SCALANCE S et SOFTNET Security. Client SIMATIC NET. SCALANCE S et SOFTNET Security Client. Avant-propos. Introduction et notions élémentaires

Transcription

1 SCALANCE S et SOFTNET Security Client SIMATIC NET SCALANCE S et SOFTNET Security Client Instructions de service Avant-propos Introduction et notions élémentaires 1 Propriétés du produit et mise en service 2 MISE EN ROUTE 3 Configuration sous Security Configuration Tool 4 Pare-feu, routeur et autres propriétés du module 5 Communication sécurisée sur le VPN par tunnel IPsec 6 (S612/S613) SOFTNET Security Client (S612 / S613) 7 Fonctions en ligne - test, diagnostic et journalisation 8 A Astuces et remèdes Notes à propos du marquage B CE C Bibliographie D Dessins cotés E Historique du document 07/2011 C79000-G8977-C196-08

2 Mentions légales Mentions légales Signalétique d'avertissement Ce manuel donne des consignes que vous devez respecter pour votre propre sécurité et pour éviter des dommages matériels. Les avertissements servant à votre sécurité personnelle sont accompagnés d'un triangle de danger, les avertissements concernant uniquement des dommages matériels sont dépourvus de ce triangle. Les avertissements sont représentés ci-après par ordre décroissant de niveau de risque. DANGER signifie que la non-application des mesures de sécurité appropriées entraîne la mort ou des blessures graves. ATTENTION signifie que la non-application des mesures de sécurité appropriées peut entraîner la mort ou des blessures graves. PRUDENCE accompagné d un triangle de danger, signifie que la non-application des mesures de sécurité appropriées peut entraîner des blessures légères. PRUDENCE non accompagné d un triangle de danger, signifie que la non-application des mesures de sécurité appropriées peut entraîner un dommage matériel. IMPORTANT signifie que le non-respect de l'avertissement correspondant peut entraîner l'apparition d'un événement ou d'un état indésirable. En présence de plusieurs niveaux de risque, c'est toujours l'avertissement correspondant au niveau le plus élevé qui est reproduit. Si un avertissement avec triangle de danger prévient des risques de dommages corporels, le même avertissement peut aussi contenir un avis de mise en garde contre des dommages matériels. Personnes qualifiées L appareil/le système décrit dans cette documentation ne doit être manipulé que par du personnel qualifié pour chaque tâche spécifique. La documentation relative à cette tâche doit être observée, en particulier les consignes de sécurité et avertissements. Les personnes qualifiées sont, en raison de leur formation et de leur expérience, en mesure de reconnaître les risques liés au maniement de ce produit / système et de les éviter. Utilisation des produits Siemens conforme à leur destination Tenez compte des points suivants: ATTENTION Les produits Siemens ne doivent être utilisés que pour les cas d'application prévus dans le catalogue et dans la documentation technique correspondante. S'ils sont utilisés en liaison avec des produits et composants d'autres marques, ceux-ci doivent être recommandés ou agréés par Siemens. Le fonctionnement correct et sûr des produits suppose un transport, un entreposage, une mise en place, un montage, une mise en service, une utilisation et une maintenance dans les règles de l'art. Il faut respecter les conditions d'environnement admissibles ainsi que les indications dans les documentations afférentes. Marques de fabrique Toutes les désignations repérées par sont des marques déposées de Siemens AG. Les autres désignations dans ce document peuvent être des marques dont l'utilisation par des tiers à leurs propres fins peut enfreindre les droits de leurs propriétaires respectifs. Exclusion de responsabilité Nous avons vérifié la conformité du contenu du présent document avec le matériel et le logiciel qui y sont décrits. Ne pouvant toutefois exclure toute divergence, nous ne pouvons pas nous porter garants de la conformité intégrale. Si l'usage de ce manuel devait révéler des erreurs, nous en tiendrons compte et apporterons les corrections nécessaires dès la prochaine édition. Siemens AG Industry Sector Postfach NÜRNBERG ALLEMAGNE Numéro de référence du document: C79000-G8977-C P 08/2011 Copyright Siemens AG Sous réserve de modifications techniques

3 Avant-propos Ce manuel......vous aide à mettre en service les modules de sécurité SCALANCE S602 / S612/ S613 ainsi que le SOFTNET Security Client. Les variantes SCALANCE S602 / S612 / S613 sont appelées ci-après SCALANCE S. Nouveau dans cette édition SOFTNET Security Client V4.0 SOFTNET Security Client V4.0 prend en charge les systèmes d'exploitation suivants : Microsoft Windows XP 32 bits + Service Pack 3 Microsoft Windows 7 Professionnel 32/64 bits Microsoft Windows 7 Professionnel 32/64 bits + Service Pack 1 Microsoft Windows 7 Intégrale 32/64 bits Microsoft Windows 7 Intégrale 32/64 bits + Service Pack 1 Domaine de validité du manuel Ce manuel est valable pour les appareils et composants suivants : SIMATIC NET SCALANCE S602 6GK BA00-2AA3 - avec firmware à partir de la version V2.3 SIMATIC NET SCALANCE S612 V2 6GK BA00-2AA3 - avec firmware à partir de la version V2.3 SIMATIC NET SCALANCE S613 V2 6GK BA00-2AA3 - avec firmware à partir de la version V2.3 SIMATIC NET SOFTNET Security Client 6GK VW02-0AA0 - à partir de la version 2008 Security Configuration Tool - Version V2.3 A qui s'adresse ce manuel? Ce manuel s'adresse aux personnes chargées de la mise en service des modules de sécurité SCALANCE S et du SOFTNET Security Client au sein d'un réseau. Instructions de service, 07/2011, C79000-G8977-C

4 Avant-propos Documentation complémentaire Le manuel "SIMATIC NET Réseau Industrial Ethernet Twisted Pair et FO" fournit des informations complémentaires sur les produits SIMATIC NET que vous pouvez exploiter avec le module de sécurité SCALANCE S dans un réseau Industrial Ethernet. Vous pouvez télécharger ce manuel de réseau sur le site Internet du Customer Support à l'adresse suivante : ( Normes et homologations L'appareil SCALANCE S est conforme aux spécifications de marquage CE. Vous trouverez des informations détaillées à ce propos dans l'annexe de ce manuel de mise en service. Symboles utilisés dans le manuel Ce symbole attire votre attention sur des conseils particuliers. Ce symbole renvoie à des ouvrages de référence. F1 Ce symbole signale l'existence d'informations détaillées dans l'aide contextuelle. Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue en question. Références bibliographiques /.../ Les renvois à d'autres documents sont repérés par un numéro entre deux barres obliques /.../. Ce numéro vous permettra de retrouver le titre du document en question dans la bibliographie qui se trouve à la fin du présent manuel. Voir aussi Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client (Page 91) 4 Instructions de service, 07/2011, C79000-G8977-C196-08

5 Contenu Avant-propos Introduction et notions élémentaires Utilisation de SCALANCE S612, S613 et de SOFTNET Security Client Mise en oeuvre de SCALANCE S Configuration et administration Propriétés du produit et mise en service Caractéristiques du produit Caractéristiques du matériel et récapitulatif des fonctions Fourniture Déballage et contrôle Connexion à Ethernet Alimentation Contact de signalisation Bouton de réinitialisation - Rétablissement de la configuration par défaut Visualisations Caractéristiques techniques Montage Note importante concernant la mise en oeuvre des appareils Montage sur rail symétrique Montage sur profilé support Fixation murale Mise à la terre Mise en service Etape 1 : Connexion du module SCALANCE S Etape 2 : Configuration et chargement C-PLUG (Configuration-Plug) Transfert du firmware MISE EN ROUTE Exemple 1 : Tunnel VPN - Exemple de tunnel IPsec avec SCALANCE S612 / S Présentation Configuration du SCALANCE S et du réseau Spécification des paramètres IP des PC Création du projet et des modules Configuration d'une connexion par tunnel Chargement de la configuration sur SCALANCE S Test de fonctionnement du tunnel (test de ping) Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu Présentation Configuration du SCALANCE S et du réseau Spécification des paramètres IP des PC...54 Instructions de service, 07/2011, C79000-G8977-C

6 Contenu Création du projet et des modules Configuration du pare-feu Chargement de la configuration sur SCALANCE S Test de fonctionnement du pare-feu (test de ping) Enregistrement du trafic de données du pare-feu (journalisation) Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur Présentation Configuration du SCALANCE S et du réseau Spécification des paramètres IP des PC Création du projet et des modules Configuration du mode routeur NAT Configuration du pare-feu Chargement de la configuration sur SCALANCE S Test de la fonction de routeur NAT (test de ping) Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client Présentation Configuration du SCALANCE S et du réseau Configuration des paramètres IP des PC Création d'un projet et de modules Configuration d'une connexion par tunnel Chargement de la configuration sur SCALANCE S et enregistrement de la configuration du SOFTNET Security Client Configuration d'un tunnel avec SOFTNET Security Client Test de fonctionnement du tunnel (test de ping) Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Présentation Installation du MD741-1 et du réseau Spécification des paramètres IP des PC Création du projet et des modules Configuration de la connexion tunnélisée Enregistrement de la configuration du MD741-1 et du SOFTNET Security Client Configuration du MD Etablissement d'un tunnel avec le SOFTNET Security Client Test de la fonction de tunnel (test de ping) Configuration sous Security Configuration Tool Fonctionnalités et fonctionnement Installation Interface utilisateur et commandes de menu Gestion de projets Présentation Création et édition de projets Création d'un utilisateur Contrôle de cohérence Attribution de mnémoniques aux adresses IP/MAC Chargement de la configuration sur SCALANCE S Instructions de service, 07/2011, C79000-G8977-C196-08

7 Contenu 4.6 Données de configuration pour MD 740 / MD Pare-feu, routeur et autres propriétés du module Présentation / Notions élémentaires SCALANCE S comme pare-feu SCALANCE S comme routeur SCALANCE S comme serveur DHCP Création de modules et définition des paramètres de réseau Pare-feu - Propriétés du module en mode standard Configuration du pare-feu Paramétrage par défaut du pare-feu Pare-feu - Propriétés du module en mode avancé Configuration du pare-feu Règles de pare-feu globales Spécification des règles de filtrage de paquets IP locales Règles de filtrage de paquets IP Définition des services IP Définition des services ICMP Paramétrage des règles de filtrage de paquets MAC Règles de filtrage de paquets MAC Définition des services MAC Création de groupes de services Synchronisation d'horloge Génération de certificats SSL Mode routage Routage Routage NAT/NAPT Routage NAT/NAPT - Exemples de configuration partie Routage NAT/NAPT - Exemples de configuration partie Serveur DHCP Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) VPN avec SCALANCE S Groupes Création de groupes et affectation des modules Types de module au sein d'un groupe Configuration de tunnel en mode standard Configuration de tunnels en mode avancé Configuration des propriétés de groupe Ajout d'un SCALANCE S dans un groupe configuré SOFTNET Security Client Configuration des propriétés VPN spécifiques du module Configuration de noeuds de réseau interne Fonctionnement du mode apprentissage Affichage des noeuds de réseau interne détectés Configuration manuelle des noeuds de réseau Instructions de service, 07/2011, C79000-G8977-C

8 Contenu 7 SOFTNET Security Client (S612 / S613) Mise en oeuvre du SOFTNET Security Client Installation et mise en service du SOFTNET Security Client Installation et démarrage du SOFTNET Security Client Désinstallation du SOFTNET Security Client Création du fichier de configuration avec l'outil de configuration Security Configuration Tool Utilisation du SOFTNET Security Client Configuration et édition de tunnels Fonctions en ligne - test, diagnostic et journalisation Vue d'ensemble des fonctions du dialogue Online Enregistrement d'événements (journalisation) Journal local - Paramètres dans la configuration Syslog réseau - Paramètres dans la configuration La configuration de la journalisation de paquets A Astuces et remèdes A.1 Le module SCALANCE S ne démarre pas correctement A.2 Impossible d'accéder au module SCALANCE S A.3 Echange d'un module SCALANCE S A.4 Sécurité du module SCALANCE S compromise A.5 Clé des données de configuration compromise ou perdue A.6 Fonctionnement général B Notes à propos du marquage CE C Bibliographie D Dessins cotés E Historique du document E.1 Historique du document Glossaire / Index Index Instructions de service, 07/2011, C79000-G8977-C196-08

9 Introduction et notions élémentaires 1 En acquérant SIMATIC NET SCALANCE S et SIMATIC NET SOFTNET Security Client vous avez opté pour le concept de sécurité SIEMENS, un concept qui répond aux sévères exigences de la communication sécurisée en automatique industrielle. Ce chapitre vous donne un aperçu des fonctions de sécurité dont sont dotés les appareils et composants module de sécurité SCALANCE S SOFTNET Security Client Conseil : Vous trouverez la prise en main rapide du SCALANCE S au chapitre 3 "MISE EN ROUTE". 1.1 Utilisation de SCALANCE S612, S613 et de SOFTNET Security Client Protection sans faille - Fonction du SCALANCE S612 / S613 En combinant diverses fonctions de sécurité telles que pare-feu, routeur NAT/NAPT et VPN (Virtual Private Network) via tunnel IPsec, le SCALANCE S612 / S613 protège les différents appareils, voire des cellules d'automatisation complètes, contre : Espionnage de données Manipulation de données les accès non autorisés SCALANCE S612 / S613 offre toutes les facilités de réalisation d'une telle protection, sans répercussion sur le système et indépendamment du protocole utilisé (à partir de la couche 2 selon IEEE 802.3). SCALANCE S612 / S613 et SOFTNET Security Client sont configurés avec l'outil de configuration Security Configuration Tool. Instructions de service, 07/2011, C79000-G8977-C

10 0 1 Introduction et notions élémentaires 1.1 Utilisation de SCALANCE S612, S613 et de SOFTNET Security Client Ordinateur de maintenance avec Security Client External Internal Réseau externe External Internal External Internal External Internal IE/PB Link HMI ET 200X OP 270 S7-400 S7-300 Figure 1-1 Configuration de réseau avec SCALANCE S612 / S Instructions de service, 07/2011, C79000-G8977-C196-08

11 Introduction et notions élémentaires 1.1 Utilisation de SCALANCE S612, S613 et de SOFTNET Security Client Fonctions de sécurité Pare-feu Pare-feu IP avec Stateful Packet Inspection ; Pare-feu également pour télégrammes Ethernet "non IP" selon IEEE (télégrammes de couche 2 ; n'est pas valable en cas d'utilisation du mode routage) Limitation de bande passante Tous les noeuds de réseau, connectés à un segment de réseau interne du SCALANCE S, sont protégés par son pare-feu. Communication sécurisée par tunnel IPsec Les SCALANCE S612 / S613 et SOFTNET Security Clients peuvent être configurés en groupes. Des tunnels IPsec sont alors établis entre tous les SCALANCE S612 / S613 et le SOFTNET Security Client d'un groupe (VPN, Virtual Private Network). La communication entre tous les noeuds internes de ces SCALANCE S est sécurisée par ces tunnels. Sécurité non liée au protocole La tunnelisation s'applique également aux télégrammes Ethernet "non IP" selon IEEE (télégrammes de couche 2 ; n'est pas valable en cas d'utilisation de mode routage) Le tunnel IPsec assure le transit aussi bien des télégrammes IP que des télégrammes non IP. Mode routeur Si vous utilisez SCALANCE S comme routeur, vous connectez le réseau interne au réseau externe. Le réseau interne connecté via SCALANCE S devient par conséquent un sous-réseau distinct. Protection des appareils et segments de réseau La fonction de sécurité du pare-feu et du VPN peut s'étendre au fonctionnement d'un appareil, de plusieurs appareils ou de segments de réseau complets. Absence de rétroaction en cas d'intégration dans des réseaux plats (mode pont) Les noeuds de réseau internes peuvent être trouvés sans configuration. Lors de l'intégration d'un SCALANCE S612 / S613 dans une infrastructure de réseau existante, il n'est par conséquent pas nécessaire de reconfigurer les équipements terminaux. Le module tente de trouver des correspondants interne ; les correspondants internes qui n'ont pas été trouvés de cette façon, doivent tout de même être configurés. Instructions de service, 07/2011, C79000-G8977-C

