Systembeschreibung zur Kommunikation · 2015-01-19 · 7 Sichere Datenkommunikation zwischen Zellen ... 10.3 IPSec-basierte Verschlüsselung ... • IPSec • WPA • WEP • SSL

Systembeschreibung zur Kommunikation

Security mit SIMATIC NET

Übersicht, Security-Szenarien, Hintergrundinformation

Gewährleistung, Haftung und Support

Security Beitrags-ID: 27043887

Version - 1.0 Ausgabe 31.10.2007 2/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Hinweis Die Applikationsbeispiele sind unverbindlich und erheben keinen

Anspruch auf Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher Eventualitäten. Die Applikationsbeispiele stellen keine kundenspezifische Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen Produkte selbst verantwortlich. Diese Applikationsbeispiele entheben Sie nicht der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und Wartung. Durch Nutzung dieser Applikationsbeispiele erkennen Sie an, dass Siemens über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden haftbar gemacht werden kann. Wir behalten uns das Recht vor, Änderungen an diesen Applikationsbeispielen jederzeit ohne Ankün-digung durchzuführen. Bei Abweichungen zwischen den Vorschlägen in diesen Applikationsbeispiel und anderen Siemens Publikationen, wie z.B. Katalogen, hat der Inhalt der anderen Dokumentation Vorrang.


Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine Gewähr.

Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der in diesem Applikationsbeispiel beschriebenen Beispiele, Hinweise, Programme, Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen, soweit nicht z.B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu Ihrem Nachteil ist hiermit nicht verbunden.

Copyright© 2007 Siemens A&D. Weitergabe oder Vervielfältigung dieser Applikationsbeispiele oder Auszüge daraus sind nicht gestattet, soweit nicht ausdrücklich von Siemens A&D zugestanden. Bei Fragen zu diesem Beitrag wenden Sie sich bitte über folgende E-Mail-Adresse an uns:

mailto:[email protected]

mailto:[email protected]�



Version - 1.0 Ausgabe 31.10.2007 3/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Inhaltsverzeichnis

Inhaltsverzeichnis......................................................................................................... 3

Einführung und Begriffserklärung .............................................................................. 6

1 Problematik der sicheren Datenübertragung............................................... 6

2 Begriffserklärung und grundsätzliche Technologien.................................. 7 2.1 Teilnehmer-Adressierung ................................................................................. 7 2.2 Übertragungsprotokolle .................................................................................... 8 2.3 Firewalling......................................................................................................... 8 2.4 Verschlüsselung ............................................................................................... 9

Szenarien..................................................................................................................... 10

3 Teilnehmerbeschränkung auf S7-Steuerungen ......................................... 10

4 Funktionsbeschränkung bei Anlagen/Einzelgeräte................................... 15

5 Bandbreitenbeschränkung .......................................................................... 17

6 Sicherer Remote Zugriff via Internet........................................................... 19

7 Sichere Datenkommunikation zwischen Zellen......................................... 22 7.1 Datenkommunikation via Internet ................................................................... 22 7.2 Datenkommunikation via LAN ........................................................................ 25

8 WLAN-Szenario mit SCALANCE W ............................................................. 28

9 WLAN-Szenario mit unsicheren Komponenten ......................................... 30

Kompendium............................................................................................................... 32

10 Grundlagen und Prinzipien.......................................................................... 33 10.1 Grundlagen von Ethernet und der IP-Protokollfamilie .................................... 33 10.1.1 OSI-Modell (7-Schichten-Modell).................................................................... 33 10.1.2 Systemadressierung (MAC- und IP-Adresse)................................................. 34 10.1.3 ARP ................................................................................................................ 36 10.1.4 Aufbau eines Datenpaketes............................................................................ 39 10.1.5 Bildung von Subnetzen und Routing .............................................................. 40 10.1.6 TCP................................................................................................................. 41 10.1.7 UDP ................................................................................................................ 42 10.1.8 Portadressierung ............................................................................................ 42 10.1.9 Anwendungsbeispiele..................................................................................... 43 10.2 Firewalls.......................................................................................................... 44 10.2.1 Paketfilter........................................................................................................ 44 10.2.2 Stateful Packet Filter....................................................................................... 45 10.2.3 Stateful Inspection Firewalls ........................................................................... 46 10.2.4 Application Gateways ..................................................................................... 46



Version - 1.0 Ausgabe 31.10.2007 4/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.3 IPSec-basierte Verschlüsselung..................................................................... 47 10.3.1 Security Associations (SAs)............................................................................ 47 10.3.2 Integritätsprüfung mit AH Protokoll ................................................................. 48 10.3.3 Verschlüsselung mit ESP Protokoll ................................................................ 48 10.3.4 IPSec-Modi (Tunnel vs. Transport) ................................................................. 49 10.3.5 Methoden der Schlüsselverwaltung (Aushandeln und Austauschen)............. 49 10.3.6 Schlüsselaustauschverfahren......................................................................... 50 10.4 Wireless LAN – Grundlagen zur Sicherheit .................................................... 52 10.4.1 WEP (Wired Equivalent Privacy) .................................................................... 52 10.4.2 WPA (Wi-Fi Protected Access)....................................................................... 52 10.4.3 WPA2 und AES (Advanced Encryption Standard) ......................................... 53 10.4.4 EAP (Extensible Authentication Protocol)....................................................... 53 10.4.5 MAC-Filter....................................................................................................... 53

11 SIMATIC NET Produkte ................................................................................ 54 11.1 Industrial Switching – SCALANCE X .............................................................. 54 11.2 Industrial Wireless LAN - SCALANCE W........................................................ 55 11.3 Industrial Security - SCALANCE S ................................................................. 56

12 Abkürzungsverzeichnis ............................................................................... 59

13 Historie .......................................................................................................... 60

Einführung und Begriffserklärung

0BInhaltsverzeichnis


Version - 1.0 Ausgabe 31.10.2007 5/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Leitfaden zur Nutzung des Dokuments

Aufbau des Dokuments Die Dokumentation der vorliegenden Applikation ist in folgende Hauptteile gegliedert.

Teil Beschreibung Einführung und Begriffserklärung

Dieser Teil führt sie in die generelle Problematik der sicheren Datenübertragung ein, erläutert die wichtigsten Aspekte der Datensicherheit, stellt grundsätzliche Technologien vor und führt wichtige Begriffe ein.

Szenarien Hier werden verschiedene Einsatz-Szenarien gezeigt und Lösungsmöglichkeiten auf Basis der Produktpalette von SIMATIC NET (SCALANCE, etc.) angeboten.

Kompendium Dieser Teil erklärt die theoretischen Grundlagen zu Kommunikation und beschreibt die wichtigsten Sicherheitsmechanismen. Darüber hinaus findet sich zu jedem der eingesetzten SIMATIC NET Produkte eine kurze Beschreibung.

Referenz zum Automation and Drives Service & Support Dieser Beitrag stammt aus dem Internet Applikationsportal des Automation and Drives Service & Support. Durch den folgenden Link gelangen Sie di-rekt zur Downloadseite dieses Dokuments.

http://support.automation.siemens.com/WW/view/de/27043887

http://support.automation.siemens.com/WW/view/de/27043887�


Problematik der sicheren Datenübertragung


Version - 1.0 Ausgabe 31.10.2007 6/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc


Inhalt In diesem Kapitel wird eine Einführung in die generelle Problematik der sicheren Datenübertragung gegeben und wichtige Begriffe/ grundsätzliche Technologien aus der Security Technik erläutert.

1 Problematik der sicheren Datenübertragung

Einleitung In der industriellen Automatisierung zeichnen sich zwei starke Trend-themen ab:

• die kabellose Datenübertragung

• die Sicherheit der Netzwerke innerhalb der Produktion.

Insbesondere das Thema Sicherheit ist aufgrund des Vormarsches industrieller Ethernet-Lösungen und vieler ungesicherter Schnittstellen von größter Bedeutung. Gerade der Einsatz von Standardkomponenten aus der Informationstechnologie und der Vormarsch Ethernet-basierender Kommunikationsstandards bieten Angriffsmöglichkeiten, wie sie bei den in der Vergangenheit häufig physikalisch abgeschotteten Automatisierungs-inseln bisher nicht bekannt waren.

Aspekte der Datensicherheit Grundsätzlich werden 3 wichtige Aspekte bei der Datensicherheit unterschieden:

• Vertraulichkeit Es muss sichergestellt sein, dass die Informationen während der Übertragung nicht von unbefugten Dritten eingesehen werden können.

• Integrität Informationen dürfen während der Übertragung nicht unbemerkt verändert werden können. Das System muss so beschaffen sein, dass Veränderungen offensichtlich werden.

• Authentizität/Autorisierung Die Identität aller an der Informationsübertragung beteiligten Systeme muss zweifelsfrei nachgewiesen werden können. Es darf nicht möglich sein, dass unbefugte Dritte Identitäten vortäuschen können.


Begriffserklärung und grundsätzliche Technologien


Version - 1.0 Ausgabe 31.10.2007 7/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

2 Begriffserklärung und grundsätzliche Technologien

Mit dem Vormarsch von Industrial Ethernet und PROFINET in die Fertigung halten auch die Mechanismen und Protokolle der IP-Welt Einzug in die Automatisierung.

Dieses Kapitel macht sie mit den Grundlagen der Datenübertragung vertraut, nennt die am häufigsten verwendeten Protokolle und führt wichtige Begriffe ein.

2.1 Teilnehmer-Adressierung

Jedes an ein Ethernet-Netz angeschlossenes System wird durch eine MAC-Adresse eindeutig spezifiziert. Diese MAC-Adresse besteht aus 6 Byte. Die ersten 3 Byte spezifizieren den Hersteller, die letzten 3 Byte werden von den Herstellern fortlaufend vergeben. Die Schreibweise ist überwiegend hexadezimal:

00 08 06 FA CE 36

spezifiziert den Hersteller

(hier: Siemens AG)

vom Hersteller fortlaufend vergeben

Abhängig von der Struktur des Netzwerkes wird jeder MAC-Adresse eine IP-Adresse zugewiesen. Die IP-Adresse besteht aus 4 Byte und wird mit vier durch Punkte getrennten Dezimalstellen dargestellt:

157.163.232.240




Version - 1.0 Ausgabe 31.10.2007 8/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

2.2 Übertragungsprotokolle

Die in einem Industrial Ethernet verwendeten Protokolle entstammen der IP-Protokollfamilie. Sie werden unterteilt in verbindungsorientierte TCP-Protokolle und verbindungslose UDP-Protokolle.

