32 caracteres
Longitud del nombre de rol
1 ... 32 caracteres
Número máximo de usuarios por
proyecto
Número máximo de usuarios en un
módulo de seguridad
Número máximo de roles por
proyecto
Número máximo de roles en un
módulo de seguridad
128
32 + 1 administrador al crear el proyecto
128 (122 definidos por el usuario + 6 definidos por el sistema)
37 (31 definidos por el usuario + 6 definidos por el sistema)
Nota
Nombres de usuario y contraseñas
Una medida importante para incrementar la seguridad consiste en asignar nombres de
usuario y contraseñas lo más largos posible y que contengan caracteres especiales,
mayúsculas, minúsculas y cifras.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
21
Introducción y fundamentos
1.3 Características del producto
Con ayuda de las normas para las contraseñas podrá limitar aún más las restricciones antes
mencionadas para las contraseñas. Consulte en el capítulo
Configuración de normas para las contraseñas (Página 83) cómo definir las normas para las
contraseñas.
Seguridad de la contraseña
Al introducir una nueva contraseña se comprobará su nivel de seguridad. Se distinguen los
siguientes niveles de seguridad de la contraseña:
● Muy débil
● Débil
● Media
● Buena
● Fuerte
● Muy fuerte
Nota
Comprobación de la seguridad de la contraseña de usuarios existentes
Compruebe la seguridad de la contraseña
• de usuarios ya existentes en el proyecto,
• del primer usuario creado en STEP 7,
• de usuarios migrados,
seleccionando el respectivo usuario en la pestaña "Usuarios" de la Administración de
usuarios y pulsando el botón "Editar...".
1.3.3
Cambiar un módulo
Cómo se accede a esa función
1. Marque el módulo de seguridad o el SOFTNET Security Client que desee editar.
2. Elija el comando de menú "Edición" > "Sustituir módulo…".
3. Dependiendo del tipo de producto y de la versión de firmware del módulo seleccionado,
en el cuadro de diálogo se puede adaptar el tipo de módulo y/o la versión de firmware.
Principios básicos y aplicación
22
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.3 Características del producto
Consulte en la tabla siguiente qué módulos pueden sustituirse sin una posible pérdida de
datos.
Nota
Sustitución de CPs
Encontrará información sobre la sustitución de CPs en el manual de producto
correspondiente.
Módulo inicial
Posible sustitución de módulo
S602
V2
S602
V3
S602
V4
S612
V1
S612
V2
S612
V3
S612
V4
S613
V1
S613
V2
S623
V3
S623
V4
S6272M V4
S602 V2
-
x
x
!
x
x
x
!
x
x
x
x
S602 V3
!
-
x
!
!
!
!
!
!
!
!
!
S602 V4
!
!
-
!
!
!
!
!
!
!
!
!
S612 V1
!
!
!
-
x
x
x
x
x
x
x
x
S612 V2
!
!
!
!
-
x
x
!
x
x
x
x
S612 V3
!
!
!
!
!
-
x
!
!
x
x
x
S612 V4
!
!
!
!
!
!
-
!
!
x
x
x
S613 V1
!
!
!
!
!
x
x
-
x
x
x
x
S613 V2
!
!
!
!
!
x
x
!
-
x
x
x
S623 V3
!
!
!
!
!
!
!
!
!
-
x
x
S623 V4
!
!
!
!
!
!
!
!
!
!
-
x
S627-2M V4
!
!
!
!
!
!
!
!
!
!
!
-
x Sin pérdidas
! Con posibles pérdidas
- El tipo de módulo no cambia
Configuración inicial
Posible sustitución
SOFTNET Security
Client 2005
SOFTNET Security
Client 2008
SOFTNET Security
Client V3.0
SOFTNET Security
Client V4.0
SOFTNET Security
Client 2005
-
x
x
x
SOFTNET Security
Client 2008
x*
-
x
x
SOFTNET Security
Client V3.0
x* **
x**
-
x
SOFTNET Security
Client V4.0
x* **
x**
x
-
* Cuando el SOFTNET Security Client no se encuentra en un grupo de enrutamiento.
** Cuando el SOFTNET Security Client no se encuentra en un grupo VPN con un módulo SCALANCE M.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
23
Introducción y fundamentos
1.4 Uso del SOFTNET Security Client
Consulte también
Interfaz de usuario y comandos de menú (Página 45)
/2/ (Página 272)
1.4
Uso del SOFTNET Security Client
Comunicación de PG/PC en la VPN - Función del SOFTNET Security Client
El software para PC SOFTNET Security Client permite acceder remotamente desde la PG o
el PC a autómatas programables protegidos por módulos de seguridad, más allá de los
límites de redes públicas.
Mediante el SOFTNET Security Client se configura automáticamente una PG o un PC de
manera que pueda establecer con uno o varios módulos de seguridad una comunicación
tunelada IPsec protegida en la VPN (Virtual Private Network).
Las aplicaciones de PG/PC, como por ejemplo Diagnóstico NCM o STEP 7, pueden acceder
así a través de una conexión por túnel protegida a dispositivos o redes que se encuentren
en una red interna protegida por módulos de seguridad.
El software para PC SOFTNET Security Client también se configura con la herramienta de
configuración Security Configuration Tool, lo que garantiza una configuración global.
Principios básicos y aplicación
24
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.5 Uso de SCALANCE S602
1.5
Uso de SCALANCE S602
Cortafuegos y Router - misión de SCALANCE S602
Por combinación de diversas medidas de seguridad, como son cortafuegos y router
NAT/NAPT, el módulo de seguridad SCALANCE S602 protege dispositivos concretos o
también células de automatización completas de:
● Espionaje de datos
● Accesos no deseados
SCALANCE S602 hace posible esta protección de forma flexible y con un manejo sin
complicaciones.
SCALANCE S602 se configura con la herramienta de configuración Security Configuration
Tool.
Figura 1-1
Configuración de red con SCALANCE S602
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
25
Introducción y fundamentos
1.5 Uso de SCALANCE S602
Funciones de seguridad
● Cortafuegos
– Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4)
– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3
(telegramas de nivel 2; no rige para S602 si se utiliza el modo Router);
– Limitación del ancho de banda
– Conjuntos de reglas de cortafuegos globales
– Conjuntos de reglas IP específicos de usuario
Todos los nodos de red que se encuentran en el segmento de red interno de un
SCALANCE S son protegidos por su cortafuegos.
● Modo Router
Utilizando SCALANCE S como router se desacopla la red interna de la red externa. La
red interna conectada por el SCALANCE S se convierte así en una subred propia; el
SCALANCE S se tiene que direccionar como Router explícitamente a través de su
dirección IP.
● Protección para dispositivos y segmentos de red
La función de protección de cortafuegos se puede extender al uso de dispositivos
concretos, de varios dispositivos o también de segmentos de red enteros.
● Ausencia de retroacciones en caso de instalación en redes planas (modo de puente)
Por lo tanto, al montar un SCALANCE S602 en una infraestructura de red ya existente no
se necesita ajustar de nuevo los equipos terminales.
● Módulo de seguridad y dispositivo interno como una sola unidad (modo Ghost)
El módulo de seguridad sale al exterior con la dirección IP del dispositivo interno y la
dirección MAC del módulo de seguridad.
● NTP (seguro)
Para la sincronización y transferencia horaria seguras.
Principios básicos y aplicación
26
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.5 Uso de SCALANCE S602
Nodos de red internos y externos
SCALANCE S602 divide las redes en dos áreas:
● Red interna: áreas protegidas con los "nodos internos"
Los nodos internos son todos aquellos nodos protegidos por un SCALANCE S.
● Red externa: áreas no protegidas con los "nodos externos"
Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas.
Nota
Las redes internas se consideran seguras (fiables).
Conecte un segmento de red interno con los segmentos de red externos solo a través de
SCALANCE S.
¡No deben existir otras vías de conexión entre la red interna y la externa!
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
27
Introducción y fundamentos
1.6 Uso de SCALANCE S612, S623 y S627-2M
1.6
Uso de SCALANCE S612, S623 y S627-2M
Protección completa - Función de SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M
Combinando diversas medidas de seguridad, como cortafuegos, routers NAT/NAPT y VPN
(Virtual Private Network) a través de túneles IPsec, los módulos de seguridad
SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M protegen dispositivos
concretos o células de automatización completas de:
● Espionaje de datos
● Manipulación de datos
● Accesos no deseados
SCALANCE S hace posible una protección flexible, exenta de repercusiones inversas,
independiente de protocolos (a partir de capa 2 según IEEE 802.3) y con un manejo sin
complicaciones.
SCALANCE S y SOFTNET Security Client se configuran con la herramienta Security
Configuration Tool.
Figura 1-2
Configuración de red con SCALANCE S612, SCALANCE S623 y SCALANCE S627-2M
Principios básicos y aplicación
28
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.6 Uso de SCALANCE S612, S623 y S627-2M
Funciones de seguridad
● Cortafuegos
– Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4)
– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3
(Telegramas de capa 2; no está disponible si se utiliza el modo de router)
– Limitación del ancho de banda
– Conjuntos de reglas de cortafuegos globales
– Conjuntos de reglas IP específicos de usuario
Todos los nodos de red que se encuentran en el segmento de red interno de un
SCALANCE S son protegidos por su cortafuegos.
● Comunicación protegida por túnel IPsec
SCALANCE S puede agruparse con otros módulos de seguridad mediante configuración.
Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec
(VPN, Virtual Private Network). Todos los nodos internos de estos módulos de seguridad
se pueden comunicar entre sí por estos túneles de forma protegida.
● Independencia de protocolo
El establecimiento de túneles comprende también telegramas Ethernet según IEEE
802.3 (telegramas Layer 2; no es válido si se usa el modo de router)
A través de los túneles IPsec se transmiten tanto telegramas IP como también No-IP.
● PPPoE
Point to Point Protocol over Ethernet (RFC 2516) para la adquisición automática de
direcciones IP del proveedor, con lo que se prescinde del uso de un router DSL aparte.
● Cliente para DNS dinámico (cliente DDNS)
Domain Name Service dinámico para el uso de direcciones IP dinámicas si se utiliza un
SCALANCE S como servidor VPN para telemantenimiento en combinación con el
SOFTNET Security Client, módulos SCALANCE M, módulos SCALANCE S u otros
clientes VPN.
● SNMPv3
Para la transferencia antiescucha de información de análisis de la red.
● Modo Router
Utilizando SCALANCE S como router conecta la red interna con la red externa. La red
interna conectada a través de SCALANCE S se convierte así en una subred propia.
● Protección para dispositivos y segmentos de red
La función de protección de cortafuegos y VPN se puede extender al uso de dispositivos
concretos, de varios dispositivos o también de segmentos de red enteros.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
29
Introducción y fundamentos
1.6 Uso de SCALANCE S612, S623 y S627-2M
● Interfaz DMZ adicional
En una zona desmilitarizada (DMZ) es posible colocar servidores para los que pueda
controlarse y restringirse el acceso desde otras redes (red externa no segura, red interna
segura). Esto permite poner a disposición de ambas redes servicios y datos de forma
segura sin dejar que las dos redes se comuniquen directamente entre sí.
● Ausencia de retroacciones en caso de instalación en redes planas (modo de puente)
Nodos de red internos se pueden localizar sin configuración. Por lo tanto, al montar un
SCALANCE S en una infraestructura de red ya existente no es necesario configurar de
nuevo los dispositivos terminales.
El módulo de seguridad intenta encontrar dispositivos internos; sin embargo, se tienen
que configurar los dispositivos internos que no se localicen por este procedimiento.
● Autenticación de usuario mediante servidor RADIUS
En un servidor RADIUS pueden almacenarse de forma centralizada nombres de usuario,
contraseñas y roles de usuario. La autenticación de estos usuarios se realiza entonces a
través del servidor RADIUS.
● NTP (seguro)
Para la sincronización y transferencia horaria seguras.
Nodos de red internos, externos y DMZ
SCALANCE S divide las redes en varias áreas:
● Red interna: áreas protegidas con los "nodos internos"
Los nodos internos son todos aquellos nodos protegidos por un SCALANCE S.
● Red externa: áreas no protegidas con los "nodos externos"
Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas.
● Red DMZ: áreas protegidas con los "nodos DMZ"
Los nodos DMZ son todos aquellos nodos que están en la DMZ y están
protegidos por un SCALANCE S.
Nota
Las redes conectadas a la interfaz interna se consideran seguras (fiables).
Conecte un segmento de red interno con segmentos de red de otro nivel de seguridad
(red externa, red DMZ) solo a través de SCALANCE S.
No deben existir otras vías de conexión entre la red interna y una red con otro nivel de
seguridad.
Principios básicos y aplicación
30
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M
1.7
Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S6272M
Escenarios de aplicación de la interfaz DMZ
Además de las funciones del SCALANCE S612, el SCALANCE S623 y el SCALANCE
S627-2M están equipados con una tercera interfaz (DMZ) a la que se puede conectar una
red adicional.
La interfaz puede cumplir diferentes funciones (no simultáneamente) dependiendo del
entorno de uso:
● Instalación de una DMZ
● Punto final de una conexión por túnel VPN
● Interfaz de sincronización para redundancia de router y cortafuegos
● ...
Instalación de una DMZ
Con SCALANCE S623 y SCALANCE S627-2M puede instalarse una DMZ (zona
desmilitarizada) en la interfaz adicional. Una DMZ suele utilizarse para poner servicios a
disposición de una red insegura, pero la red segura que proporciona los datos debe
permanecer desacoplada de la red insegura.
Así, por ejemplo, en la red DMZ puede haber servidores terminales con software de
mantenimiento y diagnóstico instalado para que lo utilicen usuarios autorizados de la red
externa.
En los casos de aplicación típicos de DMZ, el usuario debe configurar las reglas de
cortafuegos de tal forma que se permitan accesos desde Internet (externos) a los servidores
de la DMZ (dado el caso, protegidos además con un túnel VPN), pero no a dispositivos del
área segura (interna).
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
31
Introducción y fundamentos
1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M
Figura 1-3
Instalación de una DMZ
En el capítulo "4.2 SCALANCE S como cortafuegos entre red externa y DMZ" del manual
"SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo
de configuración en el que la interfaz DMZ se utiliza para instalar una DMZ.
Punto final de una conexión por túnel VPN
La interfaz DMZ puede utilizarse como punto final de un túnel VPN. En este escenario, la
interfaz DMZ está conectada a Internet a través de un módem DSL y se opera mediante
PPPoE. El túnel VPN permite la comunicación segura, por ejemplo, con una unidad de
automatización conectada a la interfaz interna de otro módulo de seguridad.
Figura 1-4
Punto final de una conexión por túnel VPN
Principios básicos y aplicación
32
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.7 Uso de la interfaz DMZ de SCALANCE S623 y SCALANCE S627-2M
En el capítulo "5.2 Túnel VPN entre SCALANCE S623 y SCALANCE S612" del manual
"SIMATIC NET Industrial Ethernet Security - Instalar seguridad" se lleva a cabo un ejemplo
de configuración en el que la interfaz DMZ se utiliza como punto final de un túnel VPN.
Interfaz de sincronización para redundancia de router y cortafuegos
Con el uso de dos módulos de seguridad del tipo SCALANCE S623 o SCALANCE S627-2M
se puede compensar el fallo de un módulo de seguridad mediante la redundancia de router
y de cortafuegos. A tal efecto, ambos módulos de seguridad funcionan en modo de
enrutamiento y se conectan respectivamente con la red externa y la interna, estando activo
siempre un único módulo de seguridad. Si falla el módulo de seguridad activo, el módulo de
seguridad pasivo asumirá su función de router o cortafuegos. Para garantizar un
comportamiento funcionalmente idéntico de los dos módulos de seguridad, los dos se
conectarán entre sí mediante sus interfaces DMZ, y su configuración se sincronizará
durante el funcionamiento.
Figura 1-5
Redundancia de router y cortafuegos
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
33
Introducción y fundamentos
1.8 Uso del puerto de módulo de medios de SCALANCE S627-2M
1.8
Uso del puerto de módulo de medios de SCALANCE S627-2M
Integración en topologías de anillo
Además de las funciones de SCALANCE S623, el SCALANCE S627-2M posee dos slots de
módulo de medio, en los que se puede usar respectivamente un módulo de medio eléctrico
u óptico de dos puertos. Las interfaces externa e interna se amplían de esta forma con dos
puertos cada una. En el modo de enrutamiento se pueden utilizar los puertos adicionales del
módulo de seguridad para la conexión de las interfaces externa e interna a topologías de
anillo.
Redundancia en anillo con MRP o HRP
El SCALANCE S627-2M soporta los protocolos MRP y HRP en los puertos de módulo de
medios de las interfaces externa e interna como cliente. Como dispositivo de un anillo
MRP/HRP, un SCALANCE S627-2M puede proteger una célula de automatización o un
anillo subordinados. Esta protección también puede realizarse de forma redundante. Los
fallos en los cables serán detectados por un gestor de anillo aparte, por ejemplo, un
SCALANCE X308, y se compensarán mediante una desviación en la vía de comunicación.
Principios básicos y aplicación
34
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.9 Uso de CP 343-1 Advanced y CP 443-1 Advanced
1.9
Uso de CP 343-1 Advanced y CP 443-1 Advanced
Concepto de protección de celda - Función de CP x43-1 Adv.
Industrial Ethernet Security permite proteger diferentes dispositivos, células de
automatización o segmentos de una red Ethernet. Adicionalmente, es posible proteger la
transferencia de datos mediante la combinación de diferentes medidas de seguridad, como
cortafuegos, routers NAT/NAPT y VPN (Virtual Private Network) utilizando un túnel IPsec,
concretamente de:
● Espionaje de datos
● Manipulación de datos
● Accesos no deseados
Las funciones de seguridad del CP x43-1 Adv. se configuran con la herramienta de
configuración Security Configuration Tool integrada en STEP 7.
Figura 1-6
Configuración de red con CP x43-1 Adv.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
35
Introducción y fundamentos
1.9 Uso de CP 343-1 Advanced y CP 443-1 Advanced
Funciones de seguridad
● Cortafuegos
– Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4)
– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3 (capa
2)
– Limitación del ancho de banda
– Conjuntos de reglas de cortafuegos globales
Todos los nodos de red que se encuentran en el segmento de red interno de un CP x431 Adv. están protegidos por su cortafuegos.
● Comunicación protegida por túnel IPsec
El CP x43-1 Adv. puede agruparse con otros módulos de seguridad por medio de la
configuración. Entre todos los módulos de seguridad de un grupo VPN se establecen
túneles IPsec (VPN). Todos los nodos internos de estos módulos de seguridad se
pueden comunicar entre sí por estos túneles de forma protegida.
● Registro
Para fines de vigilancia es posible guardar eventos en archivos de registro que se leen
utilizando la herramienta de configuración o se envían automáticamente a un servidor
Syslog.
● HTTPS
Para la transmisión cifrada de páginas web, p. ej. en el control de procesos.
● FTPS
Para la transferencia cifrada de archivos.
● NTP (seguro)
Para la sincronización y transferencia horaria seguras.
● SNMPv3
Para la transferencia antiescucha de información de análisis de la red.
● Protección para dispositivos y segmentos de red
La función de protección de cortafuegos y VPN se puede extender al uso de dispositivos
concretos, de varios dispositivos o también de segmentos de red enteros.
Principios básicos y aplicación
36
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.9 Uso de CP 343-1 Advanced y CP 443-1 Advanced
Nodos de red internos y externos:
CP x43-1 Adv. divide las redes en dos áreas:
● Red interna: áreas protegidas con los "nodos internos"
Los nodos internos son todos aquellos nodos protegidos por un CP x43-1 Adv.
● Red externa: áreas no protegidas con los "nodos externos"
Nodos externos son todos los nodos que se encuentran fuera de las áreas protegidas.
Nota
Las redes internas se consideran seguras (fiables).
Para conectar un segmento de red interno con los segmentos de red externos utilice solo
CP x43-1 Adv.
¡No deben existir otras vías de conexión entre la red interna y la externa!
Información sobre las funciones generales del CP x43-1 Adv.
El presente manual contiene información sobre las funciones de seguridad del CP x431 Adv. Para conocer las descripciones de las funciones generales, véase:
● /1/ (Página 272)
● /2/ (Página 272)
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
37
Introducción y fundamentos
1.10 Uso de CP 1628
1.10
Uso de CP 1628
Concepto de protección de celda - Función de CP 1628
Los mecanismos de seguridad integrados en el CP 1628 permiten proteger sistemas
informáticos, incluida la comunicación de datos dentro de una red de automatización o el
acceso remoto seguro a través de Internet. El CP 1628 permite acceder a dispositivos de
forma individualizada o a células de automatización completas protegidas con módulos de
seguridad, y permite conexiones seguras a través de estructuras de red no seguras.
Mediante la combinación de diferentes medidas de seguridad, como cortafuegos y VPN
(Virtual Private Network) a través de túneles IPsec el CP 1628 protege de:
● Espionaje de datos
● Manipulación de datos
● Accesos no deseados
Las funciones de seguridad del CP 1628 se configuran con la herramienta de configuración
Security Configuration Tool integrada en STEP 7.
Figura 1-7
Configuración de red con CP 1628
Principios básicos y aplicación
38
Manual de configuración, 09/2013, C79000-G8978-C286-02
Introducción y fundamentos
1.11 Configuración y administración
Funciones de seguridad
● Cortafuegos
– Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4)
– Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3 (capa
2)
– Limitación del ancho de banda
– Reglas de cortafuegos globales
● Comunicación protegida por túnel IPsec
El CP 1628 puede agruparse con otros módulos de seguridad mediante configuración.
Entre todos los módulos de seguridad de un grupo VPN se establecen túneles IPsec
(VPN, Virtual Private Network).
● Registro
Para fines de vigilancia es posible guardar eventos en archivos de registro que se leen
utilizando la herramienta de configuración o se envían automáticamente a un servidor
Syslog.
● NTP (seguro)
Para la sincronización y transferencia horaria seguras.
● SNMPv3
Para la transferencia antiescucha de información de análisis de la red.
Información sobre las funciones generales del CP 1628
El presente manual contiene información sobre las funciones de seguridad del CP 1628.
Para conocer las descripciones de las funciones generales, véase
● /11/ (Página 275)
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
39
Introducción y fundamentos
1.11 Configuración y administración
1.11
Configuración y administración
Lo más importante, en resumen
Con la herramienta de configuración Security Configuration Tool se logra una aplicación
sencilla y segura de los módulos de seguridad:
● Configuración sin conocimientos de experto en materia de IT con la Security
Configuration Tool
Con la Security Configuration Tool pueden configurar un módulo de seguridad incluso
personas que no sean expertas en materia de TI. En el modo avanzado se pueden
realizar ajustes más complejos, si es necesario.
● Comunicación administrativa segura
La transferencia de los ajustes está firmada y cifrada y solo puede ser realizada por
personal autorizado.
● Protección de acceso en la Security Configuration Tool
La administración de usuarios de la Security Configuration Tool garantiza una protección
de acceso para los módulos de seguridad y los datos de configuración.
● Medio intercambiable C-PLUG utilizable
El C-PLUG es un medio intercambiable, enchufable, en el que están almacenados datos
de configuración en forma codificada. Al sustituir un módulo de seguridad, permite
realizar la configuración sin PG o PC siempre que el módulo de seguridad soporte la
administración de datos en C-PLUG.
Principios básicos y aplicación
40
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2
Security Configuration Tool es la herramienta de configuración suministrada junto con los
módulos de seguridad.
El presente capítulo le familiariza con la interfaz de operación y el funcionamiento de la
herramienta de configuración.
En él se describen la instalación, el manejo y la administración de proyectos de seguridad.
Otras informaciones
En los capítulos sucesivos de este manual se explica con detalle la configuración de
módulos de seguridad y de túneles IPsec.
La ayuda en pantalla le proporcionará también información detallada sobre los diálogos y los
parámetros ajustables. Se puede acceder a esta ayuda con la tecla F1 o con el botón
"Ayuda" del cuadro de diálogo en cuestión.
2.1
Vista general - Prestaciones y funcionamiento
Prestaciones
La herramienta de configuración Security Configuration Tool se utiliza para las siguientes
tareas:
● Configuración de los módulos de seguridad
● Configuración de SOFTNET Security Client
● Creación de datos de configuración VPN para SCALANCE M
● Creación de archivos de configuración VPN para dispositivos VPN de otros fabricantes
● Funciones de test y diagnóstico, indicaciones de estado
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
41
Configuración con Security Configuration Tool
2.1 Vista general - Prestaciones y funcionamiento
Dos modos de operación de la Security Configuration Tool
La Security Configuration Tool puede iniciarse en los siguientes modos de operación:
● Security Configuration Tool Standalone (en versión autónoma):
– Se puede iniciar independientemente de STEP 7
– La configuración de seguridad de CP no es posible
● Security Configuration Tool integrada en STEP 7:
– Solo se puede iniciar desde STEP 7
– En el proyecto debe haber al menos un CP con función de seguridad activada
– El alcance de Security Configuration Tool Standalone (versión autónoma) se amplía
con la posibilidad de configurar funciones de seguridad para CP
Vista de configuración offline y vista de diagnóstico online
La Security Configuration Tool dispone de una vista de configuración offline y una vista de
diagnóstico online:
● Vista de configuración offline
En el modo offline se ajustan los datos de configuración para el módulo correspondiente.
Antes de la carga no es necesario establecer para esto una conexión con este módulo.
● Online
El modo online sirve para comprobar y diagnosticar un módulo de seguridad.
Dos modos de operación
En la vista de configuración offline, la Security Configuration Tool proporciona dos modos de
operación:
● Modo normal
El modo normal está preajustado en la Security Configuration Tool. Este modo permite
una configuración rápida y sin complicaciones para el uso de los módulos de seguridad.
● Modo avanzado
En el modo avanzado existen otras posibilidades de ajuste que permiten configurar de
forma personalizada, entre otros, las reglas de cortafuegos, los ajustes de registro, las
reglas NAT/NATP, los nodos VPN y funcionalidades avanzadas de seguridad.
Principios básicos y aplicación
42
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.2 Instalación de Security Configuration Tool
Funcionamiento - Seguridad y coherencia
● Acceso solo para usuarios autorizados
Cada proyecto está protegido contra accesos no autorizados mediante nombres de
usuario y contraseñas. Con ayuda de las normas para las contraseñas es posible definir
reglas específicas del proyecto para la asignación de contraseñas.
● Datos de proyecto coherentes
Ya durante la entrada en los distintos cuadros de diálogo se realizan comprobaciones de
la coherencia. Además puede realizar en todo momento una prueba de coherencia a
nivel de proyecto, en la que se incluyen todos los cuadros de diálogo.
En los módulos de seguridad solo se pueden cargar datos de proyecto coherentes.
● Protección de datos de proyecto por cifrado
Los datos de proyecto y configuración están protegidos por cifrado tanto en el archivo de
proyecto como en el C-PLUG, si existe (no es válido para el CP 1628).
2.2
Instalación de Security Configuration Tool
2.2.1
Sistemas operativos soportados
Sistemas operativos soportados
Se soportan los siguientes sistemas operativos:
● Microsoft Windows XP 32 bits + Service Pack 3
● Microsoft Windows 7 Professional 32/64 bits
● Microsoft Windows 7 Professional 32/64 bits + Service Pack 1
● Microsoft Windows 7 Ultimate 32/64 bits
● Microsoft Windows 7 Ultimate 32/64 bits + Service Pack 1
● Windows Server 2008 R2 64 bits
● Windows Server 2008 R2 64 bits + Service Pack 1
Nota
Antes de proceder a la instalación de la Security Configuration Tool, lea el archivo
"README.htm" del DVD que viene adjunto. En este archivo encontrará informaciones
importantes así como referencias a las últimas modificaciones.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
43
Configuración con Security Configuration Tool
2.2 Instalación de Security Configuration Tool
SCALANCE S - Procedimiento
La herramienta de configuración Security Configuration Tool se instala desde el DVD de
producto que viene adjunto.
● Introduzca el DVD de producto en la unidad de DVD-ROM. Si está activada la función
Autorun, se iniciará automáticamente la interfaz desde la que puede realizar la
instalación.
o
● Inicie la aplicación "start.exe" existente en el DVD de producto que viene adjunto.
CP x43-1 Adv. - Proceda del siguiente modo
La herramienta de configuración Security Configuration Tool se instala desde el soporte de
datos de STEP 7. Encontrará el archivo de instalación en el soporte de datos de STEP 7, en
el directorio de componentes de software opcionales.
CP 1628 - Proceda del siguiente modo
La herramienta de configuración Security Configuration Tool se instala desde el soporte de
datos suministrado que contiene los datos de drivers del CP 1628.
● Introduzca el soporte de datos en la unidad de DVD-ROM. Si está activada la función
Autorun, se iniciará automáticamente la interfaz desde la que puede realizar la
instalación.
o bien
● Inicie la aplicación "setup.exe" existente en el soporte de datos que viene adjunto.
Principios básicos y aplicación
44
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.3 Interfaz de usuario y comandos de menú
2.3
Interfaz de usuario y comandos de menú
Estructura de la interfaz de usuario en el modo avanzado
①
Área de navegación:
•
Conjuntos de reglas de cortafuegos globales
El objeto contiene los conjuntos de reglas globales de cortafuegos configurados. Otras
carpetas se distinguen en:
–
Conjuntos de reglas IP de cortafuegos
–
Conjuntos de reglas MAC de cortafuegos
•
Conjuntos de reglas IP personalizados
•
Todos los módulos
El objeto contiene todos los módulos configurados y configuraciones SOFTNET del
proyecto.
•
Grupos VPN
El objeto contiene todos los grupos VPN generados.
•
②
Relaciones de redundancia
El objeto contiene todas las relaciones de redundancia generadas del proyecto.
Índice:
Si selecciona un objeto en el área de navegación obtendrá en el área de contenido
informaciones detalladas sobre ese objeto.
Para algunos módulos de seguridad es posible visualizar en esta área extractos de las
configuraciones de interfaz para adaptarlas.
Haciendo doble clic en los módulos de seguridad es posible abrir diálogos de propiedades
para introducir más parámetros, siempre que las correspondientes posibilidades de
configuración lo ofrezcan.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
45
Configuración con Security Configuration Tool
2.3 Interfaz de usuario y comandos de menú
③
Ventana de detalles:
La ventana de detalles contiene información adicional sobre el objeto seleccionado y permite
configurar propiedades de VPN conexión a conexión en los diferentes contextos de un grupo
VPN.
④
La ventana de detalles puede mostrarse y ocultarse a través del menú "Vista".
Barra de estado:
La barra de estado muestra los estados de manejo y mensajes de estado actuales: Aquí se
incluyen:
•
Los usuarios actuales y el tipo de usuario
•
La vista de manejo - Modo normal / modo avanzado
•
El tipo de operación - Online / Offline
Barra de herramientas
A continuación se muestra una vista general de los botones disponibles en la barra de
herramientas y su significado.
Icono
Significado / observaciones
Crear un proyecto.
Abrir un proyecto ya existente.
Guardar un proyecto abierto en la ruta y con el nombre de proyecto actuales.
Copiar el objeto seleccionado.
Insertar un objeto del portapapeles.
Borrar el objeto seleccionado.
Crear un módulo.
El símbolo solo está activo si el usuario está en la carpeta "Todos los módulos" del área
de navegación.
Crear un grupo VPN.
El símbolo solo está activo si el usuario está en la carpeta "Grupos VPN" del área de
navegación.
Crear un nuevo conjunto de reglas IP o MAC de validez global o bien un conjunto de
reglas IP específico del usuario.
El símbolo solo está activo si el usuario está en una subcarpeta de "Conjuntos de reglas
de cortafuegos globales" en el área de navegación o en la carpeta "Conjuntos de reglas
IP específicos de usuario".
Crear una relación de redundancia.
El símbolo solo está activo si el usuario está en la carpeta "Relaciones de redundancia"
del área de navegación.
Principios básicos y aplicación
46
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.3 Interfaz de usuario y comandos de menú
Icono
Significado / observaciones
Cargar una configuración en los módulos de seguridad seleccionados o crear datos de
configuración para SOFTNET Security Client / SCALANCE M / dispositivo VPN / cliente
NCP VPN (Android).
Cambiar al modo offline.
Cambiar al modo online.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
47
Configuración con Security Configuration Tool
2.3 Interfaz de usuario y comandos de menú
Barra de menús
A continuación se ofrece un cuadro general de los comandos de menú seleccionables y su
significado.
Comando de menú
Significado / observaciones
Project ▶…
Funciones para ajustes específicos del proyecto, así
como la carga y el almacenamiento del archivo del
proyecto.
Nuevo...
Combinación de teclas
Crear un proyecto.
Para CP: Los proyectos se crean mediante
configuración con STEP 7.
Abrir...
Abrir un proyecto ya existente.
Para CP: Los proyectos existentes solo pueden
abrirse a través de proyectos STEP 7.
Guardar
Guardar un proyecto abierto en la ruta y con el
nombre de proyecto actuales.
Guardar como...
Guardar un proyecto abierto en una ruta y con un
nombre de proyecto seleccionables.
Ctrl + S
Para CP: El proyecto es parte del proyecto STEP 7.
La ruta no puede cambiarse.
Propiedades...
Abrir un cuadro de diálogo para propiedades del
proyecto.
Recent Projects
Posibilidad de seleccionar directamente los proyectos
procesados hasta el momento
Para CP: Los proyectos existentes solo pueden
abrirse a través de STEP 7.
Quit
Edit ▶…
Cerrar proyecto.
Comandos de menú solo en el modo offline
Nota
Con el objeto seleccionado, algunas de las funciones
también pueden elegirse a través del menú
contextual.
Copy
Copiar el objeto seleccionado.
Ctrl + C
Paste
Traer el objeto del portapapeles e insertarlo
("pegarlo").
Ctrl + V
Eliminar
Borrar el objeto seleccionado.
Supr
Rename
Cambiar de nombre el objeto seleccionado.
F2
Nuevo certificado...
Crear nuevo certificado de grupo para el módulo
seleccionado tras elegir el correspondiente grupo
VPN en el área de contenidos.
Sustituir módulo...
Sustituir el módulo de seguridad seleccionado.
Propiedades ...
Abrir el cuadro de diálogo de propiedades del objeto
seleccionado.
Diagnóstico online ...
Acceder a las funciones de test y diagnóstico.
F4
Principios básicos y aplicación
48
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.3 Interfaz de usuario y comandos de menú
Comando de menú
Significado / observaciones
Insert ▶…
Comandos de menú solo en el modo offline
Módulo
Crear un módulo de seguridad.
Combinación de teclas
Ctrl + M
Este comando de menú solo está activo si está
seleccionado un módulo de seguridad o un grupo
VPN en el área de navegación.
Group
Crear un grupo VPN.
Ctrl + G
Este comando solo está activo si está seleccionado
un objeto Grupos en el área de navegación.
Conjunto de reglas de
cortafuegos
Crear un nuevo conjunto de reglas IP de cortafuegos Ctrl + F
o MAC de validez global o bien un conjunto de reglas
IP específico del usuario.
Este comando solo está activo si está seleccionado
un objeto Firewall en el área de navegación.
Este comando de menú solo está visible en el modo
avanzado.
Relación de redundancia
Crear una relación de redundancia.
Ctrl + R
El comando de menú solo está activo si el usuario
está en la carpeta "Relaciones de redundancia" del
área de navegación.
Transfer ▶…
A módulo(s)...
Cargar una configuración en los módulos de
seguridad seleccionados o crear datos de
configuración para SOFTNET Security Client /
SCALANCE M / dispositivos VPN / clientes NCP VPN
(Android).
Observación: Solo se pueden cargar datos de
proyecto coherentes.
Para CPs: Los datos del proyecto solo pueden
cargarse a través de STEP 7.
A todos los módulos...
Cargar una configuración en todos los módulos de
seguridad.
Observación: Solo se pueden cargar datos de
proyecto coherentes.
Estado de la
configuración…
Mostrar en una lista el estado de configuración de los
módulos de seguridad configurados.
Transferir firmware ...
Cargar firmware nuevo en el módulo de seguridad
seleccionado.
Para CPs S7: El firmware se carga en el CP a través
del centro de actualización del diagnóstico web.
View ▶…
Modo avanzado
Cambiar del modo normal (predeterminado) al modo
avanzado.
Ctrl + E
Atención
Una vez que se ha cambiado al modo avanzado para
el proyecto actual, ya no se puede regresar al
normal.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
49
Configuración con Security Configuration Tool
2.3 Interfaz de usuario y comandos de menú
Comando de menú
Significado / observaciones
Combinación de teclas
Mostrar ventana de
detalles
Mostrar y ocultar los detalles adicionales del objeto
seleccionado.
Ctrl + Alt + D
Offline
Ajuste predeterminado. Cambiar a la vista de
configuración offline.
Ctrl + Mayús + D
Online
Cambiar a la vista de diagnóstico online.
Ctrl + D
Servicios IP...
Abrir cuadro de diálogo para definiciones de los
servicios para las reglas IP Firewall.
Options ▶…
Este comando de menú solo está visible en el modo
avanzado.
Servicios MAC...
Abrir cuadro de diálogo para definiciones de los
servicios para las reglas MAC Firewall.
Este comando de menú solo está visible en el modo
avanzado.
Adaptador de red…
A través del adaptador de red seleccionado se
asigna una dirección IP al SCALANCE S.
Idioma...
Seleccionar un idioma para la visualización de la
interfaz SCT.
Para SCT en STEP 7, el idioma de la interfaz SCT se
define seleccionando el idioma en STEP 7.
Archivos de registros...
Visualización de archivos de registro guardados.
Symbolic Names...
Asignar nombres simbólicos para direcciones IP o
MAC.
Configuración del servidor
NTP...
Crear y editar servidores NTP
Configuración del servidor
RADIUS...
Crear y editar servidores RADIUS.
Verificaciones de
consistencia...
Comprobación de la coherencia de todo el proyecto.
Al finalizar se muestra una lista de resultados.
Administración de
usuarios...
Crear y editar usuarios y roles, asignar derechos y
definir normas para las contraseñas.
Administrador de
certificados...
Mostrar, importar o exportar certificados.
Temas de ayuda...
Ayuda para las funciones y los parámetros que
encontrará en la SCT.
Acerca de...
Información sobre la versión de SCT.
Help ▶…
F1
Principios básicos y aplicación
50
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
2.4
Crear y administrar proyectos
2.4.1
Security Configuration Tool Standalone (versión autónoma)
Configuración con la Security Configuration Tool en versión autónoma
La Security Configuration Tool en versión autónoma se utiliza para crear proyectos de
seguridad en los que no se configuren módulos de seguridad que deban que crearse y
configurarse en STEP 7.
Un proyecto nuevo se crea con el comando de menú "Proyecto" > "Nuevo…". Este abarca
todas las informaciones de configuración y administración para uno o varios SCALANCE S,
SOFTNET Security Clients, equipos SCALANCE M, dispositivos VPN, así como clientes
NCP VPN (Android). Para cada dispositivo o configuración se crea un módulo en el
proyecto.
2.4.2
Security Configuration Tool en STEP 7
Configuración
La Security Configuration Tool integrada en STEP 7 se utiliza para elaborar proyectos de
seguridad en los que se configuran módulos de seguridad que deban crearse y configurarse
en STEP 7. Además se soportan todos los módulos de seguridad de la variante Standalone.
En cuanto en STEP 7 se activa la función de seguridad para un módulo de seguridad,
automáticamente se crea un proyecto de SCT, en el que se guardan y gestionan los datos
de la configuración de seguridad. Todos los datos de la configuración de seguridad se
procesan internamente en la SCT y el resultado se devuelve a STEP 7.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
51
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
Interacción entre STEP 7 y SCT
La interacción entre STEP 7 y SCT se describe a partir de la siguiente representación:
①
Al realizar ajustes de seguridad a través de STEP 7, se abre la SCT, ya que en ella se
actualizan y administran los datos para seguridad.
Si en NetPro hay configuradas conexiones especificadas, tras guardar y compilar se
crean para ellas automáticamente reglas de cortafuegos en SCT.
②
En SCT se realizan los ajustes de seguridad necesarios. SCT procesa los datos
internamente y devuelve el resultado a STEP 7.
③
Las acciones como "Guardar como" y "Compilar" se desarrollan dentro de STEP 7.
Los datos de seguridad se guardan automáticamente como proyecto SCT con un
nombre asignado automáticamente en una subcarpeta del proyecto STEP 7. El
nombre y la ruta de almacenamiento no pueden cambiarse. Para un proyecto STEP 7
se puede crear exactamente un proyecto SCT. Un proyecto SCT creado con la
Security Configuration Tool en STEP 7 no puede abrirse con la Security Configuration
Tool en versión standalone.
④
Los datos de seguridad del CP configurados se cargan en el módulo a través de
STEP 7.
¿Qué datos se migran de STEP 7 a SCT y se muestran en el área de contenido?
Los siguientes datos de configuración creados en STEP 7 se aplican automáticamente en
SCT, pero no pueden modificarse:
● Nombre del dispositivo
● Dirección IP PROFINET IO
Principios básicos y aplicación
52
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
● Dirección IP GBit
● Máscara de subred PROFINET IO
● Máscara de subred GBit
● Dirección MAC de la interfaz GBit
● Router estándar
● Dirección MAC PROFINET IO
¿Qué datos pueden migrarse a SCT y modificarse allí?
Las siguientes funciones utilizadas en STEP 7 pueden migrarse a SCT y editarse allí:
● Listas Access Control (Página 127)
● Usuario (Página 73)
● Servidores NTP (Página 196)
Encontrará información detallada al respecto en la Ayuda en pantalla de SCT:
Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de
diálogo en cuestión de la SCT.
Reglas de cortafuegos automáticas para conexiones configuradas
Para conexiones especificadas configuradas en STEP 7 se crean automáticamente reglas
de cortafuegos en SCT, que habilitan el establecimiento de la conexión. Encontrará más
información al respecto en el capítulo siguiente:
● Reglas de cortafuegos automáticas referidas a conexiones (Página 151).
Para conexiones no especificadas deben crearse manualmente reglas de cortafuegos en
SCT, que habiliten el establecimiento de la conexión. Encontrará más información al
respecto en el capítulo siguiente:
● Cortafuegos en modo avanzado (Página 144).
Realizar ajustes de seguridad en STEP 7
Los ajustes de seguridad se realizan como sigue:
● A través de las distintas fichas de las propiedades de objeto
En las diferentes fichas se pueden activar y ejecutar funciones de seguridad específicas
de CP. Durante la ejecución se abre el cuadro de diálogo SCT correspondiente, en el
que pueden realizarse los ajustes de seguridad. Los ajustes de seguridad se pueden
realizar en las siguientes fichas:
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
53
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
Ficha
Función
Descripción
Seguridad
Activar seguridad
•
Las funciones de seguridad se activan en
las diferentes fichas.
•
Se activa el menú "Editar" > "Security
Configuration Tool", a través del cual se
abre la Security Configuration Tool. En ella
se pueden realizar otros ajustes comunes
para varios módulos de seguridad, como
crear grupos VPN o agregar módulos de
seguridad que no pueden configurarse en
STEP 7.
•
Si ha configurado en STEP 7 usuarios para
el módulo de seguridad, se abre la ventana
"Migración de datos del proyecto relevantes
para la seguridad", a través de la cual se
pueden migrar los usuarios de STEP 7 a la
Security Configuration Tool.
Inicio de la
configuración de
seguridad
SCT se abre en una vista general, en la que se
pueden configurar propiedades específicas para
este módulo de seguridad.
Carga posterior online
de reglas de
cortafuegos
Los ajustes de cortafuegos adaptados se
generan y se cargan en el CP sin provocar una
parada del CP.
Cargar a posteriori
reglas de cortafuegos
online (CP 1628)
Se generan los ajustes de cortafuegos
adaptados y se cargan en el CP.
Usuario
Inicio de la
administración de
usuarios
Se abre la administración de usuarios de SCT,
en la que se crean usuarios y roles y se asignan
derechos.
Protección de acceso IP
Inicio de la
configuración de
cortafuegos
Al activar la seguridad se migra a la Security
Configuration Tool una lista de acceso IP ya
disponible convertida en reglas de cortafuegos.
FTP
Permitir acceso solo
vía FTPS
Se abre la administración de usuarios SCT, en
la que se pueden asignar derechos FTP a un
rol.
Inicio de la
administración de
usuarios
Web
Permitir acceso solo
vía HTTPS
Inicio de la
administración de
usuarios
Se abre la administración de usuarios de SCT,
en la que se pueden asignar derechos web a un
rol.
Sincronización horaria
Configuración NTP
avanzada
Abre la SCT en el modo de configuración NTP.
SNMP
Inicio de la
configuración de
SNMP
Abre la SCT en el modo de configuración
SNMP. Se puede elegir entre SNMPv1 y
SNMPv3.
Principios básicos y aplicación
54
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
Ficha
Función
Descripción
Inicio de la
administración de
usuarios
Se abre la administración de usuarios de SCT,
en la que se pueden asignar derechos SNMP a
un rol.
● Directamente en SCT
Para abrir SCT en STEP 7, elija el comando de menú "Edición" > "Security Configuration
Tool". Además de los ajustes realizados en las fichas de las propiedades de objeto, aquí
se crean p. ej. grupos VPN o se agregan módulos SCALANCE S. Los módulos
SCALANCE S se pueden configurar y cargar en SCT, pero los datos no se devuelven a
STEP 7. Además, los módulos no se muestran en STEP 7 tras cerrar la SCT.
Nota
Encontrará información más detallada en la ayuda en pantalla de STEP 7 y de SCT.
Encontrará información general sobre STEP 7 en /9/ (Página 274).
2.4.3
Migrar datos de STEP 7
Migrar usuarios de dispositivo de STEP 7 a la administración de usuarios de SCT
En el cuadro de diálogo de migración, seleccione cómo desea migrar a la administración de
usuarios de SCT los usuarios creados en STEP 7. Para ello se puede elegir entre las
diferentes acciones:
Acción
Descripción
Aceptar como...
El usuario se migra a la administración de usuarios de SCT con
otro nombre. Introduzca el nombre en la columna "Nombre de
usuario migrado". En SCT al usuario migrado se le asigna
automáticamente un rol generado.
Juntar
Si en el proyecto SCT ya se ha creado un usuario con el mismo
nombre, ambos usuarios se juntan. El rol del usuario de SCT se
amplía con los derechos seleccionados del usuario migrado.
Rechazar
El usuario del módulo de seguridad no se migra a la administración
de usuarios de SCT. La migración a posteriori no es posible.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
55
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
Nota
Los siguientes datos no se migran
• Contraseñas de usuarios ya creados en STEP 7. Por ello, para cada usuario hay que
seleccionar el modo en que debe migrarse y asignar una nueva contraseña con el botón
"Asignar contraseña".
• El usuario disponible en STEP 7 definido por el sistema "everybody". Tampoco se
aplican sus derechos para usuarios migrados.
Nota
Los usuarios y sus roles se pueden adaptar tras la migración en la administración de
usuarios de la Security Configuration Tool.
Migrar derechos de dispositivo de STEP 7 a la administración de usuarios de SCT
Se migran los siguientes derechos:
Derecho en STEP 7
Derecho tras la migración a SCT
Servicio
Acceder a los símbolos
configurados
Applet: Leer variables de símbolos
configurados
PLC
Applet: Escribir variables de símbolos
configurados
Leer variables de direcciones
absolutas
Applet: Leer variables de direcciones
absolutas
Escribir variables de direcciones
absolutas
Applet: Escribir variables de direcciones
absolutas
Acceder a archivos de la estación
S7 con FTP
FTP: Leer archivos (DB) de la CPU S7
FTP: Escribir archivos (DB) de la CPU S7
FTP: Leer archivos del sistema de archivos
del CP
Sistema de
archivos
FTP: Escribir archivos del sistema de
archivos del CP
Web: Formatear el sistema de archivos de
CP
Enviar un mail de prueba a través
de la página del sistema
Web: Acceder a diagnóstico web y al
sistema de archivos de CP
Web
Web: Enviar mail de prueba
Consultar el estado de módulos
Applet: Leer estado de los módulos en el
bastidor
PLC
Consultar el número de referencia Applet: Leer referencia de los módulos en
de módulos
el bastidor
Principios básicos y aplicación
56
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
Consulte también
Sincronización horaria (Página 196)
Configurar una lista de acceso (Página 127)
2.4.4
Resumen
Contenidos generales
Tanto en la versión independiente de la Security Configuration Tool como en la versión
integrada en STEP 7, al crear un proyecto nuevo se pide la asignación de un nombre de
usuario y una contraseña. El usuario aquí creado es del tipo "administrator". Una vez
introducidos, se pueden realizar configuraciones en el proyecto.
En general, las configuraciones de un proyecto contienen:
● Ajustes válidos para todo el proyecto
● Ajustes específicos de módulo
● Asignaciones a grupos para túneles IPsec
Además, una administración de usuarios regula los derechos de acceso a los datos del
proyecto y a los módulos de seguridad.
Ajustes válidos para todo el proyecto
● Propiedades del proyecto
Estas comprenden, además de informaciones generales sobre direcciones y nombres,
especificaciones predeterminadas para valores de inicialización.
● Conjuntos de reglas de cortafuegos globales
Un conjunto de reglas globales para cortafuegos se puede asignar a varios módulos de
seguridad a un tiempo. Esta posibilidad simplifica en muchos casos la configuración, a
diferencia de la configuración de reglas de cortafuegos locales en los ajustes específicos
de los módulos.
● Conjuntos de reglas IP personalizados
Un conjunto de reglas IP específico del usuario se asigna a un usuario y a un módulo de
seguridad. A un módulo SCALANCE S V4 también se le puede asignar un conjunto de
reglas IP específico del usuario que tenga a su vez un rol asignado.
Los conjuntos de reglas IP específicos del usuario permiten definir derechos de acceso
personalizados y concretos.
● Relaciones de redundancia
Una relación de redundancia se crea para dos módulos de seguridad. Si falla uno de los
dos módulos de seguridad durante el funcionamiento, el otro módulo de seguridad
asumirá su función como cortafuegos y router (NAT/NATP).