12 Introduction et notions élémentaires 1.2 Mise en oeuvre de SCALANCE S602 La communication PC/PG au sein du VPN - Fonction du SOFTNET Security Client Le logiciel SOFTNET Security Client, fonctionnant sur PC, permet au PC/à la PG d'accéder en toute sécurité à des automates programmables protégés par SCALANCE S via les réseaux publics. SOFTNET Security Client configure automatiquement un PC/PG de sorte qu'il puisse établir, via tunnel IPsec, une connexion sécurisée à un ou plusieurs SCALANCE S du VPN (Virtual Private Network). Ceci permet à des applications de PG/PC telles que Diagnostic NCM ou STEP7, d'accéder par tunnelage sécurisé à des appareils ou réseaux se trouvant dans un réseau interne protégé par SCALANCE S. Le logiciel de PC SOFTNET Security Client se configure également avec Security Configuration Tool, ce qui assure une configuration cohérente ne nécessitant pas de savoirfaire particulier en matière de sécurité. Noeuds de réseau internes et externes SCALANCE S612 / S613 divise les réseaux en deux zones : en réseau interne : il s'agit de zones protégées équipées de "noeuds internes" Les noeuds internes sont tous les noeuds qui sont protégés par un SCALANCE S. en réseau externe : il s'agit de zones non protégées équipées de "noeuds externes" Les noeuds externes sont tous les noeuds qui se trouvent hors des zones protégées. IMPORTANT Les réseaux internes sont considérés comme étant sûrs (dignes de confiance). Connectez un segment de réseau interne aux segments de réseau externes uniquement via SCALANCE S. Il ne doit pas exister d'autres liaisons entre le réseau interne et le réseau externe! 1.2 Mise en oeuvre de SCALANCE S602 Pare-feu et routeur - Fonction de SCALANCE S602 En combinant diverses fonctions de sécurité telles que pare-feu et routeur NAT/NAPT, le SCALANCE S602 protège les différents appareils, voire des cellules d'automatisation complètes, contre : Espionnage de données les accès non autorisés SCALANCE S602 permet d'assurer cette protection tout en profitant d'une grande souplesse et simplicité d'utilisation. SCALANCE S602 se configure à l'aide de l'outil de configuration Security Configuration Tool. 12 Instructions de service, 07/2011, C79000-G8977-C196-08

13 0 1 Introduction et notions élémentaires 1.2 Mise en oeuvre de SCALANCE S602 SCALANCE S SCALANCE S SCALANCE S External External External Internal Internal Internal IE/PB Link HMI ET 200X OP 270 S7-400 S7-300 "interne": Conduite & supervision "interne": Cellule d'automatisation "interne": Cellule d'automatisation Figure 1-2 Configuration de réseau avec SCALANCE S602 Fonctions de sécurité Pare-feu Pare-feu IP avec Stateful Packet Inspection ; Pare-feu également pour télégrammes Ethernet "non IP" selon IEEE (télégrammes de couche 2 ; ne s'applique pas au S602 si la fonction de routeur est utilisée) ; Limitation de bande passante Tous les noeuds de réseau, connectés à un segment de réseau interne du SCALANCE S, sont protégés par son pare-feu. Mode routeur Si vous utilisez SCALANCE S comme routeur, vous déconnectez le réseau interne du réseau externe. Le réseau interne connecté par le SCALANCE S devient ainsi un sousréseau distinct ; le SCALANCE S doit être adressé explicitement au moyen de son adresse IP. Protection des appareils et segments de réseau La fonction de sécurité du pare-feu peut s'étendre au fonctionnement d'un appareil, de plusieurs appareils ou de segments de réseau complets. Absence de rétroaction en cas d'intégration dans des réseaux plats (mode pont) Lors de l'intégration d'un SCALANCE S602 dans une infrastructure de réseau existante, il n'est pas nécessaire de reparamétrer les équipements terminaux. Instructions de service, 07/2011, C79000-G8977-C

14 Introduction et notions élémentaires 1.3 Configuration et administration Noeuds de réseau internes et externes SCALANCE S602 divise les réseaux en deux zones : en réseau interne : il s'agit de zones protégées équipées de "noeuds internes" Les noeuds internes sont tous les noeuds qui sont protégés par un SCALANCE S. en réseau externe : il s'agit de zones non protégées équipées de "noeuds externes" Les noeuds externes sont tous les noeuds qui se trouvent hors des zones protégées. IMPORTANT Les réseaux internes sont considérés comme étant sûrs (dignes de confiance). Connectez un segment de réseau interne aux segments de réseau externes uniquement via SCALANCE S. Il ne doit pas exister d'autres liaisons entre le réseau interne et le réseau externe! 1.3 Configuration et administration L'essentiel en bref L'utilisation de l'outil de configuration Security Configuration Tool conduit à une mise en oeuvre simple et fiable des modules SCALANCE S : Configuration sans connaissances d'expert grâce au Security Configuration Tool Il n'est pas nécessaire d'être expert en technologies de l'information pour paramétrer un module SCALANCE S avec le logiciel Security Configuration Tool. Un mode avancé permet, si nécessaire, d'effectuer des paramétrages plus complexes. Communication administrative sécurisée La transmission des paramètres au SCALANCE S s'effectue via une connexion à cryptage SSL. Protection d'accès sous Security Configuration Tool La gestion des utilisateurs du Security Configuration Tool assure la protection d'accès aux appareils SCALANCE S et aux données de configuration. Possibilité d'utilisation du support de données amovible C-PLUG Le C-PLUG est un support de données amovible sur lequel les données de configuration sont enregistrées sous forme cryptée. Il permet de procéder à une configuration sans PC/PG lors de l'échange d'un SCALANCE S. 14 Instructions de service, 07/2011, C79000-G8977-C196-08

15 Propriétés du produit et mise en service 2 Ce chapitre vous permettra de vous familiariser avec la manipulation et les principales propriétés du SCALANCES. Vous y apprendrez quelles sont les possibilités de montage et comment mettre l'appareil en service en quelques étapes seulement. Informations complémentaires Le chapitre "MISE EN ROUTE" indique, sous une forme condensée, comment configurer l'appareil pour des applications standard. Vous trouverez les détails de la configuration et des fonctions en ligne dans la partie de référence du manuel. 2.1 Caractéristiques du produit Remarque Les homologations mentionnées ne sont valables que si le marquage approprié a été apposé sur le produit Caractéristiques du matériel et récapitulatif des fonctions Les modules SCALANCE S ont en commun les principales caractéristiques de performance suivantes : Matériel Boîtier robuste, degré de protection IP 30 montage au choix sur profilé support S7-300 ou sur rail symétrique DIN de 35mm Alimentation redondante Instructions de service, 07/2011, C79000-G8977-C

16 Propriétés du produit et mise en service 2.1 Caractéristiques du produit Contact de signalisation Plage de température étendue (-20 C à +70 C SCALANCE S613) Fonctions des types d'appareil Le tableau ci-après récapitule les fonctions de chaque appareil. Remarque Vous trouverez dans ce manuel une description de toutes les fonctions. Consultez ce tableau pour savoir quelles descriptions s'appliquent à l'appareil que vous utilisez. Tenez également compte des informations complémentaires fournies par les titres de chapitre! Tableau 2-1 Fonctions Fonction S602 S612 V1 S612 V2 S613 V1 S613 V2 Pare-feu x x x x x Routeur NAT/NAPT x - x - x Serveur DHCP x - x - x Syslog réseau x - x - x Tunnel IPsec (VPN, Virtual Private Network) - x x x x SOFTNET Security Client - x x x x x La fonction est prise en charge - La fonction n'est pas prise en charge 16 Instructions de service, 07/2011, C79000-G8977-C196-08

17 Propriétés du produit et mise en service 2.1 Caractéristiques du produit Fourniture Que livre-t-on avec le SCALANCE S? Appareil SCALANCE S Bornier enfichable à 2 bornes Bornier enfichable à 4 bornes Informations sur le produit CD avec le contenu suivant : manuel logiciel de configuration Security Configuration Tool Déballage et contrôle Déballage, contrôle 1. Vérifiez qu'il ne manque rien 2. Vérifiez que rien n'a été endommagé lors du transport. ATTENTION Ne mettez en service que des composants intacts! Connexion à Ethernet Possibilités de connexion SCALANCE S possède 2 connecteurs femelles RJ-45 pour la connexion à Ethernet. Remarque Au port TP de type RJ 45 vous pouvez connecter des jarretières TP ou TP-XP d'une longueur maximale de 10 m. Les câbles Industrial Ethernet FastConnect IE FC Standard Cable avec connecteurs IE FC RJ 45 Plug 180 permettent de réaliser des lignes d'une longueur maximale de 100 m entre deux appareils. Instructions de service, 07/2011, C79000-G8977-C

18 Propriétés du produit et mise en service 2.1 Caractéristiques du produit IMPORTANT Les connexions Ethernet au port 1 et au port 2 ne sont pas traitées de la même façon par le SCALANCE S et ne doivent par conséquent pas être interverties lors de la connexion au réseau de communication : Port 1 - External Network connecteur femelle RJ45 supérieur, repère rouge = zone de réseau non protégée ; Port 2 - Internal Network connecteur femelle RJ45 inférieur, repère vert = zone de réseau protégée par le SCALANCE S ; Si vous intervertissez les ports, l'appareil perd sa fonction de protection. Autonégociation SCALANCE S prend en charge l'autonégociation. Autonégociation signifie que les paramètres de connexion et de transmission sont automatiquement négociés avec le noeud de réseau partenaire. Fonction d'autocroisement MDI / MDIX Le SCALANCE S prend en charge la fonction d'autocroisement MDI / MDIX. La fonction d'autocroisement MDI / MDIX possède l'avantage de permettre un câblage homogène sans câbles Ethernet externes croisés. Elle évite les dysfonctionnements dûs à des lignes d'émission et de réception interverties. L'installation s'en trouve grandement facilitée Alimentation ATTENTION Le SCALANCE S est conçu pour fonctionner sous très basse tension de sécurité. Il convient donc de ne connecter aux bornes d alimentation qu une très basse tension de sécurité (TBTS) conforme à IEC950/EN60950/VDE0805. Le bloc d alimentation du SCALANCE S doit être conforme à NEC Class 2 (plage de tension de V, consommation de courant 250 ma). L'appareil ne doit être alimenté que par un bloc d'alimentation satisfaisant aux spécifications de classe 2 des alimentations de la "National Electrical Code,table 11 (b)". En cas d'installation avec alimentation redondante (deux alimentations distinctes), les deux alimentations doivent satisfaire à ces spécifications. 18 Instructions de service, 07/2011, C79000-G8977-C196-08

19 Propriétés du produit et mise en service 2.1 Caractéristiques du produit IMPORTANT Ne connectez jamais le SCALANCE S à une tension alternative ou à une tension continue supérieure à 32 V DC. La connexion de l'alimentation s effectue au moyen d'un bornier enfichable à 4 bornes. Il est possible de connecter une alimentation redondante. Les deux entrées sont découplées. La charge n'est pas répartie. En cas d'alimentation redondante, le bloc d'alimentation délivrant la tension de sortie la plus élevée, alimente seul le SCALANCE S. L'alimentation est reliée au boîtier par une connexion à haute impédance afin d'autoriser une installation sans mise à la terre. Figure 2-1 Alimentation Contact de signalisation IMPORTANT Le contact de signalisation est conçu pour une charge maximale de 100 ma (très basse tension de sécurité (TBTS), 24 V DC). Ne connectez jamais le SCALANCE S à une tension alternative ou à une tension continue supérieure à 32 V DC. La connexion du contact de signalisation s effectue au moyen d'un bornier enfichable à 2 bornes. Le contact de signalisation est un contact flottant qui signale les défauts par une interruption du contact. Les erreurs suivantes peuvent être signalées par le contact de signalisation : défaut sur l'alimentation erreur interne En cas de panne ou lorsque le SCALANCE S est hors tension, le contact de signalisation est ouvert. En fonctionnment normal il est fermé. Instructions de service, 07/2011, C79000-G8977-C

20 Propriétés du produit et mise en service 2.1 Caractéristiques du produit Figure 2-2 Contact de signalisation Bouton de réinitialisation - Rétablissement de la configuration par défaut SCALANCE S est équipé d'un bouton de réinitialisation. Le bouton de réinitialisation se trouve sous l'appareil, sous un couvercle vissé, directement à côté du C-PLUG. Le bouton de réinitialisation est protégé mécaniquement contre tout actionnement par mégarde. IMPORTANT Veillez à ce que seul le personnel agréé ait accès au SCALANCE S. Quelle est la fonction du bouton? Le bouton Reset permet de déclencher deux fonctions : Redémarrage Le module redémarre. La configuration chargée est conservée. Rétablissement des paramètres par défaut Le module redémarre, les paramètres par défaut sont rétablis. La configuration chargée est effacée. Redémarrage - Marche à suivre 1. Démontez, si nécessaire, le module SCALANCE S pour avoir accès au logement. 2. Retirez le bouchon M32 au dos de l'appareil. Le bouton Reset se trouve dans un logement au dos du SCALANCE S, directement à côté de l'emplacement du C-PLUG. Ce logement est obturé par un bouchon fileté. Le bouton se trouve dans un trou étroit pour éviter qu'il soit actionné par mégarde. 20 Instructions de service, 07/2011, C79000-G8977-C196-08

21 Propriétés du produit et mise en service 2.1 Caractéristiques du produit 3. Appuyez moins de 5 secondes sur le bouton Reset. La redémarrage peut durer jusqu'à 2 minutes. Pendant le redémarrage la LED Fault clignote jaune. Veillez à ce que l'alimentation ne soit pas interrompue durant cette opération. Dès que le redémarrage est achevé, l'appareil est automatiquement opérationnel. La LED Fault reste alors allumée en permanence en vert. 4. Obturez le logement avec le bouchon M32 et remontez l'appareil. Rétablissement des paramètres par défaut - Marche à suivre IMPORTANT Si le C-PLUG est embroché lors du rétablissement des paramètres par défaut, celui-ci sera effacé! 1. Démontez, si nécessaire, le module SCALANCE S pour avoir accès au logement. 2. Retirez le bouchon M32 au dos de l'appareil. Le bouton Reset se trouve dans un logement au dos du SCALANCE S, directement à côté de l'emplacement du C-PLUG. Ce logement est obturé par un bouchon fileté. Le bouton se trouve dans un trou étroit pour éviter qu'il soit actionné par mégarde. 3. Enfoncez le bouton Reset et maintenez-le enfoncé pendant plus de 5 secondes, jusqu'à ce que la LED jaune-rouge Fault clignote. La réinitialisation peut durer jusqu'à 2 minutes. Pendant la réinitialisation la LED Fault clignote jaune-rouge. Veillez à ce que l'alimentation ne soit pas interrompue durant cette opération. Lorsque la réinitialisation est achevée, l'appareil redémarre automatiquement. La LED Fault reste alors allumée en permanence en jaune. 4. Obturez le logement avec le bouchon M32 et remontez l'appareil Visualisations Instructions de service, 07/2011, C79000-G8977-C

22 Propriétés du produit et mise en service 2.1 Caractéristiques du produit Indication d'erreur (LED Fault) Indication de l'état de fonctionnement : Etat allumée rouge Signification Le module a détecté une erreur. (Le contact de signalisation est ouvert) Les erreurs suivantes sont détectées : Erreur interne (par exemple : échec de démarrage) C-PLUG non valide (formatage non valide) allumée verte éteinte allumée jaune (en permanence) clignotement alterné jaunerouge Le module est opérationnel (Le contact de signalisation est fermé). Le module est défaillant ; pas d'alimentation (Le contact de signalisation est ouvert). Module en cours de démarrage. (Le contact de signalisation est ouvert). En l'absence d'adresse IP, le module reste dans cet état. Le module rétablit les paramètres par défaut. (Le contact de signalisation est ouvert). Indication d'état de l'alimentation (L1, L2) L'état de l'alimentation est signalé par 2 LED : Etat allumée verte éteinte allumée rouge Signification L'alimentation L1 et/ou L2 est(sont) connectée(s). L'alimentation L1 et/ou L2 n'est(ne sont) pas connectée(s) ou <14 V (L+) L'alimentation L1 et/ou L2 est(sont) défaillante(s) ou <14 V (L+) Indications d'état de port (P1 et TX, P2 et TX) L'état des interfaces est visualisé par 2 LED pour chacun des deux ports : Etat LED P1 / P2 allumée verte clignote / allumée jaune éteinte LED TX clignote / allumée jaune éteinte Signification Liaison TP disponible Réception de données sur RX Pas de liaison TP, pas de réception de données Emission de données Aucune donnée n'est émise 22 Instructions de service, 07/2011, C79000-G8977-C196-08