Die IP-Protokolle verdanken ihre Entwicklung dem Umstand, dass lange Zeit offizielle Normen und Standards zur Integration verschiedener Computer in einem Netz gefehlt haben. Anfang der 70er Jahre beauftragte das amerikanische Verteidigungsministerium eine seiner Abteilungen mit der Entwicklung und Definition eines Kommunikationsprotokolls für Verbindungen und Datenaustausch in herstellerunabhängigen, heterogenen Rechnernetzen.

Die experimentelle Plattform für erste Versuche mit diesen Kommunikationsprotokollen stellte das paketorientierte Wide Area Network ARPAnet dar. Die Protokollspezifikationen wurden in sogenannten Request for Comments (RFCs) festgeschrieben und veröffentlicht.

Nach Beendigung der Entwicklungsarbeiten erklärte das amerikanische Verteidigungsministerium TCP/IP Anfang der 80er Jahre zu seinem Standard-Kommunikationsprotokoll. Viele der definierten RFC wurden unverändert als militärische Standards übernommen.

Der zivile Durchbruch gelang TCP/IP durch die erste Implementierung in das UNIX-System 4.2BSD. Dieser Sourcecode wurde später als PublicDomain-Software von der Universität von Berkley zur Verfügung gestellt. Alle UNIX-Systeme haben wenig später TCP/IP übernommen, weitere Betriebssysteme sprangen auf.

2.3 Firewalling

Firewalling beschreibt die Filterung des Datenverkehrs anhand von Informationen im sogenannten Headerfeld der Datenpakete. Beim Header handelt es sich um Informationen bezüglich des Senders, des Empfängers, der benutzten Übertragungsprotokolle usw., die den eigentlichen Daten vorangestellt werden. Eine Filterung des Datenverkehrs kann erfolgen nach:

• MAC-Adressen

• IP-Adressen

• Kommunikationsprotokollen

• Zusätzlich besteht die Möglichkeit, auf syntaktische Korrektheit der verwendeten Kommunikationsprotokolle zu überprüfen.




Version - 1.0 Ausgabe 31.10.2007 9/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

2.4 Verschlüsselung

Mit der Verschlüsselung der zu übertragenden Daten kann die Vertraulichkeit und auch die Integrität während der Datenübertragung sichergestellt werden. Die am häufigsten verwendeten Verschlüsselungs-verfahren sind:

• IPSec

• WPA

• WEP

• SSL

Für die Verschlüsselung sind auf Sender- und Empfängerseite Systeme notwendig, welche die Ver- bzw. Entschlüsselung der Datenpakete vornehmen können. Diese können entweder als eigenständige Hardware (z.B. SCALANCE S612/S613) oder softwarebasiert (z.B. SOFTNET Security Client) realisiert sein.

Szenarien

Teilnehmerbeschränkung auf S7-Steuerungen


Version - 1.0 Ausgabe 31.10.2007 10/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Szenarien

Inhalt Hier werden einzelnen Security-Szenarien, die den Zusammenhang zwischen dem Bedarf und dem praktischen Lösungsansatz mit Security-Komponenten von SIMATIC NET vermitteln.

Die Szenarien können in folgende Hauptkategorien gegliedert werden:

• Kommunikationsbeschränkung auf Anlagen

• Sichere Datenkommunikation über unsichere Netze

• Sichere Kommunikation über WLAN

3 Teilnehmerbeschränkung auf S7-Steuerungen

Netztopologie Abbildung 3-1

Szenarien



Version - 1.0 Ausgabe 31.10.2007 11/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Use case Die S7-Steuerung ist über einen Ethernet-CP an ein Netzwerk gekoppelt. In diesem Netzwerk befinden sich mehrere Teilnehmer. Es soll aber nur bestimmten Teilnehmern erlaubt werden, auf die S7-Steuerung zu zu-greifen.

Problematik Im Netzwerk selbst ist kein Schutzmechanismus vor unerlaubten Zugriff auf die S7-Station vorhanden. Somit kann von jeder Projektierungsstation mit STEP 7 auf die S7 zugegriffen und dadurch auch die Projektierung geändert werden. Dieser unberechtigte Zugriff könnte zur Sabotage einer S7 führen.

Lösungsmöglichkeiten mit SIMATIC NET Komponenten Als Lösungsmöglichkeiten bieten sich zwei Methoden an

• Schutz im Endgerät durch IP-Adressen

• Schutz durch Segmentierung mit VLANs

• Schutz durch Authentifizierung

Schutz im Endgerät Abbildung 3-2

Um einen unerlaubten Zugriff auf eine S7-Station zu unterbinden, wird als Netzanschluss auf Seiten der S7 eine Ethernet-Kommunikationsprozessor (z.B. CP 443-1) eingesetzt. Diese CPs können- bei entsprechender Konfiguration- nur auserwählten IP-Adressen den Zugriff auf die S7-Staton via Ethernet zu erlauben.

Die nötige Konfiguration und Projektierung erfolgt über HW-Konfig von STEP 7 in den Eigenschaften des CPs. Hier befindet sich in der Registerkarte IP-Zugriffsschutz eine editierbare Liste, wo alle die IP-

Szenarien



Version - 1.0 Ausgabe 31.10.2007 12/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Adressen eingetragen werden, denen der Zugriff auf die S7-Station gewährt wird.

Folgende Baugruppen unterstützen diese Funktionalität: Tabelle 3-1

Baugruppe MLFB Firmwarestand

CP 343-1 IT 6GK7 343-1GX20-0XE0 ab V1.0 CP 343-1 Advanced 6GK7 343-1GX21-0XE0 ab V1.0 CP 343-1 6GK7 343-1EX21-0XE0 ab V1.0 CP 343-1 6GK7 343-1EX30-0XE0 ab V2.0 CP 443-1 6GK7 443-1EX10-0XE0

6GK7 443-1EX11-0XE0 ab V2.3

CP 443-1 Advanced 6GK7 443-1EX40-0XE0 6GK7 443-1EX41-0XE0

ab V1.0

Szenarien



Version - 1.0 Ausgabe 31.10.2007 13/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Schutz durch „Segmentierung“ Abbildung 3-3

Eine weitere Möglichkeit für den Schutz gegen unerlaubte Zugriffe auf eine S7 Steuerung ist der Einsatz eines SCALANCE X-400 oder X-300 Switch durch die Parametrierung von VLANs.

Bei dieser Art der Netzwerknutzung wird den einzelnen Ports eines Switches über das Webbased Management eine so genannte VLAN-ID zugewiesen. Eine Kommunikation ist dann nur noch innerhalb eines VLANs (Ports mit gleicher VLAN-ID) möglich. Das heißt, sowohl die Projektierstationen, als auch die S7-Station müssen sich an Switch-Ports mit der gleichen VLAN-ID befinden.

Szenarien



Version - 1.0 Ausgabe 31.10.2007 14/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Schutz durch Authentifizierung Abbildung 3-4

Die SCALANCE der X-300 und X-400 Reihe unterstützen IEEE 802.1x. Dieser Standard ist eine Methode zur Authentifizierung und Authentisierung in Netzwerken.

Die Authentifizierung eines Endgeräts erfolgt durch den Authenticator, der für jeden Port über das Webbased Management individuell aktiviert oder deaktiviert werden kann.

Mittels eines Authentifizierungsservers (RADIUS-Server) verifiziert der Authenticator die durch das Endgerät übermittelten Anmeldedaten. Stimmen diese mit den im RADIUS-Server hinterlegten Daten überein, wird dem Endgerät der Zugriff über diesen Port ins das Netzwerk hinter dem SCALANCE gewährt, andernfalls verweigert.

Für diesen Standard muss sowohl der RADIUS-Server, als auch das Endgerät das EAP-Protokoll (Extensive Authentification Protocol) unterstützen.

Szenarien

Funktionsbeschränkung bei Anlagen/Einzelgeräte


Version - 1.0 Ausgabe 31.10.2007 15/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

4 Funktionsbeschränkung bei Anlagen/Einzelgeräte


Use case In einem Netzwerk befinden sich oft mehrere Teilnehmer mit unterschiedlichen Funktionen.

Mit Hilfe von Firewalls soll jedes Einzel-Gerät oder Zelle die Möglichkeit haben, den Zugriff auf sich oder internen Geräten so einzuschränken, das nur bestimmte Applikationen auserwählten Teilnehmern zur Verfügung stehen.

Problematik Diese Funktionalitäten sind oft an bestimmte Protokolle gebunden (z.B. das S7-Protokoll für die S7-Projektierung, IP-Adressvergabe mit DCP, WBM über HTML). Das Problem besteht nun darin, dass innerhalb des Netzwerkes keine Filterung auf bestimmte Protokolle stattfindet und somit allen Teilnehmern alle Applikationen zur Verfügung stehen.

Szenarien

Funktionsbeschränkung bei Anlagen/Einzelgeräte


Version - 1.0 Ausgabe 31.10.2007 16/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Lösungsmöglichkeit mit SIMATIC NET Komponenten Abbildung 4-2

Hier bietet sich für den Zellenschutz neben den Security-Modulen SCALANCE S612/S613 auch das SCALANCE S602-Modul an. Es verfügt über die gleiche Firewallfunktionalität wie die SCALANCE S612/S613, besitzt aber keinen Mechanismus für VPN!

Als Verbindungspunkt der Zelle mit dem restlichen Netzwerk wird ein SCALANCE S602-Modul eingesetzt. Um zu Verhindern, dass sich bestimmte Protokolle über das gesamte Netzwerk ausbreiten, sondern nur in der betreffenden Zelle auftreten, wird ein Filter für das zu sperrende Protokoll konfiguriert.

Eine Filterung auf PROFINET-DCP (dient zur Ermittlung aller Profinetteilnehmer) hat die Wirkung, dass nur die Teilnehmer innerhalb der Zelle, nicht aber die des restliche Netzwerkes angezeigt werden.

Szenarien

Bandbreitenbeschränkung


Version - 1.0 Ausgabe 31.10.2007 17/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

5 Bandbreitenbeschränkung

Use case Häufig sind mehrere Automatisierungszellen durch ein übergeordnetes Netzwerk miteinander verbunden. Ein in diesem Netzwerk auftretende Netzlast (z.B. Broadcaststurm) soll keinerlei Auswirkung auf die einzelnen Stationen haben.

Problematik Üblicherweise ist im Netzwerk selbst kein Filtermechanismus für solche Überlasten vorhanden. Die Folge ist, dass z.B. ein Broadcaststurm in alle Zellen weitergeleitet wird und dort einen Verbindungsabbruch zwischen allen Kommunikationspartnern innerhalb der Zelle bewirkt. Der Datenaustausch kommt zum Erliegen.