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
57
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
● Dominio MRP
Con ayuda de los dominios MRP se definen las estaciones de un anillo MRP. Para las
interfaces de todos los módulos que deban estar conectados a un anillo MRP, debe estar
seleccionado el mismo dominio MRP.
● Definiciones de servicios
Definiendo servicios IP o MAC se pueden definir reglas de cortafuegos de forma
compacta y clara.
● Servidores NTP
Los servidores NTP se crean para todo el proyecto, por lo que pueden asignarse a varios
módulos de seguridad en la SCT.
● Servidor RADIUS
Los servidores RADIUS se crean para todo el proyecto, por lo que pueden asignarse a
varios módulos de seguridad en la SCT.
● Administrador de certificados
En el administrador de certificados se gestionan todos los certificados del proyecto y de
los módulos de seguridad incluidos.
● Administración de usuarios
En la administración de usuarios se pueden gestionar todos los usuarios del proyecto y
sus derechos, y también definir reglas para las contraseñas.
● Nombres simbólicos
En un proyecto se pueden asignar nombres simbólicos en una tabla en lugar de
direcciones IP y MAC.
Principios básicos y aplicación
58
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
Ajustes específicos de módulo
La mayoría de las funciones se configuran en las fichas del diálogo de propiedades, que se
puede abrir para un módulo de seguridad seleccionado a través del comando de menú
"Editar" > "Propiedades...". En el diálogo de propiedades se pueden organizar las diferentes
fichas a voluntad mediante Arrastrar y soltar. En la tabla siguiente se describen las
funciones de las diferentes fichas.
Función / ficha en el diálogo de propiedades
Interfaces
se ofrece en el modo …
Standard
Avanzado
X
X
X
X
X
X
-
X
X
X
-
X
X
X
Vista general de los diferentes ajustes de interfaces y puertos.
Para CPs: Los ajustes se adoptan desde STEP 7 y no pueden
cambiarse.
Cortafuegos
Aquí se activa en el modo normal el cortafuegos con reglas
estándar sencillas. Además, aquí se pueden activar ajustes de
registro.
En el modo avanzado se pueden definir reglas detalladas para
el filtrado de paquetes. También se pueden definir ajustes de
registro explícitos para cada regla de filtrado de paquetes.
Para CPs: Si se ha migrado una lista Access Control, esta se
muestra aquí y puede editarse.
Conexión a Internet
Si se ha ajustado una conexión a través de PPPoE, realice aquí
los ajustes para el Internet Service Provider.
DNS
Ajustes del DNS dinámico que permiten el acceso a direcciones
IP siempre cambiantes utilizando un nombre fijo (FQDN). DNS
dinámico está permitido en la interfaz externa y en la interfaz
DMZ.
Enrutamiento
Indique aquí los datos del router estándar y/o especifique una
ruta específica de la subred.
Para CPs: La especificación de un router estándar se aplica
desde STEP 7, y solo puede cambiarse en STEP 7. La
indicación aparece en el área de contenido de SCT. Por eso, la
ficha no está incluida en las propiedades del módulo.
NAT/NAPT
Active la funcionalidad NAT/NAPT y defina la conversión de
direcciones en una lista.
Sincronización horaria
Defina aquí el tipo de sincronización para fecha y hora.
Para CPs: la sincronización horaria solo puede configurarse en
SCT si se ha activado la configuración NTP avanzada en STEP
7.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
59
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
Función / ficha en el diálogo de propiedades
se ofrece en el modo …
Ajustes de registro
Standard
Avanzado
-
X
X
X
-
X
X
X
-
X
X
X
X
X
Aquí se pueden realizar indicaciones precisas sobre el modo de
registro y de almacenamiento de eventos de registro y
configurar la transferencia a un servidor Syslog.
VPN
Si el módulo de seguridad se encuentra en un grupo VPN, aquí
se puede configurar la Dead-Peer-Detection, la forma de
establecimiento de la conexión y, dado el caso, el punto de
acceso para WAN (dirección IP o FQDN).
En el área de diálogo "Nodos VPN" podrá realizar además,
dependiendo del módulo de seguridad, ajustes para las
subredes, nodos IP/MAC y nodos NDIS a los que deba
accederse adicionalmente a través del túnel VPN.
Para SCALANCE S: El aprendizaje de nodos internos puede
activarse y desactivarse.
El área de diálogo "Nodos VPN" solo se muestra si el proyecto
está en el modo avanzado.
Servidor DHCP
Para la red interna y para la red DMZ (solo SCALANCE
S623/S627-2M) podrá utilizar el módulo de seguridad como
servidor DHCP.
SNMP
Ajuste en esta ficha la versión de protocolo SNMP y el método
de autenticación y codificado.
Proxy ARP
Ajuste en esta ficha entradas estáticas para Proxy ARP en la
interfaz externa.
MRP/HRP
Ajuste en esta ficha los parámetros para la conexión del módulo
de seguridad a anillos MRP/HRP.
RADIUS
Asigne al módulo de seguridad en esta ficha un servidor
RADIUS que realice la autenticación del usuario en lugar del
módulo de seguridad en caso de activarse conjuntos de reglas
IP específicos del usuario.
Asignaciones a grupos para túneles VPN
Los grupos VPN determinan qué módulos de seguridad, SOFTNET Security Clients,
módulos SCALANCE M, dispositivos VPN y clientes NCP VPN (Android) deben
comunicarse entre sí a través de túneles IPsec.
Al asignar estos dispositivos de red a un grupo VPN, estos podrán establecer túneles de
comunicación a través de una VPN (Virtual Private Network).
Principios básicos y aplicación
60
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
Solo los módulos del mismo grupo VPN pueden comunicarse entre sí de forma segura a
través de túneles, pudiendo pertenecer los módulos a varios grupos VPN simultáneamente.
Consulte también
Configuración de otras propiedades de los módulos (Página 175)
2.4.5
Definición de valores de inicialización estándar para un proyecto
Definición de valores de inicialización estándar para un proyecto
Con los valores de inicialización estándar se definen propiedades que se adoptan
automáticamente al crear módulos nuevos. Además, mediante la casilla de verificación
"Guardar selección" se determina si al crear un módulo nuevo debe abrirse una ventana
para ajustar las propiedades o si el módulo debe insertarse directamente.
Elija el comando de menú "Proyecto" > "Propiedades...", ficha "Valores de inicialización
predeterminados".
Protección de datos de proyecto mediante codificación
Los datos de proyecto y configuración almacenados están protegidos por codificación tanto
en el archivo de proyecto como en el C-PLUG (no para CP 1628).
2.4.6
Check Consistency
Resumen
Security Configuration Tool distingue:
● Pruebas de coherencia locales
● Pruebas de coherencia a nivel de proyecto
Para más información sobre las reglas comprobadas que debe tener en cuenta al realizar
entradas, consulte las descripciones de los cuadros de diálogos correspondientes bajo el
término clave "Check Consistency" (prueba de coherencia).
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
61
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
Pruebas de coherencia locales
Una prueba de coherencia se considera local si se puede realizar directamente dentro de un
cuadro de diálogo. Se pueden producir comprobaciones con motivo de las siguientes
acciones:
● al salir de un campo
● al salir de una fila de una tabla
● al salir del cuadro de diálogo con "OK" ("Aceptar").
Pruebas de coherencia a nivel de proyecto
Las pruebas de coherencia a nivel de proyecto informan sobre la configuración correcta de
los módulos. Para las acciones siguientes se comprueba automáticamente la coherencia en
todo el proyecto:
● al guardar el proyecto
● al abrir el proyecto
● antes de cargar una configuración
Nota
Solo se pueden cargar datos de proyecto si el proyecto es coherente en su conjunto.
Cómo lanzar una prueba de coherencia a nivel de proyecto
Para realizar una prueba de coherencia para un proyecto abierto, proceda del siguiente
modo:
Comando de menú: "Opciones" > "Verificaciones de consistencia...".
El resultado de la comprobación se emite en una lista que se puede filtrar por tipos de aviso
"Errores" o "Advertencias". Si el proyecto contiene datos incoherentes, el estado se visualiza
en la barra de estado de la ventana SCT. Haga clic en la barra de estado para visualizar la
lista de pruebas.
2.4.7
Asignación de nombre simbólicos para direcciones IP o MAC
Cómo se accede a esa función
Comando de menú: "Opciones" > "Nombres simbólicos ...".
Significado y ventaja
En un proyecto de seguridad se pueden asignar nombres simbólicos en una tabla en lugar
de direcciones IP y MAC.
Principios básicos y aplicación
62
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
La configuración de los distintos servicios se puede realizar así de manera sencilla y segura.
Para las siguientes funciones y su configuración se tienen en cuenta nombres simbólicos
dentro del proyecto:
● Cortafuegos
● Router NAT/NAPT
● Syslog
● DHCP
● NTP
Formación de nombres simbólicos
Los nombres simbólicos deben llevar antepuesto el carácter de almohadilla (#) tanto en la
definición como en su utilización. Los nombres simbólicos han de ser conformes con DNS.
Validez y carácter inequívoco
La validez de los nombres simbólicos indicados en la tabla está limitada a la configuración
dentro de un proyecto de seguridad.
Dentro del proyecto, cada nombre simbólico ha de estar asignado de forma inequívoca a
una única dirección IP y/o MAC.
Cuadro de diálogo para definición de nombres simbólicos
Para evitar una incoherencia en una correspondencia "Dirección IP - Nombre simbólico" así
como "Dirección MAC - Nombre simbólico", los nombres simbólicos se administran en una
sola tabla.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
63
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
Definición de nombres simbólicos
1. Pulse el botón "Agregar" para añadir un nuevo nombre simbólico en la siguiente línea
libre de la tabla.
2. Introduzca un carácter de almohadilla (#) seguido del nombre simbólico deseado
conforme a las normas de DNS.
3. Complete la entrada con la dirección IP y/o MAC.
Utilización de nombres simbólicos no definidos
En el marco de la configuración de los módulos de seguridad, también pueden utilizarse
nombres simbólicos que aún no estén definidos. Tras la introducción de un nombre
simbólico aún no definido y la confirmación del correspondiente cuadro de diálogo, el
nombre simbólico elegido se adopta en la tabla de nombres simbólicos. A continuación, en
este diálogo se puede definir la correspondiente dirección IP y/o MAC para el nombre
simbólico.
Si borra una entrada de la tabla de, los nombres simbólicos utilizados en los servicios
siguen existiendo en los mismos. En tales casos, la prueba de coherencia reconoce
nombres simbólicos no definidos. Esto no depende de si el nombre simbólico ha sido
definido a posteriori o no.
Un consejo:
Para la tabla aquí descrita es particularmente conveniente la aplicación de una verificación
de consistencia para todo el proyecto. A partir de la lista se pueden detectar y corregir
irregularidades.
Inicie la prueba de coherencia para un proyecto abierto con el comando de menú
"Opciones" > "Verificaciones de consistencia...".
Principios básicos y aplicación
64
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.4 Crear y administrar proyectos
Reglas que deben considerarse en la comprobación de coherencia
Al realizar sus entradas debe tener en cuenta las reglas indicadas a continuación:
● Los nombres simbólicos deben llevar antepuesto un carácter de almohadilla (#).
● La asignación de un nombre simbólico a una dirección IP o MAC tiene que ser unívoca.
El nombre simbólico y la dirección solo pueden asignarse una vez y no pueden utilizarse
en otra entrada de la lista.
● Los nombres simbólicos han de ser conformes con DNS.
● Cada nombre simbólico debe tener asignada una dirección IP, una dirección MAC o
ambas.
● No se deben asignar nombres simbólicos a las direcciones IP de los módulos de
seguridad.
● Los nombres simbólicos utilizados en el proyecto para direcciones IP o MAC tienen que
estar incluidos en la tabla.
Se pueden producir incoherencias si se borran entradas de la tabla y no se eliminan o
corrigen correspondientemente en los cuadros de diálogo del proyecto.
Consulte también
Check Consistency (Página 61)
Conformidad DNS (Página 267)
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
65
Configuración con Security Configuration Tool
2.5 Datos de configuración para módulos SCALANCE M
2.5
Datos de configuración para módulos SCALANCE M
Significado
Se pueden generar informaciones de VPN para la parametrización de un SCALANCE M con
la Security Configuration Tool. Con los archivos creados se puede configurar el
SCALANCE M.
Se generan los siguientes tipos de archivos:
● Archivo de exportación con los datos de configuración
– Tipo de archivo: archivo *.txt en formato ASCII
– Contiene la información de configuración exportada para el SCALANCE M, incluida
una información sobre los certificados generados adicionalmente.
– Archivo de exportación para módulos SCALANCE M875:
Principios básicos y aplicación
66
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.5 Datos de configuración para módulos SCALANCE M
– Archivo de exportación para módulos SCALANCE M874-x:
● Certificados de grupos VPN del módulo
– Tipo de archivo de la clave privada: archivo *.p12
– El archivo contiene el certificado de grupos VPN del módulo y el correspondiente
material de codificación.
– El acceso está protegido por contraseña.
● Certificados CA de grupos VPN
– Tipo de archivo: Archivo *.cer
Nota
Los archivos de configuración no se transfieren al módulo. Se genera un archivo ASCII con
el que se puede configurar el SCALANCE M. Para ello es necesario que el módulo esté
como mínimo en un grupo VPN con un módulo de seguridad o un SOFTNET Security Client
a partir de V3.0.
Creación de archivos de configuración
1. Seleccione el módulo que desea editar.
2. Elija el comando de menú "Transferir" > "A módulo(s)...".
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
67
Configuración con Security Configuration Tool
2.5 Datos de configuración para módulos SCALANCE M
3. En el siguiente cuadro de diálogo de almacenamiento, introduzca la ruta y el nombre del
archivo de configuración y haga clic en el botón "Guardar".
4. En el siguiente cuadro de diálogo, indique si para ambos archivos de certificado debe
crearse una contraseña propia.
Si responde "No", se asigna como contraseña el nombre del proyecto
(p. ej. SCALANCE_M_Configuracion1), y no la contraseña del proyecto.
Si responde "Sí" (recomendado), tendrá que introducir una contraseña en el cuadro de
diálogo siguiente.
Resultado: los archivos (y certificados) se guardan en el directorio que ha indicado.
Nota
Para más información sobre la configuración, consulte las instrucciones de servicio de
SCALANCE M875 o M874-x.
Principios básicos y aplicación
68
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.6 Datos de configuración para dispositivos VPN
2.6
Datos de configuración para dispositivos VPN
Significado
Se pueden generar informaciones de VPN para la parametrización de un dispositivo VPN
con la Security Configuration Tool. Con los archivos creados es posible configurar a
continuación el dispositivo VPN.
Se generan los siguientes archivos:
● Archivo de exportación con los datos de configuración
– Tipo de archivo: Archivo *.txt en formato ASCII
– Contiene la información de configuración exportada para el dispositivo VPN, incluida
una información sobre los certificados generados adicionalmente.
Figura 2-1
Archivo de exportación para un dispositivo VPN
● Certificados de grupos VPN del dispositivo VPN
● Certificados de grupos VPN de módulos interlocutores
● Clave privada
● Certificados CA de grupos VPN
Configuración de tipos de archivo
Para dispositivos VPN se pueden determinar los tipos de archivo bajo los que se guardarán
los datos generados.
Seleccione para ello el dispositivo VPN que desee editar y elija el comando de menú
"Editar" > "Propiedades...".
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
69
Configuración con Security Configuration Tool
2.6 Datos de configuración para dispositivos VPN
● Certificados de grupos VPN del dispositivo VPN
– Archivo *.crt: certificado codificado en base 64
– Archivo *.pem: certificado codificado en base 64
– Archivo *.pem: certificado codificado en binario
● Certificados de grupos VPN de módulos interlocutores:
– Archivo *.crt: certificado codificado en base 64
– Archivo *.pem: certificado codificado en base 64
– Archivo *.pem: certificado codificado en binario
● Clave privada:
– Archivo *.p12: archivo PKCS12 con clave privada protegido por contraseña
– Archivo *.key: clave privada no protegida codificada en base 64
● Certificados CA de grupos VPN:
– Archivo *.crt: certificado codificado en base 64
– Archivo *.pem: certificado codificado en base 64
– Archivo *.pem: certificado codificado en binario
Nota
Los archivos de configuración no se transfieren al dispositivo VPN. Se genera un archivo
ASCII con el que se puede configurar el dispositivo VPN. Para ello es necesario que el
dispositivo VPN esté como mínimo en un grupo VPN con un módulo de seguridad o un
SOFTNET Security Client a partir de V3.0.
Creación de archivos de configuración
1. Seleccione el dispositivo VPN que desee editar.
2. Elija el comando de menú "Transferir" > "A módulo(s)...".
3. En el siguiente cuadro de diálogo de almacenamiento, introduzca la ruta y el nombre del
archivo de configuración y haga clic en el botón "Guardar".
4. En el siguiente cuadro de diálogo, indique si para ambos archivos de certificado debe
crearse una contraseña propia.
Si responde "No", se asigna como contraseña el nombre del proyecto
(p. ej. ProyectoVPN_02), y no la contraseña del proyecto.
Si responde "Sí" (recomendado), tendrá que introducir una contraseña en el cuadro de
diálogo siguiente.
Resultado: los archivos (y certificados) se guardan en el directorio que ha indicado.
Principios básicos y aplicación
70
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.7 Datos de configuración para clientes NCP VPN (Android)
2.7
Datos de configuración para clientes NCP VPN (Android)
NCP Secure VPN Client for Android
El NCP Secure Android Client permite una conexión VPN de alta seguridad con redes de
datos centrales de empresas y organizaciones. Es posible acceder a varias redes de datos
diferentes con un perfil de VPN propio en cada caso.
Sobre la base del estándar IPsec, los tablets y smartphones pueden establecer conexiones
de datos codificadas a pasarelas VPN de todos los proveedores relevantes.
El cliente se puede obtener en dos variantes a través de Google Play Store:
● NCP Secure VPN Client for Android (autenticación con Preshared Key)
● NCP Secure VPN Client Premium for Android (autenticación con Preshared Key o
certificado)
Encontrará más información sobre los NCP Secure Android Clients en:
NCP Secure VPN Client for Android (http://www.ncp-e.com/es/productos/cliente-vpn-ipsecpara-android.html)
Significado
Se pueden generar informaciones de VPN para la parametrización de un cliente NCP VPN
(Android) con la Security Configuration Tool. Con los archivos generados se puede
configurar a continuación el software de cliente NCP VPN.
Se generan los siguientes tipos de archivos:
● Archivo de exportación con los datos de configuración
– Tipo de archivo: archivo *.ini en formato UTF-8
– Contiene la información de configuración exportada para el cliente NCP VPN
(Android), incluida una información sobre los certificados generados adicionalmente.
● Certificados de grupos VPN del módulo
– Tipo de archivo de la clave privada: archivo *.p12
– El archivo contiene el certificado de grupos VPN del módulo y el material de
codificación.
– El acceso está protegido por contraseña.
● Certificados CA de grupos VPN:
– Tipo de archivo: archivo *.crt
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
71
Configuración con Security Configuration Tool
2.7 Datos de configuración para clientes NCP VPN (Android)
Figura 2-2
Archivo de exportación para un cliente NCP VPN (Android)
Nota
Los archivos de configuración no se transfieren al cliente NCP VPN (Android). Se genera un
archivo ASCII con el que se puede configurar el cliente NCP VPN (Android). Para ello, el
cliente NCP VPN (Android) debe encontrarse al menos en un grupo VPN con un módulo de
seguridad.
Creación de archivos de configuración
1. Marque en el área de contenidos el cliente NCP VPN que desee editar (Android).
2. Elija el comando de menú "Transferir" > "A módulo(s)...".
3. En el siguiente cuadro de diálogo de almacenamiento, introduzca la ruta y el nombre del
archivo de configuración y haga clic en el botón "Guardar".
4. En el siguiente cuadro de diálogo, indique si para ambos archivos de certificado debe
crearse una contraseña propia.
Si responde "No", se asigna como contraseña el nombre del proyecto
(p. ej. ProyectoNCP_02), y no la contraseña del proyecto.
Si responde "Sí" (recomendado), tendrá que introducir una contraseña en el cuadro de
diálogo siguiente.
Resultado: los archivos se guardarán en el directorio que ha indicado.
Principios básicos y aplicación
72
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.8 Administrar usuarios
2.8
Administrar usuarios
2.8.1
Sinopsis de la administración de usuarios
¿Cómo está estructurada la administración de usuarios?
El acceso a la configuración de seguridad se gestiona mediante ajustes de usuario
configurables. Configure usuarios con las contraseñas correspondientes para la
autenticación. Asigne al usuario un rol definido por el sistema o por usuario. Los roles tienen
asignados derechos de configuración y específicos de módulo. Observe las capacidades
(Página 20) indicadas al crear los usuarios.
Los usuarios ya existentes se migran de STEP 7 a SCT
Los usuarios ya creados en STEP 7 pueden migrarse a SCT. En ese caso, las contraseñas
deben volver a asignarse.
Encontrará información detallada al respecto en la Ayuda en pantalla.
Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de
diálogo en cuestión de la SCT.
Orden de entrada al crear usuarios y roles
Elija una de las siguientes secuencias de introducción:
● Cree primero un usuario, a continuación defina un rol y, en el último paso, asigne el rol al
usuario.
● Defina primero un rol nuevo, a continuación cree un usuario y, en el último paso, asigne
el rol al usuario.
Nota
Guarde las contraseñas de usuario de forma segura.
Si olvida las contraseñas de usuario, ya no podrá acceder al proyecto en cuestión ni al
módulo de seguridad en cuestión.
En este caso deberá crear un proyecto nuevo y ejecutar el comando "Restablecer
configuración de fábrica". En ese caso perderá la configuración.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
73
Configuración con Security Configuration Tool
2.8 Administrar usuarios
Nota
Si se modifican los ajustes de la autenticación, se tienen que cargar de nuevo los módulos
de seguridad para que se activen estos ajustes (p. ej. nuevos usuarios, cambios de
contraseña) en los módulos de seguridad.
Autenticación del usuario al activar conjuntos de reglas IP específicos del usuario
La autenticación de usuarios que inician sesión en la página web del módulo de seguridad
para activar un conjunto de reglas IP específico del usuario se puede llevar a cabo desde el
módulo de seguridad o bien desde un servidor RADIUS.
En el siguiente capítulo aprenderá cómo definir el método de autenticación "RADIUS" para
un usuario:
● Crear usuarios (Página 75)
Encontrará información detallada sobre la autenticación de usuarios mediante servidor
RADIUS en el siguiente capítulo:
● Autenticación mediante servidor RADIUS (Página 84)
Principios básicos y aplicación
74
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.8 Administrar usuarios
2.8.2
Crear usuarios
Cómo se accede a esa función
Comando de menú SCT: "Opciones" > "Administración de usuarios...", ficha "Usuario",
botón "Agregar...".
Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón
"Ejecutar". La administración de usuarios se puede abrir además desde diferentes fichas.
Parámetro
Significado
Nombre de usuario
Nombre de usuario de libre elección.
Método de autenticación
•
Contraseña: utilice este método de autenticación para usuarios que
deban editar y cargar el proyecto SCT y diagnosticar el módulo de
seguridad. La autenticación del usuario se realizará a través del
módulo de seguridad en caso de activarse conjuntos de reglas IP
específicos del usuario.
•
RADIUS
: la autenticación del usuario se realizará a través
de un servidor RADIUS en caso de activarse conjuntos de reglas IP
específicos del usuario.
En este método de autenticación, la contraseña del usuario no se
configura en SCT, sino que debe guardarse en el servidor RADIUS.
Utilice este método de autenticación exclusivamente para usuarios
que deban iniciar sesión únicamente en la página web de un
módulo de seguridad. Un usuario con el método de autenticación
"RADIUS" no puede iniciar sesión en proyectos SCT.
Contraseña (solo para el
método de autenticación
"Contraseña")
Introducción de la contraseña para el usuario. Al introducirse la
contraseña se comprobará su nivel de seguridad. Encontrará más
información sobre el nivel de seguridad de la contraseña en el capítulo
siguiente:
Capacidades (Página 20)
Repetir la contraseña (solo Repetición de la contraseña introducida.
para el método de
autenticación
"Contraseña")
Comentario
Introducción de un comentario adicional.
Duración máxima de la
sesión
Introducción de la duración tras la cual se cierra automáticamente la
sesión de un usuario que ha iniciado sesión en la página web para
conjuntos de reglas IP específicos del usuario de módulos SCALANCE
S. La duración aquí indicada comienza tras el inicio de sesión y tras
renovarse esta en la página web del módulo de seguridad.
Rol asignado
•
Ajuste estándar: 30 minutos
•
Valor mínimo: 5 minutos
•
Valor máximo: 480 minutos
Según la asignación realizada.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
75
Configuración con Security Configuration Tool
2.8 Administrar usuarios
Tabla 2- 1
Botones de la ficha "Usuario"
Denominación
Significado / repercusión
Editar...
Seleccione una entrada y haga clic en el botón. En el diálogo que se
abre se pueden modificar los ajustes antes mencionados.
Agregar...
Agregue un nuevo usuario con el botón.
Eliminar
Elimine la entrada seleccionada con el botón.
Nota
En el proyecto siempre debe haber como mínimo un usuario en el rol
"administrator". El "administrator", que se crea automáticamente al
generar el proyecto, solo puede borrarse mientras exista como mínimo
un usuario con plenos derechos de configuración.
2.8.3
Crear roles
¿Qué roles existen?
A cada usuario se le puede asignar un rol definido por el sistema o por el usuario. Los
derechos de módulos de un rol definido por el usuario se definen para cada módulo de
seguridad.
Roles definidos por el sistema
Están predefinidos los siguientes roles definidos por el sistema. Los roles tienen asignados
determinados derechos, que son iguales en todos los módulos y que el administrador no
puede cambiar ni borrar.
Administrar derechos (Página 79)
● administrator
Rol predeterminado al crear un proyecto SCT.
Derechos de acceso ilimitados a todos los datos de configuración.
● standard
Rol con derechos de acceso restringidos.
● diagnostics
Rol predeterminado al crear un usuario.
Solo acceso de lectura.
● remote access
Ningún derecho, salvo inicio de sesión en la página web para conjuntos de reglas IP
específicos del usuario.
Principios básicos y aplicación
76
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.8 Administrar usuarios
● radius
Rol que se puede utilizar para activar conjuntos de reglas IP específicos del usuario con
autenticación a través de servidor RADIUS.
Solo acceso de lectura.
● administrator (radius)
Rol que se puede utilizar para activar conjuntos de reglas IP específicos del usuario con
autenticación a través de servidor RADIUS.
Derechos de acceso a todos los datos de configuración excepto a SNMP MIB.
Nota
Encontrará más información sobre los conjuntos de reglas IP específicos del usuario en el
siguiente capítulo:
Conjuntos de reglas IP específicos de usuario (Página 148)
Nota
Encontrará más información sobre la autenticación mediante servidor RADIUS en el
siguiente capítulo:
Autenticación mediante servidor RADIUS (Página 84)
Rol definido por el usuario
Además de los roles definidos por el sistema, se pueden crear roles definidos por el usuario.
Para un rol definido por el usuario se seleccionan los derechos de configuración o de
módulo, y se crean los derechos correspondientes para cada módulo de seguridad utilizado
en el proyecto. Los roles definidos por usuario se asignan manualmente al usuario en
cuestión.
Cómo se accede a esa función
Comando de menú SCT: "Opciones" > "Administración de usuarios", ficha "Roles".
Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón
"Ejecutar". La administración de usuarios se puede abrir además desde diferentes fichas.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
77
Configuración con Security Configuration Tool
2.8 Administrar usuarios
Tabla 2- 2
Datos de la ficha "Roles"
Parámetro
Significado
Nombre del rol
Nombre de rol de libre elección.
Comentario
Introducción de un comentario adicional.
Duración máxima de la
sesión
Tabla 2- 3
Introducción de la duración tras la cual se cierra automáticamente la
sesión para un usuario con el rol asignado en la página web para
conjuntos de reglas IP específicos del usuario de módulos SCALANCE
S. La duración aquí indicada comienza tras el inicio de sesión y tras
renovarse esta en la página web del módulo de seguridad.
•
Ajuste estándar: 30 minutos
•
Valor mínimo: 5 minutos
•
Valor máximo: 480 minutos
Botones de la ficha "Roles"
Denominación
Significado / repercusión
Propiedades... / Editar...
Seleccione un rol definido por usuario de la lista y haga clic en el botón.
En el cuadro de diálogo que se abre, modifique las propiedades del rol,
como el nombre del rol, los derechos que tiene asignados y la duración
máxima de la sesión. Los roles definidos por el sistema no se pueden
editar.
Agregar...
Agregue un nuevo rol definido por el usuario con el botón. En el cuadro
de diálogo que aparece, introduzca el nombre del rol y asigne al rol los
derechos que desee de la lista de derechos. Se muestran los derechos
del rol definido por el sistema seleccionado en la asignación de
derechos (asignación estándar: "diagnostics").
Eliminar
Elimine la entrada seleccionada con el botón.
Nota
•
Un rol definido por el usuario ya creado solo puede borrarse si no
está asignado a ningún usuario. Dado el caso, asigne un rol
diferente al usuario.
•
Los roles definidos por el sistema no se pueden borrar.
Principios básicos y aplicación
78
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.8 Administrar usuarios
2.8.4
Administrar derechos
Cómo se accede a esa función
Comando de menú SCT: "Opciones" > "Administración de usuarios...", ficha "Roles", botón
"Propiedades…" o "Agregar…".
Comando de menú STEP 7: "Usuario" > "Iniciar administración de usuarios", botón
"Ejecutar". La administración de usuarios se puede abrir además desde diferentes fichas.
Crear y asignar un rol definido por usuario
1. Introduzca un nombre de rol.
2. Seleccione un rol definido por el sistema en la asignación de derechos (asignación
estándar: "diagnostics"). Los roles definidos por usuario no se muestran en la selección.
Resultado: Según el rol seleccionado, se muestran para cada módulo de seguridad
utilizado en el proyecto los derechos correspondientes en la lista de derechos. Los
derechos de los módulos de seguridad no utilizados en el proyecto se muestran en gris.
3. Active o desactive para cada módulo de seguridad los derechos que deben asignarse al
rol definido por usuario.
4. Si lo desea, introduzca un comentario, así como la duración máxima de la sesión para el
rol que se va a crear.
5. Haga clic en el botón "Aplicar" para guardar la selección o en "Aceptar" para guardar y
cerrar la ventana.
6. Asigne el rol a un usuario.
Copia de permisos de rol de un módulo de seguridad
En el menú contextual de un módulo de seguridad, elija en la lista de objetos el comando
"Copiar permisos..." y asigne los permisos a otro módulo de seguridad con el comando
"Insertar permisos...".
Derechos de configuración
Dependiendo del tipo de rol, por cada proyecto de seguridad dispone de los siguientes
derechos de configuración:
Tabla 2- 4
Derechos de configuración para accesos al proyecto de seguridad
Derecho de configuración
administrator
standard
diagnostics
Diagnosticar seguridad
x
x
x
Configurar seguridad
x
x
-
Administrar usuarios y roles
x
-
-
x El derecho está activado
- El derecho está desactivado
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
79
Configuración con Security Configuration Tool
2.8 Administrar usuarios
Derechos de módulos
En la columna "Servicio" se muestra el sistema al que afecta el derecho en cuestión.
Dependiendo del tipo de rol, por cada proyecto de seguridad se dispone de los siguientes
derechos de módulo:
Tabla 2- 5
Derechos de módulo CP x43-1 Adv.
Derecho dentro del servicio
administrator
standard
diagnostics
Web: Formatear el sistema de archivos del CP *
x
-
-
FTP: Leer archivos del sistema de archivos del CP
x
x
x
FTP: Escribir archivos del sistema de archivos del
CP
x
x
-
FTP: Leer archivos (DB) de la CPU S7 **
x
x
x
FTP: Escribir archivos (DB) de la CPU S7 ***
x
x
-
Applet: Leer variables de símbolos configurados *
x
x
x
Applet: Leer variables de direcciones absolutas *
x
x
x
Applet: Escribir variables de direcciones absolutas
*
x
x
-
Applet: Leer estado de los módulos en el bastidor *
x
x
x
Applet: Leer referencia de los módulos en el
bastidor *
x
x
x
SNMP: Leer MIB-II
x
x
x
SNMP: Escribir MIB-II
x
x
-
SNMP: Leer Automation MIB
x
x
x
SNMP: Leer LLDP MIB
x
x
x
SNMP: Leer SNMPv2 MIB
x
x
x
SNMP: Leer MRP MIB
x
x
x
SNMP: Escribir MRP MIB
x
x
-
SCT: Ejecutar diagnóstico del módulo de
seguridad ****
x
x
x
Web: Ampliar lista de control de acceso IP *
x
-
-
Web: Acceder a diagnóstico web y al sistema de
archivos de CP
x
x
x
Web: Enviar mail de prueba *
x
x
x
Web: Actualizar el firmware *
x
x
-
Web: Cargar textos de diagnóstico *
x
x
-
Servicio
Sistema de archivos
PLC
Applet: Escribir variables de símbolos configurados
*
SNMP
Seguridad
Web
Mantenimiento
x El derecho está activado
- El derecho está desactivado
Principios básicos y aplicación
80
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.8 Administrar usuarios
*
Para utilizar la función, también debe estar activado el derecho de módulos "Web:
Acceder al diagnóstico web y al sistema de archivos de CP".
**
Para utilizar la función, también debe estar activado el derecho de módulos "FTP: Leer
archivos del sistema de archivos del CP".
***
Para utilizar la función, también debe estar activado el derecho de módulos "FTP:
Escribir archivos del sistema de archivos del CP".
**** Para utilizar la función también debe estar activado el derecho de configuración
"Diagnosticar seguridad".
Tabla 2- 6
Derechos de módulo CP 1628
Derecho dentro del servicio
administrator
standard
diagnostics
SNMP: Leer MIB-II
x
x
x
SNMP: Escribir MIB-II
x
x
-
SNMP: Leer Automation MIB
x
x
x
SNMP: Leer SNMPv2 MIB
x
x
x
SCT: Ejecutar diagnóstico del módulo de seguridad
x
x
x
Servicio
SNMP
Seguridad
x El derecho está activado
- El derecho está desactivado
Tabla 2- 7
Derechos de módulo SCALANCE S ≥ V3.0
Derecho dentro del servicio
administrator
standard
diagnostics
SNMP: Leer MIB-II
x
x
x
SNMP: Escribir MIB-II
x
x
-
SNMP: Leer Automation MIB
x
x
x
SNMP: Leer SNMPv2 MIB
x
x
x
x
x
x
x
x
-
SCT: Ejecutar diagnóstico del módulo de seguridad
x
x
x
Carga de los archivos de configuración
x
x
-
Web: Actualizar el firmware
x
x
-
SNMP: Leer MRP MIB
SNMP: Escribir MRP MIB
Servicio
SNMP
Seguridad
Mantenimie
nto
x El derecho está activado
- El derecho está desactivado
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
81
Configuración con Security Configuration Tool
2.8 Administrar usuarios
Tabla 2- 8
Derechos de módulo SCALANCE S < V3.0
Derecho dentro del servicio
administrator
standard
diagnostics
Carga de los archivos de configuración
x
x
-
SCT: Ejecutar diagnóstico del módulo de seguridad
x
x
x
Servicio
Seguridad
x El derecho está activado
- El derecho está desactivado
Ajuste de derechos de módulos antes y después de crear módulos de seguridad
Dentro de un rol definido por el usuario, los derechos de módulo se definen por separado
para cada módulo de seguridad. Si un módulo de seguridad para el que deban definirse los
derechos de módulo dentro de un rol se ha creado antes de agregar los roles, los derechos
de este módulo de seguridad se ajustarán automáticamente según la asignación de
derechos elegida y podrán adaptarse en caso necesario. Si un módulo de seguridad se ha
añadido tras haber creado un rol, la SCT no definirá derecho alguno. En este caso, deberá
ajustar por sí mismo todos los derechos para el módulo de seguridad.
Los derechos de módulo ya existentes también pueden aplicarse a otro módulo de
seguridad copiándolos y adaptándolos en él si fuera necesario. Para ello, elija el comando
"Copiar permisos..." e "Insertar permisos..." del menú contextual de un módulo de
seguridad, en los derechos de módulo.
Principios básicos y aplicación
82
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.8 Administrar usuarios
2.8.5
Configuración de normas para las contraseñas
Significado
Mediante las normas para contraseñas pueden definirse unas reglas que deberán tenerse
en cuenta a la hora de asignar contraseñas a los nuevos usuarios.
Cómo se accede a esa función
Elija el comando de menú "Opciones" > "Administración de usuarios...", ficha "Normas de
contraseña". Al activar una casilla de verificación, la norma correspondiente se activa y se
puede adaptar, si es necesario, a través del correspondiente campo de entrada.
Parámetros
Significado
Longitud mínima de contraseña
Número de caracteres que deben contener las contraseñas
como mínimo. La correspondiente casilla de verificación
está activada de forma predeterminada y no se puede
desactivar.
Número mínimo de cifras
Número mínimo de caracteres especiales
Número de contraseñas bloqueadas para la reutilización
Al menos una letra mayúscula y otra minúscula
•
Valor mínimo: 8 caracteres
•
Valor máximo: 32 caracteres
Número de cifras que deben contener las contraseñas
como mínimo.
•
Valor mínimo: 1 cifra
•
Valor máximo: 32 cifras
Número de caracteres especiales que deben contener las
contraseñas como mínimo. Un carácter especial es todo
aquel que no sea una letra ni una cifra.
•
Valor mínimo: 1 carácter especial
•
Valor máximo: 32 caracteres especiales
Número de contraseñas ya utilizadas que no están
disponibles como nueva contraseña en caso de cambiar la
contraseña.
•
Valor mínimo: 1 contraseña
•
Valor máximo: 10 contraseñas
Si activa esta casilla de verificación, las contraseñas deben
contener como mínimo una letra minúscula y otra
mayúscula.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
83
Configuración con Security Configuration Tool
2.8 Administrar usuarios
2.8.6
Autenticación mediante servidor RADIUS
2.8.6.1
Resumen
Significado
RADIUS (Remote Authentication Dial-In User Service) es un protocolo de autenticación de
usuarios mediante servidores en los que se pueden almacenar los datos de usuario de
forma centralizada. El uso de servidores RADIUS permite aumentar la protección de
nombres de usuario, roles asignados y contraseñas.
Entorno de uso de los servidores RADIUS
La autenticación mediante servidor RADIUS se puede realizar en el marco de la activación
de conjuntos de reglas IP específicos del usuario.
Principios básicos y aplicación
84
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.8 Administrar usuarios
1
Introducción de los datos de usuario en la página web del módulo de seguridad
2
Autenticación mediante servidor RADIUS y activación del conjunto de reglas IP específico del
usuario
3
Acceso a célula de automatización
La estructura de red representada arriba constituye un ejemplo. El servidor RADIUS también
puede encontrarse en la red interna o en la red DMZ del módulo de seguridad.
Para las posibilidades de configuración descritas a continuación se presupone siempre que
se ha configurado un servidor RADIUS en la SCT y que se ha asignado al correspondiente
módulo de seguridad. Además, debe haberse configurado un usuario o un rol con el método
de autenticación "RADIUS". Encontrará información al respecto en los capítulos siguientes:
● Definición de servidores RADIUS (Página 87)
● Asignación de servidor RADIUS a un módulo de seguridad (Página 88)
● Crear usuarios (Página 75)
● Crear roles (Página 76)
Encontrará información general sobre los conjuntos de reglas IP específicos del usuario en
el siguiente capítulo:
● Conjuntos de reglas IP específicos de usuario (Página 148)
Configuraciones posibles
Para la autenticación del usuario mediante un servidor RADIUS se dispone de dos
posibilidades de configuración:
● El módulo de seguridad conoce el usuario y su rol, a través del servidor RADIUS
solamente se realiza la gestión de la contraseña para el usuario. En el servidor RADIUS
está configurado el usuario con la contraseña correspondiente.
– Se configura un usuario con el método de autenticación "RADIUS".
– El usuario se asigna al conjunto de reglas IP específico del usuario.
Resultado:
– Cuando un usuario inicia sesión en la página web del módulo de seguridad, la
consulta de autenticación se transmite al servidor RADIUS.
– El servidor RADIUS comprueba la contraseña y devuelve el resultado al módulo de
seguridad.
– Si se ha superado la comprobación de la contraseña, se activa el conjunto de reglas
IP específico del usuario.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
85
Configuración con Security Configuration Tool
2.8 Administrar usuarios
● El módulo de seguridad conoce el rol, y la gestión de usuarios se realiza a través del
servidor RADIUS. En el servidor RADIUS está configurado el usuario con la contraseña
correspondiente.
– Al conjunto de reglas IP específico del usuario se le asigna un rol definido por el
usuario o bien un rol definido por el sistema.
– En la pestaña "RADIUS" del módulo de seguridad se activan las casillas de
verificación "Permitir autenticación de RADIUS para usuarios no configurados" y "La
ID de filtro es necesaria para la autenticación".
Resultado:
– Cuando un usuario inicia sesión en la página web del módulo de seguridad, las
consultas de autenticación y de autorización se transmiten al servidor RADIUS.
– El servidor RADIUS comprueba la contraseña y devuelve el resultado al módulo de
seguridad.
– Caso a: si el nombre del rol está configurado adicionalmente en el servidor RADIUS:
El servidor RADIUS devuelve al módulo de seguridad el nombre del rol asignado al
usuario.
– Caso b: si el nombre del rol no está configurado en el servidor RADIUS:
El módulo de seguridad asigna al usuario un rol definido por el sistema, "radius".
– Si se ha superado la comprobación de la contraseña, se activa el conjunto de reglas
IP específico del usuario.
Convenios para servidores RADIUS
● Los servidores RADIUS se pueden encontrar en cualquier red conectada con el módulo
de seguridad.
● Se pueden configurar como máximo dos servidores RADIUS por módulo de seguridad.
Durante el funcionamiento está entonces activo uno solo de los servidores RADIUS.
● En la definición de servidores RADIUS se pueden configurar también FQDN en lugar de
direcciones IP.
Principios básicos y aplicación
86
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.8 Administrar usuarios
2.8.6.2
Definición de servidores RADIUS
Significado
Antes de que pueda tener lugar la autenticación mediante un servidor RADIUS, este deberá
guardarse en un proyecto de SCT. A continuación, el servidor RADIUS definido debe
asignarse al módulo de seguridad para el cual dicho servidor debe asumir la autenticación
de usuario.
Procedimiento
1. Elija el comando de menú "Opciones" > "Configuración del servidor RADIUS...".
2. Haga clic en el botón "Agregar...".
3. Introduzca los parámetros necesarios según la tabla siguiente.
Parámetros
Significado
Nombre
Nombre de libre elección para el servidor
RADIUS.
Dirección IP / FQDN
Dirección IP o FQDN del servidor RADIUS.
Puerto
Puerto UDP bajo el que es accesible el servidor
RADIUS. De forma predefinida se reciben
datos de autenticación en el puerto 1812.
Shared Secret
Introducción de la contraseña utilizada para el
cifrado al transferir los datos de inicio de sesión
entre servidores RADIUS y módulos de
seguridad.
Repetir Shared Secret
Confirmación de la contraseña.
Método de autenticación
Indicación del método utilizado para comprobar
los datos de usuario. Se soporta
exclusivamente el método "PAP" (Password
Authentication Protocol).
Comentario
Introducción opcional de comentarios.
Resultado
Ha definido un servidor RADIUS y ahora lo puede asignar a los módulos de seguridad
deseados.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
87
Configuración con Security Configuration Tool
2.8 Administrar usuarios
2.8.6.3
Asignación de servidor RADIUS a un módulo de seguridad
Requisito
Ha definido un servidor RADIUS.
Procedimiento
1. Seleccione el módulo de seguridad que desee asignar a un servidor RADIUS.
2. Elija el comando de menú "Editar" > "Propiedades...".
3. Elija la ficha "RADIUS".
4. Active la casilla de verificación "Activar autenticación de RADIUS".
Nota
Cambio del método de autenticación con servidor web en módulo de seguridad
Cuando se activa la autenticación RADIUS en el módulo de seguridad, cambia el método
de autenticación con el servidor web de "Digest Access Authentication" a "Basic Access
Authentication".
5. Indique en el campo de entrada "Timeout de RADIUS" el tiempo en segundos que el
módulo de seguridad debe esperar como máximo una respuesta del servidor RADIUS.
6. Indique en el campo de entrada "Repeticiones de RADIUS" el número de intentos de
conexión con el servidor RADIUS.
7. Active la casilla de verificación "Permitir autenticación de RADIUS para usuarios no
configurados" cuando se haya asignado un rol en lugar de un usuario al conjunto de
reglas IP específico del usuario que se desea activar.
8. Active la casilla de verificación "La ID de filtro es necesaria para la autenticación" cuando
el rol asignado sea un rol definido por el usuario.
9. Haga clic en el botón "Agregar".
Resultado: el servidor RADIUS configurado en primer lugar se asigna al módulo de
seguridad.
10.En caso necesario, elija en la lista desplegable "Nombre" el servidor RADIUS que desee
asignar al módulo de seguridad.
Encontrará información general sobre la autenticación mediante servidor RADIUS en el
siguiente capítulo:
Autenticación mediante servidor RADIUS (Página 84)
Consulte también
Crear usuarios (Página 75)
Principios básicos y aplicación
88
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.9 Administrar certificados
2.9
Administrar certificados
2.9.1
Sinopsis
¿Cómo se administran los certificados?
En el administrador de certificados se puede obtener una vista general de todos los
certificados y certificados CA utilizados en el proyecto, con la información correspondiente al
solicitante, al emisor, a la validez, al uso en SCT y a la existencia de una clave privada.
El certificado CA es un certificado emitido por una entidad emisora, llamada "Certificate
Authority", y de él se derivan los certificados de dispositivo. Entre los certificados de
dispositivo se encuentran los certificados SSL, necesarios para la autenticación en la
comunicación online entre un módulo de seguridad y otro dispositivo de red. Otros
certificados de dispositivos son los certificados de grupos VPN de módulos de seguridad
que se encuentran en grupos VPN. Las posibles entidades emisoras pueden ser:
● La propia SCT. Si el solicitante y el emisor son iguales, se trata de un certificado
autofirmado, es decir, emitido por SCT.
● Una entidad emisora superior. Los certificados externos al proyecto de otros emisores se
importan y se guardan en la memoria de certificados de la SCT.
Los certificados creados por una de las dos entidades emisoras, siempre cuentan con una
clave privada, que permite derivar los certificados de dispositivo.
El administrador de certificados incluye, además, las siguientes funciones:
● Modificación de certificados ya existentes (p. ej. periodo de validez).
● Importación de certificados y entidades emisoras nuevas.
● Importación de certificados FTPS cuando el CP se utiliza como cliente FTP.
● Exportar los certificados y entidades emisoras utilizados en el proyecto.
● Renovación de certificados y entidades emisoras caducados.
● Sustitución de entidades emisoras ya existentes por otras.
Nota
Cargar el proyecto
Tras sustituir o renovar certificados es necesario cargar el proyecto en el módulo de
seguridad correspondiente.
Tras sustituir o renovar certificados CA es necesario cargar el proyecto en todos los
módulos de seguridad.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
89
Configuración con Security Configuration Tool
2.9 Administrar certificados
Nota
Fecha y hora actuales en los módulos de seguridad
Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos
de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados
utilizados se considerarán no válidos y la comunicación segura no funcionará.
Cómo se accede a esa función
Comando de menú SCT: "Opciones" > "Administrador de certificados...".
En las diferentes fichas se dispone de los siguientes botones:
Botón
Descripción
Importar.../Exportar...
Importar y exportar certificados de dispositivo o CA que no se
crearon en la SCT. Los certificados se transmiten al módulo de
seguridad. Son posibles los siguientes formatos:
*.pem (solo certificado)
*.crt (solo certificado)
*.p12 (certificado con las claves privadas correspondientes)
Nota
•
Mostrar...
Los usuarios con el rol "diagnostics" definido por el sistema no
pueden realizar exportaciones.
Abre el cuadro de diálogo de certificados de Windows, en el que
se muestra una vista general de todos los datos de certificado.
Ficha "Entidades emisoras"
Los certificados que se muestran aquí son generados por una entidad emisora.
● Entidad emisora de un proyecto: Al crear un proyecto SCT nuevo, se genera un
certificado CA para el proyecto. A partir de este certificado se derivan los certificados
SSL para los diferentes módulos de seguridad.
● Entidad emisora de un grupo VPN: Al crear un grupo VPN nuevo, se genera un
certificado CA para el grupo VPN. A partir de este certificado se derivan los certificados
de grupos VPN de módulos de seguridad que se encuentren en el correspondiente grupo
VPN.
Principios básicos y aplicación
90
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.9 Administrar certificados
Ficha "Certificados de dispositivos"
Visualización de los certificados específicos de dispositivo que genera la SCT para un
módulo de seguridad. Aquí se incluyen:
● Certificado SSL de un módulo de seguridad: para cada módulo de seguridad creado se
genera un certificado SSL derivado del certificado CA del proyecto. Se recurre a los
certificados SSL para autenticar la comunicación entre PG o PC y el módulo de
seguridad al cargar la configuración (no en el caso de CP) y durante el registro.
● Certificado de grupo VPN de un módulo de seguridad: además se genera un certificado
de grupo VPN para cada módulo de seguridad por cada grupo VPN en el que se
encuentra.
Ficha "Certificados de confianza y entidades emisoras de certificados de origen"
Visualización de los certificados externos importados a SCT. Se pueden importar p. ej.
certificados de servidor de servidores FTP externos o certificados de proyecto de otros
proyectos SCT.
El certificado externo importado se transmite a todos los CPs administrados en el proyecto
SCT. El módulo de seguridad se identifica entonces con ese certificado, p. ej., al acceder a
un servidor FTPS. La configuración SCT en sí no utiliza el certificado importado.