23 Propriétés du produit et mise en service 2.1 Caractéristiques du produit Caractéristiques techniques Connexions Connexion d'équipements terminaux ou de 2 connecteurs femelles RJ 45 avec brochage composants de réseau via Twisted Pair MDI-X 10/100 Mbit/s (half/full duplex) Connexion de l'alimentation 1 bornier enfichable à 4 bornes Connexion du contact de signalisation 1 bornier enfichable à 2 bornes Caractéristiques électriques Tension d'alimentation Alimentation DC 24 V (DC 18 à 32 V) redondante très base tension de sécurité (TBTS) Puissance dissipée à DC 24 V 3,84 W Consommation à la tension nominale 250 ma maximal Longueurs de câble admissibles Connexion par câbles Industrial Ethernet FC TP : m Industrial Ethernet FC TP Standard Cable avec IE FC RJ 45 Plug 180 ou via Industrial Ethernet FC Outlet RJ 45 avec 0-90 m Industrial Ethernet FC TP Standard Cable + 10 m TP Cord 0-85 m Industrial Ethernet FC TP Marine/Trailing Cable avec IE FC RJ 45 Plug 180 ou 0-75 m Industrial Ethernet FC TP Marine/Trailing Cable + 10 m TP Cord Capacités logicielles avec VPN Nombre de tunnels IPsec SCALANCE S maximal SCALANCE S maximal Capacités logicielles "Pare-feu" Nombre de jeux de règles de pare-feu SCALANCE S maximal SCALANCE S maximal SCALANCE S maximal Conditions d'environnement admissibles/cem Température de service SCALANCE S602 0 C à +60 C Température de service SCALANCE S612 0 C à +60 C Température de service SCALANCE S C à +70 C Température de stockage/transport -40 C à +80 C Humidité relative en service 95 % (sans condensation) Instructions de service, 07/2011, C79000-G8977-C

24 Propriétés du produit et mise en service 2.1 Caractéristiques du produit Altitude de service Antiparasitage jusqu'à 2000 m au-dessus du niveau de la mer à une température ambiante de 56 C max. jusqu'à 3000 m au-dessus du niveau de la mer à une température ambiante de 50 C max. EN Class A Immunité aux perturbations électromagnétiques EN Degré de protection IP 30 Homologations c-ul-us UL c-ul-us for Hazardous Locations FM FM 3611 C-TICK CSA C22.2 N UL 1604, UL 2279Pt.15 AS/NZS 2064 (Class A). CE EN , EN ATEX Zone 2 MTBF Caractéristiques de conception EN ,09 ans Dimensions (L x H x P) en mm 60 x 125 x 124 Poids en g 780 Possibilités de montage Rail DIN symétrique Références Profilé support S7-300 Fixation murale SCALANCE S602 SCALANCE S612 SCALANCE S613 Manuel "Réseaux Industrial Ethernet Twisted Pair et Fiber Optic" Références des accessoires IE FC Stripping Tool IE FC Blade Cassettes IE FC TP Standard Cable IE FC TP Trailing Cable IE FC TP Marine Cable IE FC RJ 45 Plug 180 Unité de conditionnement = 1 connecteur IE FC RJ 45 Plug 180 Unité de conditionnement = 10 connecteur IE FC RJ 45 Plug 180 Unité de conditionnement = 50 connecteur 6GK5602-0BA00-2AA3 6GK5612-0BA00-2AA3 6GK5613-0BA00-2AA3 6GK1970-1BA10-0AA0 6GK1901-1GA00 6GK1901-1GB00 6XV1840 2AH10 6XV1840-3AH10 6XV1840-4AH10 6GK BB10-2AA0 6GK BB10-2AB0 6GK BB10-2AE0 24 Instructions de service, 07/2011, C79000-G8977-C196-08

25 Propriétés du produit et mise en service 2.2 Montage 2.2 Montage Remarque Les spécifications de la norme EN , à savoir essai de surtension sur les câbles d'alimentation électrique, ne sont satisfaites qu'en cas d'utilisation d'un parasurtenseur VT AD 24V réf Constructeur : DEHN+SÖHNE GmbH+Co.KG, Hans Dehn Str.1, Postfach 1640, D Neumarkt ATTENTION En cas d'utilisation en atmosphère explosible (Zone 2), le produit SCALANCE S doit être monté dans un boîtier. Dans le domaine d'application de l'atex 95 (EN 50021), le degré de protection du boîtier doit être au moins égal à IP54 selon EN AVERTISSEMENT NE CONNECTEZ L'APPAREIL A L'ALIMENTATION ELECTRIQUE OU NE LE DECONNECTEZ QUE SI TOUT RISQUE D'EXPLOSION EST EXCLU. Types de montage Le SCALANCE S autorise plusieurs types de montage : Montage sur rail DIN symétrique de 35 mm Montage sur profilé support SIMATIC S7-300 Fixation murale Remarque Respectez, lors de l installation et de l exploitation, les directives de montage et consignes de sécurité contenues dans les présentes instructions ainsi que dans le manuel SIMATIC NET Réseaux Industrial Ethernet Twisted Pair et Fiber Optic /1/. IMPORTANT Il est conseillé de protéger l'appareil contre une exposition directe aux rayons du soleil. Vous éviterez ainsi un échauffement indésirable et donc un vieillissement prématuré de l'appareil et du câblage. Instructions de service, 07/2011, C79000-G8977-C

26 Propriétés du produit et mise en service 2.2 Montage Note importante concernant la mise en oeuvre des appareils Consignes de sécurité pour la mise en oeuvre des appareils Les consignes de sécurité ci-après doivent être respectées lors de l'installation et de l'exploitation de l'appareil ainsi que pour les travaux qui y sont liés tels que montage, connexion, échange ou ouverture de l'appareil. Consignes générales ATTENTION Très basse tension de sécurité Cet appareil est conçu pour fonctionner à une très basse tension de sécurité (Safety Extra- Low Voltage, SELV) fournie par une alimentation électrique à puissance limitée (Limited Power Source, LPS). C'est pourquoi on ne doit connecter aux bornes d'alimentation que des très basses tensions de sécurité (TBTS) à puissance limitée (Limited Power Source, LPS) selon CEI / EN / VDE ou n'utiliser qu'un bloc d'alimentation de l'appareil conforme à NEC Class 2 de la norme National Electrical Code (r) (ANSI / NFPA 70). Exigences additionnelles pour appareils à alimentation électrique redondante : Si l'appareil est connecté à une alimentation électrique redondante (deux alimentations séparées), les deux alimentations doivent être conformes. ATTENTION Ouverture de l'appareil N'OUVREZ PAS L'APPAREIL TANT QU'IL EST SOUS TENSION. Consignes générales pour une mise en oeuvre en atmosphère explosible ATTENTION Danger d'explosion lors de la connexion ou déconnexion de l'appareil DANGER D'EXPLOSION IL EST INTERDIT, DANS UN ENVIRONNEMENT FACILEMENT INFLAMMABLE OU COMBUSTIBLE, DE CONNECTER DES CÂBLES À L'APPAREIL OU DE LES DÉCONNECTER. 26 Instructions de service, 07/2011, C79000-G8977-C196-08

27 Propriétés du produit et mise en service 2.2 Montage ATTENTION Echange de composants DANGER D'EXPLOSION L'ÉCHANGE DE COMPOSANTS PEUT PORTER PRÉJUDICE À LA CONFORMITÉ À CLASS I, DIVISION 2 OU ZONE 2. ATTENTION Domaine d'utilisation restreint Cet appareil est uniquement conçu pour une utilisation dans un environnement conforme à Class I, Division 2, Groups A, B, C et D et dans des atmosphères non explosibles. ATTENTION Domaine d'utilisation restreint Cet appareil est uniquement conçu pour une utilisation dans un environnement conforme à Class I, Zone 2, Group IIC et dans des atmosphères non explosibles. Consignes générales pour une mise en oeuvre en atmosphère explosible conformément à ATEX ATTENTION Spécifications de l'armoire électrique En cas d'utilisation en atmophère explosible selon Class I, Division 2 ou Class 1, Zone 2, l'appareil doit être incorporé à une armoire électrique ou à un boîtier. Pour être conforme à la directive de l'ue 94/9 (ATEX 95), le boîtier doit satisfaire pour le moins aux spécifications de IP 54 selon EN ATTENTION Câbles appropriés à une température supérieure à 70 C Si la température régnant au niveau du câble ou du connecteur du boîtier est supérieure à 70 C ou si la température au niveau de l'embranchement des conducteurs du câble est supérieure à 80 C, des dispositions particulières doivent être prises. Si l'appareil est utilisé à une température ambiante supérieure à 50 C, vous devrez utiliser des câbles agréés pour une température de service d'au moins 80 C. ATTENTION Protection contre les surtensions transitoires Prenez les mesures qui s'imposent pour empêcher des surtensions transitoires supérieures à 40% de la tension nominale. Cette condition est remplie si vous alimentez les appareils exclusivement en TBTS (très basse tension de sécurité). Instructions de service, 07/2011, C79000-G8977-C

28 Propriétés du produit et mise en service 2.2 Montage ATTENTION Danger d'explosion Ne déconnectez pas l'appareil d'un câble sous tension avant de vous être assuré qu'il n'existe pas d'atmosphère explosible dans les environs Montage sur rail symétrique Montage Montez le SCALANCE S sur un rail DIN symétrique de 35 mm selon DIN EN Engagez le guide supérieur de l'appareil dans le rail symétrique puis pressez l'appareil vers le bas contre le rail symétrique jusqu'à l'enclenchement. 2. Posez les câbles électriques et le bornier pour le contact de signalisation. Figure 2-3 SCALANCE S Montage sur un rail symétrique DIN (35mm) 28 Instructions de service, 07/2011, C79000-G8977-C196-08

29 Propriétés du produit et mise en service 2.2 Montage Démontage Pour démonter le SCALANCE S du rail DIN symétrique : 1. Déconnectez d'abord les câbles TP et débrochez le bornier de l'alimentation électrique et du contact de signalisation. 2. Avec un tournevis, dégagez la languette de verrouillage se trouvant au-dessous de l'appareil puis inclinez ce dernier pour le retirer du rail symétrique. Figure 2-4 SCALANCE S Démontage du rail symétrique DIN (35mm) Instructions de service, 07/2011, C79000-G8977-C

30 Propriétés du produit et mise en service 2.2 Montage Montage sur profilé support Montage sur profilé support SIMATIC S Engagez le guide de la partie supérieure du boîtier du SCALANCE S sur le profilé support S7. 2. Vissez l'appareil SCALANCE S à la partie inférieure du profilé support. Figure 2-5 SCALANCE S Montage sur profilé support SIMATIC S Fixation murale Matériel de montage Utilisez pour la fixation sur mur de béton par exemple : 4 chevilles de 6 mm de diamètre et de 30 mm de long des vis de 3,5 mm de diamètre et de 40 mm de long Remarque La fixation murale doit être dimensionnée de sorte à supporter au moins le quadruple poids de l'appareil. 30 Instructions de service, 07/2011, C79000-G8977-C196-08

31 Propriétés du produit et mise en service 2.3 Mise en service Mise à la terre Montage sur rail symétrique La mise à la terre s'effectue par le rail symétrique. Profilé support S7 La mise à la terre s'effectue par le dos de l'appareil et la vis à gorge. Fixation murale La mise à la terre s'effectue par la vis de fixation via le trou où le métal est à nu. IMPORTANT Veuillez noter que le SCALANCE S doit être mis à la terre via le contact à faible impédance d'une vis de fixation. 2.3 Mise en service IMPORTANT Lisez attentivement les indications des chapitres "Propriétés du produit" et "Montage" et conformez-vous en particulier aux instructions fournies dans les consignes de sécurité. Principe Pour faire fonctionner un SCALANCE S, vous devez charger une configuration réalisée sous Security Configuration Tool. Cette opération est décrite ci-après. La configuration d'un SCALANCE S comprend les paramètres IP, la définition des règles du pare-feu et éventuellement le paramétrage de tunnels IPsec (S612 / S613) ou du mode routeur. Vous pouvez d'une manière générale réaliser la configuration complète hors ligne avant la mise en service, puis la charger. Lors de la première configuration (paramètres par défaut), utilisez l'adresse MAC imprimée sur l'appareil. Selon l'application, vous chargerez la configuration, lors de la mise en service, sur un ou sur plusieurs modules simultanément. Instructions de service, 07/2011, C79000-G8977-C

32 Propriétés du produit et mise en service 2.3 Mise en service External External Internal Internal Figure 2-6 Synoptique de la mise en service Paramètres par défaut Avec les paramètres par défaut (état à la livraison ou après "Rétablissement des paramètres par défaut") le SCALANCE S se comporte à la mise sous tension comme suit : La communication IP n'est pas possible car il manque les paramètres IP ; le SCALANCE S ne possède notamment pas encore d'adresse IP. Dès qu'une adresse IP valable a été attribuée au module SCALANCE S par configuration, il est accessible via le routeur (la communication IP est alors possible). L'appareil possède une adresse MAC invariable prédéfinie ; cette adresse MAC est imprimée sur l'appareil ; vous devez la spécifier lors de la configuration. Le pare-feu est préconfiguré avec les règles élémentaires de pare-feu suivantes : le trafic de données non sécurisé entre port interne et port externe et inversement (externe interne) n'est pas possible ; L'absence de configuration est signalée par la LED F jaune allumée. Voir aussi Caractéristiques du produit (Page 15) Montage (Page 25) 32 Instructions de service, 07/2011, C79000-G8977-C196-08

33 Propriétés du produit et mise en service 2.3 Mise en service Etape 1 : Connexion du module SCALANCE S Marche à suivre : 1. Déballez d'abord le SCALANCE S et vérifiez qu'il n'a pas été endommagé. 2. Mettez le SCALANCE S sous tension. Résultat : Après la mise sous tension, la LED Fault (F) jaune est allumée. 3. Etablissez à présent la connexion physique au réseau en enfichant les connecteurs des câbles de réseau dans les ports correspondants (connecteurs femelles RJ45). Reliez le port 1 (port externe) au réseau externe auquel le PC/PG de configuration est connecté. Connectez le port 2 (port interne) au réseau interne. Remarque : Dans un premier temps, vous pouvez connecter le PC/PG de configuration au port 1 ou au port 2 pour la mise en service et renoncer à la connexion d'autres nœuds de réseau jusqu'à ce que l'appareil soit configuré. En cas de connexion au port 2, vous devez néanmoins configurer séparément chaque module SCALANCE S! 4. Passez à présent à l'étape suivante "Configuration et chargement" Etape 2 : Configuration et chargement La configuration du module SCALANCE S en partant des paramètres par défaut est décrite ci-après. Marche à suivre : 1. Démarrez l'outil de configuration fourni Security Configuration Tool. 2. Sélectionnez la commande de menu Project New. Il vous est demandé d'entrer un nom d'utilisateur et un mot de passe. Le nom d'utilisateur entré ici possèdera des droits d'administrateur. 3. Entrez un nom d'utilisateur et un mot de passe et validez l'entrée ; vous créez ainsi un nouveau projet. 4. La boîte de dialogue "Sélection d'un module ou d'une configuration logicielle" a été affichée automatiquement. Configurez maintenant le type de produit, le module ou la version de firmware. Instructions de service, 07/2011, C79000-G8977-C

34 Propriétés du produit et mise en service 2.3 Mise en service 5. Dans le champ "Adresse MAC" de la zone "Configuration" entrez l'adresse MAC, imprimée sur le boîtier du module, au format spécifié. Vous trouverez cette adresse sur la face avant du module SCALANCE S (voir figure) 6. Dans la zone "Configuration" entrez l'adresse IP externe et le masque de sous-réseau externe dans les champs prévus à cet effet puis validez la boîte de dialogue par "OK". Le module est alors inscrit dans la liste des modules configurés. 7. Sélectionnez votre module et entrez, si nécessaire, l'adresse IP du routeur par défaut en cliquant sur la colonne "Routeur par défaut". facultatif : Configurez, si nécessaire, d'autres propriétés du module et des groupes de modules. 8. Enregistrez à présent le projet avec la commande de menu suivante sous un nom significatif : Project Save as Instructions de service, 07/2011, C79000-G8977-C196-08