Lösungsmöglichkeiten mit SIMATIC NET Komponenten Abbildung 5-1

Szenarien

Bandbreitenbeschränkung


Version - 1.0 Ausgabe 31.10.2007 18/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Das Ausbreiten von Netzlasten kann am einfachsten durch einen Lastbegrenzer unterbunden werden, der an dem Verbindungspunkt zwischen einer Zelle und dem restlichen Netzwerk eingesetzt wird. Als Lastbegrenzer kann entweder ein SCALANCE X-400 bzw. X-300-Switch oder ein SCALANCE S-Modul dienen, in dem eine Bandbreitenbeschränkung aktiviert wird. Wenn nun in einem Netzwerk eine hohe Netzlast auftritt, kann innerhalb der Zelle der Datenaustausch problemlos von statten gehen.

Szenarien

Sicherer Remote Zugriff via Internet


Version - 1.0 Ausgabe 31.10.2007 19/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

6 Sicherer Remote Zugriff via Internet


Use case Häufig besteht der Wunsch, dass sich ein Servicetechniker mit Hilfe eines Fernzugriffes mit einem Fertigungsnetz verbinden muss, um dann remote auf die im Netzwerk angebunden Stationen (z.B. S7, etc.) zu zugreifen. Ist er mit dem Netz verbunden, kann er z.B. neue Programme in eine S7 Steuerung laden oder Firmware updaten.

Aufgrund von gestiegenen Performanceansprüchen, wird heute anstelle einer Modem-Lösung eher eine Anbindung über das Internet bevorzugt. Dies hat auch den Vorteil, dass sich der Techniker weltweit zu geringeren Kosten als bei der Modemlösung in ein Netz verbinden kann.

Problematik Zwei Aspekte der Datensicherheit sind bei diesem Szenario von großem Interesse. Zum einen ist es wichtig, die über das Internet übertragenen Daten zum Schutz vor unbefugten Dritten zu verschlüsseln. Zum anderen ist es wichtig, nur dem Servicepersonal Zugriff auf die Anlage zu gewähren.

Szenarien



Version - 1.0 Ausgabe 31.10.2007 20/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Lösungsmöglichkeiten mit SIMATIC NET Komponenten Abbildung 6-2

Der remote Zugriff eines Servicetechnikers in ein Automatisierungs-netzwerk unter Beachtung der zwei Aspekte der Datensicherheit erfolgt auf Seite des Servicetechnikers softwarebasiert und auf Anlagenseite über Hardware.

Die SIMATIC NET Software Softnet Security Client auf einem Service PC, als auch das SCALANCE S61x-Modul auf Anlagenseite werden mithilfe eines Konfigurationstool so projektiert, dass sie Endpunkte eines gemeinsamen VPN- (Virtual Private Network) Tunnels sind.

Der Softnet Security Client ist dabei der aktive Teilnehmer, d.h. er initiiert den Tunnelaufbau zum SCALANCE S-Modul auf Anlagenseite. Das hat den Vorteil, dass sich der Servicetechniker überall mit dem Internet verbinden kann und seine derzeitige IP-Adresse nicht bekannt sein muss (dynamische IP-Adresse).

Im Automatisierungsnetzwerk befindet sich zum Schutz und Terminierung des IPSec-Tunnels ein SCALANCE S612 oder ein SCALANCE S613. Diese Module sind mit dem Internet verbunden. Im Gegensatz zur Servicetechnikerseite muss der Zugangspunkt eine statische offizielle, d.h. im Internet geroutete IP-Adresse besitzen (feste IP-Adresse). Über diese IP-Adresse kann der Softnet Security Client den SCALANCE S im Internet finden.

Szenarien



Version - 1.0 Ausgabe 31.10.2007 21/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Nachdem ein Servicetechniker nun von seiner Seite aus mit Hilfe des Softnet-Security-Clients eine VPN-Verbindung mit dem SCALANCE S612/613 der Automatisierungsseite aufgebaut hat, kann er alle Geräte im Automatisierungsnetzwerk erreichen, um z.B. mit STEP 7 eine neue Parametrierung auf eine S7 zu laden.

Hinweis Weitere Hinweise zu diesem Aufbau finden Sie im Dokument „Mögliche Konstellationen mit Security-Komponenten“, welches sich auf der selben HTML-Seite wie dieses Dokument befindet

Szenarien

Sichere Datenkommunikation zwischen Zellen


Version - 1.0 Ausgabe 31.10.2007 22/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

7 Sichere Datenkommunikation zwischen Zellen

7.1 Datenkommunikation via Internet


Use case Die oft weltweite Vernetzung von Anlagenteilen oder der Fernzugriff von einer Zentrale auf Einzelgeräte z.B. zu Diagnosezwecken über WAN ist heute Standard. Der Austausch sensitiver Fertigungsdaten, wichtiger Produktionsdaten oder vertraulichen Daten etc. zwischen den Anlagenteilen und/oder der Zentrale gehört zur alltäglichen Anwendung. Eine sichere Kommunikation muss also gewährleistet sein.

Szenarien



Version - 1.0 Ausgabe 31.10.2007 23/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Problematik Das Internet ist ein Medium, dass viele Risiken in sich birgt:

• Fehlerhafte Einstellungen am PC führen zu Sicherheitslücken und beiten damit eine offene Tür für Viren, trojanischen Pferden, Würmer

• Unverschlüsselte Daten können einfach abgefangen, manipuliert aber auch abgehört werden.

• Zwischenspeicherung von Daten

• Unbemerkte Hacker-Eingriffe von außen usw.

Eine ungeschützte Internetverbindung kann zu Sabotage ganzer Anlagenteile führen.


Szenarien



Version - 1.0 Ausgabe 31.10.2007 24/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Um eine sichere Kommunikation zwischen verteilten Anlagen zu ermöglichen, werden statische VPN-Verbindungen etabliert. Dafür befindet sich in jedem verteilten Anlagenteil ein SCALANCE S-Modul mit Zugang zum Internet.

Alle SCALANCE S61x-Module werden mithilfe eines Konfigurationstool so projektiert, dass sie Endpunkte eines gemeinsamen VPN- (Virtual Private Network) Tunnels sind.

Ein Modul wird dabei als aktiver Part konfiguriert, d.h. es initiiert den Tunnelaufbau zu den anderen SCALANCE S-Modulen. Beim aktiven Modul reicht eine dynamische IP-Adresse aus.

Die anderen Module sind passiv und Terminieren den IPSec-Tunnel für das Automatisierungsnetzwerk, in welchem sie sich befinden. Im Gegensatz zur „aktiven“ Anlage müssen die Zugangspunkte eine statische offizielle, d.h. im Internet geroutete IP-Adresse besitzen (feste IP-Adresse).

Beim Verbindungsaufbau baut nun die aktive Seite eine VPN-Verbindung zu allen als passiv konfigurierten SCALANCE S-Modulen auf. Danach verhalten sich die einzelnen Netze/Zellen so, als befänden sie sich in einem gemeinsamen Netzwerk.

Dies bedeutet, dass z.B. S7-Verbindungen wie gewohnt parametriert werden und auch betrieben werden können. Auch ist es möglich sich als Servicetechniker in der einen Zelle am Netzwerk anzubinden, um dann auf alle Geräte in den einzelnen Netzen/Zellen zuzugreifen (z.B. mit NCM eine Diagnose von Geräten auszuführen).

Hinweis

Weitere Hinweise zu diesem Aufbau finden Sie im Dokument „Mögliche Konstellationen mit Security-Komponenten“, welches sich auf der selben HTML-Seite wie dieses Dokument befindet

Szenarien



Version - 1.0 Ausgabe 31.10.2007 25/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

7.2 Datenkommunikation via LAN


Use case Ein modernes Netzwerk eines Unternehmens verbindet Büro- und Automatisierungsbereiche mit einem Industrial Ethernet.

Bei großen Standorten wird häufig die Fertigung in mehrere Gebäude verteilt. Der Austausch sensitiver Fertigungsdaten, wichtiger Produktionsdaten oder vertraulichen Daten etc. zwischen den Anlagenteilen und/oder der Zentrale gehört hier zur alltäglichen Anwendung.

Problematik Ist dieses Netzwerk ungeschützt, stehen hier durch die einheitlichen Zugangsmechanismen in Büro und Automatisierungsnetzen vertrauliche Produktionsdaten offen zur Verfügung und können von Dritten angesehene oder modifiziert werden.

Szenarien



Version - 1.0 Ausgabe 31.10.2007 26/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc


Die Kommunikation zwischen den Automatisierungszellen erfolgt über ein exklusives unternehmensinternen Netzwerkes. Daher liegt der Schwerpunkt in diesem Szenario weniger an der sicheren Datenübertragung (Verschlüsselung) als vielmehr an der Einschränkung der erlaubten Kommunikation zwischen den Automatisierungszellen.

Alle SCALANCE S61x-Module werden mithilfe eines Konfigurationstool so projektiert, dass sie Endpunkte eines gemeinsamen VPN- (Virtual Private Network) Tunnels sind.

Ein Modul wird dabei als aktiver Part konfiguriert, d.h. es initiiert den Tunnelaufbau zum anderen SCALANCE S-Modul.

Die anderen Module sind passiv und terminieren den IPSec-Tunnel für das Automatisierungsnetzwerk, in das sie sich befinden. Im Gegensatz zur „aktiven“ Anlage müssen diese Zugangspunkte eine statische IP-Adresse innerhalb des Unternehmensnetzwerkes besitzen (feste IP-Adresse).

Szenarien



Version - 1.0 Ausgabe 31.10.2007 27/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Beim Verbindungsaufbau baut nun die aktive Seite eine VPN-Verbindung zu allen als passiv konfigurierten SCALANCE S-Modulen auf. Danach verhalten sich die einzelnen Netze/Zellen so, als befänden sie sich in einem gemeinsamen Netzwerk.

Dies bedeutet, dass z.B. S7-Verbindungen wie gewohnt parametriert werden und auch betrieben werden können. Auch ist es möglich sich als Servicetechniker in der einen Zelle am Netzwerk anzubinden und dann auf alle Geräte in den einzelnen Netzen/Zellen zuzugreifen (z.B. mit NCM eine Diagnose von Geräten auszuführen).

Der Unterschied zu dem Szenario 3 „ Teilnehmerbeschränkung auf S7-Steuerungen“ liegt darin, dass hier eine ganze Automatisierungszelle über den VPN-Tunnel vor Dritten geschützt ist und nicht nur eine S7-Steuerung über den CP. Die Daten, die über den Tunnel geschickt werden, sind verschlüsselt.

Szenarien

WLAN-Szenario mit SCALANCE W


Version - 1.0 Ausgabe 31.10.2007 28/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

8 WLAN-Szenario mit SCALANCE W


Use case Schwer erreichbare Anlagenteilen oder Bereiche mit extremen Anforderungen (hohe Temperatur, raue Umgebung etc.) werden über ein Funkfeld verbunden. Der Austausch geheimer, sensitiver Daten erfolgt über Industrial Wireless LAN. Die Aspekte der Datensicherheit sollen auch bei dieser Übertragung gelten.