Visualización de las entidades emisoras necesarias para la verificación de servicios
externos como proveedores de dyn. DNS mediante módulos de seguridad.
2.9.2
Renovar certificados
Significado
En este cuadro de diálogo se renuevan certificados CA y certificados de dispositivos. De ser
necesario, por ejemplo en caso de un certificado comprometido, es posible importar un
certificado o bien crear un certificado nuevo mediante la Security Configuration Tool.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
91
Configuración con Security Configuration Tool
2.9 Administrar certificados
Cómo se accede a esa función
1. Haga clic con la tecla derecha del ratón en una entrada de la lista en el administrador de
certificados.
2. Elija la entrada "Renovar certificado ...".
3. Seleccione si el nuevo certificado debe ser firmado por el usuario o por una entidad
emisora.
4. Si el certificado debe ser firmado por una entidad emisora, seleccione con el botón
"Seleccionar..." la entidad emisora que debe utilizarse. Para tal fin solo están disponibles
las entidades emisoras que están guardadas en la memoria de certificados del proyecto
SCT actual.
5. Elija un período de validez para el certificado. Por defecto, se introduce en los campos
"Válido desde:" y "Válido hasta:" el valor del certificado actual.
6. Introduzca los valores siguientes en función del certificado:
Certificado a renovar
Parámetros
Solicitante
Nombre alternativo del solicitante
Certificado CA del proyecto
Nombre del certificado CA
-
Certificado CA de grupo
VPN
Nombre del certificado CA
-
Certificado SSL para CP S7
Nombre del módulo de
seguridad
Direcciones IP de las interfaces
Gigabit y PROFINET, separadas por
una coma.
Certificado SSL para CP PC
Nombre del módulo de
seguridad
Dirección IP del módulo de
seguridad.
Principios básicos y aplicación
92
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración con Security Configuration Tool
2.9 Administrar certificados
Certificado a renovar
Parámetros
Solicitante
Certificado SSL para
SCALANCE S,
SCALANCE M y SOFTNET
Security Client
Nombre del módulo de
seguridad
Certificado de grupo VPN de Nombre del certificado del
un módulo de seguridad
grupo VPN
2.9.3
Nombre alternativo del solicitante
-
Derivado del CA.
Reemplazar certificados
Significado
En este cuadro de diálogo se reemplaza el certificado CA existente en el proyecto o el
certificado CA de un grupo VPN por uno nuevo.
Cómo se accede a esa función
1. Haga clic con la tecla derecha del ratón en una entrada de la lista en la ficha "Entidades
emisoras".
2. Elija la entrada "Reemplazar certificado...".
3. Aparece el cuadro de diálogo "Cambiar entidad emisora".
Todos los certificados que aparecen en el campo "Certificados afectados" se vuelven a
derivar. De este modo es posible reemplazar el certificado CA de un grupo VPN configurado
previamente dentro del proyecto SCT por el certificado CA de un grupo VPN de otro
proyecto SCT. Los certificados de grupos VPN para los dispositivos del grupo VPN se
derivan por tanto en ambos proyectos del mismo certificado CA.
Si al cerrar el administrador de certificados aparece un cuadro de diálogo de advertencia,
vuelva a cargar la configuración modificada en el módulo de seguridad.
¿Qué formato puede tener el certificado?
Del certificado CA importado se derivan otros certificados en SCT. Por lo tanto solo se
pueden seleccionar certificados con clave privada:
● *.p12
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
93
Configuración con Security Configuration Tool
2.9 Administrar certificados
Principios básicos y aplicación
94
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3
El presente capítulo le familiariza con la creación de módulos y con los ajustes que se
pueden efectuar en un proyecto para los distintos módulos.
Otras informaciones
La ayuda en pantalla le proporcionará también información detallada sobre los diálogos y los
parámetros ajustables.
Se puede acceder a esta ayuda con la tecla F1 o con el botón "Ayuda" del cuadro de
diálogo en cuestión de la SCT.
Nota
Prestaciones y tipos de equipos
Tenga en cuenta cuáles son las funciones asistidas por el tipo de equipo que utilice.
Consulte también
Funciones online - Test, Diagnóstico y Logging (Página 253)
Cómo se accede a esa función
1. En el área de navegación, seleccione el objeto "Todos los módulos".
2. Elija el comando de menú "Insertar" > "Módulo".
3. Realice los siguientes ajustes.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
95
Crear módulos y ajustar parámetros de red
Parámetro
Significado
Tipo de producto
Tipo de producto utilizado al crear un módulo.
SCALANCE S
SOFTNET Configuration (SOFTNET Security Client,
SCALANCE M87x/MD74x, cliente NCP VPN, dispositivo VPN)
Módulo
Dependiendo de la selección del tipo de producto, aquí se
puede indicar el tipo de módulo que se utilizará al crear un
módulo nuevo.
Elija la opción "Cliente NCP VPN para Android" para agregar un
dispositivo cliente VPN que represente a un dispositivo que
tenga instalado el software NCP Secure VPN Client for Android.
Elija la opción "Dispositivo VPN" para agregar un dispositivo
cliente VPN que represente a un dispositivo de otro fabricante.
Nota
El archivo de configuración derivado solamente representa una
ayuda para la configuración de la conexión VPN, pero no
garantiza la compatibilidad con productos de otros fabricantes.
Versión del firmware
Para los módulos SCALANCE S, el SOFTNET Security Client y
los clientes NCP VPN (Android), se pueden indicar aquí las
versiones de firmware/software. Para los módulos SCALANCE
M se puede elegir aquí entre SCALANCE M875/MD74x y
SCALANCE M874-x.
Nombre del módulo
Nombre del módulo de libre elección.
Dirección MAC
Introducción de la dirección MAC del módulo.
Dirección IP (ext.)
Dirección IP de la interfaz externa.
La dirección IP consta de 4 números decimales comprendidos
entre 0 y 255 y separados por un punto, p. ej. 141.80.0.16
Máscara de subred (ext.)
Rango de valores de la máscara de subred. Se propone acorde
con la dirección IP indicada.
La máscara de subred consta de 4 números decimales
comprendidos entre 0 y 255 y separados por un punto; p. ej.
255.255.0.0
Enrutamiento por interfaz
externo/interno
Selección del modo de operación para el módulo de seguridad.
Para SCALANCE S están disponibles los modos de operación
siguientes:
•
Modo de puente
• Modo de enrutamiento
Si se selecciona el modo de enrutamiento, hay que configurar
una dirección IP y una máscara de subred para la interfaz
interna del módulo de seguridad.
Dirección IP (int.)
Dirección IP de la interfaz interna.
Solo debe indicarse si está
activado el modo de enrutamiento
La dirección IP consta de 4 números decimales comprendidos
entre 0 y 255 y separados por un punto; p. ej., 141.90.10.10
Principios básicos y aplicación
96
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
Parámetro
Significado
Máscara de subred (int.)
Rango de valores de la máscara de subred. La máscara de
subred se propone acorde con la dirección IP indicada.
Solo debe indicarse si está
activado el modo de enrutamiento
Guardar selección
La máscara de subred consta de 4 números decimales
comprendidos entre 0 y 255 y separados por un punto; p. ej.
255.255.0.0
Si activa esta función, la configuración ajustada en ese
momento se aplicará en los valores de inicialización estándar. Al
insertar módulos nuevos ya no se abrirá el cuadro de diálogo
"Selección de un módulo o configuración de software", sino que
en el proyecto se insertará directamente un módulo acorde con
los ajustes definidos.
Para cancelar de nuevo esta función y seleccionar otro tipo de
módulo, desactive la función en la siguiente ruta de menú:
"Proyecto" > "Propiedades..." > "Valores de inicialización
predeterminados"
Nota
Ajustes adicionales
Realice otros ajustes de interfaz en la pestaña "Interfaces" de las propiedades de módulo.
Encontrará información al respecto en el capítulo:
• Configurar interfaces (SCALANCE S) (Página 100)
Crear CPs en STEP 7
Los CPs solo se crean en STEP 7. Aparecen en la lista de módulos configurados en SCT
después de crear el módulo y definirlo como módulo de seguridad en las propiedades de
módulo de STEP 7. Los datos de dirección se adoptan desde STEP 7 y no pueden
modificarse en SCT.
Consulte también
Parámetros del área de contenido (Página 98)
Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red
(Página 267)
Dirección MAC (Página 269)
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
97
Crear módulos y ajustar parámetros de red
3.1 Parámetros del área de contenido
3.1
Parámetros del área de contenido
Cómo abrir la vista
En el área de navegación, seleccione el objeto "Todos los módulos".
Para los CP solamente se pueden editar los contenidos de la columna "Comentario".
Se visualizan por columnas las siguientes propiedades de los módulos:
Propiedad/columna
Significado
Comentario/selección
N.º
Número de módulo correlativo
se asigna automáticamente
Nombre
Denominación unívoca del módulo
de libre elección
Tipo
Tipo de dispositivo
Nota
Para dispositivos del tipo
"SOFTNET Security Client" y
"Cliente NCP VPN para Android" no
existe diálogo de propiedades.
Para módulos SCALANCE M se
pueden configurar ajustes para las
interfaces externa e interna en las
propiedades de módulo.
Para dispositivos VPN se pueden
adaptar los tipos de archivo de los
archivos de configuración que se
van a exportar en las propiedades
de módulo.
Dirección IP ext.
Dirección IP a través de la cual se
puede acceder al dispositivo en la
red externa, p. ej. para cargar la
configuración
Asignación adecuada para la red.
Máscara de subred ext.
Máscara de subred para la
dirección IP externa
Asignación adecuada para la red.
Dirección IP int.
Dirección IP a través de la cual se
puede acceder al dispositivo en la
red interna si está configurado
como router
Asignación adecuada para la red.
Máscara de subred para la
dirección IP interna
Asignación adecuada para la red.
Router estándar
Dirección IP del router estándar
Asignación adecuada para la red.
Dirección MAC
Dirección de hardware del módulo
La dirección MAC está impresa en
la carcasa del módulo.
Comentario
Información sobre el módulo y la
subred protegida por el módulo
de libre elección
Máscara de subred int.
El campo de entrada solo puede
editarse si está activado el modo de
enrutamiento.
El campo de entrada solo puede
editarse si está activado el modo de
enrutamiento.
Principios básicos y aplicación
98
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3.1 Parámetros del área de contenido
Modificar los parámetros de dirección para SCALANCE S
Para SCALANCE S es posible introducir y modificar algunos parámetros de dirección en el
área de contenido.
Significado de los parámetros de dirección para CPs
Para los CPs se muestran las siguientes direcciones de STEP 7:
Campo en SCT
CP x43-1 Adv.
CP 1628
Dirección IP ext.
Dirección IP Gigabit
Dirección IP IE (Industrial Ethernet)
Dirección IP int.
Dirección IP PROFINET
No se muestra
Máscara de subred
ext
Máscara de subred Gigabit
Máscara de subred IE
Máscara de subred
int.
Máscara de subred PROFINET
No se muestra
Router estándar
Router estándar configurado en
STEP 7
Router estándar configurado en STEP 7
Dirección MAC
Dirección MAC Gigabit (si está
configurada)
Dirección MAC IE (si está configurada)
También se muestran los datos de dirección en la ficha "Interfaces".
Dirección IP asignada dinámicamente
Si en STEP 7 se ha configurado que la dirección IP se asigne dinámicamente, dependiendo
de los ajustes en SCT se indicará lo siguiente:
Tabla 3- 1
Interfaz Gigabit
Modo de operación en STEP 7
Dirección IP ext. / máscara de subred ext. (campos en SCT)
Obtener la dirección IP de un
servidor DHCP
dinámica
Tabla 3- 2
Interfaz PROFINET
Modo de operación en STEP 7
Dirección IP int. / máscara de subred int. (campos en SCT)
Obtener la dirección IP de un
servidor DHCP
dinámica
Ajustar la dirección IP en el
programa de usuario
Ajustar la dirección IP por otra vía
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
99
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
3.2
Configurar interfaces (SCALANCE S)
3.2.1
Resumen de posibilidades de conexión
Posibilidades de conexión admisibles
Cada módulo de seguridad dispone de un número concreto de puertos a los que se
conectan los dispositivos de red. En función de la interfaz correspondiente, los dispositivos
de red reciben un tratamiento distinto.
Módulo de
seguridad
Interfaz
Dirección MAC de
la interfaz*
Puerto
de la
interfaz
Tipo de puerto
Dirección MAC del puerto*
SCALANCE
S602 / S612 /
S613
Externa
Dirección MAC
(ver impresión)
P1
Conector hembra
RJ45 fijo (cobre)
Dirección MAC + 2
Interna
Dirección MAC +
1
P2
Conector hembra
RJ45 fijo (cobre)
Dirección MAC + 3
SCALANCE
S623
Externa
Dirección MAC
(ver impresión)
P1
Conector hembra
RJ45 fijo (cobre)
Dirección MAC + 3
Interna
Dirección MAC +
1
P2
Conector hembra
RJ45 fijo (cobre)
Dirección MAC + 4
DMZ
Dirección MAC +
2
P3
Conector hembra
RJ45 fijo (cobre)
Dirección MAC + 5
Externa
Dirección MAC
(ver impresión)
P1
Conector hembra
RJ45 fijo (cobre)
Dirección MAC + 3
P4
Puerto para módulo
de medios (cobre/FO)
Dirección MAC + 4
P5
Puerto para módulo
de medios (cobre/FO)
Dirección MAC + 5
P2
Conector hembra
RJ45 fijo (cobre)
Dirección MAC + 6
P6
Puerto para módulo
de medios (cobre/FO)
Dirección MAC + 7
P7
Puerto para módulo
de medios (cobre/FO)
Dirección MAC + 8
P3
Conector hembra
RJ45 fijo (cobre)
Dirección MAC + 9
SCALANCE
S627-2M
Interna
DMZ
Dirección MAC +
1
Dirección MAC +
2
* Durante el funcionamiento en el modo de puente, la dirección MAC impresa es válida
siempre tanto en la interfaz externa como en la interna.
Las direcciones MAC de las interfaces se utilizan para todos los servicios excepto LLDP.
Principios básicos y aplicación
100
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Las direcciones MAC de los puertos se utilizan para detectar la topología con LLDP (solo
para módulos en el modo de enrutamiento).
Nota
Las interfaces Ethernet no deben intercambiarse a la hora de conectarlas a la red de
comunicación:
• Interfaz X1 - externa
Marca roja = área de red no protegida;
• Interfaz X2 - interna
Marca verde = red protegida por SCALANCE S;
• Interfaz X3 - DMZ (interfaz de red universal)
Marca amarilla = área de red no protegida o área de red protegida mediante SCALANCE
S.
Si se intercambian las interfaces, el dispositivo pierde su función de protección.
Funciones de la interfaz DMZ
La zona desmilitarizada (DMZ) se utiliza para poner servicios a disposición de una red
externa, pero la red interna que proporciona los datos debe permanecer desacoplada de la
red externa. En el DMZ puede haber p. ej. servidores de terminal con programas de
mantenimiento y diagnóstico instalados que permitan accesos definidos a sistemas
determinados en la red segura. Solo tienen acceso usuarios autorizados o clientes de la red
no segura o clientes conectados vía VPN. Las reglas de cortafuegos pueden configurarse
de tal forma que sea posible acceder desde Internet a dispositivos en la DMZ, pero no a la
red interna. Para una mayor protección, los accesos permitidos solo pueden limitarse al
tráfico de datos por VPN. En el capítulo "4.2 SCALANCE S como cortafuegos entre red
externa y DMZ" del manual "SIMATIC NET Industrial Ethernet Security - Instalar seguridad"
se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza para instalar
una DMZ.
Para poder asignar una dirección IP dinámica también a dispositivos de la DMZ, se puede
activar en la interfaz DMZ un servidor DHCP. No obstante, en ese caso hay que garantizar
que los dispositivos de la DMZ reciban por DHCP siempre la misma dirección IP, ya que
esas son las direcciones IP que deben utilizarse en la configuración de cortafuegos. Así, en
la configuración DHCP no se puede utilizar la asignación dinámica de direcciones, sino solo
la estática a partir de la dirección MAC o de la ID de cliente.
La interfaz DMZ puede utilizarse como punto final VPN. En combinación con un módem
DSL, la interfaz DMZ funciona entonces en modo PPPoE o bien en combinación con un
router DSL previo con dirección IP estática. En el capítulo "5.2 Túnel VPN entre SCALANCE
S623 y SCALANCE S612" del manual "SIMATIC NET Industrial Ethernet Security - Instalar
seguridad" se lleva a cabo un ejemplo de configuración en el que la interfaz DMZ se utiliza
para el acceso remoto a través de un túnel VPN.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
101
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Puertos para módulo de medios de las interfaces externa e interna
Además de las funciones de SCALANCE S623, el SCALANCE S627-2M posee dos slots de
módulo de medio, en los que se puede usar respectivamente un módulo de medio eléctrico
u óptico de 2 puertos. Las interfaces externa e interna se amplían de esta forma con dos
puertos cada una. Si para una interfaz se utiliza el módulo de medio "MM992-2SFP", en el
módulo de medio de esta interfaz se pueden utilizar hasta dos transceptores SFP (Small
Form-factor Pluggable Transceiver) eléctricos u ópticos. Los puertos adicionales se pueden
utilizar para la conexión de las interfaces externa e interna del SCALANCE S627-2M a
anillos MRP/HRP.
Los puertos para módulos de medios están conectados al puerto fijo de la interfaz
correspondiente a través de un bloque switch. Entre los puertos conectados a través de un
bloque switch no existe funcionalidad de cortafuegos (nivel 2/nivel 3). A todos los puertos
conectados a través de un bloque switch se accede por la misma dirección IP.
Principios básicos y aplicación
102
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Funciones de las diferentes interfaces
Las siguientes funciones pueden utilizarse en las distintas interfaces:
Función
Verde (interno)
Rojo (externo)
Amarillo (DMZ)
Dirección IP estática
x
x
x
Acceso WAN con
router DSL
-
x
x
Acceso WAN con
router DSL (PPPoE,
dirección IP dinámica
del ISP)
-
x
x
(si no es en la interfaz
amarilla)
(si no es en la interfaz
roja)
Modo de puente
x
-
Modo de enrutamiento
x
x
x
Modo Ghost
-
x
-
Servidor DHCP
x
-
x
Punto final de una
conexión por túnel VPN
(con módem DSL y
router DSL)
-
x
x
Cliente MRP/HRP (en
modo de enrutamiento,
puertos en anillo en los
módulos de medio)
x
x
-
x
x
x
x
x
-
LLDP (en modo de
enrutamiento)
Passive Listening (en
modo de enrutamiento,
si hay módulos de
medio insertados)
x se soporta
- no se soporta
Modo dúplex/semidúplex
Para un puerto existe la posibilidad de seleccionar un modo dúplex o semidúplex:
● Semidúplex: el módulo de seguridad solo puede o recibir o enviar datos en un momento
determinado.
● Dúplex: el módulo de seguridad puede recibir y enviar datos simultáneamente en un
momento determinado.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
103
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Nota
Modo dúplex y velocidad de transferencia en puertos ópticos
Para puertos del tipo "Óptico", el modo de puerto está predeterminado por el módulo de
medio o el SFP utilizados y no se puede adaptar.
3.2.2
Interfaces
Cómo se accede a esa función:
1. Seleccione el módulo que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Interfaces".
Enrutamiento de interfaz - Posibilidades de elección
Si el módulo de seguridad no se encuentra ni en un grupo VPN ni en una relación de
redundancia, es posible modificar el enrutamiento por interfaz en este campo. La selección
es válida para el enrutamiento de interfaces entre la interfaz externa y la interna. La interfaz
DMZ (solo SCALANCE S623 y SCALANCE S627-2M) siempre está conectada en el modo
de enrutamiento.
Modo de puente
Para el uso en redes planas Las interfaces externa e interna
están en la misma subred IP.
Para S623 / S627-2M: las interfaces externa e interna están en
la misma subred IP, la interfaz DMZ está en otra subred IP o
está desactivada.
Modo de enrutamiento
Todas las interfaces están en diferentes subredes IP.
Nota
Si ha activado el modo de enrutamiento para el módulo
SCALANCE S, no podrán definirse reglas para cortafuegos
MAC.
Modo Ghost
Durante el funcionamiento, el módulo de seguridad adopta para
la interfaz externa la dirección IP del dispositivo que está
conectado a la interfaz interna del módulo de seguridad. Los
datos de dirección IP que deben indicarse para la interfaz
externa sirven únicamente para cargar la configuración.
Nota
El modo Ghost solo puede seleccionarse en la ficha "Interfaces"
si el proyecto está en modo avanzado.
Principios básicos y aplicación
104
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Configuración de las interfaces
Si debe configurarse la interfaz externa o la interfaz DMZ (solo SCALANCE S623 / S6272M) de un módulo de seguridad, deben estar activadas a través de la casilla de verificación
"Activar interfaz". Defina las direcciones IP de cada interfaz y los ajustes de los puertos
individuales. Para asignar una dirección IP están disponibles los modos de asignación
siguientes para la interfaz externa y la interfaz DMZ (solo SCALANCE S623 / S627-2M):
● Dirección IP estática con máscara de subred
● Asignación de dirección mediante PPPoE
La interfaz interna solo puede configurarse utilizando una dirección IP estática.
Si se han registrado direcciones IP alias en una interfaz mediante la configuración de una
regla NAT/NATP, se mostrarán en el campo "Direcciones IP alias".
Nota
Interfaz externa e interfaz DMZ como acceso a Internet
No es posible el funcionamiento simultáneo de PPPoE en la interfaz externa y en la interfaz
DMZ (Dual-ISP).
Significado de la dirección IP de túnel
Si utiliza la función "NAT/NAPT en túnel VPN", debe asignar una dirección IP alias de túnel
para los módulos de seguridad. Con ello se garantiza la accesibilidad de los módulos de
seguridad a través del túnel VPN, así como la posibilidad de configuración y diagnóstico. La
dirección IP configurada es la primera dirección IP alias de túnel del módulo de seguridad en
el túnel VPN y se puede completar con direcciones IP alias de túnel con ayuda de las
correspondientes reglas NAT/NAPT. La máscara de subred está predefinida de forma fija
con 32 bits para la dirección IP alias de túnel y no se puede modificar. La dirección IP alias
de túnel solo se puede configurar si se cumplen los siguientes requisitos:
● El módulo de seguridad se encuentra en un grupo VPN.
● El proyecto se encuentra en el modo avanzado.
Encontrará más información sobre la conversión de direcciones con NAT/NAPT en túneles
VPN en el siguiente capítulo:
Conversión de direcciones con NAT/NAPT en túneles VPN (Página 186)
Point to Point Protocol over Ethernet (PPPoE)
Para permitir una conexión Internet/WAN directamente a través de un módem DSL, la
asignación de la dirección IP se realiza en la interfaz externa o en la interfaz DMZ mediante
PPPoE. PPPoE es un protocolo de llamada para la obtención de direcciones IP desde un
Internet Service Provider (ISP). SCALANCE S funciona en ese caso en modo de
enrutamiento.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
105
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Para utilizar este método de asignación de dirección IP, introduzca los datos del ISP en la
ficha "Conexión a Internet". La dirección IP, la máscara de subred, el router estándar y el
servidor DNS de la interfaz son entonces predefinidos por el ISP.
Nota
Si hay configurado un router predeterminado, este no se tiene en cuenta si se utiliza PPPoE.
Será preasignado dinámicamente al módulo por el ISP.
Nota
Ningún componente de red entre SCALANCE S y el módem DSL
Si la interfaz de un módulo SCALANCE S funciona mediante PPPoE, no debe haber ningún
otro componente de red entre dicha interfaz y el módem DSL conectado, ya que los datos
de marcación del Internet Service Provider se transfieren sin codificar en este tramo debido
a necesidades de protocolo.
Principios básicos y aplicación
106
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Ajustes de puertos
Columna
Significado
ID de puerto
ID asignada automáticamente para el puerto de la interfaz.
Tipo de puerto
Propiedad física del puerto (cobre/fibra óptica)
Modo de puerto
Autonegotiation
La velocidad de transferencia y el modo dúplex/semidúplex
se seleccionan automáticamente.
Nota
Solo si Autonegotiation está seleccionada se soportan una
velocidad de transferencia de 1000 Mbits/s y la función
Autocrossing.
10 Mbits/s, dúplex y semidúplex
Velocidad de transferencia de 10 Mbits/s.
100 Mbits/s, dúplex y semidúplex
Velocidad de transferencia de 100 Mbits/s.
Desactivado (solo puerto externo o puerto El puerto se desactiva.
DMZ con SCALANCE S623 y SCALANCE
S627-2M)
Nota
Los puertos para módulos de medios que utilizan cables de fibra óptica como medio de transmisión
siempre funcionan en modo dúplex a la máxima velocidad de transmisión. Por tanto, el modo de los
puertos de los módulos de medios ópticos no se puede configurar.
Modo LLDP (en
modo de
enrutamiento)
Puerto MRP (en
modo de
enrutamiento
para los puertos
de módulo de
medios de las
interfaces
externa e
interna)
RxTx
Enviar y recibir telegramas
LLDP
Rx
Recibir telegramas LLDP
Encontrará más información
sobre LLDP en el capítulo
siguiente:
LLDP (Página 112)
Se indica si los puertos de módulo de medios de la interfaz están conectados a un anillo MRP. Si es el
caso, se muestran las cadenas de caracteres "RingportOne" y "RingportTwo" en las filas de las tablas
de los puertos del módulo de medios. Para los puertos con la ID "X1 P1" y "X2 P1" se muestra de
forma predeterminada la cadena de caracteres "None" (ninguno), pues estos puertos no pueden
participar en un anillo MRP.
Encontrará información general sobre la redundancia de medios con MRP en el siguiente capítulo:
Redundancia de medios con MRP/HRP (Página 112)
Encontrará información sobre la configuración de MRP para el módulo de seguridad en el siguiente
capítulo:
Configuración de MRP/HRP para el módulo de seguridad (Página 114)
Se indica si los puertos de módulo de medios de la interfaz están conectados a un anillo HRP. Si es el
caso, se muestran las cadenas de caracteres "RingportOne" y "RingportTwo" en las filas de las tablas
de los puertos del módulo de medios. Para los puertos con la ID "X1 P1" y "X2 P1" se muestra de
forma predeterminada la cadena de caracteres "None" (ninguno), pues no pueden participar en un
anillo HRP.
Puerto HRP (en
modo de
enrutamiento
para los puertos
de módulo de
medios de las
interfaces
externa e
interna)
Encontrará información general sobre la redundancia de medios con HRP en el siguiente capítulo:
Redundancia de medios con MRP/HRP (Página 112)
Comentario
Comentario de libre elección
Encontrará información sobre la configuración de HRP para el módulo de seguridad en el siguiente
capítulo:
Configuración de MRP/HRP para el módulo de seguridad (Página 114)
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
107
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Configuración de módulos de medio
Haga clic en el botón "Configurar módulo de medio..." para abrir el diálogo de configuración
del módulo de medio para la correspondiente interfaz.
Los dos modos de configuración siguientes están disponibles:
● "Automático" (ajuste estándar): el módulo de medio utilizado se detecta automáticamente
durante el funcionamiento. El modo de puerto se ajusta para los dos puertos a
"Autonegotiation".
● "Manual": seleccione el tipo de módulo de medio utilizado en la lista desplegable "Tipo de
módulo". Cuando selecciona el tipo de módulo de medio "MM992-2SFP", podrá elegir el
transceptor enchufable SFP deseado a través de las dos listas desplegables "Tipo de
SFP".
Para puertos del tipo "Cobre", la velocidad de transferencia y el modo dúplex se pueden
seleccionar manualmente a través del modo de puerto. Para puertos del tipo "Óptico", el
modo de puerto está predeterminado por el módulo de medio o el SFP utilizados y no se
puede adaptar.
Consulte también
Particularidades del modo Ghost (Página 115)
Resumen de posibilidades de conexión (Página 100)
3.2.3
Conexión a Internet
Cómo se accede a esa función:
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Conexión a Internet".
Significado
Si se ha ajustado una conexión a través de PPPoE para una de las interfaces del módulo de
seguridad, realice los ajustes para el Internet Service Provider (ISP) en esta ficha.
Tabla 3- 3
Ajustes de la cuenta ISP
Función
Descripción
Nombre de usuario
Introduzca el nombre para el inicio de sesión en la cuenta ISP.
Contraseña
Introduzca la contraseña para el inicio de sesión en la cuenta
ISP.
Principios básicos y aplicación
108
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Función
Descripción
Repetir contraseña
Vuelva a introducir la contraseña para el inicio de sesión en la
cuenta ISP.
Autenticación
Seleccione uno de los siguientes protocolos de autenticación o
ninguno:
•
PAP (Password Authentication Protocol)
• CHAP (Challenge Handshake Authentication Protocol)
Nota
Ambos interlocutores deben utilizar el mismo método de
autenticación; de lo contrario no es posible establecer ninguna
conexión.
Tabla 3- 4
Ajustes de la conexión
Función
Descripción
Conexión permanente
Conexión continua a Internet. Si el proveedor deshace la
conexión, esta se vuelve a establecer automáticamente, aunque
no haya que enviar ningún paquete en ese momento.
Conexión bajo demanda
La conexión a Internet se establece automáticamente si hay que
enviar paquetes a Internet.
Con este ajuste son posibles retardos al enviar los paquetes.
Desconexión forzada (solo con el
ajuste "Conexión permanente")
El proveedor deshace la conexión a Internet automáticamente
tras un tiempo determinado. Si indica una hora en el campo
"Desconexión forzada", el módulo de seguridad interrumpirá por
sí mismo la conexión a Internet a esa hora. Esto permite, en
determinadas circunstancias, aplazar una desconexión de
Internet por parte del proveedor. Una desconexión forzada por
iniciativa propia solo es posible si existe una conexión
permanente. Entradas permitidas: 00:00 ... 23:59
Tiempo máx. de inactividad (solo
con el ajuste "Conexión bajo
demanda")
Si no se envía ningún paquete dentro de un tiempo
determinado, la conexión a Internet se deshace
automáticamente. En el campo "Tiempo máx. de inactividad",
indique el tiempo en segundos pasado el cual debe
interrumpirse la conexión. Valores permitidos: 10 … 3600.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
109
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
3.2.4
DNS dinámico (DDNS)
Significado
Con un DNS dinámico se puede acceder con un nombre determinado (FQDN) a una
dirección IP siempre cambiante. Esto es necesario p. ej. para acceder a un servidor
disponible a través de una dirección IP pública cambiante.
Funcionamiento
El módulo de seguridad notifica a un proveedor de DNS dinámico (p. ej. DynDNS.org, noip.com) la dirección IP WAN actual a través de la cual se puede acceder al módulo de
seguridad. El proveedor garantiza que las peticiones de DNS al FQDN del módulo de
seguridad se respondan con la dirección IP WAN actual del módulo de seguridad.
El DNS dinámico está permitido en las siguientes interfaces:
● Interfaz externa
● Interfaz DMZ
Requisitos para configurar el DNS dinámico
Requisitos:
● Se ha creado una cuenta para un proveedor de DNS dinámico y se ha registrado un
FQDN.
Procedimiento para instalar el DNS dinámico:
1. En las propiedades del módulo de seguridad, elija la ficha "DNS".
2. Si el módulo de seguridad se encuentra tras un router DSL o módem DSL, indique la
dirección de un servidor DNS válido. Para ello existen dos opciones:
Opción
Significado
Obtener automáticamente la dirección del
servidor DNS
La dirección del servidor DNS puede obtenerse
automáticamente mediante PPPoE, siempre
que el módulo de seguridad esté conectado a
Internet a través de un módem DSL. Solo
puede ajustarse para la interfaz externa y la
interfaz DMZ.
Utilizar la siguiente dirección de servidor DNS:
Introduzca manualmente la dirección del
servidor DNS preferido y del alternativo.
Principios básicos y aplicación
110
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
3. Active la casilla de verificación "Activar servicio" en el área "Servicio DynDNS primario" y
realice los ajustes siguientes:
Ajuste
Significado
Proveedor
Elija el proveedor en el que ha configurado una
cuenta para DNS dinámico.
Cuenta de usuario en el proveedor
Introduzca el nombre de usuario que definió al
crear la cuenta.
Contraseña en el proveedor
Introduzca la contraseña que definió al crear la
cuenta.
FQDN
Introduzca el nombre de host (p. ej.
mysecuritydevice) y el nombre de dominio
(p. ej. dyndns.org) registrado en el proveedor
separados por un punto. Si en la ficha "VPN" se
ha introducido también un FQDN, ambos deben
coincidir.
Vigilar el cambio de dirección IP en el router
DSL
Si el módulo de seguridad está conectado a
Internet a través de un router DSL, activando
esta función se activa el servicio de
comprobación de IP. El módulo de seguridad
envía periódicamente peticiones para
determinar la dirección IP actual del router DSL
y para detectar un cambio de dirección IP en el
router DSL. La dirección IP determinada de
este modo se envía al proveedor cada vez que
se detecta un cambio.
Periodo
Indique en qué ciclo debe llamarse el servicio
de comprobación de IP. Valores permitidos:
10 … 1440 minutos
4. Especifique un proveedor adicional para el caso de que fallase el primario en la ficha
"Servicio DynDNS secundario" (ajuste opcional).
Procedimiento para instalar un proveedor personalizado:
En la lista desplegable "Proveedor", seleccione la entrada "definido por el usuario" y realice
además las entradas siguientes:
Ajuste
Significado
URL de actualización de
proveedor
En el caso de los proveedores predefinidos (DynDNS.org y NoIP.com), la URL ya aparece indicada.
URL de servicio de comprobación
de IP
En el caso de los proveedores predefinidos (DynDNS.org y NoIP.com), la URL ya aparece indicada.
Ignorar errores al verificar el
certificado del servidor
Para que los datos de autenticación estén protegidos, el
certificado del servidor de actualización se verifica de forma
estándar. Si la verificación del certificado falla, la conexión
HTTPS se termina y los datos de la cuenta no se transmiten. Si
se activa la casilla de verificación, la función se desactiva, p. ej.
si el certificado de servidor del servicio DNS dinámico no es
válido (p. ej. porque ha caducado). Se recomienda no ignorar la
comprobación y no activar la casilla de verificación.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
111
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
3.2.5
LLDP
Significado
LLDP (Link Layer Discovery Protocol) es un protocolo que se utiliza para detectar topologías
de red. Un dispositivo apto para LLDP está en condiciones de enviar regularmente
información sobre sí mismo a dispositivos vecinos y, al mismo tiempo, recibir información de
ellos. La información recibida se almacena en cada dispositivo apto para LLDP en un
archivo LLDP MIB. Los sistemas de gestión de redes pueden acceder a estos archivos
LLDP MIB con ayuda de SNMP y así emular la topología de red existente.
Parámetros configurables
El grado de actividad del módulo de seguridad en relación con LLDP se puede configurar en
la pestaña "Interfaces" de las propiedades de módulo del siguiente modo:
● Enviar y recibir telegramas LLDP (ajuste predeterminado, "RxTx")
● Recibir telegramas LLDP ("Rx")
3.2.6
Redundancia de medios en topologías de anillo
3.2.6.1
Redundancia de medios con MRP/HRP
Significado
Bajo el término "Redundancia de medios" se engloban distintos procedimientos para
incrementar la disponibilidad de redes Industrial Ethernet en las que se puede acceder a
dispositivos por diversas vías. Esto puede tener lugar por entrelazamiento de redes,
conexión en paralelo de vías de transmisión o cerrando una topología lineal dándole forma
de topología de anillo.
Métodos de redundancia de medios MRP y HRP
Para los productos SIMATIC NET existe redundancia de medios dentro de una topología de
anillo con los métodos MRP (Media Redundancy Protocol) y HRP (High Speed Redundancy
Protocol).
Principios básicos y aplicación
112
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
En los dos métodos se configura uno de los dispositivos como gestor de redundancia. Los
demás dispositivos son clientes de redundancia. Los módulos SCALANCE S627-2M pueden
adoptar exclusivamente el rol de un cliente MRP o HRP. El gestor de redundancia
comprueba con telegramas de prueba la ausencia de interrupciones en el anillo. Los clientes
de redundancia reenvían los telegramas de prueba. Si los telegramas de prueba del gestor
de redundancia dejan de llegar al puerto en anillo del gestor de redundancia debido a una
interrupción del anillo, el gestor de redundancia conecta sus dos puertos en anillo e informa
inmediatamente del cambio a los clientes de redundancia.
Los dos métodos de redundancia de medios MRP y HRP funcionan según el mismo
principio. Se diferencian en el tiempo que necesitan los switches SCALANCE X para
conectar sus puertos en anillo como gestor de redundancia:
● MRP: 200 ms
● HRP: 300 ms
Nota sobre el uso de MRP y HRP
● MRP y HRP son compatibles con topologías de anillo con un máximo de 50 dispositivos.
Una superación del número de dispositivos puede hacer que falle el tráfico de datos.
● Se recomienda ajustar los puertos en anillo en cuestión a dúplex y 100 Mbits/s. En otro
caso puede fallar el tráfico de datos.
Posibilidades de uso de MRP/HRP en puertos para módulos de medios
MRP/HRP se soporta exclusivamente en puertos para módulos de medios de SCALANCE
S627-2M. La siguiente tabla muestra las posibilidades de uso de MRP/HRP en los puertos
para módulos de medios de SCALANCE S627-2M:
Puertos en anillo
Módulo de medio 1
Cliente MRP o cliente
HRP*
Módulo de medio 2
P4
P5
P6
P7
-
-
-
-
Anillo 1
Anillo 1
-
-
-
-
Anillo 2
Anillo 2
Anillo 1
Anillo 1
Anillo 2
Anillo 2
* La conexión simultánea del módulo de seguridad a un anillo interno y a un anillo externo
solo es posible si se conecta al menos una de las interfaces como cliente MRP.
Si hay dos anillos subordinados por cada módulo SCALANCE S, es posible la comunicación
en el nivel 3 entre los anillos.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
113
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
3.2.6.2
Configuración de MRP/HRP para el módulo de seguridad
Requisito
El módulo de seguridad está en modo de enrutamiento.
Así se llega a esa función
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "MRP/HRP".
Parámetros configurables
Parámetros
Significado
Posibilidades de selección
Interfaces MRP/HRP
Selección de la interfaz a la
que debe conectarse el
anillo MRP/HRP.
•
Externa
•
Interna
Selección del protocolo de
redundancia de medios o
desactivación de la
redundancia de medios para
la interfaz seleccionada.
•
No participante en el anillo
•
Cliente MRP (ajuste estándar)
•
Cliente HRP
Active esta casilla de
verificación si desea que la
interfaz seleccionada se
acople a redes externas en
las que se utilice STP/RSTP
(Spanning-TreeProtocol/Rapid-SpanningTree-Protocol).
•
Activar "passive listening" (ajuste
estándar)
•
Desactivar "passive listening"
Rol de redundancia de medios
Activar 'passive listening'
Dominio MRP (solo si se selecciona el rol de Con ayuda de los dominios
redundancia de medios "Cliente MRP")
MRP se definen las
estaciones de un anillo MRP.
Para las interfaces de todos
los módulos que deban estar
conectados a un mismo
anillo MRP, debe estar
seleccionado el mismo
dominio MRP.
De forma predeterminada, para la interfaz
externa está seleccionado el dominio MRP
predefinido "mrpdomain-1". A través de los
botones "Agregar...", "Editar..." y "Eliminar"
pueden agregarse dominios MRP, editar los
nombres de dominios MRP existentes o
borrar estos dominios.
Puerto en anillo 1 (solo si se selecciona el
Nombre del primer puerto en
rol de redundancia de medios "Cliente MRP" anillo de la interfaz
o "Cliente HRP")
seleccionada en "Interfaz", si
se ha seleccionado para ella
el rol de redundancia de
medios "Cliente MRP" o
"Cliente HRP".
-
Principios básicos y aplicación
114
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Parámetros
Significado
Posibilidades de selección
Puerto en anillo 2 (solo si se selecciona el
Nombre del segundo puerto
rol de redundancia de medios "Cliente MRP" en anillo de la interfaz
o "Cliente HRP")
seleccionada en "Interfaz", si
se ha seleccionado para ella
el rol de redundancia de
medios "Cliente MRP" o
"Cliente HRP".
-
Dispositivo MRP (solo si se selecciona el rol
de redundancia de medios "Cliente MRP")
-
Visualización de información
para todos los módulos de
seguridad que pertenezcan
al mismo dominio MRP que
la interfaz seleccionada.
Resultado
Ha conectado el módulo de seguridad al anillo MRP/HRP a través de la interfaz
seleccionada. Los puertos para módulos de medios cuyas interfaces están conectadas a los
anillos MRP/HRP se muestran adicionalmente en la ficha "Interfaces" de las propiedades de
módulo.
Regla que debe considerarse en la prueba de coherencia
Al realizar sus entradas debe tener en cuenta la regla indicada a continuación:
● Los nombres de los dominios MRP solo deben contener letras minúsculas, cifras y el
carácter "-". Los nombres deben comenzar y terminar con una letra minúscula o una
cifra.
Consulte también
Check Consistency (Página 61)
3.2.7
Particularidades del modo Ghost
Significado
En modo Ghost, el módulo de seguridad no tiene dirección IP propia ni en la interfaz interna
ni en la externa. En su lugar, el módulo de seguridad obtiene en el tiempo de ejecución la
dirección IP para su interfaz externa de un dispositivo que está conectado a la interfaz
interna del módulo de seguridad y cuyos parámetros de dirección IP pueden ser
desconocidos al realizar la configuración. Es posible modificar la dirección IP del dispositivo
interno y, por consiguiente, la dirección IP de la interfaz externa. Puesto que el dispositivo
interno se identifica por su dirección MAC, los cambios de direcciones IP solo se realizan
para la dirección MAC aprendida. En la interfaz interna del módulo de seguridad no se
configura ni obtiene ninguna dirección IP.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
115
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
En lo que se refiere a direcciones MAC, el módulo de seguridad cambia la dirección MAC
del dispositivo interno por la dirección MAC del módulo de seguridad en todos los paquetes
de datos que salen por la interfaz externa (respuestas del dispositivo interno).
Activación del modo Ghost - procedimiento:
Requisitos: el modo Ghost solo puede seleccionarse si el proyecto está en modo avanzado.
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...".
3. Seleccione la entrada "Modo Ghost" en la lista desplegable "Enrutamiento por interfaz
externo/interno" de la ficha "Interfaces".
Propiedades configurables de módulo
En el modo Ghost se pueden configurar las propiedades de módulo en las siguientes fichas:
● Interfaces
● Cortafuegos
● Sincronización horaria
● Ajustes de registro
● SNMP
● RADIUS
Requisitos para detectar un dispositivo interno
El módulo de seguridad solo puede determinar la dirección IP del dispositivo interno si este
inicia por cuenta propia una comunicación de datos en el sentido del módulo de seguridad.
El módulo de seguridad, además, no ofrece servicios de servidor durante la determinación
de la dirección IP. El módulo de seguridad no puede responder consultas de externa hasta
que el dispositivo interno le haya enviado paquetes de datos.
Asignación de puertos para conexiones de datos entrantes y salientes
Puesto que la interfaz externa del módulo de seguridad y el dispositivo interno tienen la
misma dirección IP, hay que llevar a cabo un direccionamiento selectivo de los
componentes de red a través de los puertos TCP/UDP. Por este motivo, los puertos están
asignados bien al módulo de seguridad bien al dispositivo interno. En las tablas siguientes
se representan las asignaciones de los puertos a los diferentes dispositivos para conexiones
de datos entrantes y salientes:
Principios básicos y aplicación
116
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Tabla 3- 5
Asignación de puertos para conexiones entrantes (de externa a módulo de seguridad)
Servicio
Puerto
Protocolo
Comentario
Servicios web, acceso
de configuración y
diagnóstico
443
TCP
El puerto HTTPS está activado
siempre para el acceso de
configuración y diagnóstico
mediante la Security
Configuration Tool y no puede
modificarse.
SNMP
161
TCP
Tras activar SNMP en la
Security Configuration Tool se
transfieren peticiones SNMP
entrantes a través del puerto
UDP 161. También es posible
una transferencia a través del
puerto TCP 161 para poder
acceder al dispositivo interno,
por ejemplo.
UDP
Nota
Tras activar SNMP, el puerto
SNMP está asignado de forma
fija al módulo de seguridad. Si
SNMP no está activado,
utilizando una regla del
cortafuegos es posible acceder
al dispositivo interno vía
SNMP.
Tabla 3- 6
Asignación de puertos para conexiones salientes (de módulo de seguridad a externa)
Servicio
Puerto
Protocolo
Comentario
Syslog
514
UDP
Si el servicio Syslog de la
Security Configuration Tool
está activado, los avisos
Syslog son transferidos por el
módulo de seguridad a través
del puerto UDP 514. Esta
asignación de puerto no puede
modificarse.
NTP
123
UDP
Si el servidor NTP se utiliza
para la sincronización horaria,
las peticiones NTP se
transfieren a través del puerto
UDP 123. Esta asignación de
puerto no puede modificarse.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
117
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Direcciones IP y máscaras de subred reconocibles
El módulo de seguridad reconoce exclusivamente los dispositivos internos que disponen de
direcciones IP en el rango de las clases de red A, B o C. La máscara de subred es
determinada por el módulo de seguridad de acuerdo con la clase de red correspondiente
(véase la tabla "Clases de red y máscaras de subred correspondientes"). Para que la
máscara de subred se pueda determinar correctamente, debe haberse introducido un router
estándar para el dispositivo interno.
Los dispositivos con direcciones IP de las clases de red D y E son rechazados por el módulo
de seguridad.
Tabla 3- 7
Clases de red y máscaras de subred correspondientes
Clase de red
Direcciones IP
Límite inferior
Máscara de subred
Límite superior
A
0.0.0.0
127.255.255.255
255.0.0.0
B
128.0.0.0
191.255.255.255
255.255.0.0
C
192.0.0.0
223.255.255.255
255.255.255.0
D
224.0.0.0
239.255.255.255
Es rechazado por el módulo de
seguridad
E
240.0.0.0
255.255.255.255
Es rechazado por el módulo de
seguridad
Capacidad
El módulo de seguridad detecta como máximo un dispositivo interno. El módulo de
seguridad se comporta del siguiente modo en caso de haber varios dispositivos internos:
● El primer dispositivo detectado por el módulo de seguridad en la red interna obtiene
acceso al segmento de red externo siempre que el cortafuegos esté configurado a tal
efecto.
● El tráfico de datos de otros dispositivos que pueda haber en el área de red interna se
bloquea de acuerdo con la dirección del remitente a partir del nivel 2 (capa MAC).
Cargar configuraciones y diagnóstico después de la puesta en servicio
Tras obtener una dirección IP del dispositivo interno, el módulo de seguridad tiene en la
interfaz externa una dirección IP que puede diferir de la dirección IP con la que se configuró
inicialmente el módulo de seguridad. Para modificar la configuración o para fines de
diagnóstico es necesario reemplazar la dirección IP configurada inicialmente para la interfaz
externa en la Security Configuration Tool por la dirección IP que el módulo de seguridad ha
obtenido del dispositivo interno en el tiempo de ejecución.
Principios básicos y aplicación
118
Manual de configuración, 09/2013, C79000-G8978-C286-02
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Información de enrutamiento para redes jerárquicas en el puerto externo
Si en la interfaz externa del módulo de seguridad hay redes jerárquicas con transiciones de
subred, el módulo de seguridad debe obtener la información de enrutamiento
correspondiente del dispositivo interno. Para ello, el dispositivo interno tiene que responder
conforme a consultas ICMP dirigidas a él. No son necesarias las respuestas al Broadcast
ICMP.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
119
Crear módulos y ajustar parámetros de red
3.2 Configurar interfaces (SCALANCE S)
Principios básicos y aplicación
120
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4
Significado
La función de cortafuegos de los módulos de seguridad protege redes y estaciones de
influencias externas e interferencias. De ese modo, solo se permiten relaciones de
comunicación determinadas, definidas previamente. Los telegramas no autorizados son
rechazados por el cortafuegos sin enviar una respuesta.
Para filtrar el tráfico de datos pueden utilizarse, entre otros, direcciones IP, subredes IP,
números de puerto o direcciones MAC.
Las funciones de Firewall se pueden configurar para los siguientes niveles de protocolo:
● Cortafuegos IP con Stateful Packet Inspection (capa 3 y 4)
● Cortafuegos también para telegramas Ethernet "No IP" conforme a IEEE 802.3 (capa 2)
El cortafuegos puede utilizarse para el tráfico de datos cifrado (túneles IPsec) y no cifrado.
Reglas de cortafuegos
Las reglas de cortafuego describen qué paquetes se permiten o prohíben en qué dirección.
Reglas de cortafuegos automáticas para conexiones STEP 7
Para las conexiones configuradas en STEP 7 se crean automáticamente reglas de
cortafuegos en la SCT, que habilitan al interlocutor. Se tienen en cuenta las direcciones de
establecimiento de las conexiones.
Las reglas solo pueden verse en el modo avanzado y solo pueden modificarse en él.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
121
Configurar el cortafuegos
Configuración
Se deben distinguir las dos vistas de operación:
● En el modo normal se recurre a reglas de cortafuegos sencillas y predefinidas. Solo
pueden habilitarse reglas específicas de servicio. Los servicios habilitados están
permitidos para todos los dispositivos y se autoriza el pleno acceso para el sentido
indicado.
● En el modo avanzado se pueden definir ajustes de cortafuegos detallados. Se pueden
habilitar servicios determinados para estaciones individuales o permitir para la estación
todos los servicios para el acceso a ella o la red.
En el modo avanzado hay que distinguir las siguientes reglas o conjuntos de reglas de
cortafuegos:
– Las reglas de cortafuegos locales están asignadas a un módulo de seguridad en cada
caso. Se configuran en el cuadro de diálogo de propiedades de los módulos de
seguridad.
– Los conjuntos de reglas de cortafuegos globales se pueden asignar a uno o varios
módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en
el área de navegación de la Security Configuration Tool del modo avanzado.