35 Propriétés du produit et mise en service 2.4 C-PLUG (Configuration-Plug) 9. Sélectionnez la commande de menu suivante : Transfer To Module... Le dialogue de transfert suivant s'affiche. 10. Cliquez sur le bouton "Démarrer" pour transférer la configuration sur le module SCALANCE S. Résultat :Le module SCALANCE S est à présent configuré et prêt à communiquer au niveau IP. Cet état de fonctionnement est signalé par la LED Fault qui passe au vert. 2.4 C-PLUG (Configuration-Plug) Domaine d'application Le C-PLUG est un support de données amovible, destiné à la sauvegarde des données de configuration de l'appareil de base (SCALANCE S). Les données de configuration restent ainsi disponibles en cas d'échange de l'appareil de base. Principe de fonctionnement L'alimentation électrique est assurée par l'équipement de base. Le C-PLUG conserve les données même lorsqu'il est hors tension. Instructions de service, 07/2011, C79000-G8977-C

36 Propriétés du produit et mise en service 2.4 C-PLUG (Configuration-Plug) Mise en place du C-PLUG L'emplacement du C-PLUG se trouve au dos de l'appareil. Pour mettre le C-PLUG en place, procédez comme suit : 1. Dévissez le couvercle M Introduisez le C-PLUG dans le logement prévu à cet effet. 3. Revissez ensuite le couvercle M32 sur le logement. IMPORTANT Tenez compte de l'état de fonctionnement Ne débrochez ou n embrochez le C-PLUG que si l appareil est hors tension! Figure 2-7 Pose du C-PLUG sur l'appareil et extraction du C-PLUG à l'aide d'un tournevis 36 Instructions de service, 07/2011, C79000-G8977-C196-08

37 Propriétés du produit et mise en service 2.4 C-PLUG (Configuration-Plug) Fonction Au démarrage, toutes les données de configuration du SCALANCE S sont automatiquement sauvegardées sur le C-PLUG vierge (état à la livraison). Il en va de même des modifications de la configuration en cours de fonctionnement qui sont enregistrées sur le C-PLUG sans intervention de l'opérateur. Lorsque le C-PLUG est enfiché sur l'appareil, ce dernier utilise automatiquement au démarrage les données de configuration du C-PLUG embroché. Ceci n'est cependant possible que si les données ont été enregistrées par un appareil de type compatible. Il est ainsi possible d'échanger rapidement et sans difficulté un appareil de base en cas de défaillance. Le cas échéant, le C-PLUG est extrait du composant défaillant et enfiché sur l'appareil de rechange. Au démarrage, l'appareil de rechange dispose automatiquement des mêmes données de configuration que l'appareil défaillant. Remarque Données de projet cohérentes - Adaptation de l'adresse MAC Après le remplacement de l'appareil par un appareil de rechange, les données de configuration doivent être cohérentes. Remplacez pour ce faire l'adresse MAC figurant dans la configuration par l'adresse MAC inscrite sur l'appareil de rechange. Si vous utilisez dans l'appareil de rechange le C-PLUG configuré de l'appareil remplacé, cette mesure n'est toutefois pas indispensable pour démarrer et faire fonctionner l'appareil. IMPORTANT Rétablissement des paramètres par défaut Si le C-PLUG est embroché lors du rétablissement des paramètres par défaut, celui-ci sera effacé! Instructions de service, 07/2011, C79000-G8977-C

38 Propriétés du produit et mise en service 2.4 C-PLUG (Configuration-Plug) Utilisation d'un C-PLUG déjà en usage N'utilisez que des C-PLUG formatés pour le type de module SCALANCE S en question. N'utilisez pas de C-PLUG déjà utilisés sur d'autres types d'appareil et formatés pour ces derniers. Le tableau ci-après indique quel C-Plug utiliser pour une type de module SCALANCE S donné : Type de module C-Plug formaté par SCALANCE S S602 S612 S613 S602 x - - S612 - x x *) S613 - x x x C-Plug utilisable avec le type de module - C-Plug inutilisable avec le type de module *) La compatilbilité est fonction de la capacité fonctionnelle. Extraction du C-PLUG L'extraction du C-PLUG ne s'impose qu'en cas de défaillance (défaut matériel) de l'appareil de base. IMPORTANT Tenez compte de l'état de fonctionnement Ne débrochez le C-PLUG que si l appareil est hors tension! Diagnostic L'enfichage d'un C-PLUG contenant la configuration d'un appareil de type non compatible ainsi que le débrochage du C-PLUG par mégarde et le dysfonctionnement du C-PLUG sont signalés par les mécanismes de diagnostic de l'équipement terminal (LED témoin Fault rouge). 38 Instructions de service, 07/2011, C79000-G8977-C196-08

39 Propriétés du produit et mise en service 2.5 Transfert du firmware 2.5 Transfert du firmware L'outil de configuration Security Configuration Tool permet de charger les nouvelles versions de firmware sur les modules SCALANCE S. Conditions Les conditions suivantes doivent être remplies pour pouvoir transférer le nouveau firmware sur un module SCALANCE S : vous devez posséder des droits d'administrateur pour le projet ; une adresse IP doit avoir été configurée sur le SCALANCE S. Le transfert est sûr Le transfert du firmware s'effectue via une connexion sécurisée et peut donc être issu d'un réseau non protégé. Le firmware lui-même est signé et crypté. Ceci permet de s'assurer de l'authenticité du firmware chargé sur le module SCALANCE S. Le transfert peut avoir lieu en cours de fonctionnement. Le transfert du firmware peut avoir lieu durant le fonctionnement d'un module SCALANCE S. La communication est cependant interrompue pendant la durée du chargement et du redémarrage automatique du SCALANCE S. Le nouveau firmware qui vient d'être chargé n'est activé qu'après ce redémarrage du module SCALANCE S. Si la transmission a été perturbée ou interrompue, le module redémarre avec l'ancienne version de firmware. Pour effectuer le transfert Sélectionnez la commande de menu suivante : Transfer Firmware Update... Instructions de service, 07/2011, C79000-G8977-C

40 Propriétés du produit et mise en service 2.5 Transfert du firmware 40 Instructions de service, 07/2011, C79000-G8977-C196-08

41 MISE EN ROUTE 3 MISE EN ROUTE pour parvenir rapidement au but La réalisation d'un réseau d'essai simple, vous permettra de vous familiariser avec l'utilisation du SCALANCE S et de l'outil de configuration Security Configuration Tool. Vous verrez comment, sans grand effort de configuration, on peut mettre en oeuvre les fonctions de protection du SCALANCE S sur le réseau. Vous pourrez réaliser les fonctions de base du SCALANCE S / SOFTNET Security Client dans le cadre de différents exemples de protection : Avec SCALANCE S612 / S613 : la configuration d'un VPN avec des SCALANCE S comme terminaisons du tunnel IPsec la configuration d'un VPN avec comme terminaisons du tunnel IPsec Avec tous lesmodules SCALANCE S : la configuration de SCALANCE S comme pare-feu la configuration de SCALANCE S comme routeur NAT/NAPT et pare-feu Avec SOFTNET Security Client la configuration d'un VPN avec comme terminaisons du tunnel IPsec la configuration d'un VPN avec MD741-1 et SOFTNET Security Client comme terminaisons du tunnel IPsec Si vous voulez en savoir plus Pour plus d'informations, veuillez vous reporter aux chapitres suivants du présent manuel. Vous y trouverez une description détaillée de toutes les fonctionnalités. Remarque Les paramètres IP utilisés dans les exemples ont été choisis pour fonctionner sans conflit dans le réseau d'essai isolé. Dans le contexte réel de réseaux interconnectés, vous devrez adapter ces paramètres IP à l'environnement afin d'éviter d'éventuels conflits d'adresses. Instructions de service, 07/2011, C79000-G8977-C

42 MISE EN ROUTE 3.1 Exemple 1 : Tunnel VPN - Exemple de tunnel IPsec avec SCALANCE S612 / S Exemple 1 : Tunnel VPN - Exemple de tunnel IPsec avec SCALANCE S612 / S Présentation Dans cet exemple, la fonction de tunnel est configurée dans la vue de configuration "Mode standard". Les modules SCALANCE S 1 et SCALANCE S 2 constituent dans cet exemple les terminaisons du tunnel de la connexion sécurisée. Avec une telle configuration, la communication IP et de couche 2 (mode pont uniquement) n'est possible entre partenaires autorisés que via les connexions par tunnel configurées. Montage d'essai du réseau PC3 PC1 PC2 internes Netz 1 externes Netz internes Netz 2 Réseau interne - connexion au port 2 ("Internal Network Port") du SCALANCE S Dans le réseau interne du montage d'essai, le nœud de réseau est constitué d'un PC connecté au "Internal Network Port" (port 2, vert) d'un module SCALANCE S. PC1 : Représente un partenaire du réseau interne 1 PC2 : Représente un partenaire du réseau interne 2 Module SCALANCE S 1 : module SCALANCE S du réseau interne 1 Module SCALANCE S 2 : module SCALANCE S du réseau interne 2 Réseau externe - connexion au port 1 ("External Network Port") du SCALANCE S Le réseau externe public est connecté au "External Network Port" (port 1, rouge) d'un module SCALANCE S. PC3 : PC sur lequel tourne le logiciel de configuration Security Configuration Tool 42 Instructions de service, 07/2011, C79000-G8977-C196-08

43 MISE EN ROUTE 3.1 Exemple 1 : Tunnel VPN - Exemple de tunnel IPsec avec SCALANCE S612 / S613 Appareils/composants requis : Le montage nécessite les composants suivants : 2 modules SCALANCE S (facultatif : un ou deux rails DIN symétriques montés avec matériel de fixation) ; 1 ou 2 alimentations 24V avec câble et fiches pour connexion sur bornier (les deux modules peuvent également fonctionner avec une alimentation commune) ; 1 PC sur lequel est installé l'outil de configuration "Security Configuration Tool" ; 2 PC dans les réseaux internes pour tester la configuration ; 1 concentrateur de réseau ou switch pour établir les liaisons avec les deux SCALANCE S et les PC/PG ; les câbles de réseau nécessaires, câbles TP (Twisted Pair) selon la norme IE FC RJ45 pour Industrial Ethernet. Récapitulatif des étapes de réalisation : Configuration du SCALANCE S et du réseau Marche à suivre : 1. Déballez d'abord les SCALANCE S et vérifiez qu'ils n'ont pas été endommagés. 2. Mettez le SCALANCE S sous tension. Instructions de service, 07/2011, C79000-G8977-C

44 MISE EN ROUTE 3.1 Exemple 1 : Tunnel VPN - Exemple de tunnel IPsec avec SCALANCE S612 / S613 Résultat : Après la mise sous tension, la LED Fault (F) jaune est allumée. ATTENTION Le SCALANCE S est conçu pour fonctionner sous très basse tension de sécurité. Il convient donc de ne connecter aux bornes d alimentation qu une très basse tension de sécurité (TBTS) conforme à IEC950/EN60950/VDE0805. Le bloc d alimentation du SCALANCE S doit être conforme à NEC Class 2 (plage de tension de V, consommation de courant env. 250 ma). Tenez compte, lors du montage et de la connexion des modules SCALANCE S, du chapitre 2 "Propriétés du produit et mise en service". 1. Etablissez à présent la connexion physique au réseau en enfichant les connecteurs des câbles de réseau dans les ports correspondants (connecteurs femelles RJ45) : Connectez le PC1 au port 2 du module 1 et le PC2 au port 2 du module 2. Connectez le port 1 du module 1 et le port 1 du module 2 au concentrateur/switch. Connectez le PC3 également au concentrateur/switch. 2. Démarrez les PC. IMPORTANT Les connexions Ethernet au port 1 et au port 2 ne sont pas traitées de la même façon par le SCALANCE S et ne doivent par conséquent pas être interverties lors de la connexion au réseau de communication : Port 1 - External Network connecteur femelle RJ45 supérieur, repère rouge = zone de réseau non protégée ; Port 2 - Internal Network connecteur femelle RJ45 inférieur, repère vert = zone de réseau protégée par SCALANCE S ; Si vous intervertissez les ports, l'appareil perd sa fonction de protection Spécification des paramètres IP des PC Affectez pour le test les adresses IP suivantes aux PC : PC Adresse IP Masque de sous-réseau PC PC PC Instructions de service, 07/2011, C79000-G8977-C196-08

45 MISE EN ROUTE 3.1 Exemple 1 : Tunnel VPN - Exemple de tunnel IPsec avec SCALANCE S612 / S613 Procédez pour les PC1, PC2 et PC3 comme suit : 1. Sur le PC concerné, ouvrez le Panneau de configuration avec la commande de menu suivante : Démarrer Panneau de configuration 2. Cliquez sur l'icône "Centre Réseau et partage" et sélectionnez dans le menu à gauche l'option "Modifier les paramètres de la carte". 3. Dans la boîte de dialogue "Propriétés de connexion au réseau local", cochez la case "Protocole Internet version 4 (TCP/IPv4)" puis cliquez sur le bouton "Propriétés". 4. Sélectionnez dans la boîte de dialogue "Propriétés du protocole Internet version 4 (TCP / IPv4)", l'option "Utiliser l'adresse IP suivante". et entrez à présent les valeurs affectées au PC figurant dans le tableau "Définir paramètres IP du PC" dans les champs prévus à cette effet. Fermez les boîtes de dialogue par "OK" et quittez le panneau de configuration. Instructions de service, 07/2011, C79000-G8977-C

46 MISE EN ROUTE 3.1 Exemple 1 : Tunnel VPN - Exemple de tunnel IPsec avec SCALANCE S612 / S Création du projet et des modules Marche à suivre : 1. Démarrez le logiciel de configuration Security Configuration Tool sur le PC3. 2. Créez un nouveau projet avec la commande de menu suivante : Project New Il vous est demandé d'entrer un nom d'utilisateur et un mot de passe. Le nom d'utilisateur entré ici possèdera des droits d'administrateur. 3. Entrez un nom d'utilisateur et un mot de passe et validez l'entrée ; vous créez ainsi un nouveau projet. 4. La boîte de dialogue "Sélection d'un module ou d'une configuration logicielle" a été affichée automatiquement. Configurez maintenant votre type de produit, le module ou la version de firmware puis fermez pour terminer le diologue par "OK". 5. Créez un deuxième module avec la commande de menu suivante : Ajouter Module Configurez maintenant votre type de produit, le module ou la version de firmware puis fermez pour terminer le diologue par "OK". Ce module obtient automatiquement un nom en fonction de la configuration du projet et des paramètres spécifiés. L'adresse IP a été incrémentée par rapport à celle du "Module1" et donc différente de celle-ci. 6. Cliquez dans le volet de navigation sur "All Modules" puis dans le volet de contenu sur la ligne "Module1". 7. Cliquez dans la colonne "MAC Address" et entrez celle-ci au format voulu. Vous trouverez cette adresse sur la face avant du module SCALANCE S (voir figure) 46 Instructions de service, 07/2011, C79000-G8977-C196-08

47 MISE EN ROUTE 3.1 Exemple 1 : Tunnel VPN - Exemple de tunnel IPsec avec SCALANCE S612 / S Cliquez dans la colonne "IP Address ext." et entrez celle-ci au format voulu et adaptez de la même façon le masque de sous-réseau. pour le module 1 : Adresse IP : Masque de sous-réseau : pour le module 2 : Adresse IP : Masque de sous-réseau : Exécutez les opérations 6 à 8 pour le "Module 2" Configuration d'une connexion par tunnel Deux SCALANCE S peuvent établir un tunnel IPSec pour la communication sécurisée s'ils sont affectés dans le projet au même groupe. Marche à suivre : 1. Sélectionnez dans le volet de navigation "Tous les groupes" et créez un groupe avec la commande de menu suivante : Insert Group Ce groupe obtient automatiquement le nom de "Groupe1". 2. Sélectionnez dans le volet de contenu le module SCALANCE S "Module1" et faites-le glisser sur "Groupe1" dans le volet de navigation. Le module est à présent affecté à ce groupe et donc membre de ce groupe. La clé dans l'icône du module change de couleur et passe de gris à bleu. Instructions de service, 07/2011, C79000-G8977-C