Problematik Im Funknetz selbst sind keine Schutzmechanismen vor unerlaubten Zugriffen vorhanden. Ein ungeschütztes Funknetz hat zur Folge, dass sich unberechtigte Dritte als Teilnehmer im WLAN anmelden und andere Endgeräte sabotieren.

Um die Aspekte der Datensicherheit zu gewähren, müssen die WLAN-Komponenten über nötige Schutzmechanismen verfügen.

Szenarien

WLAN-Szenario mit SCALANCE W


Version - 1.0 Ausgabe 31.10.2007 29/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc


Die SCALANCE W Produkte bieten neben einer robusten Bauform auch effektive Mechanismen zur Datensicherheit. Alle zu versendenden Daten werden verschlüsselt und somit vor Spionage, Abhören und Verfälschung geschützt.

Die Konfiguration der Access Points und Clients erfolgt einfach über das Webbased Management.

Szenarien

WLAN-Szenario mit unsicheren Komponenten


Version - 1.0 Ausgabe 31.10.2007 30/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

9 WLAN-Szenario mit unsicheren Komponenten


Use case Nicht jede WLAN-Infrastrukur verfügt über die notwendige Securitymechanismen. Aus betriebswirtschaftlichen Gründen ist es wünschenswert, das bestehende System beizubehalten und durch Erweiterung ein sicheres und geschütztes Netzwerk zu bekommen. Die Aspekte der Datensicherheit sollen auch bei einem existierenden Funknetz beachtet werden.

Problematik Die Erweiterung eines bestehenden Funknetzes ist nicht trivial. Es muss garantiert werden, dass sich die neuen Module einwandfrei integrieren lassen und keine Störungen verursachen. Ist das nicht der Fall, kann folglich das System instabil laufen oder alle bereits bestehenden Module müssen neukonfiguriert werden, was zusätzliche Kosten und einen Mehraufwand bedeutet.

Szenarien



Version - 1.0 Ausgabe 31.10.2007 31/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc


Um eine geschützte und sichere Datenverbindung zu schaffen, wird zwischen verteilten Anlagen eine statische VPN-Verbindung geschaffen. Dafür wird zusätzlich in jede Teilanlage ein SCALANCE S61x-Modul integriert.

Der Vorteil liegt darin, dass auf den bereits in Betrieb befindlichen WLAN-Access-Points keine Neukonfigurationen notwendig werden.

Nur die SCALANCE S-Module werden mithilfe eines Konfigurationstool so projektiert, dass sie Endpunkte eines gemeinsamen VPN-Tunnels sind.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 32/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Kompendium

Um dem noch unerfahrenen Leser den Einstieg in die Themengebiete Firewall, IPSec-basierte Verschlüsselung und WLAN-Sicherheit zu erleichtern, wird im nachfolgenden Kapitel ansatzweise auf die Grundlagen von Ethernet und der IP-Protokollfamilie eingegangen.

Kompendium

Grundlagen und Prinzipien


Version - 1.0 Ausgabe 31.10.2007 33/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10 Grundlagen und Prinzipien

Dieses Kapitel gibt einen Überblick über wichtige Grundbegriffe, Mechanismen, Konzepte als auch Implementierungen zu den Security-Mechanismen.

10.1 Grundlagen von Ethernet und der IP-Protokollfamilie

10.1.1 OSI-Modell (7-Schichten-Modell)

Das OSI-Modell wurde von der International Standards Organization (ISO) entwickelt und bildet die theoretische Grundlage für die Datenübertragung in Netzwerken.

Das Modell beschreibt den Weg einer Datenübertragung zwischen 2 Rechnersystemen. Diese wird dabei in sieben Schichten (auch Layer genannt) unterteilt, wobei jeder Schicht eine bestimmte Aufgabe zugeordnet ist, die sie autonom verrichtet. Abbildung 10-1

Kompendium



Version - 1.0 Ausgabe 31.10.2007 34/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Durch diesen modularen Systemaufbau können spezifische Programmteile einzelner Schichten beliebig ausgetauscht werden. Dadurch ergibt sich die Möglichkeit, Programme unabhängig von der verwendeten Hardware zu entwickeln. Dies bietet einen erheblichen Vorteil gegenüber einer monolithischen Lösung,

Beispielsweise ist es somit möglich mit der gleichen TELNET-Applikation sowohl über WLAN mit einem anderen Rechner Verbindung aufzunehmen, als auch über eine Modemverbindung, über die serielle Schnittstelle oder über Industrial Ethernet.

Das TELNET-Programm arbeitet unabhängig von der physikalischen Leitung. Es reicht lediglich die Datenpakete an die TCP-Schicht (OSI-Layer 4) weiter, bzw. empfängt Datenpakete von dieser Schicht.

10.1.2 Systemadressierung (MAC- und IP-Adresse)

Jeder Netzteilnehmer eines IP-basierten Ethernet-Netzwerkes ist gekennzeichnet durch

• seine hardwaretechnisch vorgegebene, eindeutige MAC-Adresse und

• eine ihm zugewiesene IP-Adresse.

Zusätzlich erhält er durch eine sogenannte Subnetzmaske die Information, welchen Adressbereich sein IP-Subnetz umfasst.

Sind in dem Netzwerk mehrere Subnetze definiert, dann erhält er zusätzlich die Information, über welche Adressen (Systeme) er die Netzteilnehmer in anderen Subnetzen erreicht.

Diese Systeme an den Subnetzübergängen werden Router genannt.

Aus der SCALANCE Produktfamilie können folgende Komponenten als Router eingesetzt werden:

• SCALANCE S-Module (S602, S612, S613)

• SCALANCE X 414-3E als Layer 3 Router

Kompendium



Version - 1.0 Ausgabe 31.10.2007 35/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Abbildung 10-2

PLC 1MAC: 08-00-06-AF-23-D4IP: 192.168.10.2subnet mask: 255.255.255.252default router: 192.168.10.1

PLC 2MAC: 08-00-06-03-23-C4IP: 192.168.10.3subnet mask: 255.255.255.252default router: 192.168.10.1

SCALANCE S602

EXCELclientMAC: 00-0B-5D-9B-1D-01IP: 172.16.1.2subnet mask: 255.255.255.252default router: 172.16.1.1

MAC: 00-0B-5D-8A-06-F4IP: 172.16.1.3subnet mask: 255.255.255.252default router: 172.16.1.1

MAC in subnet 1: 08-00-06-5D-56-2CIP in subnet 1: 172.16.1.1subnet mask in subnet 1: 255.255.255.252

MAC in subnet 2: 08-00-06-21-ED-C4IP in subnet 2: 192.168.10.1subnet mask in subnet 2: 255.255.255.252

server

Industrial Ethernet subnet 1


Kompendium



Version - 1.0 Ausgabe 31.10.2007 36/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.1.3 ARP

Über das Address Resolution Protocol (ARP) erfolgt die eindeutige Zuordnung von MAC-Adresse zu IP-Adresse. Dieser Zuordnung wird von jedem Netzteilnehmer in seiner eigenen Tabelle gepflegt: Tabelle 10-1

IP-Adresse MAC-Adresse Type

146.254.249.1 00-07-b4-00-00-02 dynamic 146.254.249.2 00-09-7b-9e-f1-8a dynamic 146.254.249.3 00-09-7b-e0-a0-0a dynamic

Alle Zuordnungen, die über das ARP gelernt werden, sind als ‚dynamic’ gespeichert. Darüber hinaus besteht die Möglichkeit, ‚static’ – Einträge per Hand zu generieren.

Beispiel 1: Adressauflösung im selben Subnetz: Teilnehmer 1 möchte Daten an Teilnehmer 2 senden: Abbildung 10-3

1 2

IP 193.25.63.100 MAC 08-00-06-01-CA-FE

IP 193.25.63.150 MAC 08-00-06-01-AD-AC

Ablauf: – Teilnehmer 1 schickt an alle im Subnetz (über die Broadcast-

Adresse): „Wer hat die IP-Adresse 193.25.63.150?“.

– Rechner 2 erkennt, dass es sich um seine IP-Adresse handelt und antwortet: „Die MAC-Adresse zu 193.25.63.150 ist 08-00-06-01-AD-AC.“

– Damit kann die Verbindung zwischen den Teilnehmern 1 und 2 aufgebaut werden.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 37/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Beispiel 2: Adressauflösung über Subnetzgrenzen hinweg: Wenn Teilnehmer 1 jedoch eine Verbindung zu einem System außerhalb des eigenen Subnetzes aufbauen möchte, dann wird die Adressauflösung etwas komplizierter, da hier am Subnetzübergang ein Router mit ins Spiel kommt. Abbildung 10-4

SCALANCE S602

MAC in subnet 1: 08-00-06-5D-56-2CIP in subnet 1: 193.25.63.1

MAC in subnet 2: 08-00-06-21-ED-C4IP in subnet 1: 192.168.10.1

2

IP 193.25.63.100 MAC 08-00-06-01-CA-FE

1

IP 192.168.10.1 MAC 08-00-06-01-AD-AC



Kompendium



Version - 1.0 Ausgabe 31.10.2007 38/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Ablauf: Tabelle 10-2

Schritt Funktionsabaluf

1. Teilnehmer 1 erkennt anhand der Kombination aus seiner eigenen IP-Adresse und Subnetzmaske, das Teilnehmer 2 sich in einem anderen Subnetz befindet.

2. In der Routingtabelle von Teilnehmer 1 befindet sich der Eintrag, dass das Subnetz in dem sich Teilnehmer 2 befindet, über die IP-Adresse 193.25.63.1 zu erreichen ist.

3. Teilnehmer 1 schickt also einen ARP-Request an 193.25.63.1: „Welche MAC-Adresse hat 193.25.63.1?“

4. Teilnehmer 1 bekommt vom SCALANCE S602 die Antwort: „Die MAC-Adresse zu 193.25.63.1 lautet 08-00-06-5D56-2C.“

5. Daraufhin sendet Teilnehmer 1 das erste für Teilnehmer 2 bestimmte Paket an SCALANCE S602.

6. Der Router erkennt im Headerfeld des Datenpaketes, dass es für Teilnehmer 2 bestimmt ist. In seiner Routingtabelle sieht er, dass er direkt mit dem entsprechenden Subnetz verbunden ist.