– Los conjuntos de reglas IP específicos del usuario se pueden asignar a uno o varios
módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en
el área de navegación de la Security Configuration Tool del modo avanzado.
SCALANCE S V4 (RADIUS): además de uno o varios usuarios, a los conjuntos de
reglas IP específicos del usuario es posible asignarles uno o varios roles.
Adicionalmente se tiene la posibilidad de definir reglas de firewall de forma compacta y clara
con ayuda de definiciones de servicios. Las definiciones de servicios se pueden utilizar en
todos los tipos de reglas antes mencionados.
Activar el cortafuegos
El cortafuegos se controla en modo normal activando la casilla de verificación "Activar
cortafuegos". Si se desactiva dicha casilla, los ajustes de cortafuegos registrados se siguen
mostrando en la lista, pero no pueden modificarse. Si el módulo de seguridad está en un
grupo VPN, la casilla de verificación está activada de forma predeterminada y no puede
desactivarse.
Activar ajustes de registro
En el modo estándar se puede activar el registro globalmente en la ficha "Cortafuegos". Sin
embargo, de esta forma no se mostrarán todos los paquetes que pasan el cortafuegos.
En el modo avanzado se puede activar el registro para cada regla de cortafuegos concreta.
De este modo desaparece la restricción respecto a los paquetes mostrados en el modo
estándar.
Principios básicos y aplicación
122
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.1 CPs en el modo normal
Nota
Cortafuegos de SCALANCE S627-2M
Los puertos para módulos de medios de SCALANCE S627-2M están conectados al puerto
fijo de la interfaz correspondiente a través de un bloque switch. Por este motivo, entre los
puertos de la interfaz externa y entre los puertos de la interfaz interna no existe la
funcionalidad de cortafuegos (capa 2/capa 3).
4.1
CPs en el modo normal
Activar reglas de filtrado de paquetes
Si activa la función de seguridad en STEP 7 para los CPs, primero estarán permitidos todos
los accesos a y a través del CP. Para activar reglas de filtrado de paquetes individuales,
haga clic en la casilla de verificación "Activar cortafuegos". A continuación autorice los
servicios deseados. Las reglas de cortafuegos creadas automáticamente debido a una
configuración de conexión tienen preferencia ante los servicios aquí ajustados. Todos los
dispositivos tienen acceso a los servicios que haya habilitado.
Ajustes de cortafuegos detallados en el modo avanzado
En el modo avanzado, las reglas de cortafuegos pueden limitarse a estaciones
determinadas. Para cambiar al modo avanzado, haga clic en la casilla de verificación "Modo
avanzado".
Nota
No es posible regresar al modo normal
Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede
regresar al normal.
Configuración de cortafuegos con VPN
Si el módulo de seguridad está en un grupo VPN, la casilla de verificación "Solo
comunicación tunelada" está activada de forma predeterminada. Eso significa que a través
de la interfaz externa no puede pasar el túnel ninguna comunicación y sólo está permitida la
transferencia de datos IPsec. Se crea automáticamente la regla de cortafuegos "Drop" >
"Any" > "Externa".
Si se desactiva esta casilla de verificación, se permitirá la comunicación tunelada y,
adicionalmente, los tipos de comunicación seleccionados en las otras casillas de opción.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
123
Configurar el cortafuegos
4.1 CPs en el modo normal
4.1.1
CP x43-1-Adv.
4.1.1.1
Ajuste predeterminado del cortafuegos
Comportamiento con ajuste predeterminado
Los siguientes diagramas muestran los ajustes predeterminados al detalle, tanto para el
filtrado de paquetes IP como para el filtrado de paquetes MAC si la casilla de verificación
"Activar cortafuegos" está activada. El comportamiento puede modificarse creando las
correspondientes reglas de cortafuegos en el modo avanzado.
Ajuste predeterminado para CP x43-1 Adv.
Figura 4-1
Ajuste predeterminado para filtrado de paquetes IP CP x43-1 Adv.
① Todos los tipos de telegramas de interna a externa están bloqueados.
② Todos los telegramas de interna al módulo de seguridad están permitidos.
③ Todos los telegramas de externa a interna y al módulo de seguridad están bloqueados
(también ICMP-Echo-Request).
④ Se permiten telegramas de externa (nodos externos y módulos de seguridad externos)
al módulo de seguridad del siguiente tipo:
• Protocolo ESP (codificación)
• IKE (protocolo para establecer el túnel IPsec)
• NAT-Traversal (protocolo para establecer los túneles IPsec)
⑤ La comunicación IP por túneles IPsec está permitida.
Principios básicos y aplicación
124
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.1 CPs en el modo normal
⑥ Los telegramas del tipo Syslog se permiten del módulo de seguridad a externa y no se
ven afectados por el cortafuegos.
Nota
Dado que Syslog es un protocolo no seguro, no es posible garantizar que los datos de
registro se transmitan de forma segura.
⑦ Los telegramas del módulo de seguridad a interna y externa están permitidos.
⑧ Las respuestas a solicitudes de la red interna o del módulo de seguridad están
permitidas.
Figura 4-2
Ajuste predeterminado para filtrado de paquetes MAC CP x43-1 Adv.
① Todos los telegramas de interna al módulo de seguridad están permitidos.
② Todos los telegramas de externa al módulo de seguridad están bloqueados.
③ Todos los telegramas de externa al módulo de seguridad del siguiente tipo están
permitidos:
• ARP con limitación de ancho de banda
• DCP PROFINET con limitación de ancho de banda
• LLDP
④ Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos:
• ARP con limitación de ancho de banda
• DCP PROFINET con limitación de ancho de banda
⑤ Se permiten los siguientes protocolos enviados por túnel IPsec:
• ISO
• LLDP
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
125
Configurar el cortafuegos
4.1 CPs en el modo normal
Nota
Ninguna comunicación pasa de largo por el túnel VPN
Además, para todos los interlocutores VPN conocidos del proyecto se impide que cualquier
comunicación entre los puntos finales VPN pueda pasar de largo por el túnel. El
comportamiento tampoco puede modificarse creando las correspondientes reglas de
cortafuegos en el modo avanzado.
4.1.1.2
Configurar el cortafuegos
Cómo se accede a esa función
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos".
Tabla 4- 1
Servicio
Servicios y direcciones disponibles
Estación Externa Externa Externa ⇔ Puertos
⇒ externa
⇒
⇒
estación permitidos
interna
estació
Interna ⇒
n
externa
Significado
Comunicaci
ón IP
permitida
x
x
x
-
-
Se permite el tráfico IP para los sentidos de
comunicación seleccionados.
Permitir
protocolo
S7
x
x
x
-
TCP puerto
102
Se permite la comunicación de los dispositivos
de red a través del protocolo S7.
Permitir
FTP/FTPS
(modo
explícito)
x
x
x
-
TCP puerto 20
TCP puerto 21
Para la administración de archivos y el acceso
a ellos entre servidor y cliente.
Permitir
HTTP
x
x
x
-
TCP puerto 80
Para la comunicación con un servidor web.
Permitir
HTTPS
x
x
x
-
TCP puerto
443
Para la comunicación segura con un servidor
web, p. ej. diagnóstico web.
Permitir
DNS
x
x
-
-
TCP puerto 53
Se permite la conexión con un servidor DNS.
Permitir
SNMP
x
UDP puerto 53
x
x
-
TCP puerto
161/162
Para vigilar dispositivos de red con capacidad
SNMP.
UDP puerto
161/162
Permitir
SMTP
x
x
-
-
TCP puerto 25
Para intercambiar e-mails entre usuarios
autentificados a través de un servidor SMTP.
Permitir
NTP
x
x
-
-
UDP puerto
123
Para la sincronización de la hora.
Principios básicos y aplicación
126
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.1 CPs en el modo normal
Servicio
Estación Externa Externa Externa ⇔ Puertos
⇒ externa
⇒
⇒
estación permitidos
Interna ⇒ interna estació
n
externa
Significado
Permitir
comunicaci
ón en nivel
MAC
-
-
-
x
-
Se permite el tráfico MAC de externa a la
estación y viceversa.
Permitir
comunicaci
ón ISO
-
-
-
x
-
Se permite el tráfico ISO de externa a la
estación y viceversa.
Tabla 4- 2
Registro para conjuntos de reglas IP y MAC
Conjunto de reglas
Acción en caso de activación
Configuración de registros IP
Registro de paquetes tunelados
Registro de paquetes entrantes bloqueados
Regla creada
Acción
De
A
Solo está activado si el módulo de Allow
seguridad forma parte de un grupo Allow
VPN. Se registran todos los
paquetes IP que se han transferido
a través del túnel.
Estación
Túnel
Túnel
Estación
Se registran todos los paquetes IP
entrantes que han sido
rechazados.
Drop
Externa
Estación
Configuración de registros MAC
Acción
De
A
Registro de paquetes entrantes bloqueados a
la estación
Se registran todos los paquetes
MAC entrantes que han sido
rechazados.
Drop
Externa
Estación
Registro de paquetes salientes bloqueados
desde la estación
Se registran todos los paquetes
MAC salientes que han sido
rechazados.
Drop
Estación
Externa
Nota
El tráfico de datos a través de conexiones configuradas no se registra.
4.1.1.3
Configurar una lista de acceso
Modificar una lista de acceso IP/entradas ACL
La lista aparece si en la ficha Protección de acceso IP de STEP 7 está activada la casilla de
verificación "Activar protección de acceso IP para comunicación IP".
A través de las listas de acceso IP se define la protección de acceso para determinadas
direcciones IP. Las entradas de la lista ya creadas en STEP 7 se muestran en SCT con los
correspondientes permisos.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
127
Configurar el cortafuegos
4.1 CPs en el modo normal
El derecho "Modificar la lista Access (M)" que puede seleccionarse en STEP 7 no se
transfiere a SCT. Para poder determinar los derechos de acceso IP adicionales, hay que
asignar al usuario correspondiente en SCT el derecho "Web: Ampliar lista de control de
acceso IP".
Nota
Comportamiento modificado tras la migración
• Tras la migración, la protección de acceso solo afecta a la interfaz externa. Para que la
protección de acceso también afecte a la interfaz interna, configure las reglas de
cortafuegos correspondientes en el modo avanzado de la SCT.
• El módulo de seguridad también responde a solicitudes ARP de direcciones IP no
permitidas (capa 2).
• Si migra una lista IP Access Control sin entradas, el cortafuegos se activa y ya no es
posible acceder al CP desde externa. Para que el CP sea accesible, configure las reglas
de cortafuegos correspondientes en la SCT.
Cómo se accede a esa función
Comando de menú SCT: Seleccione el módulo de seguridad que desea editar y elija el
comando de menú "Editar" > "Propiedades…", ficha "Cortafuegos".
Comando de menú STEP 7: "Protección de acceso IP" > "Inicio de la configuración de
cortafuegos", botón "Ejecutar...".
Tabla 4- 3
Datos
Parámetro
Significado
Dirección IP
Dirección IP o rango de direcciones IP permitidos.
Derechos
Según la asignación realizada. Derechos habilitados para la dirección
IP.
Comentario
Introducción de un comentario adicional.
Registro
Si activa la casilla de verificación, se registran las reglas en el registro
de filtrado de paquetes.
Activar el modo avanzado
Si activa la casilla de verificación, las entradas se convertirán a las
siguientes reglas de cortafuegos.
Tabla 4- 4
Botones
Denominación
Significado / repercusión
Nuevo...
Cree una dirección IP o un rango de direcciones IP con los derechos
correspondientes.
Modificar...
Seleccione una entrada y haga clic en este botón para editar la entrada
ya existente.
Eliminar
Con este botón se borra la entrada seleccionada.
Principios básicos y aplicación
128
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.1 CPs en el modo normal
4.1.1.4
Agregar una entrada a la lista de acceso
Realice los siguientes ajustes
Campo
Descripción
Dirección IP (o inicio del rango de IP)
Introduzca la dirección IP o el valor inicial de un rango
de direcciones IP.
Fin del rango de IP (opcional)
Introduzca el valor final de un rango de direcciones IP.
Comentario
Entrada de un comentario adicional; por ejemplo, para
describir el interlocutor o el área de direccionamiento.
La dirección IP está autorizada para los
siguientes accesos
Acceso a equipo (A=Access): Los interlocutores cuyas
direcciones estén dentro del área indicada tienen
acceso al equipo perteneciente al CP (CP / CPU). Esta
autorización de acceso es implícita para direcciones IP
indicadas en la configuración de enlaces (rige sólo
para enlaces especificados).
Enrutamiento IP a otra subred (R=Routing): Los
interlocutores cuyas direcciones estén dentro del área
indicada tienen acceso a otras subredes conectadas al
CP. Esta autorización de acceso no se otorga
automáticamente para direcciones IP indicadas en la
configuración de enlaces. En caso necesario hay que
ajustar aquí este derecho de acceso de forma
explícita.
Otras reglas de entrada:
● Se comprueba si se repiten direcciones individuales (con esto se detecta: direcciones
individuales introducidas de forma múltiple; solapamientos de áreas).
● Las direcciones IP indicadas individualmente pueden aparecer además dentro de un
área; entonces rigen todas las autorizaciones de acceso asignadas a una dirección IP.
● No se comprueba si en un área se incluyen direcciones no válidas (por ejemplo, pueden
indicarse aquí direcciones broadcast de subred aunque no pueden aparecer como
dirección IP de un remitente).
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
129
Configurar el cortafuegos
4.1 CPs en el modo normal
4.1.2
CP 1628
4.1.2.1
Ajuste predeterminado del cortafuegos
Comportamiento con preajuste
Los siguientes diagramas muestran los ajustes predeterminados al detalle, tanto para el
filtrado de paquetes IP como para el filtrado de paquetes MAC si la casilla de verificación
"Activar cortafuegos" está activada. El comportamiento puede modificarse creando las
correspondientes reglas de cortafuegos en el modo avanzado.
Ajuste predeterminado para CP 1628
Figura 4-3
Ajuste predeterminado para filtrado de paquetes IP CP 1628
① Se permiten todos los telegramas de las interfaces NDIS e IE (Industrial Ethernet) a
externa.
② Todos los telegramas de interna a externa están bloqueados.
③ Todos los telegramas de externa al módulo de seguridad y viceversa del siguiente tipo
están permitidos:
• Protocolo ESP (codificación)
• IKE (protocolo para establecer el túnel IPsec)
• NAT-Traversal (protocolo para establecer el túnel IPsec)
Principios básicos y aplicación
130
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.1 CPs en el modo normal
④ La comunicación IP por túneles IPsec está permitida.
⑤ Telegramas del tipo Syslog se permiten del módulo de seguridad a externa.
Figura 4-4
Ajuste predeterminado para filtrado de paquetes MAC CP 1628
① Todos los telegramas de interna a externa están bloqueados.
② Están permitidos todos los telegramas de externa del siguiente tipo:
• ARP con limitación de ancho de banda
• DCP PROFINET con limitación de ancho de banda
③ Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos:
• DCP PROFINET con limitación de ancho de banda
④ Se permiten protocolos MAC enviados por túneles IPsec.
Nota
Ninguna comunicación pasa de largo por el túnel VPN
Además, para todos los interlocutores VPN conocidos del proyecto se impide que cualquier
comunicación entre los puntos finales VPN pueda pasar de largo por el túnel. El
comportamiento tampoco puede modificarse creando las correspondientes reglas de
cortafuegos en el modo avanzado.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
131
Configurar el cortafuegos
4.1 CPs en el modo normal
4.1.2.2
Configurar el cortafuegos
Cómo se accede a esa función
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos".
Tabla 4- 5
Servicios y direcciones disponibles
Servicio
Externa ⇒
estación
Externa ⇔
estación
Puertos permitidos
Significado
Comunicación IP
permitida
x
-
-
Se permite el tráfico IP para las
direcciones de comunicación
seleccionadas.
Protocolo S7 permitido
x
-
TCP puerto 102
Se permite la comunicación de
las estaciones de red a través
del protocolo S7.
Permitir FTP/FTPS (modo
explícito)
x
-
TCP puerto 20
Para la administración de
archivos y el acceso a ellos
entre servidor y cliente.
Permitir HTTP
x
-
TCP puerto 80
Para la comunicación con un
servidor web.
Permitir HTTPS
x
-
TCP puerto 443
Para la comunicación segura
con un servidor web, p. ej.
diagnóstico web.
Permitir DNS
x
-
TCP puerto 53
Se permite la conexión con un
servidor DNS.
Permitir SNMP
x
-
TCP puerto 21
UDP puerto 53
TCP puerto 161/162
UDP puerto 161/162
Para vigilar estaciones de red
con capacidad SNMP.
Permitir SMTP
x
-
TCP puerto 25
Para intercambiar e-mails entre
usuarios autentificados a través
de un servidor SMTP.
Permitir NTP
x
-
UDP puerto 123
Para la sincronización de la
hora.
Permitir comunicación en
nivel MAC
-
x
-
Se permite el tráfico MAC de
externa a la estación y vice
versa.
Permitir comunicación
ISO
-
x
-
Se permite el tráfico ISO de
externa a la estación y vice
versa.
Permitir SiCLOCK
-
x
-
Se permiten telegramas de hora
SiCLOCK de externa a la
estación y viceversa.
Principios básicos y aplicación
132
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.1 CPs en el modo normal
Tabla 4- 6
Registro para conjuntos de reglas IP y MAC
Conjunto de reglas
Acción en caso de
activación
Configuración del archivo de registros IP
Regla creada
Acción
De
A
Solo está activado si el
módulo de seguridad forma
parte de un grupo VPN. Se
registran todos los paquetes
IP que se han transferido a
través del túnel.
Allow
Estació
n
Túnel
Allow
Túnel
Estació
n
Se registran todos los
paquetes IP entrantes que
han sido rechazados.
Drop
Externa
Estació
n
Configuración del archivo de registros MAC
Acción
De
A
Registro de paquetes entrantes
bloqueados
Se registran todos los
paquetes MAC entrantes
que han sido rechazados.
Drop
Externa
Estació
n
Registro de paquetes salientes
bloqueados
Se registran todos los
Drop
paquetes MAC salientes que
han sido rechazados.
Estació
n
Externa
Registro de paquetes tunelados
Registro de paquetes entrantes
bloqueados
Nota
El tráfico de datos a través de conexiones configuradas no se registra.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
133
Configurar el cortafuegos
4.2 SCALANCE S en el modo normal
4.2
SCALANCE S en el modo normal
4.2.1
Preajuste del firewall
Comportamiento con preajuste
Los diagramas siguientes muestran en detalle los ajustes estándar para el filtro de paquetes
IP y el filtro de paquetes MAC. El comportamiento puede modificarse creando las
correspondientes reglas de cortafuegos en el modo avanzado.
Ajuste estándar para SCALANCE S602/S612 V3 o superior
Figura 4-5
Ajuste estándar para filtrado de paquetes IP SCALANCE S602/S612 V3 o superior
①
②
③
④
Todos los tipos de telegramas de interna a externa están bloqueados.
Todos los telegramas de interna al módulo de seguridad están permitidos.
Todos los telegramas de externa a interna y al módulo de seguridad están bloqueados.
Se permiten telegramas de externa (nodos externos y módulos de seguridad externos)
al módulo de seguridad del siguiente tipo:
• HTTPS (SSL)
• Protocolo ESP (codificación)
• IKE (protocolo para establecer el túnel IPsec)
• NAT-Traversal (protocolo para establecer el túnel IPsec)
Principios básicos y aplicación
134
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.2 SCALANCE S en el modo normal
⑤ La comunicación IP por el túnel IPsec está permitida.
⑥ Los telegramas de interna a externa están permitidos.
⑦ Los telegramas de externa al túnel en la interfaz externa y viceversa están bloqueados.
Figura 4-6
Ajuste estándar para filtrado de paquetes MAC SCALANCE S602/612 V3 o superior
① Todos los tipos de telegramas de interna a externa, excepto los siguientes tipos, están
bloqueados.
• Telegramas ARP
② Todos los telegramas de interna al módulo de seguridad están permitidos.
③ Todos los telegramas de externa a interna, excepto los siguientes tipos, están
bloqueados.
• Telegramas ARP con limitación de ancho de banda
④ Los telegramas de externa al módulo de seguridad del siguiente tipo están permitidos:
• ARP con limitación de ancho de banda
• DCP PROFINET con limitación de ancho de banda
• En modo de enrutamiento: telegramas LLDP (Ethertype 0x88CC)
⑤ En el modo de puente: Se permiten protocolos MAC enviados por túnel IPsec.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
135
Configurar el cortafuegos
4.2 SCALANCE S en el modo normal
⑥ Los telegramas del módulo de seguridad a externa del siguiente tipo están permitidos:
• PROFINET
• En modo de enrutamiento: telegramas LLDP (Ethertype 0x88CC)
⑦ Los telegramas Multicast y Broadcast de externa al módulo de seguridad del siguiente
tipo están permitidos:
• PROFINET con limitación de ancho de banda
Nota
Habilitación automática de tipos de Ethernet
Si PPPoE está activo, los tipos de Ethernet 0x8863 y 0x8864 se habilitan automáticamente
(PPPoE Discovery y Session Stage).
Principios básicos y aplicación
136
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.2 SCALANCE S en el modo normal
Ajuste estándar para SCALANCE S623 a partir de V3 y S627-2M V4
Las reglas de cortafuegos predeterminadas para las interfaces externa e interna son las
mismas que rigen para los módulos SCALANCE S del tipo S602 y S612. En los dos gráficos
siguientes se han expuesto únicamente las reglas de filtrado de paquetes IP que afectan a
la interfaz DMZ. Las reglas de filtrado de paquetes MAC no pueden definirse para la interfaz
DMZ porque los telegramas se enrutan entre la red externa o interna y la interfaz DMZ.
Figura 4-7
Ajuste estándar para filtrado de paquetes IP SCALANCE S623/S627-2M (tráfico entre red DMZ y red interna
o red DMZ y módulo de seguridad)
①Todos los telegramas de interna a red DMZ están bloqueados.
②Todos los telegramas de interna al túnel en la interfaz DMZ y viceversa están permitidos.
③Todos los telegramas de red DMZ a interna están bloqueados.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
137
Configurar el cortafuegos
4.2 SCALANCE S en el modo normal
④Todos los telegramas de red DMZ al túnel en la interfaz DMZ y viceversa están
bloqueados.
⑤Los telegramas de la red DMZ (nodos en la red DMZ y módulos de seguridad en la red
DMZ) al módulo de seguridad del siguiente tipo están permitidos:
• HTTPS (SSL)
• Protocolo ESP (codificación)
• IKE (protocolo para establecer el túnel IPSec)
• NAT-Traversal (protocolo para establecer el túnel IPsec)
Figura 4-8
Ajuste estándar para filtrado de paquetes IP SCALANCE S623/S627-2M (tráfico entre red DMZ y red externa)
Principios básicos y aplicación
138
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.2 SCALANCE S en el modo normal
① Todos los telegramas de externa a red DMZ están bloqueados.
② Todos los telegramas de externa al túnel en la interfaz DMZ y viceversa están
bloqueados.
③ Todos los telegramas de red DMZ al túnel en la interfaz externa y viceversa están
bloqueados.
④ Todos los telegramas de red DMZ a externa están bloqueados.
Nota
Habilitación automática de tipos de Ethernet
Si PPPoE está activo, los tipos de Ethernet 0x8863 y 0x8864 se habilitan automáticamente
(PPPoE Discovery y Session Stage).
4.2.2
Configurar el cortafuegos para SCALANCE S ≥ V3.0
Cómo se accede a esa función
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos".
Cortafuegos activado de forma predeterminada
La casilla de verificación "Activar cortafuegos" está activada de forma predeterminada. Así,
el cortafuegos está activo automáticamente y todos los accesos de externa al módulo de
seguridad están bloqueados. En el modo normal, habilite el cortafuegos para los distintos
sentidos activando las casillas de verificación correspondientes.
Ajustes de cortafuegos detallados en el modo avanzado
En el modo avanzado, las reglas de cortafuegos pueden limitarse a dispositivos
determinados; consulte el capítulo siguiente:
● Cortafuegos en modo avanzado (Página 144)
Configuración de cortafuegos con VPN
Si el módulo de seguridad está en un grupo VPN y, en el modo normal, la casilla de
verificación "Solo comunicación tunelada" está activada, a través de la interfaz externa o la
interfaz DMZ solo se permite la transferencia de datos por IPsec codificada.
Si se desactiva esta casilla de verificación, se permitirá la comunicación tunelada y,
adicionalmente, los tipos de comunicación seleccionados en las otras casillas de opción.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
139
Configurar el cortafuegos
4.2 SCALANCE S en el modo normal
Tabla 4- 7
Servicio
Reglas de cortafuegos y sentidos disponibles (tráfico IP)
Interna ⇒
externa
Externa
⇒
interna
Comunicaci
ón IP
permitida
x
x
x
x
-
-
Permitir
protocolo
S7
x
x
x
x
-
-
TCP puerto
102
Se permite la
comunicación de
los dispositivos
de red a través
del protocolo S7.
Permitir
FTP/FTPS
(modo
explícito)
x
x
x
x
-
-
TCP puerto 20
Para la
administración de
archivos y el
acceso a ellos
entre servidor y
cliente.
Permitir
HTTP
x
x
x
x
-
-
TCP puerto 80
Para la
comunicación
con un servidor
web.
Permitir
HTTPS
x
x
x
x
-
-
TCP puerto
443
Para la
comunicación
segura con un
servidor web,
p. ej. diagnóstico
web.
Permitir
DNS
x
x
x
x
-
-
TCP puerto 53
Permitir
SNMP
x
x
x
x
-
-
TCP puerto
161/162
Interna =>
DMZ =>
DMZ
Interna
De
interna
De
externa
Puertos
permitidos
-
Significado
Se permite la
comunicación IP
para los sentidos
de comunicación
seleccionados.
TCP puerto 21
Se permite la
UDP puerto 53 conexión con un
servidor DNS.
UDP puerto
161/162
Para vigilar
dispositivos de
red con
capacidad
SNMP.
Permitir
SMTP
x
x
x
x
-
-
TCP puerto 25
Para intercambiar
e-mails entre
usuarios
autentificados a
través de un
servidor SMTP.
Permitir
NTP
x
x
x
x
-
-
UDP puerto
123
Para la
sincronización de
la hora.
Permitir
DHCP
x
x
x
x
-
-
UDP puerto 67 Se permite la
y UDP puerto
comunicación
68
con un servidor
DHCP.
Principios básicos y aplicación
140
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.2 SCALANCE S en el modo normal
Servicio
Interna ⇒
externa
Externa
⇒
interna
Permitir
comunicaci
ón en nivel
MAC
-
-
-
-
x
x
-
Se permite el
tráfico MAC de
interna a externa
y viceversa.
Permitir
comunicaci
ón ISO
-
-
-
-
x
x
-
Se permite el
tráfico ISO de
interna a externa
y viceversa.
Permitir
SiCLOCK
-
-
-
-
x
x
-
Se permiten
telegramas de
hora SiClock de
interna a externa
y viceversa.
Permitir
DCP
-
-
-
-
x
x
-
El tráfico DCP
para adjudicar
direcciones IP se
permite de
interna a externa
y viceversa.
Tabla 4- 8
Interna =>
DMZ =>
DMZ
Interna
De
interna
De
externa
Puertos
permitidos
Significado
Registro para conjuntos de reglas IP y MAC
Conjunto de reglas
Acción en caso de activación
Configuración de registros IP
Registro de paquetes
tunelados
Solo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran
todos los paquetes IP que se han transferido a través del túnel.
Registro de paquetes
entrantes bloqueados
Se registran todos los paquetes IP entrantes que han sido rechazados.
Registro de paquetes salientes Se registran todos los paquetes IP salientes que han sido rechazados.
bloqueados
Configuración de registros MAC
Registro de paquetes
tunelados
Solo está activado si el módulo de seguridad forma parte de un grupo VPN. Se registran
todos los paquetes MAC que se han transferido a través del túnel.
Registro de paquetes
entrantes bloqueados
Se registran todos los paquetes MAC entrantes que han sido rechazados.
Registro de paquetes salientes Se registran todos los paquetes MAC salientes que han sido rechazados.
bloqueados
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
141
Configurar el cortafuegos
4.2 SCALANCE S en el modo normal
4.2.3
Configurar el cortafuegos para SCALANCE S < V3.0
Cómo se accede a esa función
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Cortafuegos".
Nota
Ajustes de cortafuegos detallados en el modo avanzado
En el modo avanzado, las reglas de cortafuegos pueden limitarse a estaciones
determinadas.
Nota
No es posible regresar al modo normal
Una vez que se ha cambiado al modo avanzado para el proyecto actual, ya no se puede
regresar al normal.
Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.
Tabla 4- 9
Servicios y direcciones disponibles
Regla/opción
Puertos permitidos
Función
Solo comunicación
tunelada
-
Este es el ajuste predeterminado. La opción solo se puede seleccionar si
el módulo de seguridad se encuentra en un grupo VPN.
Con este ajuste solo se permite la transferencia codificada de datos por
IPsec; solo pueden comunicarse entre sí nodos protegidos mediante
módulos de seguridad con mecanismos VPN.
Si esta opción está desactivada, se permite la comunicación tunelada y
adicionalmente el tipo de comunicación seleccionado en las otras casillas
de opción.
Permitir
comunicación IP de
la red interna a la
externa
-
Permitir
comunicación IP con
protocolo S7 de la
red interna a la
externa
TCP puerto 102
Permitir acceso al
servidor DHCP de la
red interna a la
externa
UDP puerto 67
Los nodos internos pueden iniciar una comunicación con nodos de la red
externa. Solo se transmiten a la red interna telegramas de respuesta
procedentes de la red externa.
Desde la red externa no se puede iniciar ninguna comunicación con
nodos de la red interna.
Los nodos internos pueden iniciar una conexión S7 con nodos de la red
externa. Solo se transmiten a la red interna telegramas de respuesta
procedentes de la red externa.
Desde la red externa no se puede iniciar ninguna comunicación con
nodos de la red interna.
UDP puerto 68
Los nodos internos pueden iniciar una comunicación con un servidor
DHCP de la red externa. Solo los telegramas de respuesta del servidor
DHCP se transmiten a la red interna.
Desde la red externa no se puede iniciar ninguna comunicación con
nodos de la red interna.
Principios básicos y aplicación
142
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.2 SCALANCE S en el modo normal
Regla/opción
Puertos permitidos
Función
Permitir acceso al
servidor NTP de la
red interna a la
externa
UDP puerto 123
Los nodos internos pueden iniciar una comunicación con un servidor NTP
(Network Time Protocol) de la red externa. Solo los telegramas de
respuesta del servidor NTP se transmiten a la red interna.
Permitir telegramas
horarios de SiClock
de la red externa a la
interna
-
Con esta opción se habilitan telegramas horarios SiClock de la red
externa a la interna.
Permitir acceso al
servidor DNS de la
red interna a la
externa
TCP puerto 53
Los nodos internos pueden iniciar una comunicación con un servidor DNS
de la red externa. Solo los telegramas de respuesta del servidor DNS se
transmiten a la red interna.
Permitir la
configuración de
nodos de red
mediante DCP
-
Desde la red externa no se puede iniciar ninguna comunicación con
nodos de la red interna.
UDP puerto 53
Desde la red externa no se puede iniciar ninguna comunicación con
nodos de la red interna.
El protocolo DCP es utilizado por la PST-Tool para realizar, en el caso de
componentes de red SIMATIC NET, el bautismo de nodos (ajuste de los
parámetros IP).
Con esta regla se permite a nodos de la red externa acceder a nodos de
la red interna mediante protocolo DCP.
Tabla 4- 10
Registro para conjuntos de reglas IP y MAC
Conjunto de reglas
Acción en caso de activación
Configuración de registros IP
Registro de paquetes tunelados
Solo si el módulo de seguridad forma parte de un grupo VPN: Se
registran todos los paquetes IP que se han transferido a través del
túnel.
Registro de paquetes entrantes
bloqueados
Se registran todos los paquetes IP entrantes que han sido
rechazados.
Registro de paquetes salientes
bloqueados
Se registran todos los paquetes IP salientes que han sido
rechazados.
Configuración de registros MAC
Registro de paquetes tunelados
Solo si el módulo de seguridad forma parte de un grupo VPN: se
registran todos los paquetes MAC que se han transferido a través
del túnel.
Registro de paquetes entrantes
bloqueados
Se registran todos los paquetes MAC entrantes que han sido
rechazados.
Registro de paquetes salientes
bloqueados
Se registran todos los paquetes MAC salientes que han sido
rechazados.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
143
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
4.3
Cortafuegos en modo avanzado
En el modo avanzado existen posibilidades de ajuste adicionales, que permiten personalizar
las reglas de cortafuegos y las funciones de seguridad.
Cambiar al modo avanzado
Para todas las funciones descritas en este capítulo, cambie al modo avanzado.
Nota
No es posible regresar al modo normal
En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo
avanzado ya no es posible regresar.
Soluciones para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.
Se da soporte a nombres simbólicos
En las funciones descritas a continuación puede introducir tanto direcciones IP o MAC como
nombres simbólicos. Encontrará más información sobre los nombres simbólicos en el
capítulo:
● Asignación de nombre simbólicos para direcciones IP o MAC (Página 62)
4.3.1
Configuración del cortafuegos en modo avanzado
Significado
A diferencia de la configuración de reglas de filtrado de paquetes predeterminadas de forma
fija en el modo normal, en el modo avanzado de la Security Configuration Tool se pueden
configurar reglas personalizadas para el filtrado de paquetes.
Las reglas de filtrado de paquetes se ajustan en fichas seleccionables para los siguientes
protocolos:
Principios básicos y aplicación
144
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
● Capa 3, 4: protocolo IP, servicios IP
● Capa 2: protocolo MAC, servicios MAC
Nota
Sin reglas MAC con el modo de enrutamiento activado
Si ha activado el modo de enrutamiento para el módulo de seguridad, no tienen
aplicación las reglas MAC (los cuadros diálogo están inactivos).
Si no introduce ninguna regla en los cuadros de diálogo que se describen a continuación,
rigen los ajustes predeterminados del cortafuegos. Encontrará los detalles en el capítulo
siguiente:
● Ajustes predeterminados de CP x43-1 Adv.: Ajuste predeterminado del cortafuegos
(Página 124)
● Ajustes predeterminados de CP 1628: Ajuste predeterminado del cortafuegos
(Página 130)
● Ajustes predeterminados de SCALANCE S: Preajuste del firewall (Página 134)
Es posible la definición global, específica de usuario y local
● Los conjuntos de reglas de cortafuegos globales se pueden asignar a varios módulos de
seguridad al mismo tiempo. Se muestran y configuran de forma global en el área de
navegación de la Security Configuration Tool del modo avanzado.
● Los conjuntos de reglas IP específicos del usuario se pueden asignar a uno o varios
módulos de seguridad al mismo tiempo. Se muestran y configuran de forma global en el
área de navegación de la Security Configuration Tool del modo avanzado.
SCALANCE S V4 (RADIUS): además de uno o varios usuarios, a los conjuntos de reglas
IP específicos del usuario es posible asignarles uno o varios roles.
● Las reglas de cortafuegos locales están asignadas a un módulo de seguridad en cada
caso. Se configuran en el cuadro de diálogo de propiedades de los módulos de
seguridad.
A un módulo de seguridad se le pueden asignar varias reglas de cortafuegos locales, varios
conjuntos de reglas de cortafuegos globales y varios conjuntos de reglas IP específicos del
usuario.
4.3.2
Conjuntos de reglas de cortafuegos globales
Aplicación
Los conjuntos de reglas de cortafuegos globales se configuran a nivel de proyecto en
función del módulo y pueden verse en el área de navegación de la Security Configuration
Tool. Un conjunto de reglas de cortafuegos global consta de una o varias reglas de
cortafuegos y se asigna a varios módulos de seguridad.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
145
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Dentro de los conjuntos de reglas de cortafuegos globales, se distingue entre:
● Conjuntos de reglas IP
● Conjuntos de reglas MAC
La representación siguiente ilustra la relación entre los conjuntos de reglas de definición
global y los conjuntos de reglas utilizados a nivel local.
¿Cuándo son convenientes los conjuntos de reglas de cortafuegos globales?
Los conjuntos de reglas de cortafuegos globales son convenientes cuando se desean definir
criterios de filtrado idénticos para la comunicación.
Nota
Asignar solo conjuntos de reglas de cortafuegos soportados por el módulo de seguridad
Una asignación incorrecta de conjuntos de reglas de cortafuegos puede derivar en
resultados no deseados. Por ello, compruebe siempre los resultados de las reglas de
cortafuegos locales específicas del módulo. La asignación incorrecta no se detecta en la
prueba de coherencia automática. Solo se aplican las reglas que realmente son soportadas
por el módulo de seguridad.
Consulte también
Conjuntos de reglas IP específicos de usuario (Página 148)
Principios básicos y aplicación
146
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
4.3.2.1
Conjuntos de reglas de cortafuegos globales - Convenios
Los conjuntos de reglas de cortafuegos globales se utilizan localmente
Para la creación de un conjunto de reglas de cortafuegos global y la asignación a un módulo
de seguridad rigen los siguientes convenios:
● Vista de configuración
Los conjuntos de reglas de cortafuegos globales solo se pueden crear en el modo
avanzado.
● Prioridad
Las reglas de cortafuegos definidas localmente tienen de forma predeterminada mayor
prioridad que los conjuntos de reglas de cortafuegos globales asignados de forma local.
Por consiguiente, los conjuntos de reglas de cortafuegos globales se insertan en un
principio en el último lugar de la lista de reglas local.
La prioridad se puede modificar cambiando el emplazamiento en la lista de reglas.
● Introducir, modificar o borrar juegos de reglas
Los conjuntos de reglas de cortafuegos globales no se pueden editar en la lista local de
reglas de cortafuegos de las propiedades del módulo. Allí sólo se pueden ver y emplazar
según la prioridad deseada
En la lista de reglas local no se puede borrar una única regla de cortafuegos de un
conjunto de reglas de cortafuegos global asignado. Solo es posible eliminar de la lista de
reglas local todo el conjunto de reglas de cortafuegos. Puede realizarse en cualquier
momento una adaptación del conjunto de reglas global mediante el cuadro de diálogo de
propiedades de este conjunto.
Todos los dispositivos afectados por esta modificación deben cargarse de nuevo
después.
4.3.2.2
Crear y asignar conjuntos de reglas de cortafuegos globales
Cómo se accede a esa función
1. Seleccione una de las siguientes carpetas en el área de navegación:
– "Conjuntos de reglas de cortafuegos globales" > "Conjuntos de reglas IP del
cortafuegos"
– "Conjuntos de reglas de cortafuegos globales" > "Conjuntos de reglas MAC del
cortafuegos"
2. Elija el comando de menú "Insertar" > "Conjunto de reglas del cortafuegos".
3. Introduzca los datos siguientes:
– Nombre: designación unívoca del conjunto de reglas para todo el proyecto. El nombre
aparece en la lista de reglas local del módulo de seguridad tras la asignación del
conjunto de reglas.
– Descripción: Introduzca la descripción del conjunto de reglas global.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
147
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
4. Haga clic en el botón "Agregar regla".
5. Introduzca las reglas de cortafuegos en la lista en orden. Observe la descripción de los
parámetros en los siguientes capítulos:
Para conjuntos de reglas IP: Reglas de filtrado de paquetes IP (Página 155).
Para conjuntos de reglas MAC: Reglas para filtrado de paquetes MAC (Página 165).
6. Asigne el conjunto de reglas de cortafuegos global a los módulos de seguridad en los
que se deba aplicar. Seleccione para ello el conjunto de reglas de cortafuegos global en
el área de navegación y arrástrelo hasta los módulos de seguridad en el área de
navegación (Drag and Drop). También puede realizar esta asignación en la lista de
reglas local de un módulo de seguridad, con el botón "Agregar conjuntos de reglas...".
Resultado
El conjunto de reglas de cortafuegos global es utilizado como conjunto de reglas local por
los módulos de seguridad y aparece automáticamente en las listas de reglas de cortafuegos
específicas de los módulos.
Consulte también
Conjuntos de reglas de cortafuegos globales - Convenios (Página 147)
4.3.3
Conjuntos de reglas IP específicos de usuario
Significado
En primer lugar se asignan uno o varios usuarios a los conjuntos de reglas IP específicos
del usuario. A continuación se asignan los conjuntos de reglas IP específicos del usuario a
uno o varios módulos de seguridad. De ese modo es posible permitir accesos específicos de
usuario. Si, p. ej. están bloqueados de forma predeterminada todos los accesos a las redes
situadas después de un módulo de seguridad, podrán habilitarse determinados dispositivos
para un usuario mediante sus direcciones IP. El usuario tiene así el acceso permitido,
mientras que este permanece bloqueado para otros usuarios.
Inicio de sesión del usuario a través de Internet
El usuario puede iniciar sesión a través de una página web de la interfaz externa o de la
interfaz DMZ del módulo de seguridad. Si la autenticación es correcta, se activa el conjunto
de reglas IP predefinido para ese usuario. La conexión con el módulo de seguridad se
realiza vía HTTPS utilizando la dirección IP del puerto enlazado y observando las reglas de
enrutamiento aplicables.
Ejemplo:
Interfaz externa: 192.168.10.1
Principios básicos y aplicación
148
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
La página de inicio de sesión se abre mediante: https://192.168.10.1/
Pueden iniciar sesión usuarios con cualquier rol, siempre que el usuario o el rol estén
asignados a un conjunto de reglas IP específico del usuario.
Posibilidades de autenticación del usuario
En función del método de autenticación que se seleccionara al crear el usuario que inicia la
sesión en el módulo de seguridad, la autenticación es realizada por diferentes instancias:
● Método de autenticación "Contraseña": el módulo de seguridad realiza la autenticación.
● Método de autenticación "RADIUS": un servidor RADIUS realiza la autenticación.
Asignación de roles a conjuntos de reglas IP específicos del usuario
En los módulos SCALANCE S V4 también se pueden asignar conjuntos de reglas IP
específicos del usuario a los que se han asignado roles. Esto permite habilitar un grupo de
usuarios para el acceso a determinadas direcciones IP.
Si se utiliza un servidor RADIUS para la autenticación del usuario y se asigna un rol al
conjunto de reglas IP específico del usuario, los usuarios no configurados en el módulo de
seguridad también pueden ser autenticados por el servidor RADIUS. Estos usuarios deben
estar guardados en el servidor RADIUS, donde se les debe haber asignado el rol que tenga
asignado en SCT el conjunto de reglas IP específico del usuario. Este procedimiento ofrece
la ventaja de que todos los datos de usuario se guardan únicamente en el servidor RADIUS.
Encontrará más información sobre la autenticación mediante el servidor RADIUS en el
siguiente capítulo:
Autenticación mediante servidor RADIUS (Página 84)
Los conjuntos de reglas IP específicos del usuario se utilizan localmente - Convenios
Rigen los mismos convenios que los descritos en el capítulo siguiente:
● Conjuntos de reglas de cortafuegos globales - Convenios (Página 147)
4.3.3.1
Crear y asignar conjuntos de reglas IP específicos del usuario
Cómo se accede a esa función
1. Seleccione la carpeta "Conjuntos de reglas IP específicos de usuario" en el área de
navegación
2. Elija el comando de menú "Insertar" > "Conjunto de reglas del cortafuegos".
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
149
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
3. Introduzca los datos siguientes:
– Nombre: designación unívoca del conjunto de reglas IP específico del usuario para
todo el proyecto. El nombre aparece en la lista de reglas local del módulo de
seguridad tras la asignación del conjunto de reglas.
– Descripción: introduzca una descripción del conjunto de reglas IP específico del
usuario.
4. Haga clic en el botón "Agregar regla".
5. Introduzca en la lista, por orden, las reglas de cortafuegos.
Tenga en cuenta la descripción de los parámetros en el capítulo siguiente:
–
Reglas de filtrado de paquetes IP (Página 155)
Tenga en cuenta las particularidades de las reglas de cortafuegos generadas
automáticamente por SCT para reglas NAT/NAPT:
– Relación entre router NAT/NAPT y cortafuegos específico del usuario (Página 189)
6. Asigne uno o varios usuarios y/o uno o varios roles al conjunto de reglas IP específico
del usuario. La asignación de roles a conjuntos de reglas IP específicos del usuario solo
es posible en módulos SCALANCE S V4.
Nota
Asignación de conjuntos de reglas IP específicos del usuario
• Solo se puede asignar a un módulo de seguridad un conjunto de reglas IP específico
del usuario por usuario.
• Con la asignación se activa de forma implícita para todos los usuarios o roles
asignados al conjunto de reglas IP el derecho "El usuario/rol puede iniciar sesión en
el módulo".
7. Asigne el conjunto de reglas IP específico del usuario a los módulos de seguridad en los
que se deba aplicar. Seleccione para ello el conjunto de reglas IP específico del usuario
en el área de navegación y arrástrelo hasta los módulos de seguridad en el área de
navegación (Drag and Drop). También puede realizar esta asignación en la lista de
reglas local de un módulo de seguridad, con el botón "Agregar conjuntos de reglas...".
Principios básicos y aplicación
150
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Resultado
● El conjunto de reglas IP específico del usuario es utilizado como conjunto de reglas local
por los módulos de seguridad y aparece automáticamente en la lista de reglas de
cortafuegos específica de los módulos.
● El usuario puede iniciar sesión en el módulo de seguridad. La autenticación del usuario
es realizada por el módulo de seguridad o por un servidor RADIUS, en función del
método de autenticación ajustado.
Rangos de valores para una duración máxima de sesión
El tiempo tras el cual se cierra automáticamente la sesión del usuario puede definirse al
crear o editar un usuario y, por lo general, es de 30 minutos. La duración de la sesión puede
alargarse en la página web del módulo de seguridad, editando el valor asignado al usuario.
Encontrará más información sobre la creación de usuarios en el siguiente capítulo:
Administrar usuarios (Página 73)
4.3.4
Reglas de cortafuegos automáticas referidas a conexiones
Reglas de cortafuegos creadas automáticamente en SCT
Para la siguiente aplicación se crean reglas de cortafuegos automáticamente:
● Conexiones configuradas en STEP 7
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
151
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Reglas de cortafuegos para conexiones configuradas
Si hay conexiones creadas en STEP 7, en la SCT se generan automáticamente reglas de
cortafuegos para ellas. Para ello se realiza una comparación de sistema entre STEP 7 y
SCT, en la que se comprueban todas las conexiones del proyecto. Se comparan
automáticamente la dirección IP/MAC, la acción y la interfaz para cada interlocutor. Para
cada interlocutor se generan 2 reglas independientemente del número de conexiones.
Nota
Habilitar manualmente conexiones UDP Multicast y UDP Broadcast
Para las conexiones UDP Multicast y UDP Broadcast no se crean reglas de cortafuegos
automáticas. Para habilitar las conexiones, inserte las correspondientes reglas de
cortafuegos manualmente en el modo avanzado.
Dependiendo de cómo esté configurado el establecimiento de conexión en STEP 7, en SCT
se crean las siguientes reglas de cortafuegos de 3 niveles. Si el módulo de seguridad se
encuentra en un grupo VPN, el sentido "Externa" cambia a "Túnel".
En las columnas "Dirección IP de origen" y "Dirección IP de destino" de estas reglas del
cortafuegos se introduce en cada caso la dirección IP del interlocutor.
CP->externa
Acción
De
A
Activo
Allow
Estación
Externa
Drop
Externa
Estación
Drop
Estación
Externa
Allow
Externa
Estación
Allow
Externa
Estación
Allow
Estación
Externa
CP->interna
Acción
De
A
Activo
Allow
Estación
Interna
Drop
Interna
Estación
Drop
Estación
Interna
Allow
Interna
Estación
Allow
Interna
Estación
Allow
Estación
Interna
Pasivo
Activo y pasivo
Pasivo
Activo y pasivo
Para las conexiones de nivel 2 se crean reglas "Allow" para ambos sentidos. Si el módulo de
seguridad se encuentra en un grupo VPN, el sentido "Externa" cambia a "Túnel".
En las columnas "Dirección MAC de origen" y "Dirección MAC de destino" de estas reglas
del cortafuegos se introduce en cada caso la dirección MAC del interlocutor.
Principios básicos y aplicación
152
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
CP->externa
Acción
De
A
activo, pasivo, activo y pasivo
Allow
Estación
Externa
Allow
Externa
Estación
Convenios para reglas de cortafuegos creadas automáticamente
● Prioridad
Las reglas tienen la máxima prioridad, por lo que en la lista de reglas se incorporan en la
parte superior.
● Borrar reglas
Los conjuntos de reglas no se pueden borrar. El registro puede activarse y pueden
asignarse servicios. Además es posible insertar un ancho de banda y un comentario.
● Cambiar una acción
Si en la SCT cambia la acción "Allow" a "Drop" o vice versa, estos se sobrescribirán en la
siguiente comparación del sistema. Si los cambios realizados deben conservarse, elija
como acción "Allow*" o "Drop*". En ese caso solo se compara la dirección IP/MAC con
STEP 7, y la acción y el sentido se mantienen de la forma ajustada. Los ajustes de
registro, servicio, ancho de banda y comentario se conservan cuando se produce una
nueva comparación de sistema aunque no se cambie la acción a "Allow*" o "Drop*". Si la
conexión correspondiente no está disponible en STEP 7, la regla se borra de la lista.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
153
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Módulo de seguridad en grupo VPN
La casilla de verificación "Solo comunicación tunelada" está activada de forma
predeterminada. Si se desactiva la casilla de verificación, además de la comunicación
tunelada entre interlocutores tunelados existe la posibilidad de establecer comunicación con
otros dispositivos de red con los que no existen túneles.
● La comunicación se produce fuera del túnel si la dirección del interlocutor pertenece a
una estación conocida en la SCT con la que no hay configurado ningún túnel VPN.
● La comunicación transcurre a través del túnel VPN si la dirección del interlocutor es un
punto final VPN.