48 MISE EN ROUTE 3.1 Exemple 1 : Tunnel VPN - Exemple de tunnel IPsec avec SCALANCE S612 / S Sélectionnez dans le volet de contenu le module SCALANCE S "Module 2" et faites-le glisser sur "Groupe1" dans le volet de navigation. Le module est désormais également affecté à ce groupe. 4. Enregistrez à présent ce projet avec la commande de menu suivante sous un nom significatif : Project Save as... La configuration de la connexion par tunnel est terminée Chargement de la configuration sur SCALANCE S Marche à suivre : 1. Ouvrez la boîte de dialogue ci-après avec la commande de menu suivante : Transfer To All Modules Sélectionnez les deux modules à l'aide du bouton "Select All". 3. Démarrez le chargement à l'aide du bouton "Démarrer". Si le chargement s'est achevé sans erreur, le SCALANCE S redémarre automatiquement tandis que la nouvelle configuration est activée. Résultat : Le SCALANCE S est opérationnel Le SCALANCE S est à présent opérationnel. Cet état de fonctionnement est signalé par la LED Fault qui passe au vert. La mise en service de la configuration est achevée et les deux SCALANCE S peuvent établir un tunnel de communication par lequel les nœuds de réseau des deux réseaux internes pourront communiquer en toute sécurité. 48 Instructions de service, 07/2011, C79000-G8977-C196-08

49 MISE EN ROUTE 3.1 Exemple 1 : Tunnel VPN - Exemple de tunnel IPsec avec SCALANCE S612 / S Test de fonctionnement du tunnel (test de ping) Comment peut-on tester la fonction configurée? Les tests fonctionnels peuvent être exécutés comme décrit ci-après à l'aide d'une commande ping. Vous pouvez également utiliser d'autres programmes de communication pour tester la configuration. IMPORTANT Sous Windows, il se peut que le pare-feu soit configuré de sorte à ne pas laisser passer de commande ping. Activez le cas échéant les services ICMP de type Request et Response. Etape de test 1 Testez le fonctionnement de la connexion par tunnel établie entre le PC1 et le PC2 comme suit : 1. Sur le PC2, sélectionnez la commande de menu suivante dans le menu Démarrer : Démarrer Tous les programmes Accessoires Invite de commandes 2. Entrée de la commande ping adressée par le PC1 au PC2 (adresse IP ) Dans la fenêtre "Invite de commandes", entrez à la position du curseur la commande ping La fenêtre affiche alors le message suivant : (réponse positive du PC2). Instructions de service, 07/2011, C79000-G8977-C

50 MISE EN ROUTE 3.1 Exemple 1 : Tunnel VPN - Exemple de tunnel IPsec avec SCALANCE S612 / S613 Résultat Lorsque les télégrammes IP atteignent le PC2, les "statistiques Ping" pour affichent ce qui suit : envoyés = 4 reçus = 4 perdus = 0 (perte 0%) Etant donné qu'aucune autre communication n'était autorisée, ces télégrammes n'ont pu transiter que par le tunnel VPN. Etape de test 2 Renouvelez le test en lançant une commande ping à partir du PC3. 1. Sur le PC3, sélectionnez la commande de menu suivante dans le menu Démarrer : Démarrer Tous les programmes Accessoires Invite de commandes 2. Lancez à nouveau la même commande ping (ping ) dans la fenêtre de l'invite de commandes du PC3. La fenêtre affiche alors le message suivant : (pas de réponse du PC2). Résultat Les télégrammes IP émis par le PC3 ne peuvent pas parvenir au PC2 parce qu'aucune communication par tunnel n'a été configurée entre ces appareils et que la transmission de données IP normale n'est pas autorisée. Les "statistiques Ping" pour affichent en conséquence : envoyés = 4 reçus = 0 perdus = 4 (perte 100%) 50 Instructions de service, 07/2011, C79000-G8977-C196-08

51 MISE EN ROUTE 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu Présentation Dans cet exemple, vous configurez le pare-feu dans la vue de configuration "Mode standard". Le mode standard comprend un ensemble de règles prédéfinies pour les échanges de données. Cette configuration prévoit que les échanges IP ne peuvent être initiés que par le réseau interne et que le réseau externe est uniquement autorisé à répondre. Structure de réseau de test External Internal Instructions de service, 07/2011, C79000-G8977-C

52 MISE EN ROUTE 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu Réseau interne - connexion au port 2 du SCALANCE S Dans le réseau interne du montage d'essai, le nœud de réseau est constitué d'un PC connecté au "Internal Network Port" (port 2, vert) d'un module SCALANCE S. PC2 : Représente un partenaire du réseau interne Module SCALANCE S 1 : module SCALANCE S du réseau interne Réseau externe - connexion au port 1 du SCALANCE S Le réseau externe public est connecté au "External Network Port" (port 1, rouge) d'un module SCALANCE S. PC1 : PC sur lequel tourne le logiciel de configuration Security Configuration Tool Appareils/composants requis : Le montage nécessite les composants suivants : 1 SCALANCE S (facultatif : un rail DIN symétrique monté avec matériel de fixation) 1 alimentation 24V avec câble de liaison et fiches de connexion au bornier 1 PC sur lequel est installé l'outil de configuration Security Configuration Tool 1 PC dans le réseau interne pour tester la configuration les câbles de réseau nécessaires, câbles TP (Twisted Pair) selon la norme IE FC RJ45 pour Industrial Ethernet Récapitulatif des étapes de réalisation : 52 Instructions de service, 07/2011, C79000-G8977-C196-08

53 MISE EN ROUTE 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu Configuration du SCALANCE S et du réseau Marche à suivre : 1. Déballez d'abord le SCALANCE S et vérifiez qu'il n'a pas été endommagé. 2. Mettez le SCALANCE S sous tension. Résultat : Après la mise sous tension, la LED Fault (F) jaune est allumée. ATTENTION Le SCALANCE S est conçu pour fonctionner sous très basse tension de sécurité. Il convient donc de ne connecter aux bornes d alimentation qu une très basse tension de sécurité (TBTS) conforme à IEC950/EN60950/VDE0805. Le bloc d alimentation du SCALANCE S doit être conforme à NEC Class 2 (plage de tension de V, consommation de courant env. 250 ma). Tenez compte, lors du montage et de la connexion des modules SCALANCE S, du chapitre 2 "Propriétés du produit et mise en service". 3. Etablissez à présent la connexion physique au réseau en enfichant les connecteurs des câbles de réseau dans les ports correspondants (connecteurs femelles RJ45) : Connectez le PC2 au port 2 du module 1. Connectez le PC1 au port 1 du module Démarrez les PC. IMPORTANT Les connexions Ethernet au port 1 et au port 2 ne sont pas traitées de la même façon par le SCALANCE S et ne doivent par conséquent pas être interverties lors de la connexion au réseau de communication : Port 1 - External Network connecteur femelle RJ45 supérieur, repère rouge = zone de réseau non protégée ; Port 2 - Internal Network connecteur femelle RJ45 inférieur, repère vert = zone de réseau protégée par le SCALANCE S ; Si vous intervertissez les ports, l'appareil perd sa fonction de protection. Instructions de service, 07/2011, C79000-G8977-C

54 MISE EN ROUTE 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu Spécification des paramètres IP des PC Affectez pour le test les adresses IP suivantes aux PC : PC Adresse IP Masque de sous-réseau PC PC Procédez pour les PC1 et PC2 comme suit : 1. Sur le PC concerné, ouvrez le Panneau de configuration avec la commande de menu suivante : Démarrer Panneau de configuration 2. Cliquez sur l'icône "Centre Réseau et partage" et sélectionnez dans le menu à gauche l'option "Modifier les paramètres de la carte". 54 Instructions de service, 07/2011, C79000-G8977-C196-08

55 MISE EN ROUTE 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu 3. Dans la boîte de dialogue "Propriétés de connexion au réseau local", cochez la case "Protocole Internet version 4 (TCP/IPv4)" puis cliquez sur le bouton "Propriétés". 4. Sélectionnez dans la boîte de dialogue "Propriétés du protocole Internet version 4 (TCP / IPv4)", l'option "Utiliser l'adresse IP suivante". et entrez à présent les valeurs affectées au PC figurant dans le tableau "Définir paramètres IP du PC" dans les champs prévus à cette effet. Fermez les boîtes de dialogue par "OK" et quittez le panneau de configuration. Instructions de service, 07/2011, C79000-G8977-C

56 MISE EN ROUTE 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu Création du projet et des modules Marche à suivre : 1. Installez et démarrez le logiciel de configuration Security Configuration Tool sur le PC1. 2. Créez un nouveau projet avec la commande de menu suivante : Project New Il vous est demandé d'entrer un nom d'utilisateur et un mot de passe. Le nom d'utilisateur entré ici possèdera des droits d'administrateur. 3. Entrez un nom d'utilisateur et un mot de passe et validez l'entrée ; vous créez ainsi un nouveau projet. 4. La boîte de dialogue "Sélection d'un module ou d'une configuration logicielle" a été affichée automatiquement. Configurez maintenant le type de produit, le module ou la version de firmware. 56 Instructions de service, 07/2011, C79000-G8977-C196-08

57 MISE EN ROUTE 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu 5. Dans le champ "Adresse MAC" de la zone "Configuration" entrez l'adresse MAC, imprimée sur le boîtier du module, au format spécifié. Vous trouverez cette adresse sur la face avant du module SCALANCE S (voir figure) 6. Entrez, dans le format spécifié, l'adresse IP externe ( ) ainsi que le masque de sous-réseau externe ( ) puis validez le dialogue par "OK". Le module est alors inscrit dans la liste des modules configurés Configuration du pare-feu En mode standard le pare-feu est simple à paramétrer à l'aide de règles prédéfinies. Il suffit de cliquer sur ces jeux de règles pour les activer. Marche à suivre : 1. Sélectionnez dans le volet de contenu la ligne "Module1". 2. Sélectionnez la commande de menu suivante : Edit Properties 3. Dans la boîte de dialogue qui s'ouvre, sélectionnez l'onglet "Firewall". Instructions de service, 07/2011, C79000-G8977-C

58 MISE EN ROUTE 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu 4. Activez l'option comme indiqué ci-après : Ce paramétrage prévoit que les échanges IP ne peuvent être initiés que par le réseau interne et que le réseau externe est uniquement autorisé à répondre. 5. Sélectionnez également les options de journalisation pour enregistrer les échanges de données. 6. Fermez la boîte de dialogue en cliquant sur "OK". 7. Enregistrez à présent ce projet avec la commande de menu suivante sous un nom significatif : Project Save as Instructions de service, 07/2011, C79000-G8977-C196-08

59 MISE EN ROUTE 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu Chargement de la configuration sur SCALANCE S Marche à suivre : 1. Sélectionnez le module dans le volet de contenu. 2. Sélectionnez la commande de menu suivante : Transfer To Module Démarrez le chargement à l'aide du bouton "Démarrer". Si le chargement s'est achevé sans erreur, le module SCALANCE S redémarre automatiquement tandis que la nouvelle configuration est activée. Résultat : Le SCALANCE S est opérationnel Le SCALANCE S est à présent opérationnel. Cet état de fonctionnement est signalé par la LED Fault qui passe au vert. La mise en service de la configuration est achevée et le SCALANCE S protège à présent le réseau interne (PC 2) au moyen du pare-feu configuré avec la règle suivante : "Autoriser trafic IP sortant du réseau interne vers le réseau externe" Test de fonctionnement du pare-feu (test de ping) Comment peut-on tester la fonction configurée? Les tests fonctionnels peuvent être exécutés comme décrit ci-après à l'aide d'une commande ping. Vous pouvez également utiliser d'autres programmes de communication pour tester la configuration. IMPORTANT Sous Windows, il se peut que le pare-feu soit configuré de sorte à ne pas laisser passer de commande ping. Activez le cas échéant les services ICMP de type Request et Response. Instructions de service, 07/2011, C79000-G8977-C

60 MISE EN ROUTE 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu Etape de test 1 Testez dans un premier temps le fonctionnement de la configuration du pare-feu avec trafic IP sortant autorisé, comme suit : 1. Sur le PC2, sélectionnez la commande de menu suivante dans le menu Démarrer : Démarrer Tous les programmes Accessoires Invite de commandes 2. Entrée de la commande ping adressée par le PC2 au PC1 (adresse IP ) Dans la fenêtre "Invite de commandes", entrez à la position du curseur la commande suivante : ping La fenêtre affiche alors le message suivant : (réponse positive du PC1). Résultat Lorsque les télégrammes IP atteignent le PC1, les "statistiques Ping" pour affichent ce qui suit : envoyés = 4 reçus = 4 perdus = 0 (perte 0%) Les télégrammes ping ont pu être transmis, compte tenu de la configuration, du réseau interne vers le réseau externe. Le PC du réseau externe a répondu aux télégrammes ping. La fonction "Stateful Inspection" du pare-feu fait que les télégrammes de réponse issus du réseau externe sont automatiquement transmis au réseau interne. Etape de test 2 Testez à présent le fonctionnement de la configuration du pare-feu avec trafic IP sortant interdit, comme suit : 1. Ouvrez à nouveau le dialogue du pare-feu comme effectué précédemment. 2. Dans l'onglet "Pare-feu", désactivez l'option "Autoriser trafic IP du réseau interne au réseau externe". Fermez la boîte de dialogue en cliquant sur "OK". 60 Instructions de service, 07/2011, C79000-G8977-C196-08

61 MISE EN ROUTE 3.2 Exemple 2 : Pare-feu - Utilisation du SCALANCE S comme pare-feu 3. Chargez à présent la configuration modifiée sur le module SCALANCE S. 4. Le chargement s'étant terminé sans erreur, lancez à nouveau la même commande ping (ping ) dans la fenêtre de l'invite de commandes du PC2, comme effectué précédemment. La fenêtre affiche alors le message suivant : (pas de réponse du PC1). Résultat Les télégrammes IP envoyés par le PC2 ne peuvent désormais pas parvenir au PC1 car la transmission de données du "réseau interne" (PC2) au réseau "externe" (PC1) est interdite. Les "statistiques Ping" pour affichent en conséquence : envoyés = 4 reçus = 0 perdus = 4 (perte 100%) Enregistrement du trafic de données du pare-feu (journalisation) Le SCALANCE S est paramétré par défaut pour enregistrer localement les événements système, d'audit et de filtrage de paquets. Vous avez en outre activé, au cours de cet exemple de configuration de pare-feu, les options de journalisation de l'ensemble du trafic de données. Vous pouvez par conséquent vous faire afficher les événements enregistrés en mode en ligne. Marche à suivre : 1. Sur le PC1, passez maintenant au mode en ligne dans le Security Configuration Tool avec la commande de menu suivante : View Online 2. Sélectionnez la commande de menu suivante : Edit Online Properties 3. Sélectionnez l'onglet "Packetfilter Log". Instructions de service, 07/2011, C79000-G8977-C

62 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur 4. Cliquez sur le bouton "Start Reading". 5. Validez la boîte de dialogue qui s'ouvre, en cliquant sur "OK". Résultat : Les entrées de journal sont lues sur le SCALANCE S et affichées ici. 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur Présentation Dans ce chapitre vous configurerez le mode routeur NAT. La configuration s'effectue dans l'affichage "mode avancé". La configuration présentée ici permet à tous les télégrammes émis du sous-réseau interne à destination du partenaire PC1 du réseau externe, de passer le pare-feu. Les télégrammes sont retransmis vers l'extérieur avec une adresse IP translatée sur l'adresse IP du SCALANCE S ainsi qu'avec un numéro de port attribué dynamiquement. Seule la réponse à ce télégramme est autorisée à passer du réseau externe au réseau interne. 62 Instructions de service, 07/2011, C79000-G8977-C196-08

63 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur Structure de réseau de test External Internal Réseau interne - connexion au port 2 du SCALANCE S Dans le réseau interne du montage d'essai, le nœud de réseau est constitué d'un PC connecté au "Internal Network Port" (port 2, vert) d'un module SCALANCE S. PC2 : Représente un partenaire du réseau interne Module SCALANCE S 1 : module SCALANCE S du réseau interne Réseau externe - connexion au port 1 du SCALANCE S Le réseau externe public est connecté au "External Network Port" (port 1, rouge) d'un module SCALANCE S. PC1 : PC sur lequel tourne le logiciel de configuration Security Configuration Tool Appareils/composants requis : Le montage nécessite les composants suivants : 1 SCALANCE S (facultatif : un rail DIN symétrique monté avec matériel de fixation) ; 1 alimentation 24V avec câble de liaison et fiches de connexion au bornier ; 1 PC sur lequel est installé l'outil de configuration Security Configuration Tool ; Instructions de service, 07/2011, C79000-G8977-C