7. Er schickt deshalb einen ARP-Request zu 192.168.10.1: „Welche MAC-Adresse hat 192.168.10.1?“

8. Er bekommt von Teilnehmer 2 die Antwort: „Die MAC-Adresse zu 192.168.10.1 lautet 08-00-06-01-AD-AC.“

9. Die Adressauflösung auf dem Rückweg läuft entsprechend. Dazu benötigt Teilnehmer 2 allerdings einen Eintrag in seiner Routingtabelle, dass er das Subnetz 1, in dem sich Teilnehmer 1 befindet, über die Adresse 192.168.10.1 erreicht.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 39/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.1.4 Aufbau eines Datenpaketes

Die Übermittlung von Daten erfolgt „packetweise“. Diese Pakete entstehen, in dem die entsprechenden Protokolle in den einzelnen OSI-Schichten zusätzlich zu den zu übermittelnden Daten Informationen für die Übertragung anfügen. Diese zusätzlichen Informationen werden auch Header genannt:

Abbildung 10-5

Die einzelnen Header, die der Sender beim Verschicken der Daten anfügt, werden auf der Empfängerseite entsprecht Schicht für Schicht ausgewertet, bis der Applikation auf den oberen Schichten die Daten zur Verfügung stehen.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 40/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.1.5 Bildung von Subnetzen und Routing

Die Bildung von Subnetzen sowie das Routing, also das Weiterleiten von Daten über Subnetzgrenzen hinweg, werden der OSI-Schicht 3 zugeordnet.

Zur Bildung von Subnetzen ist neben einer Subnetz-ID auch eine Subnetzmaske notwendig. Als Subnetz-ID wird die niedrigste IP-Adresse verwendet. Mithilfe der Subnetzmaske wird festgelegt, wie viele IP-Adressen ab der Subnetz-ID in dem Subnetz enthalten sind.

Beispiel: Ein Unternehmen besteht aus vier Fertigungseinheiten mit jeweils 30 Steuerungen. Diese Einheiten sollen als Subnetze in einem Gesamtnetzwerk abgebildet werden. Dem Gesamtnetzwerk wird der Adressbereich 192.168.1.0 – 192.168.1.255 zugewiesen: Tabelle 10-3

Subnetz-ID Adressbereich Netzteilnehmer

Entsprechende Subnetzmaske

Einheit 1 192.168.1.0 192.168.1.1 bis 192.168.1.30

255.255.255.224

Einheit 2 192.168.1.32 192.168.1.33 bis 192.168.1.62

255.255.255.224

Einheit 3 192.168.1.64 192.168.1.65 bis 192.168.1.94

255.255.255.224

Einheit 4 192.168.1.96 192.168.1.97 bis 192.168.1.126

255.255.255.224

Die höchste IP-Adresse in einem Subnetz (bei Einheit 1 192.168.1.31) darf keinem Netzteilnehmer zugeordnet werden. Diese Adresse wird als Broadcast-Adresse bezeichnet und dient als Sammeladresse für alle im Subnetz enthaltenen IP-Adressen. Werden Daten an diese höchste IP-Adresse gesandt, dann sind alle Netzteilnehmer im Subnetz Empfänger.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 41/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.1.6 TCP

TCP als Teil der IP-Protokollfamilie wird konzeptionell der OSI-Schicht 4 (Transportschicht) zugeordnet. Jede TCP/IP-Datenverbindung hat einen Sender und einen Empfänger. In der IP-Protokollfamilie übernimmt TCP als verbindungsorientiertes Protokoll die Aufgabe der Datenflusssteuerung und ergreift Maßnahmen bei einem Datenverlust.

Die Aufgabe von TCP besteht darin, den Datenstrom der einzelnen Anwendungen aufzuteilen, mit einem Header zu versehen und zur Übermittlung an das Internet Protocol (IP) auf OSI-Schicht 3 (Netzwerkschicht) zu übergeben. Auf der Empfangsseite werden die Daten dann von TCP wieder sortiert und zu einem Datenstrom zusammengesetzt. Verloren gegangene Pakete werden von TCP erkannt und erneut angefordert. Auf der Transportschicht stehen Sender und Empfänger ständig in Kontakt zueinander. Obwohl es sich eher um eine virtuelle Verbindung handelt, werden während der Datenübertragung ständig Kontrollmeldungen ausgetauscht. Mit der SEND/RECEIVE-Schnittstelle über TCP-Verbindungen unterstützt der Ethernet-CP die auf nahezu jedem Endsystem (PC oder Fremdsystem) vorhandene Socket-Schnittstelle (z.B. Winsock.dll) zu TCP/IP.

Der Aufbau und Abbau einer TCP-Verbindung geschieht über den sogenannten 3-Way-Handshake:

Aufbau einer TCP-Verbindung: Abbildung 10-6

1. Ich möchte eine Verbindung mit Dir aufbauen.(SYN-Bit im TCP-Header = 1)

3. Ich habe dein OK bekommen und starte die Datenübertragung (ACK-Bit im TCP-Header=1)

2. Ich bin einverstanden (SYN/ und ACK-But im TCP-Header = 1)

4. Datenübertragung

Sender Empfänger

Kompendium



Version - 1.0 Ausgabe 31.10.2007 42/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Abbau einer TCP-Verbindung: Abbildung 10-7

1. Ich habe die Datenübertragung beendet und möchte die Verbindung mit Dir abbauen

(FIN-Bit im TCP-Header = 1)

3. Ich habe dein OK bekommen und beende die Datenübertragung (ACK-Bit im TCP-Header=1)

2. Ich hab die Daten erhalten. Du kannst die Verbindung abbauen

(FIN und ACK-Bit im TCP-Header = 1)

Sender Empfänger

10.1.7 UDP

UDP ist ebenso wie TCP der OSI-Schicht 4 (Transportschicht) zugeordnet. Im Gegensatz zu TCP handelt es sich hier um ein verbindungsloses Protokoll, es werden keine Quittungen über angekommene Pakete verschickt. Features wie Datenflusssteuerung oder das protokollgesteuerte Neuanfordern von verlorenen Datenpaketen entfallen hier zugunsten der Geschwindigkeit. Deshalb eignet sich UDP für Datenübertragungen wie z.B. Videostreaming, wo vereinzelt verschwundene Datenpakete nicht ins Gewicht fallen. UDP wird darüber hinaus als einfaches Transportprotokoll verwendet, wenn höherschichtige Protokolle (in den OSI-Schichten 5-7) eine Fehlerüberprüfung durchführen.

10.1.8 Portadressierung

In jedem TCP- bzw. UDP-Datenpaket ist eine Portnummer hinterlegt, hinter der sich eine Anwendung oder ein Dienst befindet, welche(r) diesen Port abhört und die Daten von TCP entgegennimmt. Die Port-Nummern beginnen mit 1 und sind bis zur Port-Nummer 1024 fest einer Anwendung zugeordnet, zum Beispiel der Port 80 für HTTP. Alle anderen Port-Nummern, die darüber liegen, können frei von anderen Programmen verwendet werden. Bei der STEP 7 Verbindungsprojektierung stehen die Ports ab 2000 zu Verfügung. Mit dieser Portstruktur ist es möglich, dass mehrere Anwendungen gleichzeitig über das Netzwerk Verbindungen zu mehreren Kommunikationspartnern aufbauen können.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 43/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.1.9 Anwendungsbeispiele

Tabelle 10-4

Anwendung Transportprotokoll Portnummer

FTP (Datenaustausch) TCP 20 FTP (Kontrolldaten) TCP 21 SSH TCP 22 TELNET TCP 23 SMTP (E-Mail) TCP 25 DNS (Namensauflösung) UDP 53 HTTP TCP 80 ISO_TSAP (SIMATIC Manager) TCP 102 HTTPS (SSL) TCP 443

Kompendium



Version - 1.0 Ausgabe 31.10.2007 44/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.2 Firewalls

In diesem Kapitel werden die wesentlichen Firewalltypen mit ihren wichtigsten Eigenschaften vorgestellt.

10.2.1 Paketfilter

Paketfilter-Firewalls sind aus historischer Sicht eine Erweiterung von Netzwerk-Routern. Jeder Router hat meist zwei oder mehrere Schnittstellen zu angeschlossenen Netzwerken und führt Tabellen darüber, welche Netze an welcher Schnittstelle angeschlossen oder darüber erreichbar sind (Routing-Tabellen). Es ist recht einfach, Router in ähnlicher Weise um Regelsätze zu erweitern, die festlegen, ob die vorhandenen Routen von unterschiedlichen IP-Paketen benutzt werden dürfen oder nicht. Router treffen ihre Routing-Entscheidungen ausschließlich auf der Verbindungsschicht (Layer 3) des OSI-Protokolls. Dazu muss lediglich der IP-Header der Pakete analysiert werden, so dass Router auch mit bescheidener Hardware-Ausstattung ausreichend hohe Durchsatzraten erzielen. In vergleichbarer Weise werden die Filtermechanismen eines klassischen Paketfilters einfach gehalten, um weiterhin die Durchsatzraten gewährleisten zu können. Daher stützen sich diese Paketfilter auch nur auf Informationen, die in den Headern der Datenpakete enthalten sind und betrachten nicht die Dateninhalte der IP-Pakete auf höheren Protokollebenen. Ein gut ausgerüsteter Paketfilter im TCP/IP-Umfeld trifft seine Entscheidungen daher auf der Basis der folgenden Kenngrößen:

• IP-Adressen von Absender und Empfänger

• verwendetes IP-Protokoll

• TCP- bzw. UDP-Ports, soweit das IP-Paket eines dieser Protokolle transportiert

• IP- und TCP-Flags, ICMP-Types

• die Netzschnittstellen, über die das IP-Paket den Paketfilter erreicht und gegebenenfalls wieder verlässt

Nicht alle Paketfilter-Implementierungen benutzen alle diese Kenngrößen. Der Administrator legt einen Satz von Filterregeln fest, der im Betrieb statisch bleibt. Jede Regel legt für eine Kombination der oben aufgeführten Kenngrößen fest, ob ein IP-Paket weitergeleitet wird oder nicht. Bei der Bearbeitung eines bestimmten IP-Paketes wird mit den vorhandenen Filterregeln verglichen, ob eine Regel auf die Paket-Kenngrößen passt. Wenn ja, wird die in der Regel festgelegte Aktion (Weiterleiten oder Blockieren) ausgeführt. Wenn keine Filterregel zum Paket passt, kommt eine Voreinstellung zum Zuge (die im Interesse der Sicherheit zum Blockieren des Pakets führen sollte).