● Si no es posible asignar unívocamente si una conexión debe transcurrir por dentro o por
fuera del túnel VPN, la conexión se asigna al túnel VPN y se muestra la indicación
correspondiente. La asignación puede adaptarse en el modo avanzado, p. ej. cambiando
el sentido "De" "Túnel" a "Externa". Para que esta adaptación no se sobrescriba de
nuevo al realizarse otra comparación del sistema, debe seleccionarse la acción "Allow*"
o "Drop*".
Nota
En caso de ser necesario garantizar que solo sea posible la comunicación a través del
túnel, cree las reglas de cortafuegos correspondientes en el modo avanzado, p. ej. para
estaciones internas o direcciones NDIS.
Para permitir exclusivamente la comunicación tunelada para un CP, inserte una regla
"Drop" > "Any" > "Externa". Para CP 1628 debe insertarse una regla "Drop" > "Estación"
> "Externa". Además, deben eliminarse las reglas de cortafuegos existentes que
permitan una comunicación sin túnel.
4.3.5
Ajuste de reglas de filtros de paquetes IP locales
Por medio de reglas de filtrado de paquetes IP se pueden filtrar telegramas IP como por
ejemplo telegramas UDP, TCP, ICMP.
Dentro de una regla de filtro de paquetes IP puede recurrir a definiciones de servicios para
así delimitar aún más los criterios de filtrado. Si no indica ningún servicio, la regla de
paquetes IP es válida para todos los servicios.
Abrir el cuadro de diálogo para reglas locales de filtrado de paquetes IP
SCT: Seleccione el módulo de seguridad que desea editar y elija el comando de menú
"Editar" > "Propiedades…", ficha "Cortafuegos".
STEP 7: Haga clic en el botón "Ejecutar" de la ficha "Firewall" que está ubicado junto a
"Inicio de la configuración de seguridad" en la ficha "Seguridad".
Principios básicos y aplicación
154
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Registrar reglas de filtrado de paquetes IP
Introduzca correlativamente las reglas de cortafuegos en la lista; observe la siguiente
descripción de parámetros y los ejemplos en el capítulo siguiente o en la Ayuda en pantalla.
Utilizar los conjuntos de reglas globales y definidas por el usuario
Los conjuntos de reglas de cortafuegos globales y los conjuntos de reglas IP específicos del
usuario asignados al módulo de seguridad se adoptan automáticamente en la lista de reglas
local. Si el conjunto de reglas asignado aparece al final de la lista, se procesará con la
prioridad más baja. Es posible modificar la prioridad cambiando la posición en la lista de
reglas.
La Ayuda en pantalla le explica el significado de los distintos botones.
4.3.6
Reglas de filtrado de paquetes IP
Las reglas de filtrado de paquetes IP se editan según las siguientes evaluaciones:
● Parámetros registrados en la regla;
● Orden y la correspondiente prioridad de las reglas.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
155
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Parámetros
La configuración de una regla IP contiene los siguientes parámetros:
Denominación
Significado/comentario
Posibilidades de selección/rangos de valores
Acción
Definición de la autorización
(habilitación/bloqueo)
•
Allow
Autorizar telegramas según definición.
•
Drop
Bloquear telegramas según definición.
Para reglas de conexión creadas automáticamente:
•
Allow*
• Drop*
Si selecciona estas reglas, no habrá sincronización con
STEP 7. Así, las reglas modificadas no se sobrescribirán
en la SCT.
De/A
Las direcciones de comunicación
permitidas.
Se describe en las siguientes tablas.
Dirección IP de
origen
Dirección de origen de los paquetes
IP
Consulte el apartado siguiente de este capítulo:
Dirección IP de
destino
Dirección de destino de los paquetes
IP
• Reglas de filtrado de paquetes IP (Página 155)
Como alternativa se puede introducir un nombre simbólico.
Nota relacionada con el modo Ghost
Si el modo Ghost está activado, la dirección IP del
dispositivo interno se determina dinámicamente en el
tiempo de ejecución desde el módulo de seguridad. Según
sea el sentido seleccionado, no podrá realizar entradas en
la columna "Dirección IP de origen" (con el sentido "de
interna a externa") o en la columna "Dirección IP de
destino" (con el sentido "de externa a interna"). En su
lugar, la dirección IP será insertada automáticamente en la
regla del cortafuegos por el SCALANCE S.
Principios básicos y aplicación
156
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Denominación
Significado/comentario
Servicio
Nombre del servicio IP/ICMP utilizado La lista desplegable le ofrece los servicios y grupos de
o del grupo de servicios.
servicios configurados, para su selección.
Posibilidades de selección/rangos de valores
Con ayuda de definiciones de
servicios se pueden definir reglas de
filtrado de paquetes.
Ninguna indicación significa: no se comprueba ningún
servicio, la regla es válida para todos los servicios.
Seleccione aquí uno de los servicios
que ha definido en el cuadro de
diálogo para servicios IP:
Para que los servicios IP predefinidos aparezcan e la lista
desplegable, actívelas primero en el modo normal.
•
Servicios IP
•
Servicios ICMP
Nota:
Grupo de servicios que incluye
servicios IP y/o ICMP
Si no se ha definido aún ningún
servicio o si desea definir otro
servicio, pulse el botón "Servicios
IP..." (en la ficha "Reglas IP") o
"Servicios MAC..." (en la ficha"Reglas
MAC").
•
Ancho de banda
(Mbits/s)
Posibilidad de ajuste de una
limitación del ancho de banda. Solo
puede introducirse si para la acción
está seleccionado "Allow".
Un paquete pasa el cortafuegos si la
regla de paso es correcta y si no se
ha sobrepasado aún el ancho de
banda permitido para esa regla.
Registro
Activación o desactivación del
registro para esta regla. Encontrará
información sobre los ajustes de
registro en el capítulo siguiente:
Registro de eventos (Logging)
(Página 257)
N.º
Número de regla adjudicado
automáticamente para asignar los
paquetes registrados a una regla de
cortafuegos configurada.
Comentario
Espacio para explicación propia de la
regla.
Tabla 4- 11
CP x43-1 Adv. y SCALANCE S < V3.0: 0.001 ... 100
CP 1628 y SCALANCE S ≥ V3.0: 0.001 ... 1000
Para reglas en conjuntos de reglas globales y específicos
del usuario: 0.001 ... 100
Si un comentario está marcado con "AUTO", significa que
ha sido creado automáticamente para una regla de
conexión.
Direcciones CP
Posibilidades de
selección/rangos de
valores
De
A
Interna
Estación
Módulo de seguridad
CP x43-1
Adv.
CP 1628
x
-
Significado
Acceso de la red interna a la estación.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
157
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Posibilidades de
selección/rangos de
valores
Externa
Estación
Túnel
Any
Tabla 4- 12
Módulo de seguridad
Significado
Any
x
-
Acceso de la red interna a la externa, el interlocutor de túnel
VPN y la estación.
Estación
x
x
Acceso de la red externa a la estación.
Any
x
-
Acceso de la red externa a la interna y a la estación.
Interna
x
-
Acceso desde la estación a la red interna.
Externa
x
x
Acceso desde la estación a la red externa.
Túnel
x
x
Acceso desde la estación al interlocutor de túnel VPN.
Estación
x
x
Acceso a la estación a través del interlocutor de túnel VPN.
Any
x
-
Acceso del interlocutor de túnel VPN a la red interna y a la
estación.
Externa
x
-
Acceso desde la red interna y la estación a la red externa.
Sentidos SCALANCE S
Posibilidades de selección/rangos de
valores
Módulo de seguridad
De
A
S602
S61x
S623 / S627-2M
Interna
Externa
x
x
x
Túnel
-
x
x
Any
-
x
x
DMZ
-
-
x
Interna
x
x
x
Interna
x
x
x
Any
-
-
x
Túnel
-
-
x
DMZ
-
-
x
Interna
-
x
x
Externa
-
x
x
DMZ
-
-
x
Interna
-
x
x
Externa
-
-
x
DMZ
-
-
x
Interna
-
-
x
Externa
-
-
x
Any
-
-
x
Túnel
-
-
x
Externa
Túnel
Any
DMZ
Principios básicos y aplicación
158
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Orden de la evaluación de reglas por el módulo de seguridad
Las reglas de filtrado de paquetes se evalúan de la siguiente forma:
● La lista se analiza de arriba a abajo; en caso de reglas contradictorias (p. ej. entradas
con indicaciones de sentido idénticas pero acciones distintas) vale por lo tanto siempre la
entrada de más arriba.
● En el caso de reglas para comunicación entre las redes interna, externa y DMZ, rige lo
siguiente: están bloqueados todos los telegramas excepto los permitidos explícitamente
en la lista.
● En el caso de reglas para la comunicación en y desde el sentido túnel IPsec, rige lo
siguiente: están permitidos todos los telegramas excepto los bloqueados explícitamente
en la lista.
Ejemplo
Las reglas de filtrado de paquetes representadas provocan el siguiente comportamiento:
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
159
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
①
②
③
④
⑤
⑥
Todos los tipos de telegramas de interno hacia externo están bloqueados como estándar, excepto los permitidos
explícitamente.
Todos los tipos de telegramas de externo hacia interno están bloqueados como estándar, excepto los permitidos
explícitamente.
La regla 1 de filtrado de paquetes IP permite telegramas con la definición de servicio "Service X1" de interna hacia
externa.
La regla 2 de filtrado de paquetes IP permite telegramas de externo a interno si se cumple:
•
Dirección IP del remitente: 196.65.254.2
•
Dirección IP del destinatario: 197.54.199.4
•
Definición de servicio: "Service X2"
La regla 3 de filtrado de paquetes IP bloquea telegramas con la definición de servicio "Service X1" que se envían
del túnel VPN a la red interna.
La comunicación por túneles IPsec está permitida de forma predeterminada, excepto para los tipos de telegramas
bloqueados explícitamente.
Consulte también
Reglas para filtrado de paquetes MAC (Página 165)
Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red
(Página 267)
Direcciones IP en reglas de filtrado de paquetes IP
La dirección IP consta de 4 números decimales en el campo de valores de 0 a 255,
separados entre sí por un punto; ejemplo: 141.80.0.16
En la regla de filtrado de paquetes tiene las siguientes posibilidades de indicar direcciones
IP:
Principios básicos y aplicación
160
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
● ninguna indicación
No tiene lugar ninguna comprobación; la regla es válida para todas las direcciones IP.
● una dirección IP
La regla es válida exactamente para la dirección indicada.
● Banda de direcciones
La regla es válida para todas las direcciones IP incluidas en la banda de direcciones.
Una banda de direcciones se define indicando la cantidad de posiciones de bits válidas
en la dirección IP, a saber en la siguiente forma: [Dirección IP]/[Cantidad de bits a
considerar]
– [Dirección IP]/24 significa por consiguiente que solo los 24 bits de mayor valor de la
dirección IP se tienen en cuenta en la regla de filtrado; se trata de las tres primeras
posiciones de la dirección IP.
– [Dirección IP]/25 significa que solo se tienen en cuenta en la regla de filtrado las tres
primeras posiciones y el bit de valor más alto de la cuarta posición de la dirección IP.
● Área de direcciones
Para la dirección IP de origen puede indicarse un área de direcciones separada por un
guión:
[Dirección IP inicial]-[dirección IP final]
Encontrará más información en el capítulo siguiente:
● Rangos de valores de dirección IP, máscara de subred y dirección de la pasarela de red
(Página 267)
Tabla 4- 13
Ejemplos de banda de direcciones IP
Dirección IP de origen o
dirección IP de destino
Banda de direcciones
Número de
direcciones
de
a
192.168.0.0/16
192.168.0.0
192.168.255.255
65.536
192.168.10.0/24
192.168.10.0
192.168.10.255
256
192.168.10.0/25
192.168.10.0
192.168.10.127
128
192.168.10.0/26
192.168.10.0
192.168.10.63
64
192.168.10.0/27
192.168.10.0
192.168.10.31
32
192.168.10.0/28
192.168.10.0
192.168.10.15
16
192.168.10.0/29
192.168.10.0
192.168.10.7
8
192.168.10.0/30
192.168.10.0
192.168.10.3
4
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
161
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
4.3.7
Definir servicios IP
Cómo se accede a esa función
● Con el comando de menú "Opciones" > "Servicios IP...".
o bien
● Desde la ficha "Reglas IP", con el botón "Servicios IP...".
Significado
Con ayuda de definiciones de servicios IP se pueden definir de forma compacta y clara
reglas de firewall que se aplican a diferentes servicios. Para esto se adjudica un nombre, al
que se asignan los parámetros de servicio.
Además, los servicios así definidos se pueden reunir a su vez en grupos, con un nombre de
grupo.
Para la configuración de las reglas de filtrado de paquetes globales o locales se utilizan
entonces esos nombres.
Parámetros para servicios IP
Los servicios IP se definen a través de los siguientes parámetros:
Tabla 4- 14
Servicios IP: Parámetros
Denominación Significado/comentario
Posibilidades de
selección/rangos de valores
Nombre
Nombre de libre definición para el servicio; se utiliza
para la identificación en la definición de reglas o en
el agrupamiento.
Entrada libre
Protocolo
Nombre del tipo de protocolo
TCP
UDP
Any
Source Port
Target Port
Se filtra a partir del número de puerto aquí indicado;
este define el acceso al servicio para el destinatario
de los telegramas.
Ejemplos:
Se filtra a partir del número de puerto aquí indicado;
este define el acceso al servicio para el destinatario
de los telegramas.
Ejemplos:
*: Puerto no se comprueba
20 ó 21: Servicio FTP
*: Puerto no se comprueba
80: Web-HTTP-Service
102: S7-Protocol - TCP/Port
Principios básicos y aplicación
162
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
4.3.8
Definir servicios ICMP
Con ayuda de las definiciones de servicios ICMP se pueden definir reglas de cortafuegos,
que se aplican a diferentes servicios. Para esto se adjudica un nombre, al que se asignan
los parámetros de servicio. Los servicios definidos se pueden reunir a su vez en grupos, con
un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes se utilizan
entonces esos nombres.
Así se llega a esa función
● Con el comando de menú "Opciones" > "Servicios IP...", ficha "ICMP"
o
● Desde la ficha "Reglas IP", con el botón "Servicios IP...", ficha "ICMP"
Parámetros para servicios ICMP
Los servicios ICMP se definen a través de los siguientes parámetros:
Tabla 4- 15
Servicios ICMP: Parámetros
Denominació
n
Significado/comentario
Posibilidades de selección /
campos de valores
Name
Nombre de libre definición para el servicio; se
utiliza para la identificación en la definición de
reglas o en el agrupamiento.
Entrada libre
Type
Tipo del mensaje ICMP
Véase la representación del
cuadro de diálogo
Code
Códigos del tipo ICMP
Los valores dependen del tipo
seleccionado.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
163
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
4.3.9
Ajustar reglas para filtrado de paquetes MAC
Por medio de reglas para filtrado de paquetes MAC se pueden filtrar telegramas MAC.
Nota
Sin reglas MAC con el modo de enrutamiento activado
Si ha activado el modo de enrutamiento para el módulo SCALANCE S, no tienen aplicación
las reglas de MAC.
Cuadro de diálogo / ficha
Seleccione el módulo de seguridad que desea editar.
Para configurar el cortafuegos, elija el comando de menú "Edición" > "Propiedades...", ficha
"Cortafuegos> "Reglas MAC".
Introducir reglas de filtrado de paquetes
Introduzca correlativamente las reglas de cortafuegos en la lista; observe la siguiente
descripción de parámetros y los ejemplos en el capítulo siguiente o en la Ayuda en pantalla.
Principios básicos y aplicación
164
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Utilización de reglas de cortafuegos globales
Los conjuntos de reglas de cortafuegos globales asignados al módulo de seguridad se
adoptan automáticamente en la lista de reglas locales. Si el conjunto de reglas asignado
aparece al final de la lista, se procesará con la prioridad más baja. Es posible modificar la
prioridad cambiando la posición en la lista de reglas.
La Ayuda en pantalla le explica el significado de los distintos botones.
4.3.10
Reglas para filtrado de paquetes MAC
Las reglas de filtrado de paquetes MAC se editan según las siguientes evaluaciones:
● Parámetros registrados en la regla;
● Prioridad de las reglas dentro del conjunto de reglas.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
165
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Reglas para filtrado de paquetes MAC
La configuración de una regla MAC contiene los siguientes parámetros:
Tabla 4- 16
Reglas MAC: Parámetros
Denominación
Significado/comentario
Posibilidades de selección/rangos de valores
Acción
Definición de la autorización
(habilitación/bloqueo)
•
Allow
Autorizar telegramas según definición.
•
Drop
Bloquear telegramas según definición.
Para reglas de conexión creadas automáticamente:
•
Allow*
• Drop*
Si selecciona estas reglas, no habrá sincronización con
STEP 7. Así, las reglas modificadas no se sobrescribirán
en la SCT.
De/A
Las direcciones de comunicación
permitidas.
Se describen en las siguientes tablas.
Dirección MAC de
origen
Dirección de origen de los paquetes
MAC
Como alternativa se puede introducir un nombre simbólico.
Dirección MAC de
destino
Dirección de destino de los paquetes
MAC
Servicio
Nombre del servicio MAC o del
grupo de servicios utilizado.
La lista desplegable le ofrece los servicios y grupos de
servicios configurados, para su selección.
"Any" agrupa las direcciones
permitidas para la entrada en
cuestión.
Ninguna indicación significa: no se comprueba ningún
servicio, la regla es válida para todos los servicios.
Nota:
Para que los servicios MAC predefinidos aparezcan en la
lista desplegable, actívelos primero en el modo normal.
Ancho de banda
(Mbits/s)
Posibilidad de ajuste de una
limitación del ancho de banda. Solo
puede introducirse si para la acción
está seleccionado "Allow".
Un paquete pasa el cortafuegos si la
regla de paso es correcta y si no se
ha sobrepasado aún el ancho de
banda permitido para esa regla.
CP x43-1 Adv. y SCALANCE S ≤ V3.0: 0.001 ... 100
CP 1628 y SCALANCE S ≥ V3.0: 0.001 ... 1000
Para reglas en conjuntos de reglas globales y específicos
del usuario: 0.001 ... 100
Registro
Activación o desactivación del
registro para esta regla.
N.º
Número adjudicado
automáticamente para la asignación
a una regla de cortafuegos
configurada.
Comentario
Espacio para explicación propia de la Si un comentario está marcado con "AUTO", significa que
regla
ha sido creado para una regla de conexión automática.
Principios básicos y aplicación
166
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Direcciones permitidas
Pueden ajustarse las siguientes direcciones:
Tabla 4- 17
Direcciones de cortafuegos CP
Posibilidades de
selección/rangos de
valores
A
CP x43-1 Adv.
CP 1628
Externa
Estación
x
x
Acceso de la red externa a la
estación.
Estación
Externa
x
x
Acceso desde la estación a la red
externa.
Túnel
x
x
Acceso desde la estación al
interlocutor de túnel VPN.
Estación
x
x
Acceso a la estación a través del
interlocutor de túnel VPN.
Sentidos de cortafuegos SCALANCE S
Posibilidades de selección/rangos de
valores
De
A
Interna
Externa
Túnel
Any
Significado
De
Túnel
Tabla 4- 18
Módulo de seguridad
Módulo de seguridad
S602
S61x
S623 / S627-2M
Externa
x
x
x
Túnel
-
x
x
Any
-
x
x
Interna
x
x
x
Any
-
-
x
Túnel
-
-
x
Interna
-
x
x
Externa
-
x
x
Interna
-
x
x
Externa
-
-
x
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
167
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Evaluación de reglas por el módulo de seguridad
Las reglas de filtrado de paquetes se evalúan de la siguiente forma:
● La lista se evalúa de arriba hacia abajo; si hay reglas contradictorias, vale la entrada
situada más arriba.
● En el caso de las reglas para la comunicación en o desde el sentido "Externa", rige para
todos los telegramas no registrados explícitamente: están bloqueados todos los
telegramas excepto los permitidos explícitamente en la lista.
● En el caso de las reglas para la comunicación en o desde el sentido "Túnel", rige para
todos los telegramas no registrados explícitamente: están permitidos todos los
telegramas excepto los bloqueados explícitamente en la lista.
Nota
Las reglas de IP sirven para paquetes de IP, las reglas MAC sirven para paquetes de
nivel 2 (Layer-2)
Para el cortafuegos se pueden definir tanto reglas IP como reglas MAC. La edición en el
cortafuegos se regula con el tipo de ethernet del paquete.
Los paquetes IP se redirigen o se bloquean dependiendo de las reglas de IP, y los
paquetes de nivel 2 (Layer 2) se redirigen o se bloquean dependiendo de las reglas
MAC.
No es posible filtrar un paquete IP respecto a una dirección MAC con la ayuda de una
regla de cortafuegos MAC.
Ejemplos
El ejemplo del filtro de paquetes IP del capítulo 5.4.3 (Página 155) se puede utilizar por
analogía para las reglas de filtrado de paquetes MAC.
4.3.11
Definir servicios MAC
Cómo se accede a esa función
● Con el comando de menú "Opciones" > "Servicios MAC...".
o bien
● Desde la ficha "Reglas MAC", con el botón "Servicios MAC".
Significado
Con ayuda de las definiciones de servicios MAC se pueden definir reglas de cortafuegos,
que se aplican a servicios determinados. Se adjudica un nombre, al que se asignan los
parámetros de servicio. Además, los servicios definidos de este modo se pueden reunir en
grupos, con un nombre de grupo. Para la configuración de las reglas de filtrado de paquetes
globales o locales se utilizan entonces esos nombres.
Principios básicos y aplicación
168
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Parámetros para servicios MAC
Una definición de servicio MAC contiene una categoría de parámetros MAC específicos del
protocolo:
Tabla 4- 19
Parámetros de servicios MAC
Denominación
Significado/comentario
Nombre
Nombre de libre definición para el servicio; se utiliza para Entrada libre
la identificación en la definición de reglas o en el
agrupamiento.
Protocolo
Nombre del tipo de protocolo:
•
Posibilidades de selección/rangos de
valores
•
ISO
ISO
•
SNAP
ISO designa telegramas con las siguientes
propiedades:
•
PROFINET IO
•
0x (entrada de código)
Lengthfield <= 05DC (hex),
DSAP= userdefined
SSAP= userdefined
CTRL= userdefined
•
SNAP
SNAP designa telegramas con las siguientes
propiedades:
Lengthfield <= 05DC (hex),
DSAP=AA (hex),
SSAP=AA (hex),
CTRL=03 (hex),
OUI=userdefined,
OUI-Type=userdefined
•
PROFINET IO
DSAP
Destination Service Access Point: Dirección de
destinatario LLC
SSAP
Source Service Access Point: Dirección de remitente
LLC
CTRL
LLC Control Field
OUI
Organizationally Unique Identifier (los 3 primeros bytes
de la dirección MAC = identificación del fabricante)
Tipo OUI
Tipo de protocolo/identificación
*) Las entradas de protocolo 0800 (hex) y 0806 (hex) no se aceptan, ya que estos valores se aplican a telegramas IP o
ARP.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
169
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Nota
Procesamiento para CPs S7
Solo se procesan ajustes para frames ISO con DSAP=SSAP=FE (hex). Cualquier otro tipo
de frame no es relevante para CPs S7, por lo que ya es rechazado por el cortafuegos antes
del procesamiento.
Ajustes especiales para servicios SIMATIC NET
Utilice para el filtrado de servicios especiales SIMATIC NET los siguientes ajustes de SNAP:
● DCP (Primary Setup Tool):
PROFINET
● SiCLOCK:
OUI= 08 00 06 (hex), OUI-Type= 01 00 (hex)
Principios básicos y aplicación
170
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
4.3.12
Configurar grupos de servicios
Formación de grupos de servicios
Varios servicios se pueden reunir formando grupos de servicios. De este modo se pueden
crear servicios más complejos que entonces se pueden utilizar en las reglas de filtrado de
paquetes seleccionando simplemente un nombre.
Cuadro de diálogo / ficha
Abra el cuadro de diálogo con el siguiente comando de menú:
"Opciones" > "Servicios IP..." o bien "Servicios MAC...", ficha "Grupos de servicios".
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
171
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
4.3.13
Adaptar reglas estándar para servicios IP
Cómo se accede a esa función:
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades..." > ficha "Cortafuegos" > ficha
"Reglas estándar para servicios IP".
Significado de los ajustes avanzados
Parámetros
Significado en la activación
Utilizar opciones de estado ampliadas
Se limita el número de conexiones y estados del
cortafuegos admisibles por unidad de tiempo. Si un
dispositivo de red rebasa este límite, su dirección IP se
incluye en la lista negra de IP del módulo de seguridad. La
lista negra de IP del módulo de seguridad puede verse en el
modo online.
Registrar todas las reglas activadas
Se registran los paquetes permitidos según las reglas
estándar para los servicios IP.
Habilitar test ICMP para interfaces
Las solicitudes ping que entran en otra interfaz del módulo
de seguridad pueden transferirse a otras interfaces. De este
modo, desde la red externa pueden realizarse por ejemplo
solicitudes ping a la interfaz interna del módulo de
seguridad.
Significado de las reglas de cortafuegos estándar
En este cuadro de diálogo existe la posibilidad de adaptar las reglas de cortafuegos
específicas del servicio que están ajustadas de forma estándar para las interfaces de los
módulos de seguridad. Los ajustes estándar del cuadro de diálogo equivalen a las reglas de
cortafuegos estándar del módulo de seguridad correspondiente.
Reglas de cortafuegos estándar para SCALANCE S
En la tabla siguiente se listan las reglas de cortafuegos estándar para los módulos
SCALANCE S. En parte, las reglas de cortafuegos solo están activas cuando se utiliza el
servicio correspondiente en el módulo de seguridad (p. ej. SNMP).
Servicio
Enrutamiento por interfaz
HTTPS
Sentido
saliente
Interfaz X1
(rojo)
Interfaz X2
(verde)
Interfaz X3
(amarillo)
Interfaz de
túnel
-
x
-
-
x
x*
x
x*
Principios básicos y aplicación
172
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Servicio
Sentido
ICMP
Interfaz X1
(rojo)
Interfaz X2
(verde)
Interfaz X3
(amarillo)
Interfaz de
túnel
entrante
-
x
-
x
saliente
-
x
-
-
SNMP
entrante
x
x
x
x
Syslog
saliente
x
x
x
x
NTP
saliente
x
x
x
x
DNS
saliente
x
x
x
x
HTTP
saliente
ICMP Pathfinder
x
-
x
-
VPN (IKE)
x
-
x
-
VPN (NAT Traversal)
x
-
x
-
Servidor BootP
entrante
-
x
x
-
Cliente BootP
saliente
-
x
x
-
RADIUS
saliente
x
x
x
x
saliente
x*
x*
-
-
saliente
-
-
x*
-
CARP
Pfsync
x activado de forma predeterminada
- desactivado de forma predeterminada
* no puede adaptarse
Reglas de cortafuegos estándar para CP S7
En la tabla siguiente se listan las reglas de cortafuegos estándar para CP S7. Las reglas del
cortafuegos solo están ajustadas cuando está activado el servicio correspondiente en la
Security Configuration Tool.
Servicio
Sentido
Externa (Gbit)
Interna (PN IO)
VPN (IKE)
x*
-*
VPN (NAT Traversal)
x*
-*
Servidor BootP
saliente
x*
x*
Cliente BootP
entrante
x*
x*
x activado de forma predeterminada
- desactivado de forma predeterminada
* no puede adaptarse
Los dos servicios "Servidor BootP" y "Cliente BootP" están activos a la vez en la interfaz
externa o en la interna. Como resultado, las dos reglas de cortafuegos están activas en la
interfaz externa o en la interna.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
173
Configurar el cortafuegos
4.3 Cortafuegos en modo avanzado
Principios básicos y aplicación
174
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.1
Módulo de seguridad como router
5.1.1
Sinopsis
5
Significado
Al utilizar el módulo de seguridad como router, las redes de la interfaz interna, externa y
DMZ (solo SCALANCE S623/S627-2M, véase el apartado más abajo) se convierten en
subredes separadas.
Existen las siguientes posibilidades:
● Enrutamiento: ajustable en los modos normal y avanzado
● Enrutamiento NAT/NAPT: ajustable en el modo avanzado
Todas las solicitudes de red que no pertenecen a una subred se transfieren a otra subred a
través de un router; véase el capítulo siguiente:
● Definir un router predeterminado y rutas (Página 176)
Activar el modo de enrutamiento o la interfaz DMZ - Ficha "Interfaces"
Si se ha activado el modo de enrutamiento o la interfaz DMZ, se transmiten los telegramas
dirigidos a una dirección IP existente en la respectiva subred (interna, externa o DMZ). Por
lo demás son válidas las reglas de cortafuegos configuradas para el respectivo sentido de
transmisión.
Para este modo de operación tiene que configurar en la ficha "Interfaces" para la interfaz
interna y/o la interfaz DMZ una dirección IP y una máscara de subred para el
direccionamiento del router en la subred interna y/o la subred DMZ. Todas las solicitudes de
red que no pertenecen a una subred se transfieren a otra subred a través del router
estándar.
Nota
A diferencia del modo de puente del módulo de seguridad, en el modo de enrutamiento se
pierden los identificadores VLAN.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
175
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
Modo de puente y enrutamiento en el SCALANCE S623/S627-2M
La red DMZ es siempre una subred separada. La diferencia entre el modo de puente y el
modo de enrutamiento radica en la división de las redes externa e interna:
● Modo de operación "Puente": las redes interna y externa están en la misma subred; la
red DMZ está en una subred separada.
● Modo de operación "Enrutamiento": las redes interna y externa están cada una en una
subred propia; la red DMZ está en otra subred separada.
5.1.2
Definir un router predeterminado y rutas
Cómo se accede a esa función
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Routing".
3. Si registra la dirección IP/el FQDN para el router estándar, todas las rutas se encaminan
por ese router, siempre que no sean aplicables rutas específicas. Las rutas específicas
se introducen en el área de entrada "Rutas".
4. Haga clic en el botón "Agregar ruta".
5. Introduzca los valores siguientes:
Parámetro
Función
Valor de ejemplo
ID de red
Las solicitudes a dispositivos de la subred con la ID de
red indicada aquí y la máscara de subred indicada se
envían a la subred por la dirección IP de router
indicada.
192.168.11.0
A partir de la ID de red, el router reconoce si una
dirección de destino está en la subred o fuera de ella.
La ID de red indicada no puede estar en la misma
subred que la dirección IP del módulo de seguridad.
Máscara de subred
La máscara de subred estructura la red. A partir de la
ID de red y de la máscara de subred, el router
reconoce si una dirección de destino está en la subred
o fuera de ella. La máscara de subred que debe
indicarse no puede limitarse a un único dispositivo de
red (255.255.255.255).
255.255.255.0
Dirección IP del
router
Dirección IP/FQDN del router a través de la que se
accede a la subred.
192.168.10.2 / myrouter.dyndns.org
La dirección IP del router debe estar en la misma
subred que la dirección IP del módulo de seguridad.
Activar reenrutamiento (solo
para módulos
SCALANCE S
V3/V4)
Active esta casilla de verificación si los telegramas de
la ruta introducida deben entrar y salir por la misma
interfaz del módulo de seguridad (re-enrutamiento). El
re-enrutamiento solo es soportado por la interfaz
interna del módulo de seguridad.
Principios básicos y aplicación
176
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
Particularidades del router estándar
● Si en la ficha "Interfaces" está configurada la asignación de IP por "PPPoE", no es
necesario configurar un router predeterminado, ya que la ruta predeterminada siempre
conduce automáticamente a través de la interfaz PPPoE.
● Si en la ficha "Interfaces" está configurada la asignación de dirección por "Dirección
estática" y si el módulo de seguridad está conectado a Internet a través de un router
DSL(NAPT), hay que especificar el router DSL como router predeterminado.
● Para los módulos de seguridad del modo Ghost (solo SCALANCE S602 ≥ V3.1) no
pueden configurarse routers estándar, ya que se determinan en el tiempo de ejecución.
El modo Ghost no permite configurar rutas específicas para los módulos de seguridad.
5.1.3
Enrutamiento NAT/NAPT
Requisitos
● El proyecto se encuentra en el modo avanzado.
● El módulo de seguridad se encuentra en el modo de enrutamiento o la interfaz DMZ (solo
SCALANCE S623 / S627-2M) está activada.
Cómo se accede a esa función
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "NAT/NAPT".
3. Según se requiera, active una conversión de direcciones según NAT (Network Address
Translation) o NAPT (Network Address Port Translation).
Conversión de direcciones con NAT (Network Adress Translation)
NAT es un protocolo para la conversión de direcciones entre dos áreas de direcciones.
La principal tarea es la conversión de direcciones IP privadas en públicas, es decir, en
direcciones IP utilizadas y enrutadas en Internet. De ese modo se consigue que las
direcciones IP de la red interna no se conozcan en la red externa. Los dispositivos internos
solo se pueden ver en la red externa a través de las direcciones IP externas definidas en la
lista de conversión de direcciones (tabla NAT). El hecho de que la dirección IP externa no
sea la dirección del módulo de seguridad y que la dirección IP interna no sea unívoca se
denomina 1:1 NAT. Con 1:1 NAT la dirección interna se convierte a esta dirección externa
sin conversión de puerto. En cualquier otro caso será n:1 NAT.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
177
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
Conversión de direcciones con NAPT (Network Address Port Translation)
La conversión de direcciones en NAPT modifica la dirección IP de destino y el puerto de
destino en una relación de comunicación (reenvío de puerto).
Se convierten telegramas procedentes de la red externa o la red DMZ y destinados a la
dirección IP del módulo de seguridad. Si el puerto de destino del telegrama es idéntico a
uno de los valores de la columna "Source Port", el módulo de seguridad sustituye la
dirección IP de destino y el puerto de destino de la forma indicada en la fila correspondiente
de la tabla NAPT. En la respuesta, el módulo de seguridad aplica como dirección IP de
origen y puerto de origen los valores que figuran como dirección IP de destino o puerto de
destino en el telegrama inicial.
La diferencia respecto a NAT consiste en que en este protocolo también se pueden convertir
puertos. Ya no hay una conversión 1:1 de la dirección IP. Solo existe una dirección IP
pública, que se convierte agregando números de puerto a una serie de direcciones IP
privadas.
Conversión de direcciones en los túneles VPN
La conversión de direcciones con NAT/NAPT también se puede realizar para relaciones de
comunicación establecidas a través de túneles VPN. Esto se soporta para los interlocutores
del tipo SCALANCE M (solo NAT 1:1) y SCALANCE S612 / S623 / S627-2M V4.
Encontrará más información sobre las conversiones de direcciones en túneles VPN en los
siguientes capítulos:
● Conversión de direcciones con NAT/NAPT (Página 180)
● Conversión de direcciones con NAT/NAPT en túneles VPN (Página 186)
Conversión de reglas NAT/NAPT de proyectos antiguos
SCT V4.0 cambió el modo de configuración de las reglas NAT/NAPT y de las reglas de
cortafuegos correspondientes. Si desea adaptar o ampliar en SCT V4.0 las reglas
NAT/NAPT de un proyecto creado con SCT V3.0/V3.1, primero debe convertir las reglas
NAT/NAPT a SCT V4.0. Para ello, seleccione en el menú contextual de una regla
NAT/NAPT el comando de menú "Convertir todas las reglas NAT/NAPT a SCT V4" o
"Convertir las reglas NAT/NAPT seleccionadas a SCT V4". De este modo, para las reglas
NAT/NAPT convertidas SCT genera automáticamente reglas de cortafuegos que habilitan la
comunicación en el sentido de conversión de direcciones configurado. A continuación,
modifique o elimine las reglas de cortafuegos que ha generado manualmente para las reglas
NAT/NAPT si contradicen las reglas de cortafuegos generadas de forma automática.
Después, realice las adaptaciones y/o ampliaciones que desee de las reglas NAT/NAPT y
de cortafuegos.
Principios básicos y aplicación
178
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
Reglas que deben considerarse en la comprobación de coherencia
Observe las reglas siguientes para la asignación de direcciones, con el fin de obtener
entradas coherentes:
● Las direcciones IP internas no deben ser idénticas a las direcciones IP del módulo de
seguridad.
● Adopte para las direcciones IP la parte determinada por la máscara de subred:
– Las direcciones IP que introduzca para el sentido "Externa" deben estar en la misma
área de subred que la dirección IP externa del módulo de seguridad en la ficha
"Interfaces".
– Las direcciones IP que introduzca para el sentido "Interna" deben estar en la misma
área de subred que la dirección IP interna del módulo de seguridad en la ficha
"Interfaces".
– Las direcciones IP que introduzca para el sentido "DMZ" deben estar en la misma
área de subred que la dirección IP DMZ del módulo de seguridad en la ficha
"Interfaces".
● Una dirección IP utilizada en la lista de conversión de direcciones NAT/NAPT no debe
ser dirección Multicast ni dirección Broadcast.
● Los puertos externos asignados a la conversión NAPT han de estar en el rango > 0 y
≤ 65535.
Quedan excluidos los puertos 123 (NTP), 443 (HTTPS), 514 (Syslog), 161 (SNMP),
67+68 (DHCP) y 500+4500 (IPsec), siempre que estén activados los servicios
correspondientes en el módulo de seguridad.
● La dirección IP externa del módulo de seguridad o la dirección IP de la interfaz DMZ solo
se deben utilizar en la tabla NAT para la acción "Source-NAT".
● Control de duplicidad en la tabla NAT
Una dirección IP externa o una dirección IP de la red DMZ utilizada en sentido
"Destination-NAT", "Source-NAT + Destination-NAT" o "Double-NAT" solo puede
utilizarse una vez en cada sentido indicado.
● Control de duplicidad en la tabla NAPT
– Cada número de puerto de origen solo puede introducirse una vez en cada interfaz.
– Los números de puerto o los rangos de puerto de los puertos externos y los puertos
DMZ no deben superponerse.
● Los puertos NAPT internos pueden estar en el rango > 0 y ≤ 65535.
Una vez finalizadas sus entradas, realice una comprobación de coherencia.
Elija el comando de menú "Opciones" > "Verificaciones de consistencia".
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
179
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
5.1.4
Conversión de direcciones con NAT/NAPT
Activar NAT
Se activa el campo de entrada para NAT. Las conversiones de direcciones NAT solo pasan
a ser efectivas tras realizar las entradas descritas a continuación en la lista de conversión de
direcciones. Tras crear las reglas NAT, se generan las reglas de cortafuegos
correspondientes y se muestran en el modo avanzado; véase el capítulo:
Relación entre router NAT/NAPT y cortafuegos (Página 188)
Si está activado PPPoE para la interfaz externa o la interfaz DMZ, la acción "DestinationNAT" no puede configurarse. Al configurar la acción "Source-NAT", la dirección IP no puede
introducirse en el campo de entrada "Conversión de origen" porque se determina de forma
dinámica en el tiempo de ejecución.
Acciones de conversión de direcciones posibles para NAT
La siguiente tabla recoge las posibilidades de entrada para la conversión de direcciones con
NAT.
Acción "Destination-NAT" - "Redirect"
La acción "Destination-NAT" puede ejecutarse en el siguiente sentido:
● De externa a interna
Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está
activada, la acción "Destination-NAT" también puede ejecutarse en los siguientes sentidos:
● De externa a DMZ
● De DMZ a interna
● De DMZ a externa
Si el módulo de seguridad se encuentra en un grupo VPN (solo para SCALANCE S602), la
acción "Destination-NAT" puede ejecutarse, además, en los siguientes sentidos:
● De túnel a interna
● De túnel a externa
● De túnel a DMZ (solo con la interfaz DMZ activada)
Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: se comprueba si
la dirección IP de destino de un telegrama procedente de la red externa coincide con la
dirección IP indicada en el campo de entrada "Dirección IP de destino". Si coincide, el
telegrama se transfiere a la red interna sustituyendo la dirección IP de destino del telegrama
por la dirección IP indicada en el campo de entrada "Conversión de destino". El acceso de
externa a interna a través de la dirección IP externa es posible.
La siguiente tabla muestra el esquema de entrada para la acción "Destination-NAT".
Principios básicos y aplicación
180
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
Campo
Entradas posibles
Dirección IP de origen
No relevante para esta acción.
Significado
-
Conversión de origen
No relevante para esta acción.
-
Dirección IP de destino
Dirección IP en la red de origen
Dirección IP de destino en la red de origen a través
de la cual se debe acceder a una dirección IP de la
red de destino.
Si en un telegrama la dirección IP de destino
concuerda con la dirección introducida, la dirección
se cambia por la dirección IP correspondiente en la
red de destino.
Si la dirección IP introducida aquí no es la dirección
IP del módulo de seguridad, se convierte en
dirección alias. Eso significa que la dirección IP
indicada se registra además como dirección IP en la
interfaz seleccionada. Las direcciones alias se
muestran también en la ficha "Interfaces" del módulo
de seguridad. Asegúrese de que no existe ningún
conflicto de dirección IP en la red con esta dirección
alias.
Conversión de destino
Dirección IP en la red de destino
N.º
-
La dirección IP de destino se sustituye por la
dirección IP indicada aquí.
Número consecutivo adjudicado por SCT que se
utiliza para la referencia a la regla de cortafuegos
que SCT genera para la regla NAT.
Acción "Source-NAT" - "Masquerading"
La acción "Source-NAT" puede ejecutarse en el siguiente sentido:
● De interna a externa
Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está
activada, la acción "Source-NAT" también puede ejecutarse en los siguientes sentidos:
● De interna a DMZ
● De externa a DMZ
● De DMZ a externa
Si el módulo de seguridad se encuentra en un grupo VPN (solo para SCALANCE S602), la
acción "Source-NAT" puede ejecutarse, además, en los siguientes sentidos:
● De interna a túnel
● De externa a túnel
● De DMZ a túnel (solo con la interfaz DMZ activada)
Para el sentido "De interna a externa" se aplica, por ejemplo, lo siguiente: se comprueba si
la dirección IP de origen de un telegrama procedente de la red interna coincide con la
dirección IP indicada en el campo de entrada "Dirección IP de origen". Si coincide, el
telegrama se transfiere a la red externa con la dirección IP externa indicada en el campo de
entrada "Conversión de origen" como nueva dirección IP de origen. En la red externa rige la
dirección IP externa.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
181
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
La siguiente tabla muestra el esquema de entrada para la acción "Source-NAT".
Campo
Entradas posibles
Significado
Dirección IP de origen
Dirección IP en la red de origen
La dirección IP de origen del dispositivo indicado se
sustituye por la dirección IP indicada en el campo de
entrada "Conversión de origen".
Rango de direcciones IP en la red de
origen
El rango de direcciones IP se sustituye por la dirección
IP indicada en el campo de entrada "Conversión de
origen".
Dirección IP en la red de destino
Entrada de la dirección IP que debe utilizarse como
nueva dirección IP de origen.
Conversión de origen
Si la dirección IP introducida aquí no es la dirección IP
del módulo de seguridad, se convierte en dirección
alias. Eso significa que la dirección indicada se registra
además como dirección IP en la interfaz seleccionada.
Las direcciones alias se muestran también en la ficha
"Interfaces" del módulo de seguridad. Asegúrese de
que no existe ningún conflicto de dirección IP en la red
con esta dirección alias.
Dirección IP de destino
No relevante para esta acción.
No relevante para esta acción.
Conversión de destino
No relevante para esta acción.
No relevante para esta acción.
N.º
-
Número consecutivo adjudicado por SCT que se utiliza
para la referencia a la regla de cortafuegos que SCT
genera para la regla NAT.
Puede configurar que las direcciones de todos los telegramas que van de una red de origen
a una red de destino se conviertan a la dirección IP de los módulos de la red de destino.
Además, el módulo de seguridad asigna un número de puerto a cada telegrama. En este
caso, se trata de una conversión de direcciones n:1 NAT en la que varias direcciones IP de
la red de origen se convierten a una dirección IP de la red de destino.
Introduzca, por ejemplo, los siguientes parámetros para el sentido "De interna a externa":
● Acción: "Source-NAT"
● De: "Interna"
● A "Externa"
● Dirección IP de origen: "*"
● Conversión de origen: dirección IP externa del módulo de seguridad
Acción "Source-NAT + Destination-NAT" - "1:1-NAT"
La acción "Source-NAT + Destination-NAT" puede ejecutarse en el siguiente sentido:
● De interna a externa
Principios básicos y aplicación
182
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está
activada, la acción "Source-NAT + Destination-NAT" también puede ejecutarse en los
siguientes sentidos:
● De interna a DMZ
● De externa a DMZ
● De DMZ a externa
Si el módulo de seguridad se encuentra en un grupo VPN (solo para SCALANCE S602), la
acción "Source-NAT + Destination-NAT" puede ejecutarse, además, en los siguientes
sentidos:
● De externa a túnel
● De interna a túnel
● De DMZ a túnel (solo con la interfaz DMZ activada)
Para el sentido "De interna a externa" se aplica, por ejemplo, lo siguiente: en el acceso de
interna a externa, se ejecuta la acción "Source-NAT". En el acceso de externa a interna, se
ejecuta la acción "Destination-NAT".
La siguiente tabla muestra el esquema de entrada para la acción "Source-NAT+ DestinationNAT":
Campo
Entradas posibles
Significado
Dirección IP de origen
Dirección IP en la red de origen
La configuración siempre se indica en sentido
Source-NAT. Por ello, las direcciones IP del sentido
Destination-NAT siempre son insertadas
automáticamente por SCT.
Rango de direcciones IP en la red de
origen
Conversión de origen
Dirección IP en la red de destino
Dirección IP de destino
No relevante para esta acción.
Conversión de destino
No relevante para esta acción.
N.º
-
Número consecutivo adjudicado por SCT que se
utiliza para la referencia a las reglas de cortafuegos
que SCT genera para la regla NAT.
Acción "Double-NAT"
La acción "Double-NAT" puede ejecutarse en los siguientes sentidos:
● De interna a externa
● De externa a interna
Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está
activada, la acción "Double-NAT" también puede ejecutarse en los siguientes sentidos:
● De interna a DMZ
● De externa a DMZ
● De DMZ a interna
● De DMZ a externa
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
183
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
Source-NAT y Destination-NAT se producen siempre en cada sentido.
Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: en el acceso de
externa a interna, se sustituye la dirección IP de origen del dispositivo externo (SourceNAT). Además, el acceso a la red interna se realiza a través de la dirección IP externa
(Destination-NAT) indicada en el campo de entrada "Dirección IP de destino".
Puede utilizar esta acción, por ejemplo, si se ha introducido un router estándar distinto al
módulo de seguridad para un dispositivo al que se accede con ayuda de Destination-NAT.
Los telegramas de respuesta de este dispositivo no se enviarán al router estándar
introducido, sino a la interfaz correspondiente del módulo de seguridad.
La siguiente tabla muestra el esquema de entrada para la acción "Double-NAT":
Campo
Entradas posibles
Significado
Dirección IP de origen
Dirección IP en la red de origen
Dirección IP del dispositivo en la red de
origen
Conversión de origen
Dirección IP de destino
-
La conversión de direcciones SourceNAT se realiza siempre a la dirección
IP del módulo de seguridad en la red
de destino. Por este motivo, el campo
de entrada "Conversión de origen" no
puede configurarse.
Dirección IP en la red de origen
Dirección IP de destino en la red de
origen a través de la cual se debe
acceder a una dirección IP de la red de
destino.
Si en un telegrama la dirección IP de
destino concuerda con la dirección IP
introducida, la dirección IP se sustituye
por la dirección IP introducida en el
campo de entrada "Conversión de
destino".
Si la dirección IP introducida aquí no es
la dirección IP del módulo de
seguridad, se convierte en dirección
alias. Eso significa que la dirección
indicada se registra además como
dirección IP en la interfaz
seleccionada. Las direcciones alias se
muestran también en la ficha
"Interfaces" del módulo de seguridad.
Asegúrese de que no existe ningún
conflicto de dirección IP en la red con
esta dirección alias.
Conversión de destino
N.º
Dirección IP en la red de destino
-
La dirección IP de destino se sustituye
por la dirección IP indicada aquí.
Número consecutivo adjudicado por
SCT que se utiliza para la referencia a
la regla de cortafuegos que SCT
genera para la regla NAT.
Principios básicos y aplicación
184
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
Activar NAPT
Se activa el campo de entrada para NAPT. Las conversiones NAPT solo pasan a ser
efectivas tras realizar las entradas descritas a continuación en la lista. Tras crear las reglas
NAPT, se generan las reglas de cortafuegos correspondientes y se muestran en el modo
avanzado; véase el capítulo:
Relación entre router NAT/NAPT y cortafuegos (Página 188)
La conversión de direcciones IP con NAPT puede ejecutarse en el siguiente sentido:
● De externa a interna
Si la interfaz DMZ de los módulos de seguridad (solo SCALANCE S623/S627-2M) está
activada, la conversión de direcciones IP con NAPT también puede ejecutarse en los
siguientes sentidos:
● De externa a DMZ
● De DMZ a interna
● De DMZ a externa
Si el módulo de seguridad se encuentra en un grupo VPN (solo para SCALANCE S602), la
conversión de direcciones IP con NAPT puede ejecutarse, además, en los siguientes
sentidos:
● De externa a túnel
● De túnel a interna
● De túnel a externa
● De DMZ a túnel (solo con la interfaz DMZ activada)
● De túnel a DMZ (solo con la interfaz DMZ activada)
Para el sentido "De externa a interna" se aplica, por ejemplo, lo siguiente: los telegramas
destinados a la dirección IP externa del módulo de seguridad y al puerto introducido en la
columna "Source Port" se transfieren a la dirección IP de destino de la red interna y al
puerto de destino indicados.
La siguiente tabla muestra el esquema de entrada para la conversión de direcciones con
NAPT:
Campo
Entradas posibles
Significado
Source Port
Puerto o rango de puertos TCP/UDP
Un dispositivo de la red de origen puede enviar un telegrama a
un interlocutor de la red de destino utilizando este número de
puerto.
Ejemplo de entrada de un rango de
puertos: 78:99
Dirección IP
de destino
Dirección IP en la red de destino
Los telegramas destinados a la dirección IP del módulo de
seguridad de la red de origen, así como al puerto TCP/UDP
indicado en el campo "Source Port", se transfieren a la
dirección IP aquí indicada.