64 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur 1 PC dans le réseau interne pour tester la configuration ; les câbles de réseau nécessaires, câbles TP (Twisted Pair) selon la norme IE FC RJ45 pour Industrial Ethernet. Récapitulatif des étapes de réalisation : Configuration du SCALANCE S et du réseau Marche à suivre : 1. Déballez d'abord le SCALANCE S et vérifiez qu'il n'a pas été endommagé. 2. Mettez le SCALANCE S sous tension. Résultat : Après la mise sous tension, la LED Fault (F) jaune est allumée. ATTENTION Le SCALANCE S est conçu pour fonctionner sous très basse tension de sécurité. Il convient donc de ne connecter aux bornes d alimentation qu une très basse tension de sécurité (TBTS) conforme à IEC950/EN60950/VDE0805. Le bloc d alimentation du SCALANCE S doit être conforme à NEC Class 2 (plage de tension de V, consommation de courant env. 250 ma). Tenez compte, lors du montage et de la connexion des modules SCALANCE S, du chapitre 2 "Propriétés du produit et mise en service". 64 Instructions de service, 07/2011, C79000-G8977-C196-08

65 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur 3. Etablissez à présent la connexion physique au réseau en enfichant les connecteurs des câbles de réseau dans les ports correspondants (connecteurs femelles RJ45) : Connectez le PC2 au port 2 du module 1. Connectez le PC1 au port 1 du module Démarrez les PC. IMPORTANT Les connexions Ethernet au port 1 et au port 2 ne sont pas traitées de la même façon par le SCALANCE S et ne doivent par conséquent pas être interverties lors de la connexion au réseau de communication : Port 1 - External Network connecteur femelle RJ45 supérieur, repère rouge = zone de réseau non protégée ; Port 2 - Internal Network connecteur femelle RJ45 inférieur, repère vert = zone de réseau protégée par le SCALANCE S ; Si vous intervertissez les ports, l'appareil perd sa fonction de protection Spécification des paramètres IP des PC Affectez pour le test les adresses IP suivantes aux PC : PC Adresse IP Masque de sous-réseau Passerelle par défaut PC PC Entrez sous passerelle par défaut les adresses IP que seront affectée plus tard, lors de la configuration à l'interface interne et externe du module SCALANCE S : Le PC1 utilise l'interface externe. Le PC2 utilise l'interface interne. Procédez pour les PC1 et PC2 comme suit : 1. Sur le PC concerné, ouvrez le Panneau de configuration avec la commande de menu suivante : Démarrer Panneau de configuration 2. Cliquez sur l'icône "Centre Réseau et partage" et sélectionnez dans le menu à gauche l'option "Modifier les paramètres de la carte". Instructions de service, 07/2011, C79000-G8977-C

66 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur 3. Dans la boîte de dialogue "Propriétés de connexion au réseau local", cochez la case "Protocole Internet version 4 (TCP/IPv4)" puis cliquez sur le bouton "Propriétés". 4. Sélectionnez dans la boîte de dialogue "Propriétés du protocole Internet version 4 (TCP / IPv4)", l'option "Utiliser l'adresse IP suivante". et entrez à présent les valeurs affectées au PC figurant dans le tableau "Définir paramètres IP du PC" dans les champs prévus à cette effet. Fermez les boîtes de dialogue par "OK" et quittez le panneau de configuration. 66 Instructions de service, 07/2011, C79000-G8977-C196-08

67 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur Création du projet et des modules Marche à suivre : 1. Installez et démarrez le logiciel de configuration Security Configuration Tool sur le PC1. 2. Créez un nouveau projet avec la commande de menu suivante : Project New Il vous est demandé d'entrer un nom d'utilisateur et un mot de passe. Le nom d'utilisateur entré ici possèdera des droits d'administrateur. 3. Entrez un nom d'utilisateur et un mot de passe et validez l'entrée ; vous créez ainsi un nouveau projet. 4. La boîte de dialogue "Sélection d'un module ou d'une configuration logicielle" a été affichée automatiquement. Configurez maintenant le type de produit, le module ou la version de firmware. Instructions de service, 07/2011, C79000-G8977-C

68 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur 5. Dans le champ "Adresse MAC" de la zone "Configuration" entrez l'adresse MAC, imprimée sur le boîtier du module, au format spécifié. Vous trouverez cette adresse sur la face avant du module SCALANCE S (voir figure) 6. Entrez, dans le format spécifié, l'adresse IP externe ( ) ainsi que le masque de sous-réseau externe ( ) puis validez le dialogue par "OK". Le module est alors inscrit dans la liste des modules configurés. 68 Instructions de service, 07/2011, C79000-G8977-C196-08

69 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur Configuration du mode routeur NAT Sur le SCALANCE S l'application la plus fréquente qui consiste à transmettre les télégrammes des partenaires internes au réseau externe en masquant leurs adresses au moyen de la fonctionnalité NAT, est préconfigurée. Comme indiqué ci-après, il suffit de cliquez sur le mode routage pour activer ce comportement. Activation du mode routeur - Marche à suivre : 1. Passez d'abord à l'affichage de configuration mode avancé. 2. Sélectionnez pour ce faire la commande de menu suivante : View Advanced Mode Double-cliquez ensuite sur le module SCALANCE S. Le dialogue de paramétrage des propriétés du module s'ouvre. Instructions de service, 07/2011, C79000-G8977-C

70 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur 4. Dans cette boîte de dialogue, sélectionnez l'onglet "Routing Modus". 5. Dans la zone de saisie "Routing", sélectionnez l'option "active". 6. Dans la zone de saisie "Routing", complétez les indications d'adresse de l'interface du SCALANCE S avec le sous-réseau interne comme suit : internal module IP address : internal subnetmask : Instructions de service, 07/2011, C79000-G8977-C196-08

71 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur Activation du mode routeur NAT pour partenaires internes - Marche à suivre : Il s'agit à présent de configurer la translation d'adresses requise par le mode NAT. 1. Dans la zone de saisie "NAT", sélectionnez pour ce faire les deux options "NAT active" et "Allow Internal->External for all users". L'activation de ces options est signalée par le rajout, dans la zone de saisie "NAT", d'une entrée à la fin de la liste de translation d'adresses. L'entrée "*" dans la colonne "internal IPaddress" désigne tous les partenaires du réseau interne. 2. Fermez à présent la boîte de dialogue en cliquant sur "OK". Il reste maintenant à s'assurer que le pare-feu laissera passer les télégrammes du réseau interne vers le réseau externe. Instructions de service, 07/2011, C79000-G8977-C

72 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur Configuration du pare-feu Vous devez à présent définir un jeu de règles autorisant le transit des télégrammes du partenaire interne (PC2) vers le partenaire du réseau externe (PC1). L'exemple montre en outre comment définir un jeu de règles globalement et comment l'affecter à un module. Pour configurer d'autres modules au sein du même projet, il vous suffirait alors d'affecter le jeu de règles défini une fois pour toutes aux autres modules par "glisser-déplacer" ; à condition bien entendu que vous vouliez appliquer la même règle. 72 Instructions de service, 07/2011, C79000-G8977-C196-08

73 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur Définition d'un jeu de règles globales - Marche à suivre : 1. Dans le volet de navigation, ouvrez l'objet "Global FW-Rulesets" et sélectionnez audessous l'objet "FW IP-Rulesets". 2. Cliquez avec le bouton droit de la souris et sélectionnez la commande de menu suivante : Insert Ruleset 3. Entrez dans le dialogue qui s'ouvre, un jeu de règles comme indiqué ci-après : 4. Cliquez dans la colonne "Log" sur la ligne du nouveau jeu de règles. Vous activez ainsi l'option de journalisation du filtrage de paquets. Les télégrammes conformes à la règle définie seront alors enregistrés. Vous aurez besoin de cet enregistrement pour le test final de notre exemple de configuration. 5. Fermez la boîte de dialogue en cliquant sur "OK". Instructions de service, 07/2011, C79000-G8977-C

74 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur Affectation d'un jeu de règles globales - Marche à suivre : 1. Sélectionnez dans le volet de navigation l'objet "Module1" puis faites-le glisser en maintenant le bouton gauche de la souris enfoncé sur le jeu de règles de pare-feu globales que vous venez de créer. 2. Vous pouvez contrôler l'affectation en rouvrant le dialogue de paramétrage des propriétés du module et en y sélectionnant l'onglet "Firewall". Vous pourrez constater que la règle de pare-feu global y est consignée. 3. Cliquez sur le bouton "Expand Relesetz" si vous voulez consulter le jeu de règles en détail. La configuration hors ligne est à présent achevée. 74 Instructions de service, 07/2011, C79000-G8977-C196-08

75 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur Chargement de la configuration sur SCALANCE S Marche à suivre : 1. Sélectionnez le module dans le volet de contenu. 2. Sélectionnez la commande de menu suivante : Transfer To Module Démarrez le chargement à l'aide du bouton "Démarrer". Si le chargement s'est achevé sans erreur, le module SCALANCE S redémarre automatiquement tandis que la nouvelle configuration est activée. Résultat : Le SCALANCE S est opérationnel Le SCALANCE S est à présent opérationnel. Cet état de fonctionnement est signalé par la LED Fault qui passe au vert. La mise en service de la configuration est achevée et le SCALANCE S protège à présent le réseau interne (PC 2) au moyen du pare-feu configuré avec la règle suivante : "Autoriser trafic IP sortant" du réseau interne vers le réseau externe Test de la fonction de routeur NAT (test de ping) Comment peut-on tester la fonction configurée? Les tests fonctionnels peuvent être exécutés comme décrit ci-après à l'aide d'une commande ping. Pour visualiser l'effet du mode routeur NAT, utilisez la possibilité de journaliser le filtrage de paquets au niveau de l'interface du pare-feu. Rappel : Lors de la définition de la règle de pare-feu globale, vous avez activé l'option de journalisation du filtrage de paquets. Instructions de service, 07/2011, C79000-G8977-C

76 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur Note à propos de la commande ping : Vous pouvez également utiliser d'autres programmes de communication pour tester la configuration. IMPORTANT Sous Windows, il se peut que le pare-feu soit configuré de sorte à ne pas laisser passer de commande ping. Activez le cas échéant les services ICMP de type Request et Response. Etape de test 1 - Emettre une commande ping Testez à présent le fonctionnement du routeur NAT, dans le cas d'un trafic de données IP du réseau interne vers le réseau externe, comme suit : 1. Sur le PC2, sélectionnez la commande de menu suivante dans le menu Démarrer : Démarrer Tous les programmes Accessoires Invite de commandes 2. Entrée de la commande ping adressée par le PC2 au PC1 (adresse IP ) Dans la fenêtre "Invite de commandes", entrez à la position du curseur la commande suivante : ping La fenêtre affiche alors le message suivant : (réponse positive du PC1). Etape de test 2 - Analyse des résultats 1. Dans le Security Configuration Tool, passez maintenant en mode en ligne. Sélectionnez pour ce faire la commande de menu suivante : View Online 2. Sélectionnez le module à éditer puis la commande de menu suivante pour ouvrir le dialogue Online Edit Online Properties Sélectionnez l'onglet "Paketfilter Log" 76 Instructions de service, 07/2011, C79000-G8977-C196-08

77 MISE EN ROUTE 3.3 Exemple 3 : Pare-feu et routeur - Utilisation du SCALANCE S comme pare-feu et routeur 3. Cliquez sur le bouton "Start Reading". 4. Validez la boîte de dialogue qui s'ouvre, en cliquant sur "OK". Résultat : Les entrées de journal sont lues sur le SCALANCE S et affichées ici. Résultat Les lignes affichées de l'enregistrement indiquent : Ligne 1 Les adresses IP des télégrammes adressés par le PC2 au PC1 sont indiquées à l'interface du réseau externe avec l'adresse IP externe du module SCALANCE S ( ). Ceci correspond bien à la translation d'adresse attendue (Remarque : l'affectation du numéro de port n'est pas visible ici). Ligne 2 Instructions de service, 07/2011, C79000-G8977-C

78 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client Les télégrammes de réponse sont affichés avec l'adresse de destination du partenaire du réseau interne (PC2 : ). Vous pouvez donc constater que la translation d'adresse a déjà eu lieu avant que le télégramme de réponse ait passé le pare-feu. 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client Présentation Dans cet exemple, la fonction de tunnel VPN est configurée dans la vue de configuration "Mode standard". Un SCALANCE S et le SOFTNET Security Client constituent dans ce exemple les deux extrémités du tunnel de la connexion sécurisée via le réseau public. Avec une telle configuration, la communication IP n'est possible entre partenaires autorisés que via les connexions par tunnel VPN configurées. Structure de réseau de test PC3 PC1 External PC2 Internal Hub / Switch 78 Instructions de service, 07/2011, C79000-G8977-C196-08

79 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client Réseau interne - connexion au port 2 ("Internal Network Port") du SCALANCE S Dans le réseau interne du montage d'essai, un nœud de réseau est constitué d'un PC connecté au "Internal Network Port" (port 2, vert) d'un module SCALANCE S. PC1 : représente un partenaire du réseau interne Module SCALANCE S 1 : module SCALANCE S pour la protection du réseau interne Réseau externe public - connexion au port 1 ("External Network Port") du SCALANCE S Le réseau externe public est connecté au "External Network Port" (port 1, rouge) d'un module SCALANCE S. PC2 : PC avec le logiciel de configuration Security Configuration Tool et le logiciel SOFTNET Security Client pour l'accès VPN sécurisé au réseau interne PC3 : PC d'essai pour étape de test 2 Remarque Dans l'exemple, le WAN externe public a été remplacé par un réseau local pour expliquer d'une manière générale mode de fonctionnement. Les informations sur l'utilisation d'un WAN seront fournies à l'endroit voulu. Appareils/composants requis : Le montage nécessite les composants suivants : 1 module SCALANCE S, (en optin : un rail DIN symétrique monté avec matériel de fixation) ; 1 alimentation 24V avec câble de liaison et fiches de connexion au bornier ; 1 PC sur lequel est installé l'outil de configuration "Security Configuration Tool" et le client VPN "SOFTNET Security Client" ; 1 PC dans le réseau interne pour tester la configuration ; 1 PC dans le réseau externe pour tester la configuration ; 1 concentrateur de réseau ou switch pour établir les liaisons avec le module SCALANCE S et les PC ; les câbles de réseau nécessaires, câbles TP (Twisted Pair) selon la norme IE FC RJ45 pour Industrial Ethernet. Instructions de service, 07/2011, C79000-G8977-C

80 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client Récapitulatif des étapes de réalisation : Configuration du SCALANCE S et du réseau Marche à suivre : 1. Déballez d'abord le SCALANCE S et vérifiez qu'il n'a pas été endommagé. 2. Mettez le module SCALANCE S sous tension. Résultat : Après la mise sous tension, la LED Fault (F) jaune est allumée. ATTENTION Le SCALANCE S est conçu pour fonctionner sous très basse tension de sécurité. Il convient donc de ne connecter aux bornes d alimentation qu une très basse tension de sécurité (TBTS) conforme à IEC950/EN60950/VDE0805. Le bloc d alimentation du SCALANCE S doit être conforme à NEC Class 2 (plage de tension de V, consommation de courant env. 250 ma). Tenez compte, lors du montage et de la connexion des modules SCALANCE S, du chapitre 2 "Propriétés du produit et mise en service". 80 Instructions de service, 07/2011, C79000-G8977-C196-08

81 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client 1. Etablissez à présent la connexion physique au réseau en enfichant les connecteurs des câbles de réseau dans les ports correspondants (connecteurs femelles RJ45) : Connectez le PC1 au port 2 du module 1. Connectez le port 1 du module 1 au concentrateur/switch. Connectez le PC2 et le PC3 également au concentrateur/switch. 2. Démarrez les PC. Remarque Pour utiliser un WAN comme réseau externe public les connexions au cencentrateur/switche sont à remplacer par des connexions au WAN (accès à Internet). IMPORTANT Les connexions Ethernet au port 1 et au port 2 ne sont pas traitées de la même façon par le SCALANCE S et ne doivent par conséquent pas être interverties lors de la connexion au réseau de communication : Port 1 - "External Network" connecteur femelle RJ45 supérieur, repère rouge = zone de réseau non protégée ; Port 2 - "Internal Network" connecteur femelle RJ45 inférieur, repère vert = zone de réseau protégée par SCALANCE S ; Si vous intervertissez les ports, l'appareil perd sa fonction de protection Configuration des paramètres IP des PC Affectez pour le test les adresses IP suivantes aux PC. PC Adresse IP Masque de sous-réseau Passerelle par défaut PC PC PC Entrez sous passerelle par défaut les adresses IP que seront affectée plus tard, lors de la configuration à l'interface interne et externe du module SCALANCE S : Le PC1 utilise l'interface interne. PC2 et PC3 utilisent l'interface externe. Remarque Pour pouvoir utiliser un WAN comme réseau externe public, les paramètres IP des PC2 et PC3 doivent être configurés pour une connexion au WAN (Internet). Instructions de service, 07/2011, C79000-G8977-C