Ein klassischer Paketfilter bearbeitet jedes IP-Paket individuell, die Entscheidung über Weiterleitung oder Blockieren ist unabhängig davon, welche IP-Pakete vorher bearbeitet wurden.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 45/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Viele Paketfilter werden auf der Basis von Routern realisiert. Eine Alternative dazu sind so genannte „Bridging Firewalls“, bei denen die Filterregeln den Datenverkehr über eine Netzwerk-Bridge, also auf OSI-Layer 2, regeln. Sicherheitstechnisch entsprechen sie weitgehend den Paketfiltern auf Routing-Ebene, ein kleiner Vorteil kann darin gesehen werden, dass sie ohne eigene IPAdresse konfiguriert werden und daher auf IP-Ebene nicht sichtbar sind. Netztechnisch sind sie von Vorteil, wenn die angeschlossenen Netzsegmente nicht jeweils eigenständige Subnetze bilden sollen bzw. können oder eine rückwirkungsfreie Integration notwendig ist. Bei den SCALANCE S Modulen S612 und S613 handelt es sich um solche „Bridging Firewalls“.

10.2.2 Stateful Packet Filter

Die Filtereigenschaften eines Paketfilters lassen sich deutlich verbessern, wenn die IP-Pakete in ihrem Kontext überprüft werden. So ist es zum Beispiel wünschenswert, ein von einem externen Rechner kommendes UDP-Datagramm nur dann nach innen weiterzuleiten, wenn kurz zuvor von innen ein anderes UDP-Datagramm an denselben Rechner geschickt wurde (z.B. bei einer DNS-Anfrage eines Clients im Innennetz an einen externen DNS-Server). Um das zu ermöglichen, muss der Paketfilter zu allen aktuellen Verbindungen einen Status verwalten. Paketfilter, die das leisten, werden dementsprechend als stateful bezeichnet. Sie ahmen im Fall von TCP-Verbindungen die Statusüberwachung eines vollständigen TCP/IP-Protokoll-Stacks nach und simulieren virtuelle Verbindungen im Falle von UDP. Eine andere wichtige Eigenschaft eines Stateful Packet Filters ist die Fähigkeit, Filterregeln dynamisch zu erzeugen und zu löschen. Im oben genannten Fall muss beispielsweise nach dem Passieren des ersten UDP-Datenpakets von innen nach außen für einen begrenzten Zeitraum eine Regel aktiviert werden, die das „Antwortpaket“ akzeptiert und an den Client weiterleitet. Nach Ablauf des Zeitfensters für die Antwort muss diese Regel dann wieder gelöscht werden. Dem Firewall-Administrator wird damit die Konfiguration erleichtert, da einige Regeldefinitionen nicht mehr explizit eingepflegt werden müssen. Auf der anderen Seite entzieht sich das Verhalten der Firewall teilweise der Kontrolle des Administrators. Stateful Packet Filter bieten damit die zusätzliche Sicherheitseigenschaft, viele Ports für von außen kommende IP-Pakete nicht permanent offen lassen zu müssen, sondern nur bei Bedarf zu öffnen. Dauerhaft offene externe Ports sind nur noch für solche Verbindungen notwendig, die von außen initiiert werden.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 46/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.2.3 Stateful Inspection Firewalls

Das Stichwort Inspection in der Bezeichnung dieses Firewall-Typs deutet an, in welcher Richtung die Überprüfungsmöglichkeiten hier erweitert werden. Stateful Inspection Firewalls ermöglichen den Zugang auch zu den Inhalten der Datenpakete. Damit ebnen sie den Weg zu einer Inhaltskontrolle des Datenverkehrs und auch anderen höheren Kontrollfunktionen wie z.B. Benutzer-Authentisierungen. Die Voraussetzung dafür wird durch das andere Stichwort Stateful, gegeben. Erst durch die Statusverfolgung ist es möglich, die einzelnen IP-Pakete den verschiedenen simultan bestehenden Verbindungen zuzuordnen und damit eine Inhaltskontrolle sinnvoll zu ermöglichen. Dem Dateninhalt eines individuellen IP-Pakets ist z.B. kaum anzusehen, ob es zu einer bestimmten EMail gehört – und noch weniger, ob diese Email einen Virus, Trojaner oder Wurm enthält. Diese Überprüfung ist nur möglich, wenn der komplette Datenstrom aus allen IP-Paketen dieser Verbindung zusammengesetzt wird. In der Regel führen Stateful Inspection Firewalls diese Überprüfung jedoch nicht selbst durch, sondern reichen den Datenstrom an separate Security Server weiter, die dann die übergebenen Daten prüfen. Security Server stehen allerdings nur für sehr wenige Protokolle zur Verfügung. Für diese Protokolle arbeiten Stateful Inspection Firewalls ähnlich wie die im folgenden Kapitel beschriebenen Application Level Gateways, für alle anderen Protokolle jedoch wie ein Stateful Packet Filter. Stateful Inspection Firewalls sind daher als Hybrid-Systeme anzusehen.

10.2.4 Application Gateways

Dieser Firewall-Typ konzentriert seine Überwachungsfunktionen auf die Anwendungsebene (OSI-Layer 7). Für jedes behandelte Anwendungsprotokoll gibt es ein spezielles Prüfprogramm Proxy,das den Datenstrom dieser Anwendung vollständig analysiert. Daher wird dieser Firewall-Typ auch als Proxy-Firewall bezeichnet. Ein Proxy überprüft auf jeden Fall ausschließlich die Einhaltung des Anwendungsprotokolls, für das er geschrieben wurde. Hinzu kommen protokoll- und konfigurations-abhängig weitere Möglichkeiten:

• Filterung von Protokoll-Elementen Nicht alles, was im Anwendungsprotokoll definiert ist, mag im konkreten Einsatzfall erlaubt sein. Ein denkbares Beispiel ist z.B. die Filterung des PUT-Kommandos im FTP-Protokoll, wenn der angesprochene FTPServer keine Uploads erhalten darf.

• Suche nach Schadsoftware

Auf Anwendungsebene liegen die Daten in einem Format vor, das die Überprüfung auf Viren, Trojaner, Würmer und andere Schadsoftware mittels eines üblichen Virenscanners möglich macht.

• Benutzer-Authentisierung

Kompendium



Version - 1.0 Ausgabe 31.10.2007 47/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Sofern das Anwendungsprotokoll selbst eine Benutzer-Authentisierung vorsieht, kann diese bereits vom Proxy verlangt werden, bevor der eigentlich adressierte Server angesprochen wird. Ein nicht autorisierter Benutzer kann den Server dann gar nicht mehr erreichen.

10.3 IPSec-basierte Verschlüsselung

Mit dem Einsatz IPSec-basierter Verschlüsselung werden die Schwach-punkte in der IP-Kommunikation mit den größten Gefahrenpotentialen beseitigt:

• Spionage Es besteht die Möglichkeit, während der Übertragung (z.B. über Internet) die Inhalte der Datenpakete mitzulesen.

• Manipulation Es besteht die Möglichkeit, Daten in den Paketen während der Übertragung beliebig zu manipulieren, sowohl was die Inhalte als auch was die Empfänger- bzw. Absenderadressen betrifft.

Erreicht werden diese Ziele durch Verwendung von ESP (siehe Verschlüsselung mit ESP Protokoll) zur Koordination und Durchführung der Datenverschlüsselung und AH (siehe Integritätsprüfung mit AH Protokoll) zur Koordination und Durchführung der Integritätsprüfung. Damit werden je nach Anforderung und Verwendung die Vertraulichkeit und/oder Integrität gewährleistet.

10.3.1 Security Associations (SAs)

Um überhaupt IPSec-basierte geschützte Kommunikation zwischen 2 Partnern durchzuführen, müssen jeweils sogenannte Security Associations festgelegt werden. Diese sind spezifiziert durch:

• einen eindeutigen SPI (Security Parameter Index)

• eine IP-Adresse des Kommunikationspartners

• das anzuwendende Sicherheitsprotokoll (ESP oder AH)

• den zu verwendenden Schlüssel

• die Gültigkeitsdauer

• den Protokollmodus (Tunnel-Mode oder Transport-Mode)

Diese SA´s beschreiben eine unidirektionale Beziehung zwischen Sender und Empfänger. Für die übliche bidirektionale Kommunikation müssen demnach zwei „entgegengesetzte“ SA´s definiert sein.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 48/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.3.2 Integritätsprüfung mit AH Protokoll

Mit Authentication Header wird im Wesentlichen eine kryptografische Prüfsumme über jedes einzelne Datenpaket gebildet. Die Daten werden dabei nicht verändert.

Dieser Vorgang wird auch als Hashing bezeichnet. Das übliche Standardverfahren ist dabei Hashed Message Authentication Code mit den Algorithmen MD5 oder SHA-1.

Eine Änderung des Datenpaketes während der Übertragung müsste, um unentdeckt zu bleiben, eine Anpassung der vorher gebildeten kryptographischen Prüfsumme nach sich ziehen. Ein Außenstehender ist dazu nicht in der Lage. Der Empfänger des Paketes würde erkennen, dass die gebildete kryptographische Prüfsumme nicht mehr zum Datenfeld passt und somit die Integrität nicht mehr gewährleistet ist.

10.3.3 Verschlüsselung mit ESP Protokoll

Mit Encapsulating Security Payload wird der Inhalt jedes Datenpaketes verschlüsselt. D.h. die Daten werden für die Übertragung kryptografisch verändert. Darüber hinaus bietet ESP weitere Sicherheitsfunktionen optional an:

• Eine Integritätsprüfung des Datenpaketes

• Anti-Replay (um z.B. DoS-Angriffe zu verhindern) Beim Anti-Replay wird verhindert, das Angreifer ein abgefangenes Paket wieder und wieder an den Empfänger schickt, um ihn so zu überlasten. Solche Pakete werden vom Empfänger nicht mehr berücksichtigt.

Übliche Standardverfahren bei ESP sind:

• DES

• RC4

• 3DES

• AES

Kompendium



Version - 1.0 Ausgabe 31.10.2007 49/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.3.4 IPSec-Modi (Tunnel vs. Transport)

Die IPSec-Verschlüsselung kann in zwei verschiedenen Modi durchgeführt werden:

Transport Mode Im Transport Mode erstreckt sich die Verschlüsselung „nur“ auf das Datenfeld. Die Header der Datenpakete bleiben unberührt. Verwendung findet der Transport Mode fast ausschließlich in speziellen Umgebungen, wo aufgrund äußerer Umstände standardmäßig eine Adressumsetzung per NAT/NAPT durchgeführt werden muss.

Tunnel Mode Im Tunnel Mode erstreckt sich die Verschlüsselung und damit die Vertraulichkeit über das gesamte Datenpaket inklusive Header. Da dieser Modus auch gegen Veränderungen im Headerfeld schützt, wird er weit häufiger eingesetzt, als der Transport Mode.