Target Port
Puerto TCP/UDP
Número de puerto al que se transfieren los telegramas
procedentes de la red de origen.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
185
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
Campo
Protocolo
Entradas posibles
•
TCP+UDP
•
TCP
•
UDP
N.º
Significado
Selección de la familia de protocolos para los números de
puerto indicados
-
Número consecutivo adjudicado por SCT que se utiliza para la
referencia a la regla de cortafuegos que SCT genera para la
regla NAPT.
Consulte también
Reglas de filtrado de paquetes IP (Página 155)
5.1.5
Conversión de direcciones con NAT/NAPT en túneles VPN
Significado
La conversión de direcciones con NAT/NAPT también se puede realizar para relaciones de
comunicación establecidas a través de túneles VPN.
Requisitos
Los módulos SCALANCE S que tengan que ejecutar una conversión de direcciones con
NAT/NAPT en un túnel VPN deben cumplir de forma general los siguientes requisitos:
● El módulo SCALANCE S se encuentra en un grupo VPN.
● El módulo SCALANCE S se encuentra en el modo de enrutamiento y/o la interfaz DMZ
del módulo SCALANCE S está activada.
Sentidos de conversión de direcciones soportados
Se soportan los sentidos de conversión de direcciones descritos en el siguiente capítulo:
Conversión de direcciones con NAT/NAPT (Página 180)
Acciones de conversión de direcciones soportadas
Las relaciones de comunicación tuneladas admiten las siguientes acciones de conversión
de direcciones:
● Destination-NAT ("Redirect")
● Source-NAT ("Masquerading")
Principios básicos y aplicación
186
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
● Source y Destination-NAT ("NAT 1:1")
● NAPT ("Portforwarding")
Encontrará información básica sobre estas acciones de conversión de direcciones en el
capítulo siguiente:
Conversión de direcciones con NAT/NAPT (Página 180)
Acoplamientos VPN soportados
En combinación con NAT/NAPT, se soportan los siguientes acoplamientos VPN:
Acoplamiento VPN
Conexión VPN iniciada por
Conversión de direcciones
realizada por
SCALANCE S (a)
SCALANCE S (b)
SCALANCE S (a) o SCALANCE S (b)
SCALANCE S (a) y/o
SCALANCE S (b)
SCALANCE S
CP S7 / CP PC
SCALANCE S o CP S7 / CP PC
SCALANCE S
SCALANCE S
SCALANCE M
(SCALANCE S o) SCALANCE M
SCALANCE S y/o
SCALANCE M*
SOFTNET Security Client
SCALANCE S
SOFTNET Security Client
SCALANCE S y/o
SOFTNET Security Client
(acción: "Source-NAT",
sentido: "De túnel a
interna")
SCALANCE S
Cliente NCP VPN
(Android)
Cliente NCP VPN (Android)
SCALANCE S
* Solo se soporta NAT 1:1.
Los módulos SCALANCE S de los tipos SCALANCE S623 V4 y SCALANCE S627-2M V4
que tienen un punto final VPN en la interfaz externa y en la interfaz DMZ pueden realizar
conversiones de direcciones en ambas interfaces de forma simultánea.
Comportamiento de conversión de direcciones en caso de participación en varios grupos VPN
Si un módulo SCALANCE S participa en varios grupos VPN, las reglas de conversión de
direcciones configuradas para la interfaz de túnel del módulo SCALANCE S son válidas
para todas las conexiones VPN de este módulo SCALANCE S.
Tenga en cuenta lo siguiente:
En cuanto haya configurado una conversión de direcciones NAT en o desde el sentido túnel,
ya solo podrá acceder a las direcciones IP implicadas de las reglas de conversión de
direcciones NAT mediante el túnel VPN.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
187
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
5.1.6
Relación entre router NAT/NAPT y cortafuegos
Significado
Tras crear reglas NAT/NAPT, SCT genera automáticamente reglas de cortafuegos que
habilitan la comunicación en el sentido de conversión de direcciones configurado. Las reglas
de cortafuegos generadas pueden desplazarse y ampliarse si es necesario (direcciones IP
adicionales, servicios, ancho de banda). Los parámetros de cortafuegos generados por SCT
no pueden adaptarse. Después de desactivar NAT/NAPT se eliminan las reglas de
cortafuegos generadas por SCT.
Para simplificar la referencia entre las reglas NAT/NAPT y las correspondientes reglas de
cortafuegos, las reglas de las fichas "NAT/NAPT" y "Cortafuegos" se marcan con los
correspondientes números consecutivos.
La siguiente tabla muestra los esquemas de las reglas de cortafuegos generadas para las
reglas NAT.
Tabla 5- 1
Conversión de direcciones NAT y reglas de cortafuegos correspondientes
Acción NAT
Regla de cortafuegos creada
Acción
De
A
Dirección IP de
origen
Source-NAT
Allow
Red de origen
Red de destino
Dirección IP del
dispositivo indicado
en el campo de
entrada "Dirección
IP de origen".
-
DestinationNAT
Allow
Red de origen
Red de destino
-
Dirección IP del
dispositivo indicado
en el campo de
entrada
"Conversión de
destino".
Source-NAT +
DestinationNAT
Allow
Red de origen
Red de destino
Dirección IP del
dispositivo indicado
en el campo de
entrada "Dirección
IP de origen".
-
Allow
Red de destino
Red de origen
-
Dirección IP del
dispositivo
insertado por SCT
en el campo de
entrada
"Conversión de
destino".
Allow
Red de origen
Red de destino
Dirección IP del
dispositivo indicado
en el campo de
entrada "Dirección
IP de origen".
Dirección IP del
dispositivo indicado
en el campo de
entrada
"Conversión de
destino".
Double-NAT
Dirección IP de
destino
Principios básicos y aplicación
188
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
La siguiente tabla muestra el esquema de las reglas de cortafuegos generadas para las
reglas NAPT.
Tabla 5- 2
Conversiones NAPT y reglas de cortafuegos creadas
Regla de cortafuegos creada
Acción
De
A
Allow
Red de origen
Red de destino
Dirección IP de
origen
-
Dirección IP de
destino
Servicio
Dirección IP del [NúmPuerto_protoc
dispositivo
olo]
indicado en el
campo de
entrada
"Dirección IP de
destino".
Stateful Packet Inspection
El cortafuegos y el router NAT/NAPT contribuyen a la "Stateful Packet Inspection". Por esta
razón, los telegramas de respuesta pueden pasar el router NAT/NAPT y el cortafuegos sin
que sus direcciones se tengan que adoptar adicionalmente en las reglas de cortafuegos ni
en la conversión de direcciones de NAT/NAPT.
5.1.7
Relación entre router NAT/NAPT y cortafuegos específico del usuario
Significado
Tras crear reglas NAT/NAPT en el cortafuegos específico del usuario, SCT genera
automáticamente un conjunto de reglas IP específico del usuario que habilita la
comunicación en el sentido de conversión de direcciones configurado. Puede asignar a este
conjunto de reglas IP específico del usuario uno o varios usuarios y/o uno o varios roles
(solo para módulos SCALANCE S V4).
Las reglas de cortafuegos generadas pueden desplazarse y ampliarse si es necesario
(direcciones IP adicionales, servicios, ancho de banda). Los parámetros de cortafuegos
generados por SCT no pueden adaptarse. Si el conjunto de reglas IP específico del usuario
es arrastrado (Drag and Drop) hasta un módulo de seguridad con NAT/NAPT desactivado,
las reglas NAT/NAPT del cortafuegos específico del usuario tampoco se aplican a este
módulo de seguridad.
Nota
No se soporta la acción de conversión de direcciones "Double-NAT" en relación con el
cortafuegos específico del usuario.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
189
Configuración de otras propiedades de los módulos
5.1 Módulo de seguridad como router
Cómo se accede a esa función
Ficha "NAT" o "NAPT" del cuadro de diálogo de configuración para conjuntos de reglas IP
específicos del usuario, véase el capítulo siguiente:
Conjuntos de reglas IP específicos de usuario (Página 148)
Sentidos de conversión de direcciones soportados para la acción "Source-NAT"
La acción "Source-NAT" puede ejecutarse en los siguientes sentidos:
● De externa a DMZ
● De DMZ a externa
● ...
En el campo "Dirección IP de origen" no puede introducirse ninguna dirección IP. La
dirección IP se introduce automáticamente cuando el dispositivo inicia sesión en el módulo
de seguridad.
Sentidos de conversión de direcciones soportados para la acción "Destination-NAT"
La acción "Destination-NAT" puede ejecutarse en los siguientes sentidos:
● De externa a interna
● De externa a DMZ
● De DMZ a interna
● De DMZ a externa
● ...
Sentidos de conversión de direcciones soportados para la acción "Source-NAT + Destination-NAT"
La acción "Source-NAT + Destination-NAT" puede ejecutarse en los siguientes sentidos:
● De externa a DMZ
● De DMZ a externa
En el campo "Dirección IP de origen" no puede introducirse ninguna dirección IP. La
dirección IP se introduce automáticamente cuando el dispositivo inicia sesión en el módulo
de seguridad.
Sentidos de conversión de direcciones soportados para NAPT
La conversión de direcciones con NAPT puede ejecutarse en los siguientes sentidos:
● De externa a interna
● De externa a DMZ
● De DMZ a interna
● De DMZ a externa
● ...
Principios básicos y aplicación
190
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.2 Módulo de seguridad como servidor DHCP
Conversión de direcciones NAT/NAPT y conjuntos de reglas IP específicos del usuario
correspondientes
Las reglas de cortafuegos para conjuntos de reglas IP específicos del usuario generados a
partir de reglas NAT/NAPT son idénticos a las reglas de cortafuegos generadas de forma
local para módulos de seguridad concretos, véase el capítulo:
Relación entre router NAT/NAPT y cortafuegos (Página 188)
5.2
Módulo de seguridad como servidor DHCP
5.2.1
Sinopsis
Resumen
El módulo de seguridad puede utilizarse en la red interna y en la red DMZ como servidor
DHCP (DHCP = Dynamic Host Configuration Protocol). Esto permite asignar
automáticamente direcciones IP a los dispositivos conectados.
Es posible el modo servidor DHCP simultáneo en ambas interfaces.
Las direcciones IP se asignan dinámicamente desde una banda de direcciones definida por
el usuario, o bien se asigna una dirección IP a un dispositivo concreto conforme a sus
predeterminaciones. Si los dispositivos de la interfaz interna o DMZ deben obtener siempre
la misma dirección IP para la configuración del cortafuegos, la asignación de direcciones
solo puede ser estática a partir de la dirección MAC o de la ID de cliente.
Requisitos
Tiene que configurar los dispositivos en la red interna o DMZ de manera que obtengan la
dirección IP de un servidor DHCP.
Dependiendo del modo de operación, el módulo de seguridad transmite a los dispositivos de
la subred correspondiente una dirección IP del router predeterminado, o bien se tiene que
comunicar una dirección IP de router a los dispositivos de la subred.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
191
Configuración de otras propiedades de los módulos
5.2 Módulo de seguridad como servidor DHCP
● Se transmite la dirección IP del router
En los casos siguientes, el módulo de seguridad transmite a los dispositivos una
dirección IP de router a través del protocolo DHCP:
– El dispositivo está en la interfaz DMZ (solo SCALANCE S623/S627-2M).
El módulo de seguridad transmite en este caso la dirección IP propia como dirección
IP del router.
– El dispositivo está en la interfaz interna y el módulo de seguridad está configurado
para el modo de router.
El módulo de seguridad transmite en este caso la dirección IP propia como dirección
IP del router.
– El dispositivo está en la interfaz interna y el módulo de seguridad no está configurado
para el modo de router, pero se ha indicado un router estándar en la configuración del
módulo de seguridad.
El módulo de seguridad transmite en este caso la dirección IP del router estándar
como dirección IP del router.
● No se transmite la dirección IP del router
En estos casos tiene que introducir manualmente la dirección IP del router en los
dispositivos:
– El dispositivo está en la interfaz interna y el módulo de seguridad no está configurado
para el modo de router. Adicionalmente, en la configuración del módulo de seguridad
no se ha indicado ningún router estándar.
Consulte también
Check Consistency (Página 61)
5.2.2
Configurar un servidor DHCP
Requisito
La ficha "Servidor DHCP" solo se muestra si el proyecto está en el modo avanzado.
Nota
No es posible regresar al modo normal
En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo
avanzado ya no es posible regresar.
Soluciones para SCT standalone: Cierre el proyecto sin guardarlo y vuelva a abrirlo.
Principios básicos y aplicación
192
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.2 Módulo de seguridad como servidor DHCP
Cómo se accede a esa función
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Servidor DHCP".
3. Active la casilla de verificación "Activar DHCP".
4. Seleccione para qué interfaz desea realizar los ajustes de DHCP.
5. Realice la asignación de direcciones. Para la configuración tiene las dos posibilidades
siguientes:
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
193
Configuración de otras propiedades de los módulos
5.2 Módulo de seguridad como servidor DHCP
● Asignación estática de direcciones
A dispositivos con una dirección MAC o un Client-ID determinados se les asignan
direcciones predeterminadas para cada caso. Introduzca para ello estos dispositivos en
la lista de direcciones en el campo de entrada "Asignación estática de direcciones". Esta
opción es aconsejable en relación a reglas del cortafuegos con indicación explícita de la
dirección IP de origen o destino.
● Asignación dinámica de direcciones
Dispositivos cuya dirección MAC o su Client-ID no se hayan indicado explícitamente
reciben una dirección IP cualquiera de una banda de direcciones predeterminada. Esta
banda de direcciones se ajusta en el campo de entrada "Asignación dinámica de
direcciones".
Nota
Asignación dinámica de direcciones - Comportamiento tras una interrupción de la
alimentación eléctrica
Tenga en cuenta que las direcciones IP asignadas dinámicamente no se almacenan si
se interrumpe la alimentación eléctrica. Tras restablecerse la alimentación eléctrica tiene
que cuidar por tanto de que todos los dispositivos soliciten de nuevo una dirección IP.
Por esta razón, solo debería prever la asignación dinámica de direcciones para los
siguientes dispositivos:
• dispositivos que se utilicen temporalmente en la subred (por ejemplo, dispositivos de
mantenimiento);
• dispositivos que en caso de una nueva solicitud transmitan al servidor DHCP como
"dirección preferida" una dirección IP anteriormente asignada (por ejemplo,
estaciones PC).
Para los dispositivos que están en servicio permanente se debe dar preferencia a la
asignación estática de direcciones indicando una ID de cliente (recomendado para CPs
S7 porque facilita la sustitución de módulos) o la dirección MAC.
Se da soporte a nombres simbólicos
En la función descrita a continuación se pueden introducir tanto direcciones IP o MAC como
nombres simbólicos.
Reglas que deben considerarse en la comprobación de coherencia
Al realizar sus entradas debe tener en cuenta las reglas indicadas a continuación:
● Las direcciones IP asignadas en el campo de entrada "Asignación estática de
direcciones" de la lista de direcciones no deben estar en el área de las direcciones IP
dinámicas.
● Los nombres simbólicos han de tener una asignación de dirección numérica. Si aquí se
asignan nuevos nombres simbólicos, además habrá que realizar la asignación de
direcciones en el cuadro de diálogo "Nombres simbólicos".
Principios básicos y aplicación
194
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.2 Módulo de seguridad como servidor DHCP
● Las direcciones IP, direcciones MAC e ID de cliente solo pueden aparecer una vez en el
campo de entrada "Asignación estática de direcciones" (con referencia al módulo de
seguridad).
● En el caso de las direcciones IP asignadas estáticamente, hay que indicar la dirección
MAC o la ID de cliente (nombre del equipo).
● El Client-ID es una secuencia de como máximo 63 caracteres. Solo se permiten los
caracteres siguientes: a-z, A-Z, 0-9 y - (guión).
Nota
En SIMATIC S7 es posible asignar a los dispositivos de la interfaz Ethernet una ID de
cliente para la referencia a una dirección IP a través de DHCP.
En PCs el procedimiento depende del sistema operativo utilizado; se recomienda utilizar
la dirección MAC para la asignación.
● En el caso de las direcciones IP asignadas estáticamente, hay que indicar la dirección IP.
● Las siguientes direcciones IP no deben estar en el área de la asignación dinámica de
direcciones:
– Todas las direcciones IP de router de la ficha "Enrutamiento"
– Servidor Syslog
– Router estándar
– Dirección(es) del módulo de seguridad
● DHCP es soportado por el módulo de seguridad en la interfaz con la subred interna y en
la interfaz con la red DMZ. De este comportamiento del módulo de seguridad se derivan,
además, los siguientes requisitos para las direcciones IP en el área de la asignación
dinámica de direcciones:
– Modo de puente
El área debe estar en la red definida por el módulo de seguridad.
– Modo de enrutamiento
El área debe estar en la subred interna definida por el módulo de seguridad.
Nota
La red DMZ representa siempre una subred separada. En caso de utilizar DHCP en la
interfaz DMZ, hay que tener en cuenta que el área de direcciones IP libre (direcciones
IP dinámicas) se encuentra dentro de la subred DMZ.
● El rango de direcciones IP libre se tiene que indicar por completo introduciendo la
dirección inicial y la dirección final. La dirección final debe ser más alta que la inicial.
● Las direcciones IP introducidas en el campo de entrada "Asignación estática de
direcciones" de la lista de direcciones tienen que estar en el área de direcciones de la
subred interna o de la red DMZ del módulo de seguridad.
Tenga en cuenta las aclaraciones al respecto del capítulo Check Consistency (Página 61).
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
195
Configuración de otras propiedades de los módulos
5.3 Sincronización horaria
5.3
Sincronización horaria
5.3.1
Sinopsis
Significado
Para comprobar la validez horaria de un certificado y para el sello de fecha y hora de
registros Log se indican la fecha y la hora en el módulo de seguridad.
Se pueden configurar las siguientes alternativas:
● Ajuste automático de la hora del módulo a la hora del PC al cargar una configuración.
● Ajuste automático y sincronización periódica de la hora a través de un servidor Network
Time Protocol (servidor NTP).
Sincronización mediante un servidor NTP
Para la creación del servidor NTP rigen las siguientes reglas:
● Los servidores NTP pueden crearse para todo el proyecto a través del menú de SCT
"Opciones" > "Configuración del servidor NTP...". Asigne un servidor NTP a un módulo
de seguridad en la ficha de propiedades "Sincronización horaria". Si diferentes módulos
de seguridad del proyecto SCT utilizan el mismo servidor NTP, sus datos solo tendrán
que introducirse una vez.
● Pueden crearse hasta 32 servidores NTP para todo el proyecto.
● A un módulo de seguridad se le pueden asignar como máximo 4 servidores NTP.
● Los nombres simbólicos se soportan en la definición de servidores NTP.
● Los FQDN se soportan en la definición de servidores NTP.
● Desde servidores NTP ya creados en STEP 7 se migran a SCT la dirección IP y el
intervalo de actualización.
● Si se selecciona "Sincronización horaria con NTP (seguro)", el módulo de seguridad solo
aceptará la hora de servidores NTP configurados del modo correspondiente (seguro). La
configuración combinada de servidores NTP (seguro) seguros y no seguros en un
módulo de seguridad no es posible.
Principios básicos y aplicación
196
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.3 Sincronización horaria
5.3.2
Configurar el control de la hora
Cómo se accede a esa función
Comando de menú SCT:
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Sincronización horaria".
Comando de menú de STEP 7 (si está activada la opción "Activar sincronización horaria en
procedimiento NTP"): "Sincronización horaria" > "Configuración NTP avanzada", botón
"Ejecutar".
Alternativas de sincronización horaria
Se pueden configurar las siguientes alternativas:
Tabla 5- 3
Sincronización horaria para CP
Posibilidades
Significado / repercusión
Sin sincronización horaria
Sin sincronización horaria a través del PC o un servidor
NTP.
Sincronización horaria con NTP
Ajuste automático y sincronización periódica de la hora
a través de un servidor NTP.
Sincronización horaria con NTP (seguro)
Ajuste automático y sincronización periódica de la hora
a través de un servidor NTP (seguro).
Tabla 5- 4
Sincronización horaria para SCALANCE S ≥ V3.0
Posibilidades
Significado / repercusión
Sin sincronización horaria
Sin sincronización horaria.
Ajustar hora con cada carga
Ajuste automático de la hora del módulo a la hora del
PC al cargar una configuración.
Sincronización horaria con NTP
Ajuste automático de la hora a través de un servidor
NTP.
Sincronización horaria con NTP (seguro)
Ajuste automático y sincronización periódica de la hora
a través de un servidor NTP (seguro).
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
197
Configuración de otras propiedades de los módulos
5.3 Sincronización horaria
Seleccionar el modo de sincronización horaria
Proceda del siguiente modo:
1. Seleccione el modo de sincronización horaria.
2. Para SCALANCE S < V3.0: En la sincronización a través de un servidor NTP, indique el
intervalo de actualización en segundos. Para SCALANCE S ≥ V3.0, el intervalo de
tiempo para la consulta del servidor NTP se define automáticamente.
Nota
Los servidores NTP creados en STEP 7 se migran automáticamente a SCT según el
intervalo de actualización. El intervalo de actualización solo puede modificarse en
STEP 7.
3. Si ha seleccionado el modo de sincronización "Sincronización horaria con NTP" o
"Sincronización horaria con NTP (seguro)", asigne al módulo de seguridad con el botón
"Agregar" un servidor NTP ya creado del mismo tipo que el que está seleccionado en el
campo "Modo de sincronización".
Si aún no hay servidores NTP, cree uno con el botón "Configurar servidor...".
5.3.3
Definir un servidor NTP
Cómo definir un servidor NTP nuevo:
1. Introduzca un nombre para el servidor NTP.
2. Introduzca la dirección IP/el FQDN del servidor NTP.
3. Seleccione el tipo.
Principios básicos y aplicación
198
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.4 SNMP
Configuración de NTP (seguro)
1. Haga clic en el botón "Agregar...".
2. Introduzca los datos siguientes:
Parámetros
Significado
ID de código
Valor numérico entre 1 ... 65534.
Autenticación
Seleccione el algoritmo de autenticación.
Hex/ASCII
Seleccione el formato del código NTP.
Código
Introduzca el código NTP con las siguientes
longitudes:
Hex: 22 ... 40 caracteres
ASCII: 11 ... 20 caracteres
Importar y exportar servidores NTP
Los botones "Importar..." y "Exportar..." permiten exportar la lista de claves del servidor NTP
mostrado en ese momento e importar el archivo a un servidor NTP, o viceversa.
5.4
SNMP
5.4.1
Sinopsis
¿Qué es SNMP?
El módulo de seguridad soporta la transmisión de información de administración a través del
Simple Network Management Protocol (SNMP). Para ello se ha instalado en el módulo de
seguridad un "agente SNMP", que recibe y responde a las solicitudes SNMP. La información
sobre las propiedades de dispositivos compatibles con SNMP está almacenada en los
denominados archivos MIB (MIB = Management Information Base), para los que el usuario
debe tener los derechos correspondientes (SNMPv3).
En SNMPv1 también se envía el "community string". El community string es como una
contraseña que se envía junto con la solicitud SNMP. Si el community string es correcto, el
módulo de seguridad responde con la información solicitada. Si el community string es
incorrecto, el módulo de seguridad rechaza la solicitud y no contesta.
En SNMPv3 los datos pueden enviarse cifrados.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
199
Configuración de otras propiedades de los módulos
5.4 SNMP
5.4.2
Activar SNMP
Requisito
HW Config: en la ficha "SNMP" de las propiedades del CP está activada la casilla de
verificación "Activar SNMP". Si no está activada no es posible configurar SNMP en la
Security Configuration Tool.
Procedimiento para configurar SNMP:
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "SNMP".
3. Active la casilla de verificación "Activar SNMP".
4. Elija una de las versiones de protocolo SNMP.
Nota
Transferencia de datos cifrada con SNMPv3
Con el fin de incrementar la seguridad es aconsejable utilizar SNMPv3, pues con él los
datos se transfieren cifrados.
– SNMPv1
Para controlar los derechos de acceso en el agente SNMP, el módulo de seguridad
utiliza los siguientes valores estándar para los community strings:
Para acceso de lectura: public
Para acceso de lectura y escritura: private
Para activar el acceso de escritura a través de SNMP, seleccione la casilla de
verificación "Permitir acceso de escritura".
– SNMPv3
Seleccione un método de autenticación o un método de autenticación y cifrado.
Algoritmo de autenticación: Ninguno, MD5, SHA-1
Algoritmo de encriptación: Ninguno, AES-128, DES
Nota
Evitar el uso de DES
DES es un algoritmo de cifrado no seguro. Por tanto, solo debería utilizarse cuando
sea necesario para la compatibilidad con versiones anteriores.
Principios básicos y aplicación
200
Manual de configuración, 09/2013, C79000-G8978-C286-02
Configuración de otras propiedades de los módulos
5.5 Proxy ARP
5. En el área "Configuración avanzada", configure datos específicos del módulo
relacionados con el autor, la ubicación y la dirección de correo electrónico, que
sobrescriban los datos de las propiedades del proyecto.
Si se activa la casilla de verificación "Conservar los valores escritos por SNMP-SET", los
valores escritos por una herramienta SNMP en el módulo de seguridad por medio de un
comando SNMP-SET no se sobrescribirán al volver a cargar una configuración de SCT
en el módulo de seguridad.
6. Si debe utilizarse SNMPv3, asigne a un usuario un rol que tenga activados los derechos
SNMP correspondientes para que pueda acceder al módulo de seguridad vía SNMP.
Encontrará más información sobre la configuración de usuarios, derechos y roles en el
capítulo siguiente:
– Administrar usuarios (Página 73)
5.5
Proxy ARP
Resumen
Proxy ARP permite a los routers responder a solicitudes ARP para hosts. Los hosts están en
redes separadas por routers, pero utilizan la misma área de direcciones IP.
Si PC1 envía una solicitud ARP a PC2, recibe del módulo de seguridad situado en medio, y
no del PC2, una respuesta ARP y la dirección de hardware de la interfaz (dirección MAC del
puerto del módulo de seguridad) en la que se recibió la solicitud. El PC1 solicitante envía
entonces sus datos al módulo de seguridad, que los transmite al PC2.
Cómo se accede a esa función
Esta función solo está disponible para la interfaz interna de un módulo de seguridad que
forma parte de un grupo VPN y está en modo de puente. Además, el proyecto debe estar en
modo avanzado.
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Proxy ARP".
3. Si el módulo de seguridad debe responder a una solicitud ARP de la LAN propia en lugar
del interlocutor específico, introduzca la dirección IP correspondiente.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
201
Configuración de otras propiedades de los módulos
5.5 Proxy ARP
Principios básicos y aplicación
202
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel
IPsec
6
En este capítulo se describe cómo conectar las subredes IP protegidas por el módulo de
seguridad con una VPN (Virtual Private Network).
Tal como se ha descrito ya en el capítulo relativo a las propiedades del módulo, también
aquí se pueden conservar los ajustes predeterminados para garantizar una comunicación
segura dentro de la red interna.
Otras informaciones
La ayuda online le proporcionará también información detallada sobre los diálogos y los
parámetros ajustables.
Puede acceder a esta ayuda con la tecla F1 o con el botón "?" en el respectivo cuadro de
diálogo.
Consulte también
Funciones online - Test, Diagnóstico y Logging (Página 253)
6.1
VPN con módulos de seguridad
Conexión segura a través de red no protegida
Para los módulos de seguridad que protegen la red interna, los túneles IPsec proporcionan
una conexión de datos segura a través de la red externa no segura.
Mediante el intercambio de datos a través de IPsec se implementan los siguientes paquetes
de seguridad para la comunicación:
● Confidencialidad
Garantiza que los datos se transmiten cifrados.
● Integridad
Garantiza que los datos no han sido modificados.
● Autenticidad
Garantiza que los puntos finales de la VPN también son de confianza.
El módulo de seguridad utiliza el protocolo IPsec (modo túnel de IPsec) para la formación de
túneles.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
203
Comunicación segura en la VPN a través de túnel IPsec
6.1 VPN con módulos de seguridad
Las conexiones por túnel se realizan entre módulos del mismo grupo VPN
En el caso de los módulos de seguridad, las propiedades de una VPN se reúnen dentro de
un grupo VPN para todos los túneles IPsec.
Se establecen automáticamente túneles IPsec entre todos los módulos de seguridad y los
SOFTNET Security Clients pertenecientes al mismo grupo VPN. Un módulo de seguridad
puede pertenecer simultáneamente a diferentes grupos VPN en un mismo proyecto.
Principios básicos y aplicación
204
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.1 VPN con módulos de seguridad
Nota
Si se cambia el nombre de un módulo de seguridad, se tienen que reconfigurar todos los
módulos de seguridad de los grupos VPN a los que pertenece el módulo de seguridad
modificado (comando "Transferir" > "A todos los módulos...")
Si se cambia el nombre de un grupo VPN, se tienen que reconfigurar todos los módulos de
seguridad de ese grupo VPN (comando "Transferir" > "A todos los módulos...").
Nota
Los telegramas de capa 2 solo se transmiten vía túnel si entre dos módulos de seguridad
hay un router. No obstante, para ello es necesario configurar las direcciones MAC de los
interlocutores de forma estática en la Security Configuration Tool y, dado el caso, se pueden
registrar entradas ARP estáticas en los dispositivos de comunicación.
Regla general: Los telegramas no IP solo se transmiten a través de un túnel si los
dispositivos que envían o reciben los telegramas se podían comunicar ya anteriormente,
es decir, sin el uso de los módulos de seguridad.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
205
Comunicación segura en la VPN a través de túnel IPsec
6.2 Método de autenticación
6.2
Método de autenticación
Método de autenticación
El método de autenticación se establece dentro de un grupo VPN y determina la forma de
autenticación utilizada.
Son posibles métodos de autenticación basados en clave o en certificado:
● Preshared Keys
La autenticación se produce a través de una secuencia de caracteres establecida de
antemano, que se distribuye a todos los módulos del grupo VPN.
Introduzca previamente para ello una contraseña en el campo "Código" del cuadro de
diálogo "Propiedades del grupo VPN" o genere una contraseña con el botón "Nuevo...".
● Certificado
La autenticación basada en certificado denominada "Certificado" es el ajuste
predeterminado, que está activado también en el modo normal. El comportamiento es el
siguiente:
– Al crear un grupo VPN, se genera automáticamente un certificado CA para el grupo
VPN.
– Cada módulo de seguridad del grupo VPN recibe un certificado de grupos VPN
firmado con el código de la entidad emisora del grupo VPN.
Todos los certificados se basan en el estándar ITU X.509v3 (ITU, International
Telecommunications Union).
Los certificados son generados por una entidad certificadora contenida en la Security
Configuration Tool.
Nota
Restricción para el modo VLAN
En los telegramas IP a través del túnel de VPN del módulo de seguridad no se
transmiten identificadores de VLAN. Los identificadores de VLAN contenidos en los
telegramas IP se pierden al pasar los módulos de seguridad, ya que para la transmisión
de los telegramas IP se utiliza IPSec.
Con el ajuste predeterminado no es posible transmitir telegramas IP Broadcast o
Mulitcast con IPsec a través de un túnel VPN de capa 3. A través de un túnel VPN de
capa 2 del módulo de seguridad, los telegramas IP Broadcast o Multicast se
"empaquetan" en UDP y se transmiten exactamente como paquetes MAC, incluido el
encabezado Ethernet. Por ello, en esos paquetes también se conservan los
identificadores de VLAN.
Principios básicos y aplicación
206
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.3 Grupos VPN
6.3
Grupos VPN
6.3.1
Reglas para la creación de grupos VPN
Tenga en cuenta las reglas siguientes:
● Para SCALANCE S612 / S613 / S623 / S627-2M / SCALANCE M / dispositivo VPN
El primer módulo asignado a un grupo VPN decide qué otros módulos se pueden
agregar.
Si el primer módulo SCALANCE S agregado está en modo de enrutamiento o el primer
módulo de seguridad es un módulo SCALANCE M o un dispositivo VPN, solo es posible
agregar adicionalmente módulos SCALANCE S con enrutamiento activado o bien
módulos SCALANCE M o dispositivos VPN, ya que los módulos
SCALANCE M y los dispositivos VPN siempre funcionan en modo de enrutamiento.
Si el primer módulo SCALANCE S agregado está en modo de puente, solo es posible
agregar adicionalmente módulos SCALANCE S en modo de puente.
Un CP, un SSC o un cliente NCP VPN (Android) puede agregarse a un grupo VPN con
un SCALANCE S en modo de puente o enrutamiento.
● Para CP / SSC / cliente NCP VPN (Android)
Si el primer módulo de un grupo VPN es un CP / SSC / cliente NCP VPN (Android), es
posible agregar módulos de seguridad en los modos que se desee hasta que se agregue
un módulo SCALANCE S o SCALANCE M. A partir de ahí rigen las reglas para módulos
SCALANCE S y SCALANCE M, véase arriba.
● No es posible agregar un módulo SCALANCE M a un grupo VPN que contenga un
módulo SCALANCE S en el modo de puente.
Vea en la tabla siguiente qué módulos se pueden reunir en un grupo VPN:
Tabla 6- 1
Reglas para la creación de grupos VPN
Módulo
Se puede incluir en un grupo VPN que contenga el módulo
siguiente:
SCALANCE S en
modo de puente
SCALANCE S en
modo de
enrutamiento /
SCALANCE M /
dispositivo VPN /
cliente NCP VPN
(Android)
CP / SSC
SCALANCE S en modo de puente
x
-
x
SCALANCE S en modo de
enrutamiento
-
x
x
CP x43-1 Adv.
x
x
x
CP 1628
x
x
x
SOFTNET Security Client 2005
x
-
-
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
207
Comunicación segura en la VPN a través de túnel IPsec
6.3 Grupos VPN
Módulo
6.3.2
Se puede incluir en un grupo VPN que contenga el módulo
siguiente:
SCALANCE S en
modo de puente
SCALANCE S en
modo de
enrutamiento /
SCALANCE M /
dispositivo VPN /
cliente NCP VPN
(Android)
CP / SSC
SOFTNET Security Client 2008
x
x
x
SOFTNET Security Client V3.0
x
x
x
SOFTNET Security Client V4.0
x
x
x
SCALANCE M / Dispositivo VPN
-
x
x
Cliente NCP VPN (Android)
-
x
x
Relaciones de comunicación tunelada soportadas
Significado
Las tablas siguientes indican las interfaces de túnel que pueden formar un túnel
conjuntamente. En ellas se diferencia si el módulo SCALANCE S está en modo de
enrutamiento o puente.
Independientemente de la interfaz por la que se establezca el túnel VPN, de forma estándar
siempre pueden comunicarse entre sí los dispositivos de las subredes internas de los
módulos de seguridad. Si la comunicación por el túnel VPN debe llevarse a cabo también en
otras subredes, puede habilitarse en la ficha "VPN" de las propiedades avanzadas del
módulo para la comunicación tunelada; véase el capítulo siguiente:
● Configuración de otros dispositivos y subredes para el túnel VPN (Página 223)
Las subredes que tienen que habilitarse para la comunicación tunelada son:
● Subred en la interfaz externa (si la interfaz externa no es el punto final VPN)
● Subred en la interfaz DMZ (si la interfaz DMZ no es el punto final VPN)
● Otras subredes accesibles por router en las diferentes interfaces (si no son puntos finales
VPN)
Principios básicos y aplicación
208
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.3 Grupos VPN
Tabla 6- 2
Comunicación tunelada entre CP, módulos SCALANCE M, SOFTNET Security Clients y módulos SCALANCE
S en modo de enrutamiento
Interfaz del respondedor
Interfaz del iniciador
Externa (SCALANCE
M875)
Gbit, IE (CP)
Externa (SCALANCE S) DMZ (SCALANCE S623 /
S627-2M)
PC/PG
(SSC)
x
x
x
x
Externa
(SCALANCE M875)
x
x
x
x
Gbit, IE
(CP)
-
x
x
x
Externa
(SCALANCE S)
-
x
x
x
DMZ
(SCALANCE S623 /
S627-2M)
-
x
x
x
x se soporta
- no se soporta
Tabla 6- 3
Comunicación tunelada entre CP, SOFTNET Security Clients y módulos SCALANCE S en modo de puente
Interfaz del respondedor
Interfaz del iniciador
Gbit, IE (CP)
Externa (SCALANCE S)
DMZ (SCALANCE S623 /
S627-2M)
PC/PG (SSC)
x
x
-
Gbit, IE (CP)
x
x
-
Externa (SCALANCE S)
x
x
-
DMZ (SCALANCE S623 /
S627-2M)
-
-
-
x se soporta
- no se soporta
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
209
Comunicación segura en la VPN a través de túnel IPsec
6.3 Grupos VPN
6.3.3
Crear grupos VPN y asignar módulos
Requisito
Nota
Fecha y hora actuales en los módulos de seguridad
Cuando utilice comunicación segura (p. ej. HTTPS, VPN...), asegúrese de que los módulos
de seguridad afectados tienen la hora y fecha actuales. De lo contrario, los certificados
utilizados se considerarán no válidos y la comunicación segura no funcionará.
Cómo se accede a esa función
1. Seleccione un grupo VPN con el comando de menú "Insertar" > "Grupo".
2. Asigne al grupo VPN los módulos de seguridad, SOFTNET Security Clients, dispositivos
VPN y clientes NCP VPN (Android) que deban pertenecer a un grupo VPN. Para ello,
arrastre con el ratón los módulos desde el índice hasta el grupo VPN deseado en el área
de navegación (Drag and Drop).
Configuración de propiedades
Como en el caso de la configuración de módulos, también en la configuración de grupos
VPN repercuten las dos vistas de operación seleccionables en la Security Configuration
Tool:
● Modo normal
En el modo normal se conservan los ajustes predeterminados por el sistema. También
como persona no experta en IT puede configurar así túneles IPsec y practicar una
comunicación de datos segura.
● Modo avanzado
El modo avanzado ofrece posibilidades de ajuste para configurar de forma específica la
comunicación por túnel.
Principios básicos y aplicación
210
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.4 Configuración de túnel en modo normal
Visualización de todos los grupos VPN configurados, con sus propiedades
● En el área de navegación, seleccione el objeto "Grupos VPN"
Se visualizan por columnas las siguientes propiedades de los grupos:
Propiedad/columna
Significado
Comentario/selección
Nombre
Nombre del grupo
De libre elección
Autenticación
Tipo de autenticación
•
Preshared Key
•
Certificado
Miembro del grupo hasta
Duración de certificados
Véase el apartado "Ajustar la
duración de certificados"
Comentario
Comentario
De libre elección
Ajustar la duración de certificados
Abra de la forma siguiente el cuadro de diálogo en el que puede introducir la fecha de
caducidad del certificado:
1. En el área de navegación, seleccione el grupo VPN para el que desea configurar un
certificado.
2. Haga clic con el botón derecho del ratón en el módulo del área de contenido y seleccione
en el menú contextual el comando "Nuevo certificado...".
Nota
Caducidad de un certificado
La comunicación a través del túnel VPN continúa una vez caducado el certificado hasta
que el túnel se deshaga o finalice la vida útil SA. Encontrará más información sobre
certificados en el capítulo siguiente:
• Administrar certificados (Página 89)
6.4
Configuración de túnel en modo normal
Abrir el cuadro de diálogo para visualización de valores estándar
1. Seleccione el grupo VPN.
2. Elija el comando de menú "Editar" > "Propiedades...".
La visualización de las propiedades de grupo VPN es idéntica a la visualización en el modo
avanzado, pero los valores no pueden modificarse en el modo normal.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
211
Comunicación segura en la VPN a través de túnel IPsec
6.5 Configuración de túneles en el modo avanzado
6.5
Configuración de túneles en el modo avanzado
El modo avanzado ofrece posibilidades para configurar de forma específica la comunicación
por túnel.
Cambiar al modo avanzado
Para todas las funciones descritas en este capítulo, cambie el proyecto al modo avanzado.
Nota
No es posible regresar al modo normal
En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo
avanzado ya no es posible regresar.
Soluciones para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.
6.5.1
Configuración de propiedades del grupo VPN
Propiedades del grupo VPN
Nota
Se requieren conocimientos sobre IPsec
Para poder ajustar estos parámetros necesita tener conocimientos en materia de IPsec. Si
no efectúa o modifica ningún ajuste, rigen los ajustes predeterminados del modo normal.
En el modo avanzado se pueden configurar las siguientes propiedades del grupo VPN:
● Método de autenticación
● Ajustes IKE (área de diálogo: Advanced Settings Phase 1)
● Ajustes IPsec (área de diálogo: Advanced Settings Phase 2)
Principios básicos y aplicación
212
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.5 Configuración de túneles en el modo avanzado
Cómo se accede a esa función
1. En el área de navegación, seleccione el grupo VPN que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...".
3. Elija si para la autenticación debe utilizarse una Preshared Key o un certificado.
Encontrará más información al respecto en el capítulo siguiente:
– Método de autenticación (Página 206).
Parámetros para ajustes ampliados Fase 1 - Ajustes IKE
Fase 1: Cambio de código (IKE = Internet Key Exchange):
Aquí se ajustan los parámetros para el protocolo IKEv1 de la administración de códigos
IPsec. El cambio de código se produce conforme al método estandarizado IKEv1, para el
que se pueden ajustar los siguientes parámetros de protocolo:
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
213
Comunicación segura en la VPN a través de túnel IPsec
6.5 Configuración de túneles en el modo avanzado
Parámetro
Descripción
Modo IKE
Método de cambio de código:
•
Main Mode
• Aggressive Mode
La diferencia entre la modalidad Main y Aggressive es la "IdentityProtection" que se utiliza en el Main Mode. La identidad se transmite
codificada en el Main Mode, en el Aggressive Mode no.
Grupo DH fase 1
Convenio de codificación Diffie-Hellman:
•
Group 1
•
Group 2
•
Group 5
• Group 14
Grupos Diffie-Hellman (algoritmos criptográficos seleccionables en el
protocolo de cambio de códigos Oakley)
Tipo de vida útil SA
Phase 1 Security Association (SA):
• Time: Limitación del tiempo en minutos
Se limita el tiempo de vida útil para el material de codificación actual. Una
vez transcurrido ese tiempo se negocia de nuevo el material de
codificación.
Vida útil SA
Valor numérico:
Rango de valores para Time: 1440 ... 2500000 minutos (predeterminado:
2500000)
Cifrado fase 1
Autenticación fase 1
Algoritmo de cifrado:
•
DES*: Data Encryption Standard (longitud de código 56 bits, modo
CBC)
•
3DES-168: DES triple (longitud de código 168 bits, modo CBC)
•
AES-128, 192, 256: Advanced Encryption Standard (longitud de código
128 bits, 192 bits o 256 bits, modo CBC)
Algoritmo de autenticación:
•
MD5: Message Digest Algorithm 5
•
SHA1: Secure Hash Algorithm 1
* DES es un algoritmo de cifrado no seguro. Solo debería utilizarse cuando sea necesario
para la compatibilidad con versiones anteriores.
Parámetros para Advanced Settings Phase 2 - Ajustes IPsec
Fase 2: Intercambio de datos (ESP = Encapsulating Security Payload)
Aquí se ajustan los parámetros para el protocolo del intercambio de datos IPsec. El
intercambio de datos se produce en el "Quick Mode". Toda la comunicación que se produce
en esta fase está cifrada a través del protocolo de seguridad estandarizado ESP, para el
que pueden configurarse los siguientes parámetros:
Principios básicos y aplicación
214
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.5 Configuración de túneles en el modo avanzado
Parámetro
Descripción
Tipo de vida útil SA
Phase 2 Security Association (SA):
Vida útil SA
Cifrado fase 2
Autenticación fase 2
Perfect Forward
Secrecy
•
Time: Limitación de tiempo en minutos. Se limita el tiempo de vida útil
para el material de codificación actual. Una vez transcurrido ese tiempo
se negocia de nuevo el material de codificación.
•
Limit: Limitación del volumen de datos en MB
Valor numérico:
•
Rango de valores para Time: 60 ... 16666666 minutos (predeterminado:
2880)
•
Rango de valores para Limit: 2000 ... 500000 MB (predeterminado:
4000)
Algoritmo de cifrado:
•
DES*: Data Encryption Standard (longitud de código 56 bits, modo
CBC)
•
3DES-168: DES triple (longitud de código 168 bits, modo CBC)
•
AES-128: Advanced Encryption Standard (longitud de código 128 bits,
modo CBC)
Algoritmo de autenticación:
•
MD5: Message Digest Algorithm 5
•
SHA1: Secure Hash Algorithm 1
Elija si antes de cada negociación de una SA IPsec tiene lugar una nueva
negociación de la clave con ayuda del procedimiento Diffie-Hellman.
Perfect Forward Secrecy garantiza que a partir de las claves generadas
anteriormente no puedan deducirse las claves nuevas.
* DES es un algoritmo de cifrado no seguro. Solo debería utilizarse cuando sea necesario
para la compatibilidad con versiones anteriores.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
215
Comunicación segura en la VPN a través de túnel IPsec
6.5 Configuración de túneles en el modo avanzado
6.5.2
Incluir un módulo de seguridad en un grupo VPN configurado
Las propiedades de grupo configuradas se adoptan para los módulos de seguridad nuevos
que se incluyen en un grupo VPN existente.
Incluir estaciones activas en un grupo VPN
Si una estación activa se agrega a un grupo VPN ya existente, la estación podrá acceder a
las estaciones del grupo sin necesidad de tener que cargar el proyecto de nuevo en todas
ellas.
Nota
Si retira una estación activa de un grupo VPN existente, la estación podrá establecer una
conexión con las estaciones del grupo aunque haya vuelto a cargar el proyecto en todas
ellas.
Si no desea que la estación activa retirada establezca conexión, renueve el certificado CA
del grupo VPN y vuelva a cargar el proyecto en las estaciones del grupo VPN.
El certificado CA del grupo VPN puede renovarse en las propiedades de grupo del grupo
VPN o en el administrador de certificados, en la ficha "Entidades emisoras".
Procedimiento a seguir
En el procedimiento hay que distinguir lo siguiente:
● Caso a: si no se han modificado las propiedades del grupo y el módulo de seguridad que
debe agregarse establece activamente la conexión con los módulos de seguridad ya
configurados:
1. Agregue el módulo de seguridad nuevo al grupo VPN.
2. Cargue la configuración en el nuevo módulo de seguridad.
● Caso b:si se han modificado las propiedades del grupo o el módulo de seguridad que
debe agregarse no establece activamente la conexión con los módulos de seguridad ya
configurados:
1. Agregue el módulo de seguridad nuevo al grupo VPN.
2. Cargue la configuración en todos los módulos de seguridad pertenecientes al grupo VPN.
Ventaja en el caso a
No es necesario configurar de nuevo ni cargar los módulos de seguridad ya existentes y que
ya se han puesto en servicio. La comunicación en curso no se ve afectada ni interrumpida.
Principios básicos y aplicación
216
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.5 Configuración de túneles en el modo avanzado
Ajustes para estaciones con dirección IP desconocida
Las estaciones para las que no se conoce la dirección IP en el momento de la configuración
(unknown peers) se pueden insertar en un grupo VPN ya existente. Dado que la mayoría de
estaciones suele tener un uso móvil y obtienen su dirección IP dinámicamente (p. ej. un
SOFTNET Security Client o SCALANCE M), el túnel VPN solo puede establecerse si los
ajustes de parámetros para la fase 1 se realizan conforme a una de las siguientes tablas. Si
utiliza otros ajustes, no será posible establecer un túnel VPN con el dispositivo terminal.
Tabla 6- 4
Parámetros de cifrado 1
Parámetro
Ajuste
Cifrado fase 1
AES-256
Grupo DH fase 1
Group2
Autenticación fase 1
SHA1
Método de autenticación
Certificado
Vida útil SA
1440 … 2500000 minutos
Tabla 6- 5
Parámetros de cifrado 2
Parámetro
Ajuste
Cifrado fase 1
3DES-168
Grupo DH fase 1
Group2
Autenticación fase 1
SHA1
Método de autenticación
Certificado
Vida útil SA
1440 … 2500000 minutos
Tabla 6- 6
Parámetros de cifrado 3
Parámetro
Ajuste
Cifrado fase 1
DES
Grupo DH fase 1
Group2
Autenticación fase 1
MD5
Método de autenticación
Certificado
Vida útil SA
1440 … 2500000 minutos
Tabla 6- 7
Parámetros de cifrado 4
Parámetro
Ajuste
Cifrado fase 1
3DES-168
Grupo DH fase 1
Group2
Autenticación fase 1
SHA1
Método de autenticación
Preshared Key
Vida útil SA
1440 … 2500000 minutos
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
217
Comunicación segura en la VPN a través de túnel IPsec
6.5 Configuración de túneles en el modo avanzado
Limitaciones adicionales para el SOFTNET Security Client
Para el SOFTNET Security Client rigen además las siguientes limitaciones:
6.5.3
Parámetro
Ajuste/particularidad
Cifrado fase 1
AES-256 solo es posible con Windows 7
Fase 1 vida útil SA
1440 ... 2879 minutos
Tipo de vida útil SA
Debe ser idéntico para ambas fases.
Cifrado fase 2
No es posible AES-128
Fase 2 vida útil SA
60 ... 2879 minutos
Autenticación fase 2
No es posible MD5
Configuración de propiedades VPN específicas del módulo
Significado
Para el intercambio de datos a través de túnel IPsec en VPN se pueden configurar las
siguientes propiedades específicas del módulo:
● Dead-Peer-Detection
● Permiso para iniciar el establecimiento de la conexión
● Dirección IP WAN / FQDN para la comunicación a través de gateways de Internet
Requisitos
● En la ficha "VPN" solo se pueden realizar ajustes si el módulo de seguridad que se va a
configurar se encuentra en un grupo VPN.
● El área de diálogo "Nodos VPN" de la ficha "VPN" solo se muestra si el proyecto está en
el modo avanzado.
Cómo se accede a esa función
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN".