82 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client Procédez pour les PC1, PC2 et PC3 comme suit : 1. Sur le PC concerné, ouvrez le Panneau de configuration avec la commande de menu suivante : Démarrer Panneau de configuration 2. Cliquez sur l'icône "Centre Réseau et partage" et sélectionnez dans le menu à gauche l'option "Modifier les paramètres de la carte". 3. Dans la boîte de dialogue "Propriétés de connexion au réseau local", cochez la case "Protocole Internet version 4 (TCP/IPv4)" puis cliquez sur le bouton "Propriétés". 4. Sélectionnez dans la boîte de dialogue "Propriétés du protocole Internet version 4 (TCP / IPv4)", l'option "Utiliser l'adresse IP suivante". et entrez à présent les valeurs affectées au PC figurant dans le tableau "Définir paramètres IP du PC" dans les champs prévus à cette effet. Fermez les boîtes de dialogue par "OK" et quittez le panneau de configuration. 82 Instructions de service, 07/2011, C79000-G8977-C196-08

83 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client Création d'un projet et de modules Marche à suivre : 1. Démarrez le logiciel de configuration Security Configuration Tool sur le PC2. 2. Créez un nouveau projet avec la commande de menu suivante : Project New Il vous est demandé d'entrer un nom d'utilisateur et un mot de passe. Le nom d'utilisateur entré ici possèdera automatiquement des droits d'administrateur. 3. Entrez un nom d'utilisateur et un mot de passe et validez l'entrée ; vous créez ainsi un nouveau projet. 4. La boîte de dialogue "Sélection d'un module ou d'une configuration logicielle" a été affichée automatiquement. Configurez maintenant votre type de produit, le module ou la version de firmware puis fermez pour terminer le diologue par "OK". 5. Créez un deuxième module avec la commande de menu suivante : Insert Module Configurez maintenant le type de produit "SOFTNET Configuration", le module "SOFTNET Security Client" et la version de firmware de votre SOFTNET Security Client puis fermez pour terminer le diologue par "OK". Ce module obtient automatiquement un nom en fonction des paramètres par défaut du projet. 6. Cliquez dans le volet de navigation sur "All Modules" puis dans le volet de contenu sur la ligne "Module1". 7. Cliquez dans la colonne "MAC Address" et entrez celle-ci au format voulu. Vous trouverez cette adresse sur la face avant du module SCALANCE S (voir figure) Instructions de service, 07/2011, C79000-G8977-C

84 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client 8. Cliquez dans la colonne "IP Address ext." et entrez celle-ci au format voulu et adaptez de la même façon le masque de sous-réseau. Pour module 1 : Adresse IP : , masque de sous-réseau : Remarque Pour utiliser un WAN comme réseau externe public, entrez sous "IP Adress ext." l'adresse IP statique obtenue de votre fournisseur d'accès via laquelle le module SCALANCE S sera accessible sur le WAN (Internet). Pour que le module SCALANCE S puisse transmettre des paquets via le WAN (Internet), entrez sous "Default Router" votre routeur DSL. Si vous utilisez un routeur ADSL comme passerelle Internet, vérifiez qu'au minimum les ports suivants sont transférés : Port 500 (ISAKMP) Port 4500 (NAT-T) En cas de téléchargement de la configuration (par par un tunnel actif), il faut également que le port 443 (HTTPS) soit transféré. 9. Ouvrez à présent le menu des propriétés du "module1" en sélectionnant une entrée, en cliquant du bouton droit de la souris et en sélectionnant la commande de menu "Propriétés...". 84 Instructions de service, 07/2011, C79000-G8977-C196-08

85 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client 10. Activez à présent, comme indiqué sur la figure ci-après, le mode de routage dans l'onglet "Routing Modus", entrez l'adresse IP interne ( ) et le masque de sousréseau ( ) du module SCALANCE S puis validez par "OK". 11. Cliquez dans le volet de navigation sur "All Modules" puis dans le volet de contenu sur la ligne "Module2". 12. Cliquez dans la colonne "Nom" et entrez le nom "SSC-PC2". Le SOFTNET Security Client ne nécessite pas d'autres paramétrages. Votre affichage ressembler maintenant comme à la figure ci-dessous. Instructions de service, 07/2011, C79000-G8977-C

86 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client Configuration d'une connexion par tunnel Un SCALANCE S et le SOFTNET Security Client peuvent établir un tunnel IPSec pour la communication sécurisée s'ils sont affectés dans le projet au même groupe. Marche à suivre : 1. Sélectionnez dans le volet de navigation "Tous les groupes" et créez un groupe avec la commande de menu suivante : Insert Group Ce groupe obtient automatiquement le nom de "Groupe1". 2. Sélectionnez dans le volet de contenu le module SCALANCE S "Module1" et faites-le glisser sur "Groupe1" dans le volet de navigation. Le module est à présent affecté à ce groupe et donc membre de ce groupe. La clé dans l'icône du module change de couleur et passe de gris à bleu. 3. Sélectionnez dans le volet de contenu le module SOFTNET Security Client et faites-le glisser sur "Groupe1" dans le volet de navigation. Le module est désormais également affecté à ce groupe. 4. Enregistrez à présent ce projet avec la commande de menu suivante sous un nom significatif : Project Save as... La configuration de la connexion par tunnel est terminée. 86 Instructions de service, 07/2011, C79000-G8977-C196-08

87 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client Chargement de la configuration sur SCALANCE S et enregistrement de la configuration du SOFTNET Security Client Marche à suivre : 1. Ouvrez la boîte de dialogue ci-après avec la commande de menu suivante : Transfer To All Modules Démarrez le chargement à l'aide du bouton "Démarrer". 3. Enregistrez le fichier de configuration "Nom de projet.ssc-pc2.dat" dans votre répertoire de projet et attribuez un mot de passe pour la clé privée du certificat. Si le chargement s'est achevé sans erreur, le SCALANCE S redémarre automatiquement tandis que la nouvelle configuration est activée. Résultat : Le SCALANCE S est opérationnel Le SCALANCE S est à présent opérationnel. Cet état de fonctionnement est signalé par la LED Fault qui passe au vert. La mise en service de la configuration est achevée et le SCALANCE S ansi que le SOFTNET Security Client peuvent établir un tunnel de communication par lequel les nœuds du réseau interne pourront communiquer en toute sécurité avec le PC2. Remarque Si vous voulez utiliser un WAN comme réseau externe public, vous ne pouvez pas configurer le module SCALANCE S avec son paramétrage par défaut via le WAN. Configurez le cas échéant le module SCALANCE S à partir du réseau interne. Instructions de service, 07/2011, C79000-G8977-C

88 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client Configuration d'un tunnel avec SOFTNET Security Client Marche à suivre : 1. Démarrez le SOFTNET Security Client sur le PC2. 2. Cliquez sur le bouton "Charger configuration", ouvrez votre dossier de projet et chargez le fichier de configuration "Nom de projet.ssc-pc2.dat". 3. Entrez le mot de passe pour la clé privée du certificat et validez par "Suivant". 4. Validez le dialogue "Activer tous les partenaires configurés statiquement?" par "Oui". 5. Cliquez sur le bouton "Tunnel Overview". Résultat : connexion par tunne active. Le tunnel entre a été établi. L'état de fonctionnement est signalé par le cercle vert en regard de l'entrée "Module1". La console de journal de la zone "Tunnel Overview" du SOFTNET Security Client affiche quelques informations en retour de votre système sur le déroulement de l'établissement de la connexion et sur la création éventuelle d'une stratégie pour la connexion de communication. 88 Instructions de service, 07/2011, C79000-G8977-C196-08

89 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client La mise en service de la configuration est achevée et le module SCALANCE S ansi que le SOFTNET Security Client ont dréé un tunnel de communication par lequel les nœuds du réseau interne pourront communiquer en toute sécurité avec le PC Test de fonctionnement du tunnel (test de ping) Comment peut-on tester la fonction configurée? Les tests fonctionnels peuvent être exécutés comme décrit ci-après à l'aide d'une commande ping. Instructions de service, 07/2011, C79000-G8977-C

90 MISE EN ROUTE 3.4 Exemple 4 : Accès à distance - Exemple de tunnel VPN avec SCALANCE S612 / S613 et SOFTNET Security Client Vous pouvez également utiliser d'autres programmes de communication pour tester la configuration. IMPORTANT Sous Windows, il se peut que le pare-feu soit configuré de sorte à ne pas laisser passer de commande ping. Activez le cas échéant les services ICMP de type Request et Response. Etape de test 1 Testez le fonctionnement de la connexion par tunnel établie entre le PC1 et le PC2 comme suit : 1. Sur le PC2, sélectionnez la commande de menu suivante dans le menu Démarrer : Démarrer Tous les programmes Accessoires Invite de commandes 2. Entrée de la commande ping adressée par le PC2 au PC1 (adresse IP ) Dans la fenêtre "Invite de commandes", entrez à la position du curseur la commande ping La fenêtre affiche alors le message suivant : (réponse positive du PC1). Résultat Lorsque les télégrammes IP atteignent le PC1, les "statistiques Ping" pour affichent ce qui suit : envoyés = 4 reçus = 4 perdus = 0 (perte 0%) Etant donné qu'aucune autre communication n'était autorisée, ces télégrammes n'ont pu transiter que par le tunnel VPN. 90 Instructions de service, 07/2011, C79000-G8977-C196-08

91 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Etape de test 2 Renouvelez le test en lançant une commande ping à partir du PC3. 1. Sur le PC3, sélectionnez la commande de menu suivante dans le menu Démarrer : Démarrer Tous les programmes Accessoires Invite de commandes 2. Lancez à nouveau la même commande ping (ping ) dans la fenêtre de l'invite de commandes du PC3. La fenêtre affiche alors le message suivant : (pas de réponse du PC1). Résultat Les télégrammes IP émis par le PC3 ne peuvent pas parvenir au PC1 parce qu'aucune communication par tunnel n'a été configurée entre ces appareils et que la transmission de données IP normale n'est pas autorisée. Les "statistiques Ping" pour affichent en conséquence : envoyés = 4 reçus = 0 perdus = 4 (perte 100%) 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Présentation Dans cet exemple, la fonction de tunnel VPN est configurée dans la vue de configuration "Mode avancé". Un MD741-1 et le SOFTNET Security Client forment les deux terminaisons du tunnel pour le trafic sécurisé via un réseau public. Instructions de service, 07/2011, C79000-G8977-C

92 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Avec une telle configuration, la communication IP n'est possible entre partenaires autorisés que via la connexions par tunnel VPN configurée. Remarque Pour la configuration de cet exemple, il faut que vous obteniez de votre fournisseur d'accès (opérateur de téléphonie mobile) une adresse IP publique invariable, accessible depuis Internet, pour la carte SIM du MD (vous pouvez sinon également travailler avec une adresse DynDNS pour le MD741-1.) Structure du réseau de test : Réseau interne - connexion au port X2 du MD741-1 ("réseau interne") Dans le réseau interne du montage d'essai, le nœud de réseau est constitué d'un PC connecté au port "Internal Network" (port X2) d'un MD PC1 : représente un partenaire du réseau interne MD741-1 : module MD741-1 pour la protection du réseau interne Réseau public externe - connexion via antenne MD741-1 ("réseau externe") Le réseau public externe est exclusivement un réseau GSM ou de téléphonie mobile que l'utilisateur peut choisir chez son fournisseur d'accès (opérateur de téléphonie mobile) et qui est accessible via l'antenne du MD PC2 : PC avec logiciel de configuration Security Configuration Tool et logiciel SOFTNET Security Client pour l'accès VPN sécurisé au réseau interne Appareils/composants requis : Le montage nécessite les composants suivants : 1 module MD741-1 avec carte SIM, (en option : un rail symétrique DIN monté avec matériel de montage) ; 1 alimentation 24V avec câble de liaison et fiche de connexion au bornier ; 1 PC sur lequel est installé l'outil de configuration "Security Configuration Tool" et le client VPN "SOFTNET Security Client" ; 92 Instructions de service, 07/2011, C79000-G8977-C196-08

93 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client 1 PC dans le réseau interne du MD741-1 avec un navigateur pour configurer le MD741-1 et tester la configuration ; 1 routeur DSL (connexion à Internet pour le PC sur lequel se trouve le client VPN (RNIS, DSL, UMTS, etc.)) Les câbles de réseau nécessaires, câbles TP (Twisted Pair) selon la norme IE FC RJ45 pour Industrial Ethernet. Récapitulatif des étapes de réalisation Installation du MD741-1 et du réseau Marche à suivre : 1. Déballez d'abord le MD741-1 et vérifiez qu'il n'a pas été endommagé. 2. Suivez "pas à pas" les instructions de mise en service du MD741-1 jusqu'au point où vous devez le configurer selon vos besoins. Utilisez pour ce faire PC1, installation du MD741, voir chapitre Configuration du MD741-1 (Page 101). 3. Etablissez à présent la connexion physique au réseau en enfichant les connecteurs des câbles de réseau dans les ports correspondants (connecteurs femelles RJ45) : Connectez le PC1 au port X2 ("réseau interne") du MD741-1 Connectez le PC2 au routeur DSL 4. Démarrez les PC. Instructions de service, 07/2011, C79000-G8977-C

94 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Spécification des paramètres IP des PC Affectez pour le test les adresses IP suivantes aux PC. PC Adresse IP Masque de sousréseau Passerelle par défaut PC PC Entrez, sous Passerelle par défaut du PC1, l'adresse IP que vous affecterez au module MD741-1 (pour l'inface interne du réseau) lorsque vous le configurerez. Sur le PC2, entrez l'adresse IP du routeur DSL (pour l'interface interne du réseau). Procédez sur le PC1 et le PC2 comme indiqué ci-après pour ouvrir les connexions au réseau sur le PC concerné : 1. Sur le PC concerné, ouvrez le Panneau de configuration avec la commande de menu suivante : Démarrer Panneau de configuration 2. Cliquez sur l'icône "Centre Réseau et partage". 94 Instructions de service, 07/2011, C79000-G8977-C196-08

95 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client 3. Dans la boîte de dialogue "Propriétés de connexion au réseau local", cochez la case "Protocole Internet version 4 (TCP/IPv4)" puis cliquez sur le bouton "Propriétés". 4. Sélectionnez dans la boîte de dialogue "Propriétés du protocole Internet version 4 (TCP / IPv4)", l'option "Utiliser l'adresse IP suivante :". Entrez à présent les valeurs affectées au PC figurant dans le tableau "Définir paramètres IP du PC" dans les champs prévus à cette effet. Fermez les boîtes de dialogue par "OK" et quittez le panneau de configuration. Instructions de service, 07/2011, C79000-G8977-C

96 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Création du projet et des modules Marche à suivre : 1. Démarrez le logiciel de configuration Security Configuration Tool sur le PC2. 2. Créez un nouveau projet avec la commande de menu suivante : Project New Il vous est demandé d'entrer un nom d'utilisateur et un mot de passe. Le nom d'utilisateur entré ici possèdera automatiquement des droits d'administrateur. 3. Entrez un nom d'utilisateur et un mot de passe et validez l'entrée ; vous créez ainsi un nouveau projet. La boîte de dialogue "Sélection d'un module ou d'une configuration logicielle" s'affiche automatiquement. 4. Configurez maintenant le type de produit "SOFTNET Configuration (SOFTNET Security Client, MD74x)", le module "SOFTNET Security Client" et la version de firmware "V4.0" puis attribuez le nom de module "SSC-PC2". 5. Fermez la boîte de dialogue en cliquant sur "OK". 6. Créez un 2e module avec la commande de menu suivante : Insert Module Configurez maintenant le type de produit "SOFTNET Configuration (SOFTNET Security Client, MD74x)", le module "MD74x" puis attribuez le nom de module "MD741-1". 7. Cliquez dans la zone "Configuration" sur le champ "Adresse IP (ext.)" et entrez celle-ci au format voulu. Configurez en outre le masque de sous-réseau correspondant. Remarque Pour la configuration de cet exemple, il faut que vous obteniez de votre fournisseur d'accès (opérateur de téléphone mobile) une adresse IP publique invariable, accessible depuis Internet, pour la carte SIM du MD Entrez cette adresse IP comme adresse IP externe du module. Si vous vous voulez utiliser des adresses dynamiques pour le MD741-1, vous aurez besoin d'une adresse DynDNS pour votre module. Le cas échéant, vous n'aurez pas besoin d'adapter l'adresse IP externe à cet endroit. L'adresse IP qui y est inscrite servira simplement d'adresse générique. Lors de la configuration du SOFTNET Security Client vous remplacerez l'adresse IP externe par un nom DNS. 8. Cliquez dans la zone "Configuration" sur le champ "Adresse IP (int.)" et entrez celle-ci au format voulu. (Adresse IP : ) Configurez en outre le masque de sous-réseau interne correspondant. (Masque de sous-réseau : ) ) 9. Fermez à présent la boîte de dialogue en cliquant sur "OK". Vous voyez alors s'afficher l'écran représenté ci-dessous. 96 Instructions de service, 07/2011, C79000-G8977-C196-08