10.3.5 Methoden der Schlüsselverwaltung (Aushandeln und Austauschen)

Konzepte Aktuell gibt es 3 Standardkonzepte zum Austauschen bzw. Aushandeln von IPSec-Schlüsselinformationen und zum Einrichten der SAs:

• Manuelle Schlüsselverwaltung (Manual IPSec)

• Simple Key Management for Internet Protocol (SKIP)

• Internet Security Association and Key Management Protocol (ISAKMP) und als dessen Teilmenge Internet Key Exchange (IKE)

ISAKMP ISAKMP läuft zwischen Sender und Empfänger in zwei Phasen ab:

• Erste Phase: Aufbau einer SA zum

– Aushandeln, Generieren und Verteilen der verwendeten Schlüssel

– Authentifizierung der Kommunikationspartner

– Austausch der zu benutzenden Integritäts- und/oder Vertraulichkeitsalgorithmen

• Zweite Phase: – Aufbau einer oder meherer SAs zur Nutzdatenkommunikation

IKE IKE -als teilweise Implementierung von ISAKMP- ist integriert in die SCALANCE S Baureihe und läuft ebenfalls in zwei Phasen ab. Das Schlüsselmanagement in Phase 1 beschränkt sich auf das Diffie-Helman-Verfahren mit Authentifizierung der Kommunikationspartner über:

Kompendium



Version - 1.0 Ausgabe 31.10.2007 50/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

• Pre-Shared-Keys – Das Schlüsselmaterial ist „offline“ ausgehandelt, generiert und

verteilt worden

• Public-Key-Verfahren Das Schlüsselmaterial ist online ausgehandelt unter Verwendung von Zertifikaten (z.B. über den RSA-Algorithmus)

10.3.6 Schlüsselaustauschverfahren

Asymmetrische Verfahren Bei asymmetrischen Algorithmen ist die Grundidee die Verwendung eines Schlüsselpaares. Einer der beiden Schlüssel dient zur Verschlüsselung der Nachricht. Dieser öffentliche Schlüssel wird jedermann zugänglich gemacht. Der zweite Schlüssel dient zur Entschlüsselung der Nachricht. Dieser Schlüssel muss unbedingt geheim bleiben (privater Schlüssel). Derartige Verfahren werden auch als Public-Key-Algorithmen bezeichnet. Wichtig ist, dass der private Schlüssel nicht aus dem öffentlichen Schlüssel abgeleitet oder berechnet werden kann.

Symmetrische Verfahren Bei symmetrischen Algorithmen wird auf beiden Seiten, also beim Verschlüsseln und beim Entschlüsseln derselbe Schlüssel verwendet bzw. es werden beim Ver- und Entschlüsseln Schlüssel verwendet, die voneinander abgeleitet werden können. Die Vorteile der symmetrischen Algorithmen liegen in der hohen Geschwindigkeit und der vergleichsweise einfachen Implementierung. Der Nachteil liegt in der Verteilung des Schlüsselmaterials. Aufgrund der Symmetrie muss der verwendete Schlüssel sowohl dem Sender als auch dem Empfänger bekannt sein. Da jeder Algorithmus nur dann sicher ist, wenn die zur Entschlüsselung benötigte Information, d.h. der Schlüssel geheim bleibt, muss dieser Schlüssel vor der Verwendung auf einem sicheren Kanal ausgetauscht oder ausgehandelt werden. Wird der Schlüssel während diesem Austausch bekannt, dann ist die gesamte Verschlüsselung kompromittiert.

Diffie-Hellman-Algorithmus Das wohl bekannteste Verfahren zum Online-Austausch von Schlüssel-Informationen ist der Diffie-Hellman-Algorithmus. Benannt nach den Erfindern Whitfield Diffie und Martin Hellman wurde es bereits 1976 zum ersten Mal umgesetzt. Ziel des Verfahrens ist die Erzeugung eines gemeinsamen Schlüssels für Sender und Empfänger pro Security Association. Beide Verschlüsselungsteilnehmer einigen sich auf:

• Eine große Primzahl p

• Eine Basis g, für die gilt 1<g<p

Mithilfe dieser Informationen wird der gemeinsame Schlüssel gebildet.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 51/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Zusammenfassung In der Praxis werden symmetrische und asymmetrische Verfahren gerne kombiniert, um ihre Nachteile auszugleichen. So wird für die eigentliche Verschlüsselung der Daten aufgrund der Geschwindigkeit oft ein symmetrischer Schlüssel eingesetzt. Zur Verteilung dieses symmetrischen Schlüssels an alle Kommunikationspartner wird dann aber ein asymmetrisches Verfahren verwendet.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 52/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.4 Wireless LAN – Grundlagen zur Sicherheit

10.4.1 WEP (Wired Equivalent Privacy)

WEP stellt das älteste und zugleich am wenigsten sichere Verschlüs-selungsverfahren dar, mit dem WLAN-Übertragungen nach dem 802.11-Standard gegen unbefugte Eindringlinge geschützt werden.

Bei diesem Verfahren wird ein Passwort der Anwender als fester Schlüssel verwendet mit dessen Hilfe eine Folge von Pseudo-Zufallszahlen generiert werden. Jedes Zeichen des zu übertragenden Telegramms wird dann mit der nächsten Zahl aus dieser Folge ver- bzw. beim Empfänger entschlüsselt.

Das Verfahren ist relativ schlicht und kann auf zweierlei Folgen vergleichs-weise einfach kompromittiert werden. Zum einen muss beim Verbindungs-aufbau ein Austausch des Schlüssels zwischen Sender und Empfänger geschehen, der unverschlüsselt abläuft.

Zum anderen können statistische Methoden angewandt werden, um aus dem übertragenen Telegrammverkehr Charakteristika zu ermitteln, die wiederum Rückschlüsse auf den verwendeten Schlüssel erlauben, solange nur hinreichend viele Telegramme für die Analyse vorliegen.

Aus diesen Gründen wird WEP heutzutage im Allgemeinen nicht mehr als hinreichend sicher erachtet.

10.4.2 WPA (Wi-Fi Protected Access)

WPA stellt die Weiterentwicklung von WEP dar und gilt heute trotz einiger Schwächen noch als Standard. Neben technischen Änderungen am eigent-lichen Verschlüsselungsalgorithmus wurde auch der Ablauf des Protokolls angepasst und zuätzliche Funktionen integriert:

• Passwörter für den Netzwerkzugang (Authentifizierung) können auf einem zentralen Server („RADIUS“) hinterlegt werden,

• Der Schlüssel für die Telegrammübertragung ändert sich dynamisch und erschwert so statistische Angriffe,

• In den Schlüssel eingearbeitet ist die MAC-Adresse (d.h. die eindeutige Hardware-Identifikation) des Senders, wodurch die Absender-Fälschung von Nachrichten zusätzlich erschwert wird.

Die Erarbeitung eines WEP-ablösenden Verschlüsselungsalgorithmus durch die IEEE-Arbeitsgruppe 802.11i verzögerte sich, so dass die „Wi-Fi-Alliance“ als Zwischenlösung die Anwendung von WPA als einer Untermenge des 802.11i-Standards empfahl. Mit der inzwischen erfolgten Verabschiedung des 802.11i-Standards ist dies jedoch hinfällig, und WPA2 bzw. AES stehen als Mittel der Wahl zur Verfügung.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 53/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

10.4.3 WPA2 und AES (Advanced Encryption Standard)

Nach der Verabschiedung des kompletten 802.11i-Standards wurde dieser unter der Bezeichnung „WPA2“ von der „Wi-Fi-Alliance“ übernommen. WPA2 unterscheidet sich von WPA im Wesentlichen durch das Verschlüs-selungsverfahren: Die Schwächen, die mittlerweile bei WPA identifiziert wurden, sind im AES-Verfahren, das bei WPA2 eingesetzt wird, nicht mehr vorhanden.

Der „Advanced Encryption Standard“ praktiziert wie WEP das „Aufaddieren“ eines Schlüssels auf die Nachricht. Zwar wird hier jeweils ein Block der Rohdaten mit jeweils demselben Schlüssel verarbeitet, dafür finden mehrere Verarbeitungsdurchgänge mit jeweils variierenden Block-größen statt.

Bei der Wahl „vernünftiger“ Passwörter, die hinreichend lang und nicht zu erraten sind, gelten AES-verschlüsselte Nachrichten nach heutigem Stand der Technik (2006) als nicht zu knacken.

10.4.4 EAP (Extensible Authentication Protocol)

Hinter der Abkürzung EAP verbirgt sich ein verbreitetes Framework für ver-schiedene Authentifizierungsverfahren für den Netzwerkzugang. Mit anderen Worten, EAP selbst stellt keine Authentifizierungsmethode dar, sondern beschreibt den Mechanismus, nach dem sich Client und Server auf eine Methode einigen können.

Eine der Methoden, die unter EAP eingesetzt werden können, ist „EAP-TLS“ („EAP-Transport Layer Security“), bei der die Netzwerkteilnehmer vor der Zulassung zum Netzwerkverkehr „zertifiziert“, d.h. bei einem zentralen Server beglaubigt werden müssen. Das Verfahren ist hierbei dem aus dem Internet geläufigen SSL vergleichbar.

10.4.5 MAC-Filter

MAC-Adressen („Media Access Control“) sind Codes, mittels derer Hardware-Elemente (wie z.B. Netzwerkkarten, Baugruppen, Motherboards) weltweit eindeutig identifiziert werden können.

Die Adressen umfassen üblicherweise 6 Byte (48 bit) und sind in den ent-sprechenden Bauteilen „hardverdrahtet“; auf Anfrage identifizieren sich die Bauteile, indem sie ihre MAC-Adresse zurückliefern.

Bei der Netzwerkverwaltung können Filtertabellen mit MAC-Adressen auf-gestellt werden, die den Zugriff für bestimmte Adressen erlauben oder ver-bieten. Auf diese Art und Weise kann ein einfacher, wenn auch vergleichs-weise unsicherer Zugriffsschutz für das Netzwerk implementiert werden.

Es ist nämlich nicht ausgeschlossen, dass MAC-Adressen manipuliert werden(„Spoofing“), so dass MAC-Filter nur in Verbindung mit anderen Maßnahmen hinreichende Sicherheit für ein Netzwerk bieten.

Kompendium

SIMATIC NET Produkte


Version - 1.0 Ausgabe 31.10.2007 54/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

11 SIMATIC NET Produkte

Die Produkte von SIMATIC NET sind zusammengefasst in der Produktfamilie SCALANCE. Das Postfix an dem „Familiennamen“ kennzeichnet nur das Einsatzgebiet. Ein „X“ steht hierbei „switching“, das „W“ für „wireless“ und das „S“ für „Security“.