Los ajustes realizados aquí se aplican de forma estándar como ajustes del módulo para
la configuración de conexión a conexión. Los ajustes de conexión a conexión pueden
sobrescribir los ajustes del módulo y se configuran en la ventana detallada. Encontrará
más información sobre la configuración de los ajustes de conexión a conexión en el
capítulo siguiente:
Configuración de propiedades VPN conexión a conexión (Página 221)
Principios básicos y aplicación
218
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.5 Configuración de túneles en el modo avanzado
Dead-Peer-Detection (DPD)
Como estándar está activado DPD. Para que DPD funcione de forma fiable debe estar
activado en los módulos de seguridad participantes.
Estando activado DPD, los módulos de seguridad intercambian mensajes adicionales a
intervalos de tiempo ajustables, siempre que en esos momentos no haya tráfico de datos
por el túnel VPN. Eso permite detectar si la conexión IPsec todavía es válida o si es
necesario volver a establecerla. Si ya no hay conexión, se finalizan prematuramente las
"Security Associations" (SA) de fase 2. Con DPD desactivado, la SA no se finaliza hasta
haber concluido su vida útil. Para ajustar la vida útil SA, consulte el capítulo siguiente:
Configuración de propiedades del grupo VPN (Página 212).
Permiso para iniciar el establecimiento de la conexión
Se puede limitar el permiso para iniciar el establecimiento de la conexión de VPN a
determinados módulos de seguridad de la VPN.
El factor decisivo para el ajuste del parámetro aquí descrito es la asignación de la dirección
IP para la gateway del módulo de seguridad configurado. En el caso de una dirección IP
asignada estáticamente, el módulo de seguridad puede ser encontrado por el interlocutor.
En el caso de una dirección IP asignada dinámicamente, y por lo tanto constantemente
cambiante, el interlocutor no puede establecer sin más una conexión.
Modo
Significado
Iniciando conexión con interlocutor
(iniciador/respondedor)
(predeterminado)
Con esta opción, el módulo de seguridad está "activo",
es decir, se intenta establecer una conexión con un
interlocutor.
Esta opción es recomendable cuando el módulo de
seguridad que debe configurarse recibe una dirección IP
dinámica del ISP.
El direccionamiento del interlocutor tiene lugar a través de
su dirección IP WAN configurada, de su dirección IP de
módulo externa configurada o del FQDN configurado.
Esperando a interlocutor (respondedor)
Con esta opción, el módulo de seguridad está "pasivo",
es decir, se espera a que el interlocutor inicie el
establecimiento de la conexión.
Esta opción es recomendable cuando el módulo de
seguridad que debe configurarse ha recibido una
dirección IP estática del ISP.
Nota
No ponga todos los módulos de seguridad de un grupo VPN a "Esperando al interlocutor",
pues de hacerlo no se establece ninguna conexión.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
219
Comunicación segura en la VPN a través de túnel IPsec
6.5 Configuración de túneles en el modo avanzado
Dirección IP WAN / direcciones FQDN de los módulos de seguridad y gateways en una VPN vía
Internet
Para el funcionamiento de una VPN con túneles IPsec a través de Internet se necesitan, por
regla general, direcciones IP adicionales para las gateways de Internet, como por ejemplo
routers DSL. Los distintos módulos de seguridad o SCALANCE M tienen que conocer las
direcciones IP públicas de los módulos interlocutores de la VPN a los que puede accederse
a través de Internet.
Nota
Si utiliza un router DSL como pasarela de Internet, debe habilitar en él al menos los puertos
siguientes y transferir los paquetes de datos al módulo de seguridad:
• Port 500 (ISAKMP)
• Port 4500 (NAT-T)
Para ello, existe la posibilidad de asignar en la configuración del módulo de seguridad una
"dirección IP WAN". Al cargar la configuración del módulo, se comunica a las estaciones del
grupo las direcciones IP WAN de los módulos interlocutores. Como alternativa a una
dirección IP WAN también puede introducir un FQDN. Si ha configurado, a la vez, DNS
dinámico en el módulo de seguridad, este FQDN debe coincidir con el FQDN introducido en
la ficha "DNS" y registrado con un proveedor para DNS dinámico.
Puede definir en las propiedades VPN conexión a conexión si debe utilizarse la dirección IP
externa, la dirección IP de la interfaz DMZ (solo SCALANCE S623 / S627-2M) o la dirección
IP WAN / el FQDN. Encontrará más información sobre las propiedades VPN conexión a
conexión en el capítulo siguiente:
Configuración de propiedades VPN conexión a conexión (Página 221)
Si no especifica un punto de acceso aquí, se utilizará como punto final VPN la dirección IP
externa o la dirección IP de la interfaz DMZ (solo SCALANCE S623/S627-2M).
Principios básicos y aplicación
220
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.5 Configuración de túneles en el modo avanzado
①
②
③
④
Dirección IP interna - de un módulo de seguridad
Dirección IP externa - de un módulo
Dirección IP de una pasarela de Internet (p. ej. pasarela GPRS)
Dirección IP (dirección IP WAN) de una pasarela de Internet (p. ej. router DSL)
Configurar nodos VPN
En el área de diálogo "Nodos VPN", habilite subredes o dispositivos para la comunicación
por túnel VPN.
Encontrará más información sobre qué dispositivos o subredes deben habilitarse y cómo se
habilitan para la comunicación por túnel VPN en los capítulos siguientes:
Configuración de otros dispositivos y subredes para el túnel VPN (Página 223)
Configuración de nodos de red internos (Página 223)
6.5.4
Configuración de propiedades VPN conexión a conexión
Significado
Mientras que las propiedades VPN específicas del módulo se configuran especialmente
para un módulo de seguridad, las propiedades VPN conexión a conexión se refieren
especialmente a las conexiones VPN de un módulo de seguridad. Si un módulo de
seguridad establece varias conexiones de túnel con otros módulos de seguridad, con ayuda
de las propiedades VPN conexión a conexión se puede configurar, por ejemplo, qué
conexiones inicia el módulo de seguridad y cuáles no.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
221
Comunicación segura en la VPN a través de túnel IPsec
6.5 Configuración de túneles en el modo avanzado
Requisitos
● El módulo de seguridad forma parte de un grupo VPN.
Cómo se accede a esa función
1. En el área de navegación, seleccione el grupo VPN al que pertenece el módulo de
seguridad que desea editar.
2. Seleccione en el área de contenido el módulo de seguridad cuyas propiedades desea
configurar.
Ahora puede configurar en la ventana de detalles las propiedades VPN conexión a
conexión. Los valores preajustados se obtienen de las propiedades VPN específicas del
módulo.
Parámetros
Parámetros
Significado
Iniciador/respondedor
Definición del permiso para iniciar el establecimiento de la
conexión.
Módulo interlocutor
Visualización del nombre del módulo interlocutor.
Tipo de paquetes transmitidos
Visualización de la capa a la que se transfieren los
paquetes.
Interfaz local
Definición de la interfaz que debe utilizarse como punto final
VPN en el módulo de seguridad seleccionado. Si se ha
configurado un punto de acceso WAN para el módulo de
seguridad (dirección IP / FQDN), también puede
seleccionarse aquí.
Interfaz interlocutora
Definición de la interfaz que debe utilizarse como punto final
VPN en el módulo interlocutor. Si se ha configurado un
punto de acceso WAN para el interlocutor VPN (dirección IP
/ FQDN), también puede seleccionarse aquí.
Principios básicos y aplicación
222
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.6 Configuración de nodos de red internos
6.6
Configuración de nodos de red internos
Configuración de nodos de red internos
Para poder determinar la autenticidad de un telegrama, cada módulo de seguridad debe
conocer los nodos de toda la red interna.
El módulo de seguridad debe conocer tanto su propio nodo interno, como los nodos internos
de los módulos de seguridad con los que comparte el grupo VPN. En un módulo de
seguridad, esta información se utiliza para determinar qué paquete de datos se debe
transmitir por qué túnel.
SCALANCE S
Además de la configuración estática de los nodos de red, un módulo SCALANCE S en el
modo de puente ofrece la posibilidad de aprenderlos automáticamente.
Encontrará información sobre cómo configurar los nodos de red de forma estática en el
siguiente capítulo:
Configuración de otros dispositivos y subredes para el túnel VPN (Página 223)
Encontrará información sobre el aprendizaje automático de nodos de red internos en el
siguiente capítulo:
Funcionamiento del modo de aprendizaje (Página 225)
CP x43-1 Adv. y CP 1628
● CP x43-1 Adv.
Seleccione si la comunicación tunelada con el CP y/o con la subred interna está
permitida para interlocutores VPN en modo de enrutamiento (SCALANCE S / M /
dispositivo VPN / cliente NCP VPN (Android)).
● CP 1628
Introduzca los nodos NDIS que deben ser accesibles por el túnel de interlocutores VPN
en modo de enrutamiento (SCALANCE S / M / dispositivo VPN / cliente NCP VPN
(Android)).
6.6.1
Configuración de otros dispositivos y subredes para el túnel VPN
Significado
Al agregar un módulo de seguridad a un grupo VPN se habilitan automáticamente los nodos
de red/subredes internos locales del módulo de seguridad para la comunicación por túnel
VPN. Para permitir la comunicación por el túnel VPN con otras subredes u otros dispositivos
de otra subred, es necesario habilitar a través de la configuración dichas subredes o dichos
dispositivos para la comunicación por túnel VPN.
Una subred que puede habilitarse a través de la configuración puede ser:
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
223
Comunicación segura en la VPN a través de túnel IPsec
6.6 Configuración de nodos de red internos
● Una subred accesible en la interfaz interna a través de la red local, cuando un túnel VPN
termina en la interfaz externa o la interfaz DMZ.
● Una subred accesible a través de la interfaz DMZ, cuando un túnel VPN termina en la
interfaz externa.
● Una subred accesible a través de la interfaz externa, cuando un túnel VPN termina en la
interfaz DMZ.
Requisitos
Antes de que los dispositivos o las subredes puedan habilitarse para la comunicación
tunelada deben cumplirse los requisitos siguientes:
● El módulo de seguridad se encuentra en un grupo VPN.
● El área de diálogo "Nodos VPN" de la ficha "VPN" solo se muestra si el proyecto está en
el modo avanzado.
Nota
No es posible regresar al modo normal
En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo
avanzado ya no es posible regresar.
Soluciones para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.
Cómo se accede a esa función - Modo de puente
Observación: Si deben habilitarse dispositivos o subredes en la interfaz DMZ (solo
SCALANCE S623/S627-2M), siga la descripción del modo de enrutamiento.
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN".
La habilitación de dispositivos y subredes se configura en el área de diálogo "Nodos
VPN".
3. Si desea habilitar subredes completas para la comunicación tunelada, introdúzcalas en la
ficha "Subredes internas". Si desea habilitar dispositivos individuales para la
comunicación tunelada, introdúzcalos en la ficha "Nodos IP internos" o "Nodos MAC
internos".
Observación: para que las subredes indicadas aquí sean accesibles, también debe haberse
introducido un router para ellas en la ficha "Enrutamiento". Además, el cortafuegos debe
permitir la comunicación con los dispositivos.
Principios básicos y aplicación
224
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.6 Configuración de nodos de red internos
Cómo se accede a esa función - Modo de enrutamiento
1. Seleccione el módulo de seguridad que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN".
La habilitación de subredes se configura en el área de diálogo "Nodos VPN".
3. En la ficha "Subredes accesibles por túnel", introduzca la ID de red y la máscara de
subred de la subred que debe incluirse en la comunicación por túnel.
Observación: para que las subredes indicadas aquí sean accesibles, también debe haberse
introducido un router para ellas en la ficha "Enrutamiento". Además, el cortafuegos debe
permitir la comunicación con las subredes.
6.6.2
Funcionamiento del modo de aprendizaje
Localización automática de dispositivos para la comunicación tunelada (solo en el SCALANCE S en
modo de puente)
Una gran ventaja para la configuración y el funcionamiento de la comunicación vía túnel es
que los módulos SCALANCE S pueden localizar por sí mismos los nodos en la red interna.
De este modo, no se tienen que configurar manualmente los nodos de red internos que
deben intervenir en la comunicación tunelada.
Nuevos nodos son reconocidos por el módulo SCALANCE S durante el funcionamiento en
curso. Los nodos detectados se notifican a los módulos SCALANCE S pertenecientes al
mismo grupo VPN. Con esto está garantizado en todo momento el intercambio de datos en
ambos sentidos dentro de los túneles de un grupo VPN.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
225
Comunicación segura en la VPN a través de túnel IPsec
6.6 Configuración de nodos de red internos
Requisitos
Se detectan los siguientes nodos:
● Nodos de red aptos para IP
Se encuentran nodos de red aptos para IP si se envía una respuesta ICMP al Broadcast
de la subred ICMP.
Nodos IP situados detrás de routers se pueden encontrar si los routers transmiten ICMPBroadcasts.
● Nodos de red ISO
Nodos de red que no sean aptos para IP, pero que a los que pueda accederse a través
del protocolo ISO, también se pueden programar por aprendizaje.
Condición para ello es que respondan a telegramas XID o TEST. TEST y XID (Exchange
Identification) son protocolos auxiliares para el intercambio de informaciones en el nivel
Layer 2. Enviando estos telegramas con una dirección Broadcast se pueden localizar
estos nodos de red.
● Nodos PROFINET
Con ayuda de DCP (Discovery and basic Configuration Protocol) se encuentran nodos
PROFINET.
Principios básicos y aplicación
226
Manual de configuración, 09/2013, C79000-G8978-C286-02
Comunicación segura en la VPN a través de túnel IPsec
6.6 Configuración de nodos de red internos
Los nodos de red que no cumplan estos requisitos deben configurarse de forma estática.
Nota
No hay modo de aprendizaje en la interfaz DMZ con un túnel VPN
El aprendizaje de nodos internos solo se soporta en interfaces conectadas en modo de
puente. La interfaz DMZ se conecta siempre en modo de enrutamiento.
A esta función se accede del siguiente modo
1. Seleccione el módulo SCALANCE S que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "VPN".
¿Cuándo es conveniente desactivar el modo de aprendizaje automático?
Los ajustes estándar para el módulo de seguridad parten de que las redes internas son
siempre seguras; esto significa también que normalmente no se conectan a la red interna
nodos de red que no sean dignos de confianza.
La desactivación del modo de aprendizaje es conveniente si la red interna es estática,
es decir, si no cambian el número ni las direcciones de los nodos internos.
Con la desconexión del modo de aprendizaje se suprime en la red interna la carga que los
telegramas de programación por aprendizaje suponen para el medio y los nodos de red.
También aumentan las prestaciones del módulo SCALANCE S, ya que no está recargado
por el procesamiento de los telegramas de programación por aprendizaje.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
227
Comunicación segura en la VPN a través de túnel IPsec
6.6 Configuración de nodos de red internos
Observación: en el modo de aprendizaje se registran todos los nodos de red de la red
interna. Los datos relativos a los recursos de la VPN se refieren solo a los nodos de red que
se comuniquen en la red interna a través de VPN.
Nota
Si en la red interna se utilizan más de 128 nodos internos, se sobrepasa con esto el alcance
admisible y se genera un estado operativo no permitido. Debido a la dinámica en el tráfico
de la red ocurre entonces que los nodos internos ya programados por aprendizaje son
reemplazados por nuevos nodos internos, hasta ahora desconocidos.
Nodos de red no programables
Existen en la red interna nodos que no se pueden programar por aprendizaje. Son
dispositivos de subredes que se encuentran en la red local interna del módulo SCALANCE
S (p. ej. detrás de routers). Dichas subredes tampoco pueden programarse por aprendizaje.
Los dispositivos y las subredes no programables deben configurase de forma estática en
modo avanzado.
Nota
No es posible regresar al modo normal
En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo
avanzado, ya no es posible regresar.
Solución para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.
6.6.3
Visualización de los nodos de red internos encontrados
Todos los nodos de red localizados se visualizan en la Security Configuration Tool.
1. Pase el modo "Online".
2. Elija el comando de menú "Editar" > "Diagnóstico online...", ficha "Nodos internos".
Resultado: se muestran los nodos de red internos localizados.
Principios básicos y aplicación
228
Manual de configuración, 09/2013, C79000-G8978-C286-02
Redundancia de router y cortafuegos
7.1
7
Resumen
Significado
Gracias a la redundancia de router y cortafuegos es posible compensar automáticamente
los fallos de los módulos de seguridad SCALANCE S623 V4 y SCALANCE S627-2M V4
durante el funcionamiento. Para ello, reúna dos módulos de seguridad del tipo SCALANCE
S623 o SCALANCE S627-2M en una relación de redundancia y determine cuál debe ser el
módulo de seguridad activo en el funcionamiento normal de la relación de redundancia. Si
falla el módulo de seguridad activo, el módulo de seguridad pasivo asumirá
automáticamente su función como cortafuegos y router (NAT/NAPT). Para garantizar una
configuración idéntica de los dos módulos de seguridad, estos se conectarán entre sí
mediante sus interfaces DMZ, y su configuración se sincronizará durante el funcionamiento.
Redundancia de dirección
Los dos módulos de seguridad comparten en la interfaz externa e interna una dirección IP
común en cada caso para que, en caso de fallo de uno de los módulos de seguridad, no
tengan que realizarse cambios en las direcciones IP. Por ello, debe configurar una dirección
IP para las interfaces externa e interna de la relación de redundancia.
Configuración de relaciones de redundancia y módulos de seguridad integrados
Después de integrar los módulos de seguridad en una relación de redundancia, una parte
de las propiedades de los módulos se configura únicamente a través de la relación de
redundancia. Esta parte de las propiedades de los módulos se desactiva para los módulos
de seguridad individuales, y solo vuelve a estar activa y se puede editar después de eliminar
los módulos de seguridad de la relación de redundancia. Las siguientes propiedades se
configuran a través de la relación de redundancia:
● Configuración básica de la relación de redundancia (parámetros de red, módulos
primarios)
● Cortafuegos
● Enrutamiento
● Enrutamiento NAT/NAPT (sin NAT 1:1)
Los ajustes que se indican a continuación también están activos para los módulos de
seguridad individuales tras su integración en una relación de redundancia. Estos ajustes
pueden seguir adaptándose por separado para los dos módulos de seguridad.
● Configuración de interfaces (No es posible la desactivación de interfaces)
● Reglas estándar para servicios IP (cortafuegos)
● DDNS
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
229
Redundancia de router y cortafuegos
7.2 Crear relaciones de redundancia y asignar módulos de seguridad
● Sincronización horaria
● Ajustes de registro
● SNMP
● MRP/HRP
● RADIUS
7.2
Crear relaciones de redundancia y asignar módulos de seguridad
Requisitos
Solo se pueden asignar a una relación de redundancia módulos de seguridad que cumplan
los siguientes requisitos:
● El módulo de seguridad es del tipo "S623 V4" o "S627-2M V4"
● El módulo de seguridad está en modo de enrutamiento
● Todas las interfaces del módulo de seguridad están activas
● El método de asignación IP "Dirección estática" está configurado para todas las
interfaces
● El módulo de seguridad no forma parte de un grupo VPN
● El módulo de seguridad no está asignado a ninguna otra relación de redundancia
Procedimiento
1. En el área de navegación, seleccione el objeto "Relaciones de redundancia".
2. En el menú contextual (botón derecho del ratón) del objeto, seleccione el comando de
menú "Agregar relación de redundancia...".
Resultado: la relación de redundancia creada se muestra en el área de navegación.
3. Asigne los módulos de seguridad a la relación de redundancia seleccionándolos en el
área de contenido y arrastrándolos hasta la relación de redundancia creada en el área de
navegación (Drag and Drop).
4. El cuadro de diálogo "Configuración de la relación de redundancia" ofrece las siguientes
posibilidades para la configuración de la relación de redundancia:
– Aplicación de la configuración de las fichas "Cortafuegos", "Enrutamiento" y
"NAT/NAPT" de un módulo de seguridad para la relación de redundancia. En la lista
desplegable puede seleccionar el módulo de seguridad cuya configuración desea
utilizar para la relación de redundancia. Con ello, se sobrescribe cualquier
configuración existente de la relación de redundancia.
Principios básicos y aplicación
230
Manual de configuración, 09/2013, C79000-G8978-C286-02
Redundancia de router y cortafuegos
7.3 Configuración de relaciones de redundancia
– Generación de una copia del módulo de seguridad asignado dentro de la relación de
redundancia. Esto solo es posible si solo se asigna un módulo de seguridad a una
relación de redundancia creada.
También puede configurar la relación de redundancia con posterioridad a través de sus
propiedades, véase el capítulo:
Configuración de relaciones de redundancia (Página 231)
Resultado: ha creado una relación de redundancia y le ha asignado los módulos de
seguridad deseados.
7.3
Configuración de relaciones de redundancia
Cómo se accede a esa función
Seleccione la relación de redundancia en el área de navegación y elija el comando de menú
"Editar" > "Propiedades...".
Configuración de los parámetros de red de la relación de redundancia
Tabla 7- 1
Parámetros de la ficha "Configuración básica"
Parámetro configurable
Significado
Módulo primario
Selección del módulo de seguridad que debe estar activo
en el funcionamiento normal.
Dirección IP
Dirección IP virtual de la interfaz externa o interna de la
relación de redundancia
Máscara de subred
Máscara de subred de la interfaz virtual externa o interna
de la relación de redundancia
Comentario
Comentario opcional
Para obtener información general sobre la configuración de parámetros de red, consulte el
capítulo siguiente:
Crear módulos y ajustar parámetros de red (Página 95)
Configuración del cortafuegos
La configuración de reglas de filtrado de paquetes IP para relaciones de redundancia se
realiza de acuerdo con el mismo esquema que la configuración de reglas de filtrado de
paquetes IP para módulos de seguridad individuales. Están disponibles los sentidos de
comunicación "De externa a interna" y "De interna a externa".
Para obtener información general sobre la configuración de reglas de filtrado de paquetes IP
en el modo avanzado, consulte el capítulo siguiente:
Reglas de filtrado de paquetes IP (Página 155)
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
231
Redundancia de router y cortafuegos
7.3 Configuración de relaciones de redundancia
Configuración de la conversión de direcciones con NAT/NAPT
La configuración de la conversión de direcciones con NAT/NAPT para la relación de
redundancia se realiza de acuerdo con el mismo esquema que la configuración de la
conversión de direcciones con NAT/NAPT para módulos de seguridad individuales. Para
relaciones de redundancia, solo se pueden configurar Source-NAT y NAPT. En el caso de
Source-NAT, las direcciones IP de origen de la subred interna solo se pueden sustituir con
la dirección IP externa virtual de la relación de redundancia. No se pueden registrar
direcciones IP alias en la interfaz externa de la relación de redundancia. Con NAPT, solo se
puede configurar el sentido de conversión de direcciones "De externa a interna".
Para obtener información general sobre la configuración de conversiones de direcciones con
NAT/NAPT, consulte el capítulo siguiente:
Conversión de direcciones con NAT/NAPT (Página 180)
Configuración del enrutamiento
La configuración de rutas para la relación de redundancia se realiza de acuerdo con el
mismo esquema que la configuración de rutas para módulos de seguridad individuales.
Para obtener información general sobre la configuración del enrutamiento, consulte el
capítulo siguiente:
Definir un router predeterminado y rutas (Página 176)
Consulte también
Reglas para filtrado de paquetes MAC (Página 165)
Principios básicos y aplicación
232
Manual de configuración, 09/2013, C79000-G8978-C286-02
SOFTNET Security Client
8
El software para PC SOFTNET Security Client permite acceder remotamente desde el PC o
la PG a autómatas programables protegidos por módulos de seguridad, más allá de los
límites de redes públicas.
En este capítulo se describe cómo configurar el SOFTNET Security Client en la Security
Configuration Tool y cómo ponerlo después en servicio en el PC o la PG.
Otras informaciones
La ayuda online del SOFTNET Security Client le proporcionará también información
detallada sobre los diálogos y los parámetros ajustables.
Puede acceder a esta ayuda con la tecla F1 o con el botón "?" en el respectivo cuadro de
diálogo.
Consulte también
Comunicación segura en la VPN a través de túnel IPsec (Página 203)
8.1
Uso de SOFTNET Security Client
Campo de aplicación - acceso a través de VPN
Con el SOFTNET Security Client se configura una PG o un PC de manera que pueda
establecer automáticamente una conexión en túnel IPsec segura en la VPN (Virtual Private
Network) con uno o más módulos de seguridad.
Las aplicaciones para PG o PC, como por ejemplo el diagnóstico NCM o STEP 7, pueden
acceder a través de una conexión tunelada segura a dispositivos o redes que se encuentren
en una red interna protegida por el módulo de seguridad.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
233
SOFTNET Security Client
8.1 Uso de SOFTNET Security Client
Comunicación automática a través de VPN
Importante para su aplicación es que el SOFTNET Security Client reconozca cuándo se
produce un acceso a la dirección IP de una estación de la VPN Direccione la estación a
través de la dirección IP como si se encontrara en la subred local en la que está conectado
también el PC o la PG que tiene instalada la aplicación.
Nota
A través del túnel IPsec, SSC solo se puede comunicar mediante IP con los módulos de
seguridad y las estaciones internas situadas después del módulo de seguridad. La
comunicación de capa 2 no es posible con el SSC.
Manejo
El software para PC SOFTNET Security Client permite configurar las propiedades de
seguridad necesarias para la comunicación con dispositivos protegidos por módulos de
seguridad. Tras la configuración, el SOFTNET Security Client funciona en segundo plano, lo
que se indica mediante un icono en la barra de herramientas de la PG el PC.
Detalles en la ayuda online
Encontrará también informaciones detalladas sobre los cuadros de diálogo y los campos de
introducción en la ayuda online de la interfaz de operación del SOFTNET Security Client.
A la ayuda online se accede por medio del botón "Help" o con la tecla F1.
Principios básicos y aplicación
234
Manual de configuración, 09/2013, C79000-G8978-C286-02
SOFTNET Security Client
8.1 Uso de SOFTNET Security Client
¿Cómo funciona el SOFTNET Security Client?
El SOFTNET Security Client lee la configuración creada con la herramienta de configuración
Security Configuration Tool y determina, dado el caso sobre la base del archivo, los
certificados que deben importarse. El certificado raíz y las claves privadas se importan y se
almacenan en la PG/el PC local.
Con los datos de la configuración se realizan a continuación ajustes de seguridad para que
las aplicaciones puedan acceder mediante direcciones IP a servicios en y posteriores a los
módulos de seguridad.
Si está activado el modo de aprendizaje para las estaciones internas o los autómatas
programables, el módulo de configuración establece primero una directiva de seguridad
para el acceso seguro a los módulos de seguridad. A continuación, el SOFTNET Security
Client determina las direcciones IP de las estaciones internas de cada caso y las registra en
listas de filtros especiales de la directiva de seguridad.
Resultado: Las aplicaciones, como por ejemplo STEP 7, se pueden comunicar con los
autómatas a través de VPN.
Nota
En un sistema Windows, las directivas de seguridad IP están archivadas en forma
personalizada. Para cada usuario solo puede ser válida una única directiva de seguridad IP.
Si una directiva de seguridad IP existente no dese ser sobrescrita por la instalación del
SOFTNET Security Client, instale y utilice el SOFTNET Security Client como usuario creado
especialmente para ello.
Sistemas operativos soportados
El SOFTNET Security Client es adecuado para el uso en los siguientes sistemas operativos:
● Microsoft Windows XP 32 bits + Service Pack 3
● Microsoft Windows 7 Professional 32/64 bits
● Microsoft Windows 7 Professional 32/64 bits + Service Pack 1
● Microsoft Windows 7 Ultimate 32/64 bits
● Microsoft Windows 7 Ultimate 32/64 bits + Service Pack 1
Comportamiento en caso de problemas
Si se presentan problemas en el PG/PC, SOFTNET Security Client reacciona del siguiente
modo:
● las directivas de seguridad establecidas se conservan también después de desconectar y
volver a conectar el PG/PC;
● en caso de una configuración incorrecta se emiten mensajes.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
235
SOFTNET Security Client
8.2 Instalación y puesta en servicio del SOFTNET Security Client
8.2
Instalación y puesta en servicio del SOFTNET Security Client
8.2.1
Instalación e inicio de SOFTNET Security Client
El software de PC SOFTNET Security Client se instala desde el DVD de producto.
1. Lea primero lo dicho en el archivo README de su DVD SCALANCE S y tenga en cuenta
eventuales instrucciones adicionales para la instalación.
2. Ejecute el programa Setup.
Lo más sencillo es que para ello abra el índice de su DVD SCALANCE S → se inicia
automáticamente al introducir el DVD o bien se puede abrir a través del archivo
start_exe. Seleccione entonces directamente la entrada "Installation SOFTNET Security
Client"
Tras la instalación y el inicio de SOFTNET Security Client aparece el símbolo de SOFTNET
Security Client en la barra de tareas de Windows:
ATENCIÓN
Incompatibilidad con otro software de cliente VPN
Si en su PC, además de SOFTNET Security Client, hay instalado algún otro software de
cliente VPN, es posible que, en determinadas circunstancias, no se puedan establecer más
túneles VPN con ayuda del SOFTNET Security Client. Por ello, desinstale el software de
cliente VPN antes de utilizar el SOFTNET Security Client.
Configuración de SOFTNET Security Client
Una vez activadas, las funciones más importantes se desarrollan en segundo plano en el
PG/PC.
La configuración de SOFTNET Security Client se realiza del siguiente modo:
Principios básicos y aplicación
236
Manual de configuración, 09/2013, C79000-G8978-C286-02
SOFTNET Security Client
8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool
● Exportación de una configuración de seguridad desde la herramienta de configuración
Security Configuration Tool.
● Importación de la configuración de Security en la superficie propia, tal como se describe
en el apartado siguiente.
Comportamiento de arranque
El proceso de carga de las reglas de seguridad puede tardar algún tiempo. La CPU de la
PG/el PC se utiliza al 100% de su rendimiento durante ese tiempo.
Salir de SOFTNET Security Client
Para salir de SOFTNET Security Client, proceda del siguiente modo:
● Haga clic con la tecla derecha del ratón en el símbolo de SOFTNET Security Client y elija
la opción "Salir de SOFTNET Security Client".
● En la interfaz abierta, haga clic en el botón "Salir".
Resultado: Se cierra el SOFTNET Security Client y se desactiva la directiva de seguridad.
8.2.2
Desinstalación de SOFTNET Security Client
Al realizar la desinstalación se reponen al estado original las propiedades de Security
ajustadas por el SOFTNET Security Client.
8.3
Crear un archivo de configuración con la herramienta de
configuración Security Configuration Tool
Configuración de SOFTNET Security Client en el proyecto SCT
El SOFTNET Security Client se crea como módulo en el proyecto SCT. A diferencia de los
demás módulos de seguridad, no es necesario configurar otras propiedades.
Asigne el SOFTNET Security Client creado al grupo o a los grupos VPN en los que deben
configurarse túneles IPsec a la PG o el PC. De ese modo se aplican las propiedades de
grupo que se habían configurado para esos grupos VPN.
Nota
Tenga en cuenta las indicaciones sobre los parámetros en el capítulo siguiente:
• Incluir un módulo de seguridad en un grupo VPN configurado (Página 216)
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
237
SOFTNET Security Client
8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool
Nota
Si crea varios SOFTNET Security Clients dentro de un grupo VPN, no se establece ningún
túnel entre ellos, sino solo entre el cliente correspondiente y los módulos de seguridad.
Archivos de configuración para SOFTNET Security Client
La interfaz entre la herramienta de configuración Security Configuration Tool y el SOFTNET
Security Client es operada a través de archivos de configuración.
La configuración se guarda en los siguientes tipos de archivo:
● *.dat
● *.p12
● *.cer
Principios básicos y aplicación
238
Manual de configuración, 09/2013, C79000-G8978-C286-02
SOFTNET Security Client
8.3 Crear un archivo de configuración con la herramienta de configuración Security Configuration Tool
Procedimiento
Para generar los archivos de configuración, realice los siguientes pasos en SCT:
1. Cree un módulo del tipo SOFTNET Security Client en la SCT.
2. Asigne el módulo SSC a los grupos VPN en los que la PG o el PC se deban comunicar a
través de túneles IPsec.
3. Elija el comando de menú "Proyecto" > "Guardar".
4. Seleccione el módulo del tipo "SOFTNET Security Client" y elija el comando de menú
"Transferir" > "A módulo(s)...".
5. Seleccione la ruta de almacenamiento para los archivos de configuración.
6. Si ha elegido "Certificate" como método de autenticación, indique una contraseña para el
certificado de la configuración de VPN. Si no asigna ninguna contraseña, se adopta el
nombre de proyecto (no la contraseña del usuario que ha iniciado sesión) como
contraseña.
Resultado: La exportación de los archivos de configuración ha concluido.
7. Transfiera los archivos del tipo *.dat, *.p12, *.cer a la PG o el PC en el que desee utilizar
el SOFTNET Security Client.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
239
SOFTNET Security Client
8.4 Operación de SOFTNET Security Client
8.4
Operación de SOFTNET Security Client
Propiedades configurables
En concreto se pueden utilizar los siguientes servicios:
● Configuración de una comunicación segura por túneles IPsec (VPN) entre el PC o la PG
y todos los módulos de seguridad o módulos de seguridad determinados de uno o varios
proyectos. El PC o la PG pueden acceder al módulo de seguridad y los nodos internos
del módulo de seguridad a través de esos túneles IPsec.
● Desactivación y activación de conexiones seguras ya configuradas.
● Configurar conexiones para dispositivos terminales agregados con posterioridad. Para
ello tiene que estar activado el modo de aprendizaje.
● Comprobación de una configuración, es decir, ver qué conexiones están configuradas o
son posibles.
Llamada de SOFTNET Security Client para la configuración
Haga doble clic en el icono de la barra de tareas de Windows o elija el comando "Maximizar
SOFTNET Security Client" del menú contextual.
Principios básicos y aplicación
240
Manual de configuración, 09/2013, C79000-G8978-C286-02
SOFTNET Security Client
8.4 Operación de SOFTNET Security Client
A través de los botones se accede a las siguientes funciones:
Botón
Significado
Cargar la configuración
Cuadro de diálogo para la selección de un archivo de configuración para la importación
Seleccione un archivo y haga clic en el botón "Abrir".
Resultado: Se lee la configuración.
En el cuadro de diálogo se pregunta si los túneles se deben configurar inmediatamente
para todos los módulos de seguridad. Se establecen de inmediato los túneles para las
direcciones IP de los módulos de seguridad introducidas en la configuración. Este
procedimiento es particularmente rápido y eficiente para configuraciones grandes.
Como opción, en el cuadro de diálogo "Vista general de túneles" se pueden configurar
también todos los túneles de forma manual a través del menú contextual.
Observación: se pueden importar uno tras otro los archivos de configuración de varios
proyectos creados con SCT (véase también la explicación siguiente sobre el
procedimiento).
Tunnel Overview
Cuadro de diálogo para configurar, editar y diagnosticar el estado de los túneles
A través de este cuadro de diálogo se realiza la configuración propiamente dicha del
SOFTNET Security Client.
Se muestra una lista de los túneles seguros con las direcciones IP de los módulos de
seguridad. Los iconos de cada entrada de la lista permiten determinar el estado del túnel
del módulo de seguridad correspondiente. A través del menú contextual puede activar o
desactivar los túneles, comprobarlos y borrar la entrada de la lista.
Si en la PG o el PC existen varios adaptadores de red, el SOFTNET Security Client
selecciona automáticamente uno de ellos, a través del cual se intenta establecer un túnel.
Sin embargo, es posible que el SOFTNET Security Client no consiga encontrar uno
apropiado para su dispositivo, en cuyo caso introduce uno cualquiera. En ese caso hay que
adaptar manualmente la configuración de adaptadores de red en el cuadro de diálogo
"Adaptador de red". Este cuadro de diálogo se llama en el menú contextual de los
dispositivos y módulos de seguridad con la entrada "Seleccionar conexión de red...".
Disable
Minimize
Se desactivan todos los túneles seguros.
Se cierra la interfaz de usuario del SOFTNET Security Client.
El icono de SOFTNET Security Client permanece visible en la barra de tareas de Windows.
Quit
SOFTNET Security Client se cierra y se desactivan todos los túneles.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
241
SOFTNET Security Client
8.5 Configuración y edición de túneles
Botón
Significado
Help
Abrir la Ayuda en pantalla.
Info
Información sobre la versión del SOFTNET Security Client
Detalles: lista de todos los archivos necesarios para el funcionamiento de SOFTNET
Security Client con notificación sobre si estos se han podido encontrar en el sistema.
8.5
Configuración y edición de túneles
Configuración de conexiones seguras con todos los módulos de seguridad
En el cuadro de diálogo para la importación de la configuración, elija si deben establecerse
de inmediato conexiones tuneladas para todos los dispositivos del módulo de seguridad. De
esto resultan las siguientes posibilidades:
● "Sí" - Activación automática del túnel
Se establecen los túneles para las direcciones IP de los módulos de seguridad
introducidas en la configuración.
● "No" - Solo lectura de la configuración del túnel
Opcionalmente es posible solo leer los túneles configurados y, a continuación, ajustarlos
individualmente en el cuadro de diálogo "Tunnel Overview".
Principios básicos y aplicación
242
Manual de configuración, 09/2013, C79000-G8978-C286-02
SOFTNET Security Client
8.5 Configuración y edición de túneles
Establecimiento de conexiones de túnel
1. Abra el cuadro de diálogo para la importación de los archivos de configuración con el
botón "Cargar configuración".
2. Seleccione el archivo de configuración creado con SCT (formato ".dat").
Se pueden leer simultáneamente datos de configuración de varios proyectos. Si en
SOFTNET Security Client ya hay datos de configuración, elija una de las siguientes
opciones:
– "deleted": Solo están disponibles los últimos datos de configuración cargados.
– "imported and replaced": es conveniente si se han realizado cambios en los datos de
configuración, por ejemplo: si solo se ha modificado la configuración en el proyecto a,
se conservan inalterados los datos de configuración de los proyectos b y c y los datos
de configuración modificados se reemplazan en el proyecto a.
– "not imported": es conveniente si se ha agregado un módulo de seguridad a un
proyecto. La configuración SSC existente con módulos de seguridad ya importados
no se modifica, ya que los nodos internos ya aprendidos de estos módulos se
perderían con otra opción.
3. Si en SCT ha seleccionado "Certificate" como método de autenticación, introduzca la
contraseña. Si ha elegido "Certificate" como método de autenticación, indique una
contraseña para el certificado de la configuración de VPN. Si no ha asignado una
contraseña en SCT, se adopta como contraseña el nombre de proyecto (no la
contraseña de proyecto del usuario que ha iniciado sesión).
4. Si durante la configuración en la Security Configuration Tool se ha configurado un
módulo SCALANCE M87x, un módulo SCALANCE M874-x o un CP S7 con DHCP
activado en la interfaz Gbit, aparece el cuadro de diálogo "Configuración IP/DNS". En
función del tipo de módulo configurado, proceda del siguiente modo:
– Para módulos SCALANCE M87x y SCALANCE M874-x: seleccione si el túnel hacia el
módulo debe establecerse utilizando la dirección IP obtenida del ISP en el tiempo de
ejecución o, alternativamente, utilizando un nombre DNS.
– Para CPs S7 con DHCP activado en la interfaz Gbit: introduzca la dirección IP
asignada vía DHCP.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
243
SOFTNET Security Client
8.5 Configuración y edición de túneles
5. Seleccione si se deben activar las conexiones tuneladas para los dispositivos internos
del módulo de seguridad.
Si no impulsa aquí todavía la activación, lo puede hacer en todo momento en el cuadro
de diálogo "Tunnel Overview" que se describe a continuación.
Si ha seleccionado la activación de las conexiones de túnel, estas se establecen ahora
entre SOFTNET Security Client y los módulos de seguridad.
Este proceso puede tardar cierto tiempo.
6. Abra el cuadro de diálogo "Tunnel Overview".
En la tabla se muestran los módulos de seguridad y los dispositivos internos con
información de estado sobre las conexiones de túnel.
7. Si en la tabla no se muestra algún nodo o dispositivo, deposite un comando Ping al nodo
que falta a través de la línea de comandos.
Resultado: el módulo de seguridad aprende entonces el nodo, y lo transmite al
SOFTNET Security Client. Si por el contrario no se aprende, deberá configurar el nodo o
el dispositivo de forma estática en la ficha VPN.
Observación:
Si el cuadro de diálogo no está abierto mientras se registra un dispositivo, se presenta
automáticamente el cuadro de diálogo. Esta función puede desactivarse en "Opciones" >
"Configuración...".
Principios básicos y aplicación
244
Manual de configuración, 09/2013, C79000-G8978-C286-02
SOFTNET Security Client
8.5 Configuración y edición de túneles
Nota
Dispositivos y subredes configurados estáticamente
Si se configuran posteriormente dispositivos o subredes de forma estática, también hay
que volver a cargar la configuración para un SOFTNET Security Client utilizado en el
grupo VPN.
8. Active los dispositivos para los que todavía hay establecida una conexión de túnel.
Una vez que la conexión se ha establecido correctamente, abra la aplicación que debe
establecer una conexión con uno de los dispositivos, p. ej. STEP 7.
Nota
Si en la PG o el PC hay varios adaptadores de red, SSC elige automáticamente el
adaptador de red para el establecimiento de un túnel. En determinadas circunstancias,
es posible que no sea el adaptador de red deseado. Si no hay ningún adaptador de red
adecuado para el proyecto, SSC introduce uno automáticamente. En ese caso, adapte el
ajuste para el adaptador de red a través del menú contextual de los dispositivos y los
módulos de seguridad en el cuadro de diálogo "Vista general de túneles".
Significado de los parámetros
Tabla 8- 1
Parámetros en el cuadro de diálogo "Tunnel over:..."
Parámetros
Significado / margen de valores
Status
La tabla siguiente muestra el significado de las indicaciones de
estado.
Nombre
Nombre del módulo o dispositivo adoptado de la configuración de
SCT.
IP participante int. / subred
Si hay dispositivos o subredes internos, se muestra la dirección IP
del nodo interno o la ID de red de la subred interna.
IP de punto final de túnel
Dirección IP del módulo de seguridad asignado.
Tunnel over...
Si el PC funciona con varias tarjetas de red, se indica la dirección
IP asignada, a través de la cual se establece el túnel VPN.
Tabla 8- 2
Icono
Indicadores de estado*
Significado
No hay conexión con el módulo de seguridad o el dispositivo.
Hay otros dispositivos, que no se muestran. Haga un doble clic en este icono para ver
más dispositivos.
El túnel hacia el dispositivo está desactivado. No se ha configurado ninguna directiva de
seguridad IP en el sistema. La comunicación con este dispositivo se realiza sin codificar.
El túnel hacia el dispositivo está activado. Se ha configurado una directiva de seguridad
IP en el sistema. La comunicación con este dispositivo se realiza de forma codificada y,
por tanto, segura.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
245
SOFTNET Security Client
8.5 Configuración y edición de túneles
Icono
Significado
El túnel hacia el módulo SCALANCE S está desactivado. No se ha configurado ninguna
directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad
se realiza sin codificar.
El túnel hacia el módulo SCALANCE S está activado. Se ha configurado una directiva de
seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza de
forma codificada y, por tanto, segura.
El túnel hacia el módulo SCALANCE M está desactivado. No se ha configurado ninguna
directiva de seguridad IP en el sistema. La comunicación con este módulo de seguridad
se realiza sin codificar.
El túnel hacia el módulo SCALANCE M está activado. Se ha configurado una directiva de
seguridad IP en el sistema. La comunicación con este módulo de seguridad se realiza de
forma codificada y, por tanto, segura.
El túnel hacia el CP343-1 Advanced está desactivado. No se ha configurado ninguna
directiva de seguridad IP en el sistema. La comunicación con este CP se realiza sin
codificar.
El túnel hacia el CP343-1 Advanced está activado. Se ha configurado una directiva de
seguridad IP en el sistema. La comunicación con este CP se realiza de forma codificada
y, por tanto, segura.
El túnel hacia el CP443-1 Advanced está desactivado. No se ha configurado ninguna
directiva de seguridad IP en el sistema. La comunicación con este CP se realiza sin
codificar.
El túnel hacia el CP443-1 Advanced está activado. Se ha configurado una directiva de
seguridad IP en el sistema. La comunicación con este CP se realiza de forma codificada
y, por tanto, segura.
El túnel hacia el CP1628 está desactivado. No se ha configurado ninguna directiva de
seguridad IP en el sistema. La comunicación con este CP se realiza sin codificar.
El túnel hacia el CP1628 está activado. Se ha configurado una directiva de seguridad IP
en el sistema. La comunicación con este CP se realiza de forma codificada y, por tanto,
segura.
El túnel hacia la subred interna está desactivado. No se ha configurado ninguna directiva
de seguridad IP en el sistema. La comunicación con esta subred se realiza sin codificar.
El túnel hacia la subred interna está activado. Se ha configurado una directiva de
seguridad IP en el sistema. La comunicación con esta subred se realiza de forma
codificada y, por tanto, segura.
El módulo o dispositivo no es accesible.
El módulo o dispositivo es accesible pero el túnel hacia el módulo o dispositivo está
desactivado. No se ha configurado ninguna directiva de seguridad IP en el sistema. La
comunicación con este módulo o dispositivo se realiza sin codificar.
El módulo o dispositivo es accesible y el túnel hacia el módulo o dispositivo está activado.
Test de accesibilidad desactivado. No es posible decir nada sobre la accesibilidad del
módulo o dispositivo.
* La tabla es válida para Windows XP. En Windows 7, la tabla es válida con el cortafuegos
de Windows activado.
Principios básicos y aplicación
246
Manual de configuración, 09/2013, C79000-G8978-C286-02
SOFTNET Security Client
8.5 Configuración y edición de túneles
Elementos de control del cuadro de diálogo "Vista general de túneles"
Elemento de control
Significado
Casilla de verificación "Enable active learning"
Si en la configuración de los módulos de seguridad está
activado el modo de aprendizaje, este también puede
activarse para el SOFTNET Security Client. De ese modo
se obtiene automáticamente la información sobre los
dispositivos internos de los módulos de seguridad en la
vista general de túneles. En cualquier otro caso, el campo
de selección "Aprendizaje de los nodos internos" estará
inactivo y no se mostrará información sobre los dispositivos
internos de los módulos de seguridad en la vista general de
túneles.
Botón "Delete All"
Las directivas de seguridad IP de las entradas configuradas
en SSC se borran.
Botón "Empty list"
Borra todas las entradas de la consola.
Selección y operación de una entrada de túnel - Opciones del menú contextual
En el cuadro de diálogo "Tunnel Overview" seleccione una entrada y abra otras opciones a
través del menú contextual.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
247
SOFTNET Security Client
8.5 Configuración y edición de túneles
Comando de menú
Significado
Activar conexión con los nodos internos / Desactivar
conexión con los nodos internos
Las conexiones seguras establecidas se desactivan con la
entrada "Desactivar conexión con los nodos internos".
Resultado: Se desactiva la Security Policy en el PC. Para
deshacer el cambio y volver a activar los túneles, haga clic
en la entrada "Activar conexión con los nodos internos".
Seleccionar conexión de red...
Para cada módulo de seguridad existe la posibilidad de
seleccionar con el comando "Seleccionar conexión de
red..." del menú contextual el adaptador de red a través del
cual debe configurarse el túnel.
Probar túnel
Prueba de la conexión tunelada.
Diagnóstico avanzado…
Llama el cuadro de diálogo "Diagnóstico de módulo
avanzado".
Cambiar dirección IP/nombre DNS (solo para SCALANCE
M)
Cambio de la dirección IP o el nombre DNS de la entrada
seleccionada.
Borrar entrada
Se borra la directiva de seguridad IP de la entrada
seleccionada.
Nota
Ampliación de la norma al activar dispositivos internos
Tenga en cuenta que con cada activación de dispositivos internos se amplía la norma del
sistema. Sin embargo, la desactivación de todo el sistema (mediante el menú contextual del
SCALANCE S de nivel superior) no provoca la adaptación de la norma, sino solo su
desactivación. De este modo, con la activación de un dispositivo interno se activa siempre la
norma global desactivada más el dispositivo interno adicional. Si quiere asegurarse de que
la norma instalada haga referencia por completo a los dispositivos que haya activado, cierre
el SOFTNET Security Client y ábralo de nuevo.
Diagnóstico de módulo ampliado
Para llamar el diagnóstico de módulo avanzado, seleccione el comando "Diagnóstico
avanzado..." del menú contextual de una entrada. Otra posibilidad consiste en llamar el
cuadro de diálogo con el comando de menú "Opciones" > "Diagnóstico de módulo
avanzado" en la ventana principal del SOFTNET Security Client.
La vista está destinada exclusivamente al diagnóstico del estado del sistema en relación a
los módulos de seguridad configurados, y puede resultar útil en las consultas al servicio de
atención al cliente.
Principios básicos y aplicación
248
Manual de configuración, 09/2013, C79000-G8978-C286-02
SOFTNET Security Client
8.5 Configuración y edición de túneles
● Módulo SCALANCE S / MD74x / CP
Seleccione aquí el módulo de seguridad cuyo estado de sistema actual desee
diagnosticar.
Observación: pueden seleccionarse todos los módulos de seguridad leídos mediante la
configuración.
● Ajustes de enrutamiento (parámetros específicos de módulo)
Muestra los ajustes adoptados de la configuración para interfaces y subredes y nodos
internos.
● Main Modes activos / Quick Modes activos
Si para el módulo seleccionado hay Main Modes o Quick Modes configurados en la PG o
el PC, aquí se muestran los detalles correspondientes. Entre la información se incluye el
número total de Main Modes o Quick Modes encontrados en el sistema para el módulo
seleccionado.
● Ajustes de enrutamiento (ajustes de red del equipo)
Muestra los ajustes de enrutamiento del equipo actuales.
A través de la opción "Show all routing settings" se obtiene información adicional sobre el
enrutamiento.
● Direcciones IP asignadas
Lista de las interfaces de red que el equipo conoce en combinación con las direcciones
IP configuradas o asignadas.
Consola de Log
En el cuadro de diálogo "Settings" se define qué entradas se muestran en la consola de
registros. Se accede a él en el cuadro de diálogo principal del SOFTNET Security Client,
con el comando de menú "Opciones" > "Configuración...".
Se muestra la siguiente información:
● Información de diagnóstico para el establecimiento de la conexión con los módulos de
seguridad y dispositivos/subredes internos configurados.
● Sello con fecha y hora de la aparición de los eventos
● Establecimiento y anulación de una Security Association
● Test de accesibilidad con resultado negativo (ping de test) a los dispositivos configurados
● Cargar archivos de configuración
● Aprendizaje/Desaprendizaje de subredes/dispositivos internos
Ajustes globales para SOFTNET Security Client
1. En el cuadro de diálogo principal del SOFTNET Security Client, elija el comando de
menú "Opciones" > "Configuración".
2. Aquí se hacen ajustes globales, que se mantienen aunque el SOFTNET Security Client
se cierre y se vuelva a abrir.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
249
SOFTNET Security Client
8.5 Configuración y edición de túneles
Las funciones se pueden ver en la siguiente tabla.
Función
Descripción / opciones
Tamaño del archivo de registro
Tamaño del archivo que contiene los avisos
emitidos en la consola de registro de la vista
general de túneles. Puesto que los datos de
registro se guardan en el archivo por medio del
búfer circular, mediante el tamaño del archivo se
elige el tiempo que se guardarán los datos de
registro en el archivo.
Número de mensajes que se deben mostrar en la Número de avisos que se extraen del archivo de
consola log de la vista general del túnel.
registro y que se muestran en la consola de
registros de la vista general de túneles.
Se emiten los siguientes mensajes log en la
consola log de la vista general del túnel:
•
Visualización del test de accesibilidad
negativo (Ping)
•
Crear / borrar Security Associations (Quick
Modes)
•
Crear / borrar Main Modes
•
Cargar archivos de configuración
•
Aprendizaje de dispositivos internos
Selección de los tipos de avisos que se muestran
en la consola de registros de la vista general de
túneles.
Tamaño del archivo log (Debug logfile)
Tamaño del archivo de registro de los archivos
fuente para mensajes Debug del SOFTNET
Security Client (pueden ser solicitados por el
servicio de atención al cliente para facilitar los
análisis)
Test de accesibilidad, tiempo de espera para la
respuesta
Hora de espera ajustable para el ping que debe
indicar la accesibilidad de un interlocutor del
túnel. Debe ajustarse principalmente en túneles
con vías de transmisión lentas (UMTS, GPRS,
etc.), en las que la vida útil de los paquetes de
datos es notablemente superior.
De esta forma se influye directamente en la
visualización de la accesibilidad de la vista del
túnel.
Desactivar globalmente el test de accesibilidad
Si usted activa esta función, se desactiva
globalmente el test de accesibilidad en todas las
configuraciones recibidas del SOFTNET Security
Client.
Ventaja: no se genera ningún volumen de datos
adicional.
Desventaja: En la sinopsis de túneles no se
indica si un interlocutor es accesible o no.
Mostrar en primer plano la ventana de la vista
Si se activa esta función, se abrirá
general de túneles en caso de modificación de un automáticamente el cuadro de diálogo "Vista
dispositivo aprendido
general de túneles" cuando se detecte un
dispositivo nuevo.
Principios básicos y aplicación
250
Manual de configuración, 09/2013, C79000-G8978-C286-02
SOFTNET Security Client
8.5 Configuración y edición de túneles
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
251
Funciones online - Test, Diagnóstico y Logging
9
El módulo de seguridad se ha dotado de funciones de diagnóstico y registro con fines de
comprobación y vigilancia.
● Funciones de diagnóstico
Con este término se conocen las funciones de sistema y de estado disponibles en el
modo online.
● Funciones de logging
Se trata del registro de eventos del sistema y relacionados con la seguridad.
Los eventos se registran en áreas de memoria temporal del módulo de seguridad o en un
servidor Syslog. Para la parametrización y la evaluación de estas funciones se requiere una
conexión de red con el módulo de seguridad seleccionado.
Registrar eventos con funciones logging
Con los ajustes de registro del módulo de seguridad en cuestión se especifica qué eventos
deben registrarse.
Para el registro pueden configurarse las siguientes variantes:
● Registro local
Con esta variante se registran los eventos en el búfer local del módulo de seguridad. En
el diálogo online de la Security Configuration Tool puede recurrir entonces a este
registro, hacerlo visible y archivarlo en la Service Station.
● Syslog de red
En el caso de la red Syslog se utiliza un servidor Syslog existente en la red, al cual se
envían los eventos. Con los ajustes de registro del módulo de seguridad en cuestión se
especifica qué eventos se envían.
Archivar datos de registro y leerlos de un archivo
Los eventos registrados se pueden guardar en un archivo de registro con fines de
archivación, y abrirlos después en el modo offline. Para ello, seleccione el comando de
menú "Opciones" > "Archivos de registros..." y seleccione con el botón "Abrir..." el archivo
de registro que desea abrir. Encontrará más información en el capítulo siguiente:
● Panorámica de funciones del cuadro de diálogo online (Página 255)
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
253
Funciones online - Test, Diagnóstico y Logging
Diagnóstico en modo Ghost
Tras obtener una dirección IP del dispositivo interno, el módulo de seguridad tiene en la
interfaz externa una dirección IP que puede diferir de la dirección IP con la que se configuró
inicialmente el módulo de seguridad. Antes de poder realizar un diagnóstico a través de la
interfaz externa, es necesario reemplazar la dirección IP configurada inicialmente para la
interfaz externa en la Security Configuration Tool por la dirección IP que el módulo de
seguridad ha obtenido del dispositivo interno en el tiempo de ejecución.
Principios básicos y aplicación
254
Manual de configuración, 09/2013, C79000-G8978-C286-02
Funciones online - Test, Diagnóstico y Logging
9.1 Panorámica de funciones del cuadro de diálogo online
9.1
Panorámica de funciones del cuadro de diálogo online
El módulo de seguridad ofrece las siguientes funciones en el cuadro de diálogo online de la
Security Configuration Tool:
Tabla 9- 1
Funciones y logging en el diagnóstico online
Función / ficha en el diálogo online
Significado
Funciones de sistema y estado
Estado
Visualización del estado del módulo de seguridad
seleccionado en el proyecto.
Date and time
Ajuste de la fecha y la hora.
Configuración de
interfaces
Vista general de los ajustes de las diferentes interfaces.
DNS dinámico
Vista general de los ajustes para DNS dinámico
Tabla ARP
Visualización de la tabla ARP del módulo de seguridad.
Usuario conectado
Visualización de los usuarios que han iniciado sesión en la
página de Internet para conjuntos de reglas IP específicas
de usuario.
Estado de la
comunicación
Visualización del estado de la comunicación y de los nodos
de red internos de los módulos de seguridad que se
encuentran en el mismo grupo VPN que el módulo de
seguridad seleccionado.
Nodos internos
Visualización de los nodos de red internos del módulo de
seguridad.
Reglas de cortafuegos
actualizadas
dinámicamente
Visualización de las direcciones IP que se habilitan
dinámicamente vía HTTP o HTTPS o que han sido
recargadas por un usuario. Las direcciones IP de esta ficha
se actualizan cuando se produce uno de los eventos
siguientes:
•
Actualización/modificación de la lista IP Access Control
•
Actualización de las reglas de cortafuegos
Ampliaciones dinámicas que registra el CP en tiempo
de ejecución, p. ej. dispositivos PROFINET IO
Puesto que en esta ficha solo se muestran las reglas de
cortafuegos actualizadas dinámicamente, para una
observación completa del estado actual del cortafuegos del
módulo es necesario incluir también las reglas del
cortafuegos que se configuraron offline.
•
Modo Ghost
Cuadro de diálogo del modo Ghost del SCALANCE S602
con información sobre la dirección IP del dispositivo interno
(idéntica a la dirección IP externa del módulo de seguridad)
y sobre cambios de dirección IP en el dispositivo interno.
Lista negra de IP
Visualización de las direcciones IP introducidas en la lista
negra del cortafuegos.
Funciones de logging
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
255
Funciones online - Test, Diagnóstico y Logging
9.1 Panorámica de funciones del cuadro de diálogo online
Función / ficha en el diálogo online
Significado
Registros del sistema
Visualización de los eventos de sistema registrados, así
como inicio y parada de la visualización.
Registros de auditoría
Visualización de los eventos de seguridad registrados, así
como inicio y parada de la visualización.
Registros de filtrado de
paquetes
Visualización de los paquetes de datos registrados, así
como inicio y parada de la visualización.
En la Ayuda en pantalla encontrará más información sobre las posibilidades de ajuste de las
diferentes fichas.
Condiciones para el acceso
Para poder utilizar las funciones online en un módulo de seguridad, deben cumplirse los
siguientes requisitos:
● Existe una conexión de red con el módulo seleccionado.
● Está abierto el proyecto con el que se ha configurado el módulo.
● Está activado el modo online en la Security Configuration Tool o se ha abierto el
diagnóstico online específico del módulo a través del menú contextual.
Nota
Requisitos para el diagnóstico online en modo Ghost
El diagnóstico online en modo Ghost no está disponible hasta que el módulo de seguridad
ha aprendido la dirección IP del dispositivo interno y la ha aplicado a su interfaz externa.
Posteriormente, es posible acceder al módulo de seguridad mediante la dirección IP de la
interfaz externa.
Advertencia en caso de una configuración no actual o de un proyecto distinto
Al abrir el cuadro de diálogo online se comprueba si la configuración existente actualmente
en el módulo de seguridad y la configuración del proyecto cargado coinciden. Si estas
configuraciones difieren, se emite un mensaje de advertencia. Con esto se señaliza que
usted no ha actualizado (todavía) la configuración o bien que utiliza un proyecto equivocado.
Principios básicos y aplicación
256
Manual de configuración, 09/2013, C79000-G8978-C286-02
Funciones online - Test, Diagnóstico y Logging
9.2 Registro de eventos (Logging)
Visualización del estado de registro
El estado de registro actual resulta de la configuración cargada o de la reconfiguración en el
diálogo online. El búfer puede configurarse con memoria cíclica o memoria lineal. Puede
determinar qué ajuste está activado del siguiente modo:
1. Cambie el modo de operación con el comando de menú "Vista" > "Online".
2. Seleccione el módulo de seguridad que desea editar.
3. Elija el comando de menú "Editar" > "Diagnóstico online...".
En cuanto se abre una ficha para las funciones de registro, en la parte inferior se
muestra el estado actual de la configuración del búfer del módulo de seguridad
seleccionado.
Ajustes online no se almacenan en la configuración
Los ajustes realizados en el modo online (p. ej. configuración del búfer con funciones de
registro) no se guardan en la configuración del módulo de seguridad. Por ello, al rearrancar
el módulo siempre se aplican los ajustes de la configuración offline.
9.2
Registro de eventos (Logging)
Resumen
Se pueden registrar los eventos producidos en el módulo de seguridad. El registro se realiza
en áreas de memoria búfer locales volátiles o permanentes, según el tipo de evento. Como
alternativa puede tener lugar también el registro en un servidor de red.
Configuración en modo normal y modo avanzado
Las posibilidades de selección en la Security Configuration Tool dependen de la vista
seleccionada:
● Modo normal
"Registro local" está activado como opción predeterminada en el modo normal; los
eventos de filtrado de paquetes se pueden activar globalmente en la ficha "Firewall".
"Network Syslog" no es posible en esta vista.
● Modo avanzado
Se pueden activar o desactivar todas las funciones de registro en la ficha "Configuración
del registro" de un módulo seleccionado; los eventos de filtrado de paquetes se tienen
que activar adicional y selectivamente en la ficha "Cortafuegos" (reglas locales o
globales).
Métodos de registro y clases de eventos
Puede definir en la configuración qué datos se deben registrar. De este modo activa ya el
registro al cargar la configuración en el módulo de seguridad.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
257
Funciones online - Test, Diagnóstico y Logging
9.2 Registro de eventos (Logging)
Además elige en la configuración uno de los métodos de registro o ambos:
● Registro local
● Syslog de red
Para ambos procedimientos de registro el módulo de seguridad conoce los siguientes
eventos:
Función
Funcionamiento
Eventos de filtrado de paquetes
(cortafuegos)
El registro de filtrado de paquetes registra determinados paquetes del tráfico de datos.
Solo se registran paquetes de datos para los que sea válida una regla de filtrado de
paquetes (cortafuegos) configurada o frente a los que reacciona la protección básica
(paquetes corruptos o no válidos). Condición para ello es que esté activado el registro
para la regla de filtrado de paquetes.
Eventos de auditoría
El registro de auditoría registra de manera automática y continua eventos relevantes
para la seguridad, por ejemplo acciones del usuario como activación o desactivación
del registro de paquetes.
Eventos de sistema
El registro del sistema registra de forma automática y continua eventos del sistema
como p. ej. el inicio de un proceso o acciones para las que un usuario no se haya
autenticado correctamente con su contraseña. El registro se puede escalar en base a
clases de eventos.
Diagnóstico de la línea: Adicionalmente se puede configurar un diagnóstico de líneas.
El diagnóstico de líneas proporciona mensajes en cuanto la cantidad de paquetes de
telegramas incorrectos supera un valor límite ajustable.
Procedimiento de almacenamiento para el registro de datos en caso de logging local
El almacenamiento relacionado con el registro de datos se realiza según dos
procedimientos seleccionables:
● Memoria circular
Cuando se alcanza el final del búfer, el registro continúa al principio del búfer
sobrescribiendo las entradas más antiguas.
● Memoria lineal
El registro se detiene cuando el búfer está lleno.
Activación y desactivación del registro
En el modo avanzado, con el modo "offline" es posible activar, a través de la configuración
del registro en las propiedades del módulo, el registro local para las clases de eventos,
definiendo entonces el método de almacenamiento en memoria. Dichos ajustes se cargan
en el módulo con la configuración y se activan al arrancar el módulo de seguridad.
Si es necesario, en las funciones online también es posible activar o desactivar el registro
local para eventos de filtrado de paquetes y eventos del sistema. Con esto no se alteran los
ajustes de la configuración del proyecto.
Principios básicos y aplicación
258
Manual de configuración, 09/2013, C79000-G8978-C286-02
Funciones online - Test, Diagnóstico y Logging
9.2 Registro de eventos (Logging)
Visualización del estado de registro
Ajustes online no se almacenan en la configuración.
9.2.1
Registro local - ajustes en la configuración
En el modo offline se pueden activar las clases de eventos y definir el método de
almacenamiento a través de los ajustes de registro. Dichos ajustes se cargan en el módulo
con la configuración y se activan al arrancar el módulo de seguridad.
Estos ajustes de registro configurados se pueden modificar, en caso necesario, en las
funciones online. Con esto no se alteran los ajustes de la configuración del proyecto.
Ajustes de registro en el modo normal
Los ajustes de registro en el modo normal se corresponden con los ajustes predeterminados
en el modo avanzado. Pero en el modo normal no se pueden modificar.
Ajustes de registro en el modo avanzado
1. Seleccione el módulo que desea editar.
2. Elija el comando de menú "Editar" > "Propiedades...", ficha "Configuración del registro".
El cuadro de diálogo siguiente muestra los ajustes predeterminados para el módulo de
seguridad; además está abierto el cuadro de diálogo para el registro de eventos de sistema:
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
259
Funciones online - Test, Diagnóstico y Logging
9.2 Registro de eventos (Logging)
Configuración de clases de eventos
Tabla 9- 2
Local Log - panorámica de funciones
Función / ficha en el diálogo online
Configuración
Observaciones
Eventos de filtrado de paquetes
(cortafuegos)
La activación tiene lugar a través
de casillas de control.
Los datos de registro del filtrado de paquetes
no son remanentes
La selección del método de
almacenamiento se realiza a
través de casillas de control.
Los datos se guardan en una memoria volátil
del módulo de seguridad, por lo que dejan de
estar disponibles tras una desconexión de la
alimentación eléctrica.
Puede definir la cantidad de
paquetes de datos registrados en
la lista desplegable "Paquetes
para registrar":
Eventos de auditoría (siempre
activados)
•
"Todos los paquetes": se
registran los paquetes de
datos para los que es válida
una regla de cortafuegos
configurada (modo normal o
modo avanzado). Además,
los paquetes de respuesta se
registran en los paquetes que
han pasado el cortafuegos
según una regla Allow
configurada.
•
"Paquetes generadores de
estado ": solo se registran los
paquetes de datos para los
que es válida una regla de
cortafuegos configurada
(modo normal o modo
avanzado).
Logging está siempre activado.
Se almacena siempre en la
memoria búfer circulante.
Los datos de registro de auditoría son
remanentes
Se guardan en una memoria remanente del
módulo de seguridad, por lo que están
disponibles tras una desconexión de la
alimentación eléctrica.
Nota para CPs:
los datos de registro de auditoría no son
remanentes en los CPs. Por este motivo,
para guardar los datos debería utilizarse un
servidor Syslog.
Principios básicos y aplicación
260
Manual de configuración, 09/2013, C79000-G8978-C286-02
Funciones online - Test, Diagnóstico y Logging
9.2 Registro de eventos (Logging)
Función / ficha en el diálogo online
Configuración
Observaciones
Eventos de sistema
La activación tiene lugar a través
de casillas de control.
Los datos de registro de sistema no son
remanentes
La selección del método de
almacenamiento se realiza a
través de casillas de control.
Los datos se guardan en una memoria volátil
del módulo de seguridad, por lo que dejan de
estar disponibles tras una desconexión de la
alimentación eléctrica.
Para configurar el filtro de
eventos y el diagnóstico de línea,
abra otro cuadro de diálogo con
el botón "Configurar...".
Filtrado de los eventos de sistema
Diagnóstico de línea
En este subdiálogo se puede
ajustar un nivel de filtrado para
los eventos del sistema. Los
valores predeterminados son los
siguientes:
Seleccione como nivel de filtrado "Error" o
superior para impedir el registro de eventos
generales, no críticos.
Nota para CP
•
SCALANCE S: nivel 3
Para el CP solo se pueden seleccionar los
niveles 3 o 6.
•
CP: nivel 3
•
Si selecciona el nivel 3, se muestran los
mensajes de error de los niveles 0 a 3.
•
Si selecciona el nivel 6, se muestran los
mensajes de error de los niveles 0 a 6.
El diagnóstico de línea genera un
evento especial del sistema.
Especifique a partir de qué
porcentaje de telegramas
erróneos debe generarse un
evento de sistema. Asigne al
evento de sistema una facilidad y
una severidad.
A través de la severidad se ponderan los
eventos de sistema del diagnóstico de línea
respecto a la severidad de los eventos de
sistema restantes.
Nota
No asigne a los eventos de sistema del
diagnóstico de línea una severidad menor
que la del filtrado de los eventos de sistema.
De lo contrario, los eventos no pasarán el
filtrado y no se registrarán.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
261
Funciones online - Test, Diagnóstico y Logging
9.2 Registro de eventos (Logging)
9.2.2
Network Syslog - Ajustes en la configuración
Se puede configurar el módulo de seguridad como cliente para que envíe información de
registro a un servidor Syslog. El servidor Syslog puede estar en la subred local interna o en
la externa. La implementación es conforme a RFC 3164.
Nota
Firewall - Servidor Syslog no activo en la red externa
Si el servidor Syslog no está activo en el ordenador direccionado, este ordenador devuelve,
por regla general, telegramas de respuesta ICMP "port not reachable". Si debido a la
configuración del cortafuegos se registran estos telegramas de respuesta como eventos del
sistema y se envían al servidor Syslog, esta operación puede continuar indefinidamente
(avalancha de eventos).
Soluciones:
• Iniciar el servidor Syslog;
• Modificar reglas de firewall;
• Desconectar de la red el ordenador con el servidor Syslog desactivado.
Realizar ajustes de logging
1. Cambie el modo de operación con el comando de menú "Vista" > "Modo avanzado".
Nota
No es posible regresar al modo normal
En cuanto se ha cambiado la configuración del proyecto actual y se ha pasado al modo
avanzado ya no es posible regresar.
Soluciones para SCT standalone: cierre el proyecto sin guardarlo y vuelva a abrirlo.
2. Seleccione el módulo de seguridad que desea editar.
3. Elija el comando de menú "Editar" > "Propiedades...", ficha "Configuración del registro".
El siguiente cuadro de diálogo muestra la configuración predeterminada para el módulo de
seguridad con el registro para red Syslog activado:
Principios básicos y aplicación
262
Manual de configuración, 09/2013, C79000-G8978-C286-02
Funciones online - Test, Diagnóstico y Logging
9.2 Registro de eventos (Logging)
Establecer la conexión con el servidor Syslog
Para SCALANCE S: El módulo de seguridad utiliza el nombre de módulo configurado como
nombre de host ante el servidor Syslog.
Para CPs: El módulo de seguridad utiliza la dirección IP propia como nombre de host ante el
servidor Syslog.
Introduzca la dirección IP / el FQDN del servidor Syslog en el campo "Servidor de registros
del sistema". Como alternativa puede introducir la dirección IP en forma de nombre
simbólico o numérica.
El servidor Syslog tiene que ser accesible desde el módulo de seguridad a través de la
dirección IP indicada (dado el caso a través de la configuración de enrutamiento en la ficha
"Enrutamiento"). Si no se puede acceder al servidor Syslog, se desactiva el envío de
informaciones Syslog. Tal estado operativo se puede reconocer por los correspondientes
mensajes del sistema. Para activar de nuevo el envío de información de Syslog, puede ser
necesario actualizar la información de enrutamiento y volver a arrancar el módulo de
seguridad.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
263
Funciones online - Test, Diagnóstico y Logging
9.2 Registro de eventos (Logging)
Uso de nombres simbólicos en el logging
Si activa la casilla de verificación "Utilizar nombres simbólicos en el registro", los datos de
direcciones de los telegramas de registro transmitidos al servidor se sustituyen por nombres
simbólicos. El módulo de seguridad comprueba si están configurados los nombres
simbólicos correspondientes, y los introduce en los telegramas de registro.
Nota
Mayor tiempo de ejecución con nombres simbólicos
Si está activada la casilla de verificación "Utilizar nombres simbólicos en el registro",
aumenta el tiempo de ejecución en el módulo de seguridad.
Para las direcciones IP de los módulos de seguridad se utilizan automáticamente los
nombres de los módulos como nombres simbólicos. En el modo Routing, a estos nombres
se les añade una extensión con una designación de puerto: "Nombre_del_módulo-P1",
"Nombre_del_módulo-P2", etc.
Configuración de clases de eventos
Tabla 9- 3
Network Syslog - panorámica de funciones
Función / ficha en el diálogo online
Eventos de filtrado de paquetes
(cortafuegos)
Configuración
Observaciones
Se activan mediante la casilla de
verificación.
El ajuste de una facilidad y una
severidad permite clasificar los
mensajes de Syslog según su
procedencia y su gravedad. La
asignación tiene lugar por medio de
listas desplegables. A cada evento
se le asignan la severidad y la
facilidad aquí ajustadas.
Eventos de auditoría
Se activan mediante la casilla de
verificación.
Eventos de sistema
Se activan mediante la casilla de
verificación.
El valor seleccionado aquí depende de la
valoración en el servidor Syslog. Con
esto es posible una adaptación a los
requisitos del servidor Syslog.
Si se deja el ajuste estándar
"predeterminado", el módulo de
seguridad determinará con qué
combinación de facilidad y severidad se
mostrará el evento.
Los valores elegidos para severidad y
facilidad dependen de la evaluación
La severidad y la facilidad se asignan realizada en el servidor Syslog. Con esto
es posible una adaptación a los
por medio de listas desplegables. A
requisitos del servidor Syslog.
cada evento se le asignan la
severidad y la facilidad aquí
Si se deja el ajuste estándar
ajustadas.
"predeterminado", el módulo de
seguridad determinará con qué
combinación de facilidad y severidad se
mostrará el evento.
Para configurar el filtro de eventos y el
diagnóstico de línea, abra otro cuadro de
diálogo con el botón "Configurar...".
Principios básicos y aplicación
264
Manual de configuración, 09/2013, C79000-G8978-C286-02
Funciones online - Test, Diagnóstico y Logging
9.2 Registro de eventos (Logging)
Función / ficha en el diálogo online
Configuración
Observaciones
Filtrado de los eventos de sistema
En este subdiálogo se puede ajustar
un nivel de filtrado para los eventos
del sistema. Los valores
predeterminados son los siguientes:
Seleccione como nivel de filtrado "Error"
o superior para impedir el registro de
eventos generales, no críticos.
Diagnóstico de línea
9.2.3
•
SCALANCE S: nivel 3
•
CP: nivel 3
El diagnóstico de línea genera un
evento especial del sistema.
Especifique a partir de qué
porcentaje de telegramas erróneos
debe generarse un evento de
sistema. Asigne al evento de sistema
una facilidad y una severidad.
Nota para CP
Para el CP solo se pueden seleccionar
los niveles 3 o 6.
•
Si selecciona el nivel 3, se muestran
los mensajes de error de los niveles
0 a 3.
•
Si selecciona el nivel 6, se muestran
los mensajes de error de los niveles
0 a 6.
A través de la severidad se ponderan los
eventos de sistema del diagnóstico de
línea respecto a la severidad de los
eventos de sistema restantes.
Nota
No asigne a los eventos de sistema del
diagnóstico de línea una severidad
menor que la del filtrado de los eventos
de sistema. De lo contrario, los eventos
no pasarán el filtrado y no se registrarán
en el servidor Syslog.
Configuración del registro de paquetes
Configuración del registro en modo normal
Encontrará información sobre el registro de conjuntos de reglas IP y MAC en los capítulos
siguientes:
● SCALANCE S en el modo normal (Página 134)
● CPs en el modo normal (Página 123)
Nota
Relación entre los ajustes de registro en el modo normal y las reglas del cortafuegos
Los ajustes de registro en modo normal no afectan a las reglas del cortafuegos que se han
generado automáticamente mediante una configuración de la conexión. Así, por ejemplo, no
es posible registrar telegramas tuneladas de una conexión configurada. En el modo
avanzado, el registro puede ampliarse a las reglas de cortafuegos generadas
automáticamente para conexiones.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
265
Funciones online - Test, Diagnóstico y Logging
9.2 Registro de eventos (Logging)
Configuración del registro en modo avanzado
La activación del registro es idéntica para los dos tipos de reglas (IP o MAC) y todas las
reglas. Para registrar paquetes de datos de determinadas reglas de filtrado de paquetes,
ponga una marca de selección en la columna "Registro" de la ficha "Cortafuegos".
Principios básicos y aplicación
266
Manual de configuración, 09/2013, C79000-G8978-C286-02
A
Anexo
A.1
Conformidad DNS
La conformidad DNS según RFC1035 contiene las siguientes reglas:
● Ha de estar limitado a 255 caracteres en total (letras, cifras, guiones o puntos);
● el nombre debe comenzar con una letra;
● el nombre sólo puede terminar en una letra o una cifra;
● cada componente del nombre, es decir, una cadena de caracteres entre dos puntos, no
puede tener una longitud superior a 63 caracteres;
● no se permiten caracteres especiales como diéresis, paréntesis, guión bajo, barra
inclinada, espacio en blanco etc.
A.2
Rangos de valores de dirección IP, máscara de subred y dirección
de la pasarela de red
Rango de valores de la dirección IP
La dirección IP consta de 4 números decimales comprendidos entre 0 y 255 y separados
por un punto; p. ej. 141.80.0.16
Rango de valores de la máscara de subred
La máscara de subred consta de 4 números decimales comprendidos entre 0 y 255 y
separados por un punto; p. ej. 255.255.0.0
Los 4 números decimales de la máscara de subred han de contener, en su representación
binaria, una secuencia continua de valores "1" empezando por la izquierda y una secuencia
continua de valores "0" empezando por la derecha.
Los valores "1" determinan el número de red dentro de la dirección IP. Los valores "0"
determinan el número de host dentro de la dirección IP.
Ejemplo:
Valores correctos:
255.255.0.0 decimal = 11111111.11111111.00000000.00000000 binario
255.255.128.0 decimal = 11111111.11111111.10000000.00000000 binario
255.254.0.0 decimal = 11111111.11111110.00000000.00000000 binario
Valor incorrecto:
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
267
Anexo
A.3 Dirección MAC
255.255.1.0 decimal = 11111111.11111111.00000001.00000000 binario
Relación entre dirección IP y máscara de subred
El primer número decimal de la dirección IP (por la izquierda) determina la estructura de la
máscara de subred en cuanto al número de valores "1" (binarios) de la siguiente forma ("x"
representa la dirección de host):
Primer decimal de la dirección IP
Máscara de subred
0 a 127
255.x.x.x
128 a 191
255.255.x.x
192 a 223
255.255.255.x
Nota:
Para el primer decimal de la dirección IP se puede introducir también un valor entre 224 y
255. Sin embargo, no es recomendable porque este rango de direcciones está reservado
para otras tareas y en algunas herramientas de configuración (p. ej. STEP 7) no se realiza
ninguna comprobación para este valor.
Rango de valores de la dirección de la pasarela de red
La dirección consta de 4 decimales comprendidos entre 0 y 255 y separados por un punto;
p. ej. 141.80.0.1
Relación entre la dirección IP y la dirección de la pasarela de red
La dirección IP y la dirección de la pasarela de red sólo deben diferir en los lugares en los
que en la máscara de subred hay "0".
Ejemplo:
Se ha introducido: para la máscara de subred 255.255.255.0; para dirección IP 141.30.0.5 y
para la dirección de la pasarela de red 141.30.128.254. La dirección IP y la dirección de la
pasarela de red sólo pueden tener un valor diferente en el 4º decimal. Pero en el ejemplo
hay ya una diferencia en el tercer lugar.
Por tanto, en el ejemplo debe modificarse, alternativamente:
La máscara de subred a: 255.255.0.0 o
La dirección IP a: 141.30.128.5 o
La dirección de la pasarela de red a: 141.30.0.254
Principios básicos y aplicación
268
Manual de configuración, 09/2013, C79000-G8978-C286-02
Anexo
A.3 Dirección MAC
A.3
Dirección MAC
Nota sobre la estructura de la dirección MAC:
Las direcciones MAC son direcciones de hardware para identificar dispositivos de red. Una
dirección MAC consta de seis bytes que se representan de forma hexadecimal y separados
por guiones.
La dirección MAC consta de una parte fija y una variable. La parte fija ("dirección MAC
básica") identifica al fabricante (Siemens, 3COM, ...). La parte variable de la dirección MAC
diferencia las distintas estaciones Ethernet.
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
269
Anexo
A.3 Dirección MAC
Principios básicos y aplicación
270
Manual de configuración, 09/2013, C79000-G8978-C286-02
B
Bibliografía
B.1
Introducción - sin CD/DVD
Cómo encontrar la documentación SIMATIC NET
● Catálogos
Los números de pedido para los productos Siemens relevantes aquí se encuentran en
los catálogos siguientes:
– SIMATIC NET Comunicación industrial/identificación industrial, catálogo IK PI
– Productos SIMATIC para automatización totalmente integrada y microautomatización,
catálogo ST 70
Puede solicitar catálogos e información adicional a la subsidiaria o sucursal
correspondiente de Siemens.
El Industry Mall se encuentra en la siguiente dirección de Internet:
Enlace a Siemens Industry Mall (http://www.siemens.com/industrymall)
● Documentación en Internet
En las páginas de Internet del Siemens Automation Customer Support también
encontrará los manuales SIMATIC NET:
Enlace al Customer Support (http://support.automation.siemens.com/WW/view/es)
Desplácese al grupo de productos deseado y realice los ajustes siguientes:
Ficha "Lista de artículos", Tipo de artículo "Manuales"
● Documentación en la instalación de STEP 7
A los manuales disponibles en la documentación en línea de la instalación de STEP 7 en
la PG/el PC se puede acceder desde el menú "Inicio > "Todos los programas" >
"Siemens Automation" > "Documentación".
Consulte también
Enlace a la documentación:
(http://www.automation.siemens.com/simatic/portal/html_00/techdoku.htm)
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
271
Bibliografía
B.2 CP S7 / para la configuración, puesta en servicio y utilización del CP
B.2
CP S7 / para la configuración, puesta en servicio y utilización del
CP
B.2.1
/1/
SIMATIC NET
CP S7 para Industrial Ethernet
Configurar y poner en servicio
Manual Parte A − Aplicación general
Manual de configuración
Siemens AG
(SIMATIC NET Manual Collection)
En Internet, bajo el siguiente ID de artículo:
30374198 (http://support.automation.siemens.com/WW/view/es/30374198)
B.2.2
/2/
SIMATIC NET
CP S7 para Industrial Ethernet
Manual – Parte B
Manual del equipo
Siemens AG
(SIMATIC NET Manual Collection)
En Internet encontrará los manuales de producto de los distintos CP con las siguientes
referencias:
CP 343-1 Advanced (GX31): 28017299
(http://support.automation.siemens.com/WW/view/es/28017299)
CP 443-1 Advanced (GX30): 59187252
(http://support.automation.siemens.com/WW/view/es/59187252)
B.3
Para la configuración con STEP 7 / NCM S7
B.3.1
/3/
SIMATIC NET
NCM S7 para Industrial Ethernet
Primeros pasos
Siemens AG
(componente de la documentación online en STEP 7)
Principios básicos y aplicación
272
Manual de configuración, 09/2013, C79000-G8978-C286-02
Bibliografía
B.4 CP S7 para el montaje y la puesta en servicio del CP
B.3.2
/4/
SIMATIC NET
Commissioning PC Stations - Manual and Quick Start
Configuration Manual
Siemens AG
(SIMATIC NET Manual Collection)
En Internet, bajo la siguiente ID de artículo:
13542666 (http://support.automation.siemens.com/WW/view/es/13542666)
B.3.3
/5/
SIMATIC
Configurar el hardware y la comunicación con STEP 7
Siemens AG
(parte del paquete de documentación "Información básica de STEP 7")
(componente de la documentación online en STEP 7)
B.4
CP S7 para el montaje y la puesta en servicio del CP
B.4.1
/6/
SIMATIC S7
Sistema de automatización S7-300
● CPU 31xC y 31x - Configuración: Instrucciones de servicio
ID de artículo: 13008499 (http://support.automation.siemens.com/WW/view/es/13008499)
● Datos de los módulos: Manual de referencia
ID de artículo: 8859629 (http://support.automation.siemens.com/WW/view/es/8859629)
Siemens AG
y
SIMATIC S7
Sistema de automatización S7-400, M7-400
● Configuración: Manual de instalación
ID de artículo: 1117849 (http://support.automation.siemens.com/WW/view/es/1117849)
● Datos de los módulos: Manual de referencia
ID de artículo: 1117740 (http://support.automation.siemens.com/WW/view/es/1117740)
Siemens AG
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
273
Bibliografía
B.5 Para el montaje y la operación de una red Industrial Ethernet
B.5
Para el montaje y la operación de una red Industrial Ethernet
B.5.1
/7/
SIMATIC NET
Twisted-Pair and Fiber-Optic Networks Manual
Siemens AG
(SIMATIC NET Manual Collection)
B.6
Principios básicos de SIMATIC y STEP 7
B.6.1
/8/
SIMATIC
Comunicación con SIMATIC
Manual de sistema
Siemens AG
ID de artículo:
25074283 (http://support.automation.siemens.com/WW/view/es/25074283)
B.6.2
/9/
Paquete de documentación "Información básica de STEP 7"
● STEP 7 - Introducción y ejercicios prácticos (ID: 18652511
(http://support.automation.siemens.com/WW/view/es/18652511))
● Programar con STEP 7 (ID: 18652056
(http://support.automation.siemens.com/WW/view/es/18652056))
● Configurar el hardware y la comunicación con STEP 7 (ID: 18652631
(http://support.automation.siemens.com/WW/view/es/18652631))
● De S5 a S7 - Guía para facilitar la transición (ID: 1118413
(http://support.automation.siemens.com/WW/view/es/1118413))
Siemens AG
Referencia: 6ES7 810-4CA08-8EW0
(Parte del paquete de documentación online de STEP 7)
Principios básicos y aplicación
274
Manual de configuración, 09/2013, C79000-G8978-C286-02
Bibliografía
B.7 Comunicación industrial Tomo 2
B.7
Comunicación industrial Tomo 2
B.7.1
/10/
SIMATIC NET
Industrial Ethernet Networking Manual
Siemens AG
(SIMATIC NET Manual Collection)
En Internet, con el siguiente ID de artículo: 27069465
(http://support.automation.siemens.com/WW/view/es/27069465)
B.8
Para la configuración de equipos PC / PG
B.8.1
/11/
SIMATIC NET
Commissioning PC Stations - Manual and Quick Start
Configuration Manual
Siemens AG
ID de artículo: 13542666 (http://support.automation.siemens.com/WW/view/es/13542666)
B.9
Para la configuración de CP PC
B.9.1
/12/
SIMATIC NET Industrial Ethernet CP 1628
Instrucciones de servicio resumidas
Siemens AG
(SIMATIC NET Manual Collection)
En Internet, bajo el siguiente ID de artículo: 56714413
(http://support.automation.siemens.com/WW/view/es/56714413)
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
275
Bibliografía
B.10 SIMATIC NET Industrial Ethernet Security
B.10
SIMATIC NET Industrial Ethernet Security
B.10.1
/13/
SIMATIC NET Industrial Ethernet Security
SCALANCE S a partir de V3.0
Manual de puesta en marcha y montaje
Siemens AG
(SIMATIC NET Manual Collection)
En Internet, bajo el siguiente ID de artículo: 56576669
(http://support.automation.siemens.com/WW/view/es/56576669)
B.10.2
/14/
SIMATIC NET Industrial Remote Communication
SCALANCE M874
Manual de configuración
Siemens AG
(SIMATIC NET Manual Collection)
En Internet, bajo el siguiente ID de artículo: 78389151
Consulte también
78389151 (http://support.automation.siemens.com/WW/view/es/78389151)
B.10.3
/15/
SIMATIC NET
Telecontrol SCALANCE M875
Operating Instructions
Siemens AG
(SIMATIC NET Manual Collection)
En Internet, bajo el siguiente ID de artículo: 58122394
(http://support.automation.siemens.com/WW/view/es/58122394)
Principios básicos y aplicación
276
Manual de configuración, 09/2013, C79000-G8978-C286-02
Índice alfabético
Autonegotiation, 107
*
*.cer, 67, 238
*.dat, 238
*.p12, 67, 93, 238
3
B
Banda de direcciones, 161
Barra de estado, 46
Barra de menús, 48
Broadcast, 179
Búfer, 258
3DES, 214
C
A
Activar el cortafuegos
CP 1628, 123
CP x43-1 Adv., 123
SCALANCE S < V3.0, 142
SCALANCE S V3, 139
Activar la comunicación por túneles
CP x43-1 Adv., 123
Activar la comunicación tunelada
SCALANCE S < V3.0, 142
SCALANCE S V3, 139
Actualizar el firmware, 81
Administración de usuarios, 57, 73
Administrador de certificados, 90
Administrator, 76
Advanced Encryption Standard (AES), 214
AES, 200, 214
Aggressive Mode, 214
Ajuste predeterminado de cortafuegos
CP 1628, 130
CP x43 Adv., 124
SCALANCE S < V3.0, 134
Ajustes
Válidos para todo el proyecto, 57
Ajustes de Security, 235
Ajustes IKE, 212
Ajustes IPsec, 212
Ancho de banda, 157, 166
Applet, 80
Área de contenido, 45, 98
ARP, 205
Asignaciones a grupos, 57
Ausencia de retroacción, 30
Autenticación, 74
Autocrossing, 107
Capa 2, 121, 145, 205
Capa 3, 121, 145
Capa 4, 121
Capacidades, 21
Certificado, 90, 206
Exportar, 89
firmado por el usuario, 92
firmado por una entidad emisora, 92
Importar, 89
reemplazar, 93
renovar, 91
sustituir, 93
Certificado CA, 89, 92, 93
Certificado de grupo CA, 93
Certificado SSL, 92
Certificados FTPS, 89
Certificate Authority, 89
Ch
CHAP, 109
C
Cifrado, 43
Cliente NCP VPN, 96
Certificado de grupo CA, 71
Certificado de grupos, 71
Crear un archivo de configuración, 69, 71
Codificación, 61
Comandos de menú, 48
Comunicación IP
Con protocolo S7, 142
De la red interna a la externa, 142
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
277
Índice alfabético
Conexiones especificadas, 53, 121
Conexiones no especificadas, 53
Configurar el control de la hora, 197
Conformidad DNS, 267
Conjuntos de reglas de cortafuegos
Definidos por el usuario, 148
globales,, 57
Conjuntos de reglas de cortafuegos globales, 165
Conjuntos de reglas IP, 146
Específicos de usuario, 148
Conjuntos de reglas IP específicos de usuario, 149
Conjuntos de reglas MAC, 146
Convenio de codificación Diffie-Hellman, 214
Cortafuegos, 29
Modo avanzado, 144
Nombres simbólicos, 63
Reglas de cortafuegos, 121
CP 1628
Tarea, 38
CP S7, 3
CP x43-1 Adv.
Tarea, 35
C-PLUG, 40, 61
Crear una ruta, 176
Cuenta ISP, 108
D
Data Encryption Standard (DES), 215
DCP, 143
DCP (Primary Setup Tool), 170
Dead-Peer-Detection (DPD), 219
Dependencias de derechos, 81
Derechos de configuración, 79
Derechos de dispositivo, 80
Derechos de usuario, 80
DES, 200, 215
DHCP
Configuración de servidores, 191
Nombres simbólicos, 63
Servidor, 142
Diagnóstico, 253
Diagnóstico de línea, 258, 261, 265
Diagnóstico online, 257
Dirección de la pasarela de red, 268
Dirección Gigabit, 92
Dirección IP, 160, 267
Dirección IP del router, 176
Dirección IP WAN
Definir, 220
Dirección MAC, 269
Dirección PROFINET, 92
Dispositivo VPN, 96
Certificado del módulo, 70
DNS
Servidor, 143
Dúplex, 103
Duración de certificados, 211
Duración máxima de la sesión, 75, 78
DVD de producto SCALANCE S, 44
E
Enrutamiento de interfaz, 104
Enrutamiento por interfaz, 96
Entidad emisora, 90
Entidades emisoras de certificados de origen, 91
Espionaje de datos, 28
Estaciones activas, 216
Estaciones con dirección IP desconocida, 217
Eventos de auditoría, 258
Eventos de filtrado de paquetes, 258
Eventos de sistema, 258
Exportar servidores NTP, 199
F
Facilidad, 264
Filtrado de paquetes IP
local, 154
FTP, 80
FTP/FTPS, 54
Funciones de túnel, 203
G
Glosario, 8
Glosario de SIMATIC NET, 8
Grupo de servicios, 171
Grupo VPN, 210
H
HTTP, 162
I
ICMP, 154
ID de red, 176
IEEE 802.3, 29, 121
IKE, 124, 130
Instalación
Principios básicos y aplicación
278
Manual de configuración, 09/2013, C79000-G8978-C286-02
Índice alfabético
SCALANCE S, 43
Interfaces, 175
Internet Key Exchange (IKE), 213
ISAKMP, 220
L
Lista de control de acceso IP, 80
Lista negra de IP, 255
Ll
LLDP, 80
M
M874-x, 3, 68
Main Mode, 214
Máscara de subred, 98, 267
MD5, 200, 215
Memoria circular, 258
Memoria lineal, 258
Método de autenticación, 206, 212
MIB, 80
Modo avanzado, 42
Registro, 266
Registro local, 257, 259
Reglas de cortafuegos, 144
Reglas de cortafuegos globales, 145
Reglas de cortafuegos personalizadas, 148
Servidor DHCP, 192
Syslog de red, 257
Modo de aprendizaje, 225
Modo de enrutamiento, 104, 175
Activar, 175
Modo de puente, 104
Modo Ghost, 104
Modo normal, 42
Cortafuegos, 122
Registro, 265
Registro local, 257
Modo VLAN, 206
Módulo de seguridad, 3
Multicast, 179
N
NAT/NAPT
Enrutamiento, 177
Nodos de red externos
CP x43-1 Adv., 37
SCALANCE 602, 27
SCALANCE S612 / S623 / S627-2M, 30
Nodos de red internos
Configurar, 223
CP x43-1 Adv., 37
SCALANCE 602, 27
SCALANCE S612 / S623 / S627-2M, 30
Nombre de usuario, 75
Nombre del grupo, 162, 168
Nombre del rol, 78
Nombres simbólicos, 62, 264
NTP
Nombres simbólicos, 63
NTP (seguro), 197
P
PAP, 109
Parámetros de dirección, 99
Parámetros de servicios MAC, 168
PC-CP, 3
Perfect Forward Secrecy, 215
Preshared Keys, 206
Producto de otro fabricante, 96
PROFINET, 226
Propiedades de grupo, 212
Propiedades de módulo, 95
Propiedades del grupo VPN, 212
Protección de acceso, 40
Protección de acceso IP, 54
Protocolo, 162
Protocolo ESP, 124, 130, 214
Protocolo IP, 145
Protocolo ISO, 226
Protocolo MAC, 145
Proxy ARP, 201
Proyecto
Valores de inicialización, 61
Prueba de coherencia, 115
Puerto
102 (protocolo S7 - TCP), 162
123 (NTP), 179
20/21 (FTP), 162
443 (HTTPS), 179
4500 (IPsec), 179
500 (IPsec), 179
500 (ISAKMP), 220
514 (Syslog), 179
80 (HTTP), 162
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
279
Índice alfabético
R
Rango de valores de la dirección IP, 267
Red plana, 104
Registro, 122, 253
Clases de eventos, 264
CP x43-1 Adv., 123
SCALANCE S < V3.0, 142
SCALANCE S V3, 139
Registro local, 253, 258, 260
Eventos de auditoría, 260
Eventos de filtrado de paquetes, 260
Eventos de sistema, 261
Reglas de conexión, 152
Reglas de cortafuegos automáticas, 151
Reglas de cortafuegos globales, 145
Asignar, 147
Reglas de cortafuegos locales, 122, 145
Reglas de cortafuegos personalizadas, 148
Parámetros de timeout, 151
Usuario Remote Access, 76
Reglas de cortafuegos predefinidas
CP x43-1 Adv., 123
SCALANCE S < V3.0, 142
SCALANCE S V3, 139
Reglas de filtrado de paquetes IP, 155
CP 1628, 157
CP x43-1 Adv., 157
SCALANCE S, 158
Reglas globales de filtrado de paquetes, 147
Reglas para filtrado de paquetes MAC, 164, 166
Renovar un certificado de grupo CA, 216
Rol definido por el sistema
administrator, 76
diagnostics, 76
remote access, 76
standard, 76
Roles, 76
Definido por el usuario, 77
Definidos por el sistema, 76
Roles definidos por el usuario, 77
Router estándar, 98, 176
Router NAT/NAPT
Nombres simbólicos, 63
S
SCALANCE M, 3
Certificado de grupos, 67
Crear un archivo de configuración, 66
Entidad emisora, 67
SCALANCE M875, 3
SCALANCE M87x, 68
SCALANCE S, 3
Crear módulo, 95
Sistemas operativos soportados, 43
SCALANCE S602
Tarea, 25
SCALANCE S612
Tarea, 28
SCALANCE S623
Tarea, 28
SCALANCE S627-2M
Tarea, 28
Security Configuration Tool, 40, 41, 42
Autónoma, 42, 51
Barra de menús, 48
en STEP 7, 42
En STEP 7, 51
Instalación, 44
Instalación CP 1628, 44
Instalación de CP x34-1 Adv., 44
Modos de operación, 42
Semidúplex, 103
Servicios ICMP, 163
Servicios IP, 162
Servidor DHCP, 193
Servidores NTP, 143, 197
Severidad, 264
SHA1, 200, 215
SiClock, 170
Significado de los símbolos, 6
Símbolos, 6
Sincronización horaria, 197
Sinopsis de funciones
Tipos de módulo, 18
Sistemas operativos soportados
SCALANCE S, 43
SOFTNET Security Client, 235
SNMP, 80
SNMPv1, 200
SNMPv3, 200
SOFTNET Security Client, 3
Base de datos, 238
Comportamiento de arranque, 237
Configurar en el proyecto, 237
Crear un archivo de configuración, 237
desinstalar, 237
Enable active learning, 247
Función, 24
Sistemas operativos soportados, 235
Stateful Packet Inspection, 121
STEP 7, 51
Datos migrados, 52
Principios básicos y aplicación
280
Manual de configuración, 09/2013, C79000-G8978-C286-02
Índice alfabético
Migración de usuarios, 73
Propiedades del objeto, 52
Syslog
Eventos de auditoría, 264
Eventos de filtrado de paquetes, 264
Eventos de sistema, 264
Nombres simbólicos, 63
Servidor Syslog, 60, 253, 262
Syslog de red, 253, 258
T
TCP, 154, 162
Telegramas Ethernet-Non-IP, 121
Telegramas horarios de SiClock, 143
Telegramas Non-IP, 205
Túnel, 203
Túnel IPsec, 203
U
UDP, 154, 162
Unknown peers, 217
Usuario
Asignar roles, 79
Configurar, 75
Crear roles, 76
Usuario de diagnóstico, 76
Usuario estándar, 76
Usuario Remote Access, 76
V
Valores de inicialización predeterminados, 61
Ventana de detalles, 46
Verificación de consistencia, 65, 194
a nivel de proyecto, 62
local, 62
Versión de firmware, 5
Vida útil SA, 215
Vista de configuración offline, 42
Vista de diagnóstico online, 42
VLAN-Tagging, 206
VPN, 24, 203
Propiedades específicas del módulo, 218
SOFTNET Security Client, 233
Z
Zona de navegación, 45
Principios básicos y aplicación
Manual de configuración, 09/2013, C79000-G8978-C286-02
281
Índice alfabético
Principios básicos y aplicación
282
Manual de configuración, 09/2013, C79000-G8978-C286-02
Descargar