11.1 Industrial Switching – SCALANCE X

Abbildung 11-1

Die Produktreihe SCALANCE X bietet Switche für den industriellen Einsatz an. Es gibt sie in verschiedenen Leistungskategorien, mit einem erweiterten Leistungsspektrum je Stufe. Der Vorteil dieser Geräte liegt darin, dass sie speziell auf die Anforderungen für das Automatisierungsumfeld entwickelt wurden. Dies zeigt sich z.B. in den Temperaturbereichen, in denen die Switche eingesetzt werden können. Auch ist das Gehäuse auf die robustere Einsatzumgebung angepasst. Die Montage erfolgt je nach Bedarf, direkt auf einen Untergrund, oder über Hutschienenmontage.

Die einzelnen Funktionsstufen erkennt man anhand der angehängten Nummer an den „Familiennamen“. Diese Nummer ist immer dreistellig. Die Hunderter-Zahl gibt dabei stets die Leistungsklasse an. Sie liegt zwischen 0 (kleinste Leistungsklasse) und 4 (höchste Leistungsklasse). Die Zehner- und Einer-Zahl spiegeln die Anzahl der elektrischen Ports wieder. Die Bezeichnung SCALANCE X224 beschreibt demnach einen Switch der Leistungsklasse 2 mit 24 elektrischen Ports.

Für die sicherheitsrelevanten Funktionen können nur Switche aus der Leistungsklasse 3 und 4 verwendet werden. Der Unterschied zwischen 300er und 400er Switchen liegt darin, dass die 400er Geräte modular aufgebaut sind, die 300er Produkte in Kompaktbauweise ausgeführt sind.

Kompendium



Version - 1.0 Ausgabe 31.10.2007 55/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

11.2 Industrial Wireless LAN - SCALANCE W

Abbildung 11-2

Mit den Industrial Wireless LAN (IWLAN) Komponenten steht eine mobile Lösung für neue Applikationen bis in die Feldebene zur Verfügung. Die Produkte bieten eine einzigartige Kombination von Zuverlässigkeit, Robustheit und Sicherheit.

Der industrielle Einsatz der Funktechnologie erfordert besonders zuverlässige Verbindungen. Eine gegen Störungen tolerante Modulation ist im Standard 802.11 b/g und a berücksichtigt. Zur Aufrechterhaltung der Funkverbindung auch bei größeren Entfernungen oder Reflexionen an metallischen Gegenständen wird die Datenrate in definierten Schritten reduziert. Das alles ist Bestandteil des Standards IEEE 802.11 mit Datenraten bis zu 54 Mbit/s und Übertragungsfrequenzen von 2,4GHz und 5GHz. Zusätzlich wird in beiden Bändern die Turbo-Mode Funktion mit einer Übertragungsrate bis zu 108Mbit/s unterstützt, bei der zwei benachbarte Kanäle gebündelt werden. Der Turbo-Mode funktioniert allerdings nicht konform mit IEEE.

Neben diesem Standard bietet Industrial Wireless LAN von SIMATIC NET eine Erweiterung des Standards, die ausgewählten Teilnehmern eine definierte Datenrate zur Verfügung stellt. Damit wird deterministischer Datenverkehr auf Basis des Shared Mediums Wireless LAN möglich. IWLAN unterstützt die gezielte Überwachung der Verbindung eines

Kompendium



Version - 1.0 Ausgabe 31.10.2007 56/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Teilnehmers zum Access Point, um bei Abbruch der Verbindung oder Verlassen der Funkzelle sofort Gegenmaßnahmen einzuleiten.

Der Einsatz im rauen Industrie-Alltag erfordert robuste Produkte, insbesondere wenn sie außerhalb von Schaltschränken eingesetzt werden. IWLAN Komponenten von SIMATIC NET sind für Schutzart IP65 und Betriebstemperaturen von -20°C bis +60°C mit Betauung ausgelegt und erfüllen die hohen Anforderungen von SIMATIC bezüglich Schock und Vibrationen. Die Stecker sind rüttel- und schüttelfest ausgeführt.

Schutz vor unerlaubtem Zugriff und Verschlüsselung der Daten sind Anforderungen, die nicht nur bei der Übertragung von geheimen Rezepturen gefragt sind. Industrial Wireless LAN folgt hier exakt den Vorgaben wie sie IEEE und WiFi im Standard 802.11 definieren, um ein hohes Maß an Interoperabilität zu ermöglichen. Mit den neuen Mechanismen aus WPA und einer AES- basierten Verschlüsselung sind die bekannten Sicherheitslücken von Wireless LAN und WEP behoben worden.

Stillstandszeiten von Netzsegmenten und angeschlossenen Industrial Ethernet-Netzwerkteilnehmern werden im Fehlerfall durch Einsatz des C-PLUG minimiert. Der C-PLUG ermöglicht den schnellen und einfachen Geräteaustausch von SIMATIC NET-Komponenten ohne erneute Konfiguration des Ersatzteiles.

11.3 Industrial Security - SCALANCE S

Abbildung 11-3

Hardware und Software der SCALANCE S Produktlinie bilden ein bis ins Detail ausgefeiltes Security-System, das exakt auf die hohen Anforderungen industrieller Kommunikation zugeschnitten ist.

Die Schutzfunktion von SCALANCE S besteht darin, dass der gesamte Datenverkehr von und zur Zelle kontrolliert wird. Die Security-Module

Kompendium



Version - 1.0 Ausgabe 31.10.2007 57/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

werden einfach wie eine Netzkomponente vor den zu schützenden Geräten platziert.

Durch dieses Schutzkonzept von Teilnetzen bzw. Automatisierungszellen mit Security-Modulen werden Automatisierungsgeräte abgesichert ohne eigene Security-Funktionen besitzen zu müssen. Eine Ausstattung aller Automatisierungsgeräte mit eigener Security-Funktionalität ist technisch nicht sinnvoll und sicher nicht wirtschaftlich. Das Zellenkonzept bietet dagegen eine sehr effiziente Möglichkeit, auch bereits bestehende Netze abzusichern.

Security-Module sind in der Lage mehrere Geräte gleichzeitig zu schützen. Das bedeutet für den Anwender geringere Kosten und auch deutlich weniger Konfigurationsaufwand.

Echtzeitfähigkeit und Security sind im Prinzip gegensätzliche Anforderungen. Jeder Security-Mechanismus muss anhand von Regeln oder Konfigurationen überprüfen, ob gewisse Verbindungen oder Zugriffe erlaubt sind oder nicht. Das kostet Zeit und auch Performance. Innerhalb der Zelle hingegen kann Echtzeitdatenverkehr völlig unbeeinflusst von Security-Mechanismen ablaufen.

Ein weiterer wichtiger Eckpfeiler der Sicherheit in der Datenübertragung ist die Verschlüsselung der Gerätekommunikation. Die Security-Module SCALANCE S612 und SCALANCE S613 bieten hier auch in Verbindung mit dem softwarebasierten SOFTNET Security Client IPSec-basierte Verschlüsselungsalgorithmen.

Die Security-Module S61x Die Security-Module SCALANCE S61x bieten neben der integrierten Firewall-Funktionalität auch höchste Datensicherheit durch IPSec VPN Tunneling ein- und ausgehender Daten. Beide Module ab Version 2.0 sind zudem Routingfähig.

Das Security-Modul SCALANCE S61x gibt es in folgenden Varianten: Tabelle 11-1

Eigenschaft S612 S613

Stateful Inspection Firewall ja ja Anzahl der geschützten Geräte im internen Netz pro VPN Tunnel

32 64

Anzahl der gleichzeitig verwaltbaren VPN-Tunnels

64 128

Schnittstellen 2 RJ45 10/100 Mbit/s

2 RJ45 10/100 Mbit/s

Das Security Modul S602 Das Security Modul SCALANCE S602 bietet neben der in allen SCALANCE S Produkten integrierten Firewall auch eine

Kompendium



Version - 1.0 Ausgabe 31.10.2007 58/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Routingfunktionalität auf Layer 3 und ist ausgestattet mit 2 RJ45 10/100 Mbit/s Ethernet-Ports. Die Integration der TCP/IP-Protokolle DHCP, DNS, NTP, Syslog runden das Angebot ab.

C-Plug Die Projektierungsdaten werden automatisch auf einem Configuration Plug (C-PLUG) gesichert. Sollte der Austausch eines Geräts erforderlich sein, muss lediglich der C-PLUG ins Ersatzgerät übernommen werden. Ohne Projektierung läuft die Ersatzkomponente mit der gleichen Gerätekonfiguration an.

Kompendium

Abkürzungsverzeichnis


Version - 1.0 Ausgabe 31.10.2007 59/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

12 Abkürzungsverzeichnis Tabelle 12-1

Abkürzung Beschreibung

AES Advanced Encryption Standard AH Authentication Header ARP Address Resolution Protocol C-PLUG Configuration-PLUG DHCP Dynamic Host Configuration Protocol DNS Domain Name Service EAP Extensible Authentication Protocol ERTEC Enhanced Realtime Controler ESP Encapsulating Security Payload FTP File Transfer Protocol GHz Gigahertz GPRS General Packet Radio Services HTTP Hypertext Transfer Protocol IEEE Institute of Electrical and Electronics Engineers IKE Internet Key Exchange IP Internet Protocol IPSec Internet Protocol Security IRT Industrial Real Time ISAKMP Internet Security Association and Key Management Protocol IWLAN Industrial Wireless Local Area Network LAN Local Area Network LED Light Emitting Diode LWL Lichtwellenleiter MAC Media Access Control MBit/s Megabit pro Sekunde NAPT Network Address and Port Translation NAT Network Address Translation NTP Network Time Protocol OSI Open System Interconnection PSTN RADIUS Remote Authentication Dial-In User Service RSA-Algorithmus

Rivest-Shamir-Adleman-Algorithmus

RSTP Rapid Spanning Tree Protocol SSL Secure Socket Layer

Kompendium

Historie


Version - 1.0 Ausgabe 31.10.2007 60/60

Cop

yrig

ht ©

Sie

men

s A

G 2

007

All

right

s re

serv

ed

2704

3887

_Sec

urity

_SIM

ATI

C_N

ET_

V10

_d.d

oc

Abkürzung Beschreibung

TCP Transmission Control Protocol TLS Transport Layer Security UDP User Datagram Protocol WEP Wireless Encryption Standard Wi-Fi Wireless Fidelity WPA Wireless Fidelity Protected Access

13 Historie Tabelle 13-1 Historie

Version Datum Änderung

V1.0 31.10.2007 Erste Ausgabe

Documents

Systembeschreibung zur Kommunikation · 2015-01-19 · 7 Sichere Datenkommunikation zwischen Zellen ... 10.3 IPSec-basierte Verschlüsselung ... • IPSec • WPA • WEP • SSL