97 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Configuration de la connexion tunnélisée Un MD741-1 et le SOFTNET Security Client peuvent établir un tunnel IPSec pour la communication sécurisée s'ils sont affectés dans le projet au même groupe. Marche à suivre : 1. Sélectionnez dans le volet de navigation "Tous les groupes" et créez un groupe avec la commande de menu suivante : Insert Group Ce groupe obtient automatiquement le nom de "Groupe1". 2. Sélectionnez dans le volet de contenu le module "MD741-1" et faites-le glisser sur "Groupe1" dans le volet de navigation. Le module est à présent affecté à ce groupe et donc membre de ce groupe. La clé dans l'icône du module change de couleur et passe de gris à bleu. Cela signifie qu'une connexion IPsec a été configurée pour le module. 3. Sélectionnez dans le volet de contenu le module SOFTNET Security Client "SSC-PC2" et faites-le glisser sur "Groupe1" dans le volet de navigation. Le module est désormais également affecté à ce groupe. 4. Faites à présent passer votre projet en "mode avancé" par la commande de menu suivante : View Advanced Mode... Instructions de service, 07/2011, C79000-G8977-C

98 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client 5. Ouvrez les propriétés du groupe 1 en sélectionnant "Propriétés..." dans le menu contextuel. 6. Faites passer la durée de vie SA des phases 1 et 2 à 1440 minutes et laissez tous les autres paramètres à leur valeur par défaut. 98 Instructions de service, 07/2011, C79000-G8977-C196-08

99 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client IMPORTANT Vous ne réussirez à établir une connexion tunnélisée entre le MD741-1 et le SOFTNET Security Client que si vous vous conformez scrupuleusement aux paramétrages indiqués ci-dessous. L'utilisation d'autres paramètres peut se solder par l'impossiblité pour les partenaires de part et d'autre du tunnel d'établir une connexion VPN. Procédure d'authentification : Certificat Paramètres avancés phase 1 : Mode IKE : Main Phase 1 Groupe DH : Group2 Phase 1 Cryptage : 3DES-168 Durée de vie SA (minutes) : 1440 Phase 1 Authentification : SHA1 Paramètres avancés phase 2 : Type de durée de vie SA : Time Phase 2 Cryptage : 3DES-168 Durée de vie SA (minutes) : 1440 Phase 2 Authentification : SHA1 7. Enregistrez à présent ce projet avec la commande de menu suivante sous un nom significatif : Project Save as... La configuration de la connexion par tunnel est terminée. Instructions de service, 07/2011, C79000-G8977-C

100 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Enregistrement de la configuration du MD741-1 et du SOFTNET Security Client Marche à suivre : 1. Ouvrez la boîte de dialogue ci-après avec la commande de menu suivante : Transfer To All Modules Démarrez le chargement à l'aide du bouton "Démarrer". 3. Enregistrez le fichier de configuration "Nom de projet.ssc-pc2.dat" dans votre répertoire de projet et attribuez un mot de passe pour la clé privée du certificat. Les fichiers suivants sont enregistrés dans votre répertoire de projet : "nom de projet.ssc-pc2.dat" "nom de projet.chaîne de caractères.ssc-pc2.p12" "nom de projet.groupe1.cer" 4. Enregistrez le fichier de configuration "Nom de projet.md741-1.txt" dans votre répertoire de projet et attribuez un mot de passe pour la clé privée du certificat. Les fichiers suivants sont enregistrés dans votre répertoire de projet : "nom de projet.md741-1.txt" "nom de projet.chaîne de caractères.md741-1.p12" "nom de projet.groupe1.md741-1.cer" Vous avez à présent enregistré tous les fichiers et certificats requis et pouvez mettre le MD741-1 et le SOFTNET Security Client en service. 100 Instructions de service, 07/2011, C79000-G8977-C196-08

101 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Configuration du MD741-1 Le fichier de texte enregistré "nom de projet.md741-1.txt" ainsi que le Web Based Management du MD741-1 simplifient grandement sa configuration. L'exemple ci-après décrit étape par étape la configuration du MD La configuration présuppose ce qui suit : Le MD741-1 obtient une adresse IP publique fixe, accessible via Internet ; le SOFTNET Security Client obtient une adresse IP dynamique attribuée par le fournisseur d'accès. Vous trouverez également ci-après aux endroits concernés des informations sur la configuration d'un nom DynDNS pour le MD Marche à suivre : 1. Sur le PC1 connectez-vous à l'interface Web du MD Remarque : si le MD741-1 possède encore ses paramètres par défaut, vous accèderez à l'interface du module sous l'adresse IP Naviguez jusqu'au répertoire suivant : IPSec VPN Certificats Instructions de service, 07/2011, C79000-G8977-C

102 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client 3. Au dernier chapitre, vous avez enregistré les certificats requis sur le PC2 et attribué un mot de passe pour la clé privée. Dans un premier temps, transférez les certificats ("nom de projet. chaîne de caractères.md741-1.p12", "nom de projet.groupe1.md741-1.cer") du MD741-1 sur le PC1. 4. Chargez ensuite le certificat du partenaire "nom de projet.groupe1.md741-1.cer" ainsi que le fichier PKCS 12 "nom de projet.chaîne de caractères.md741-1.p12" sur le module. Mode VPN Roadwarrior du MD741-1 Le SOFTNET Security Client possédant une adresse IP dynamique, le MD741-1 utilisera le mode VPN Roadwarrior pour établir une connexion sécurisée. Mode Roadwarrior du MD741-1 : Le mode VPN Roadwarrior, permet au SINAUT MD741-1 d'accepter l'établissement d'une connexion VPN avec un partenaire dont l'adresse est inconnue. Il peut s'agir de partenaire en utilisation nomade qui obtiennent leur adresse IP dynamiquement. La connexion VPN doit être établie à l'initiative du partenaire. Le mode Roadwarrior n'autorise pas plus d'une connexion VPN. Des connexions VPN en mode standard peuvent être utilisées en parallèl à celle en mode Roadwarrior. 102 Instructions de service, 07/2011, C79000-G8977-C196-08

103 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Marche à suivre : 1. Naviguez jusqu'au répertoire suivant : IPSec VPN Liaisons 2. Editez les paramètres du Roadwarrior VPN comme indiqué dans la figure ci-dessous et enregistrez les modifications. Le "Remote ID" figure dans le fichier de texte "Nom de projet.md741-1.txt". L'entrée du "Remote ID" est facultative. 3. Editez les paramètres du Roadwarrior VPN comme indiqué dans la figure ci-dessous et enregistrez les modifications. Instructions de service, 07/2011, C79000-G8977-C

104 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client 104 Instructions de service, 07/2011, C79000-G8977-C196-08

105 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client IMPORTANT Vous ne réussirez à établir une connexion tunnélisée entre le MD741-1 et le SOFTNET Security Client que si vous vous conformez scrupuleusement aux paramétrages indiqués ci-dessous. L'utilisation d'autres paramètres se solde par l'impossibilité pour les partenaires de part et d'autre du tunnel d'établir une connexion VPN. Conformez-vous par conséquent toujours aux paramètres indiqués dans le fichier exporté (comme spécifiés à titre de rappel ci-après). Procédure d'autorisation : X.509 certificat du partenaire Phase 1 - ISKAMP SA : Cryptage ISAKMP-SA : 3DES-168 ISAKMP-SA Hash : SHA-1 Mode ISAKMP-SA : Main Mode Durée de vie ISAKMP-SA (secondes) : Phase 2 - IPSec SA : Cryptage IPSec SA : 3DES-168 IPSec SA Hash : SHA-1 Durée de vie IPSec SA (secondes) : Groupe DH/PFS : DH Instructions de service, 07/2011, C79000-G8977-C

106 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client 4. Pour pouvoir utiliser la fonction de diagnostic du SOFTNET Security Client vérifiant le bon fonctionnement du tunnel VPN en relation avec le MD741-1, vous devez accepter la réception d'un ping du réseau externe du MD Naviguez jusqu'au répertoire : Sécurité Avancée Sélectionnez, pour la fonction "ICMP externe vers MD741-1", la valeur "Autoriser ping" et validez ce choix. Tenez également compte de la figure ci-après. Remarque Si vous ne validez pas cette fonction, vous ne pourrez pas utiliser la fonction de diagnostic du SOFTNET Security Client vérifiant le bon fonctionnement du tunnel VPN en relation avec le MD Vous n'obtiendrez pas de message indiquant que le tunnel a été établi avec succès, mais pourrez tout de même communiquer via le tunnel. 5. Pour pouvoir accéder à l'interface Web du module MD741-1 via l'interface externe, autorisez l'accès HTTPS distant. Vous aurez ainsi la possibilité de configurer et de diagnostiquer le MD741-1 à distance, via le tunnel. Naviguez jusqu'au répertoire : Accès HTTPS Sélectionnez "oui" pour la fonction "Activer l'accès HTTPS distant". 106 Instructions de service, 07/2011, C79000-G8977-C196-08

107 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Remarque Si vous voulez accéder au MD741-1 à l'aide d'un nom DNS, paramétrer dans le répertoire ci-après la connexion au serveur DynDNS : Réseau externe Paramètres avancés DynDNS 1. Sélectionnez "oui" pour le paramètre "Connecter ce MD741 à un serveur DynDNS". 2. Entrez le nom d'utilisateur et le mot de passe de votre compte DynDNS. 3. Entrez l'adresse DynDNS complète dans le champ "DynDNS Hostname". N'oubliez pas d'entrer également le domaine de cette adresse. (Exemple : "mydns.dyndns.org") La mise en service du module MD741-1 est à présent achevée. Le module et SOFTNET Security Client peuvent à présent établir un tunnel de communication via lequel des noeuds du réseau interne peuvent communiquer en toute sécurité avec le PC2. Instructions de service, 07/2011, C79000-G8977-C

108 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Etablissement d'un tunnel avec le SOFTNET Security Client Marche à suivre : 1. Démarrez le SOFTNET Security Client sur le PC2. 2. Cliquez sur le bouton "Charger configuration", ouvrez votre dossier de projet et chargez le fichier de configuration "Nom de projet.ssc-pc2.dat". 3. Pour configurer un MD741-1, le SOFTNET Security Client ouvre la boîte de dialogue "Paramètres IP/DNS du MD741-1". Entrez dans ce dialogue l'adresse IP publique du module MD741-1 que vous avez obtenue de votre fournisseur d'accès. Validez la boîte de dialogue en cliquant sur "OK". Remarque : Si vous utilisez un nom DNS, vous pouvez le configurer dans cette boîte de dialogue à la place de l'adresse IP. 4. Entrez le mot de passe pour le certificat et validez par "Suivant". 108 Instructions de service, 07/2011, C79000-G8977-C196-08

109 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client 5. Validez le dialogue "Activer tous les partenaires configurés statiquement?" par "Oui". 6. Cliquez sur le bouton "Tunnel Overview". Remarque Si vous voulez accéder au MD741-1 à l'aide d'un nom DNS, paramétrez à l'étape 3 l'adresse DynDNS complète dans le champ de saisie "Nom DNS". (Exemple : "mydns.dyndns.org") Résultat : connexion par tunne active. Le tunnel entre MD741-1 et SOFTNET Security Client a été établi. L'icône bleue en face de l'entrée "MD741-1" signale qu'une stratégie a été définie pour cette liaison de communication. Un cercle vert en face de l'entrée "MD741-1" signale que le MD741-1 est accessible. Remarque Notez que cette fonction dépend de l'activation de la fonction ping du module MD La console de journal de la "Tunnel overview" du SOFTNET Security Client fournit des informations complémentaires sur votre système qui indiquent : Instructions de service, 07/2011, C79000-G8977-C

110 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client comment s'est déroulée la tentative de connexion? si une stratégie a été définie pour la connexion de communication? La mise en service de la configuration est à présent achevée. Le module MD741-1 et le SOFTNET Security Client ont établi un tunnel de communication via lequel des noeuds du réseau interne peuvent communiquer en toute sécurité avec le PC Instructions de service, 07/2011, C79000-G8977-C196-08

111 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Test de la fonction de tunnel (test de ping) Comment peut-on tester la fonction configurée? Vous exécuterez les tests fonctionnels comme décrit ci-après à l'aide d'une commande ping. Vous pouvez également utiliser d'autres programmes de communication pour tester la configuration. IMPORTANT Sous Windows, il se peut que le pare-feu soit configuré de sorte à ne pas laisser passer de commande ping. Activez le cas échéant les services ICMP de type Request et Response. Exécution du test Testez le fonctionnement de la connexion par tunnel établie entre le PC1 et le PC2 comme suit : 1. Sur le PC2, sélectionnez la commande de menu suivante dans le menu Démarrer : Démarrer Tous les programmes Accessoires Invite de commandes 2. Entrée de la commande ping adressée par le PC2 au PC1 (adresse IP ) Dans la fenêtre "Invite de commandes", entrez à la position du curseur la commande Ping La fenêtre affiche alors le message suivant : (réponse positive du PC1). Instructions de service, 07/2011, C79000-G8977-C

112 MISE EN ROUTE 3.5 Exemple 5 : Accès à distance - Exemple de tunnel VPN avec MD741-1 et SOFTNET Security Client Résultat Lorsque les télégrammes IP atteignent le PC1, les "statistiques Ping" pour affichent ce qui suit : envoyés = 4 reçus = 4 perdus = 0 (perte 0 %) Etant donné qu'aucune autre communication n'était autorisée, ces télégrammes n'ont pu transiter que par le tunnel VPN. 112 Instructions de service, 07/2011, C79000-G8977-C196-08

113 Configuration sous Security Configuration Tool 4 Le Security Configuration Tool est l'outil de configuration fourni avec le SCALANCE S. Le présent chapitre vous permettra de vous familiariser avec l'interface utilisateur et le fonctionnement de l'outil de configuration. Vous y apprendrez comment configurer, utiliser et gérer des projets SCALANCE S. Informations complémentaires La manière de configurer des modules et des tunnels IPsec est décrite en détails dans les chapitres ci-après du présent manuel. F1 Vous trouverez par ailleurs des informations détaillées sur les dialogues et paramètres dans l'aide en ligne. Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue en question. 4.1 Fonctionnalités et fonctionnement Fonctionnalités L'outil de configuration Security Configuration Tool est conçu pour les tâches suivantes : configuration de SCALANCE S configuration de SOFTNET Security Client (S612/S613) / MD 741-1) Création de données de configuration pour MD / MD Fonctions de diagnostic et de test, indications d'état Instructions de service, 07/2011, C79000-G8977-C

114 Configuration sous Security Configuration Tool 4.1 Fonctionnalités et fonctionnement Modes de fonctionnement Le Security Configuration Tool possède deux modes de fonctionnement : Vue de configuration - hors ligne Le mode hors ligne sert à configurer les modules SCALANCE S et SOFTNET Security Client. Il n'est pas nécessaire qu'une connexion à SCALANCE S soit établie avant le chargement. En ligne Le mode en ligne sert à tester et diagnostiquer un SCALANCE S. Deux affichages de commande En mode hors ligne, le Security Configuration Tool met deux affichages de commande à disposition : Mode standard Le mode standard est le mode par défaut de Security Configuration Tool. Il se distingue par la rapidité et la simplicité de réalisation d'une configuration de marche pour les SCALANCE S. Mode avancé En mode avancé, des possibilités de paramétrage additionnelles vous permettent de personnaliser les règles du pare-feu et les fonctions de sécurité. 114 Instructions de service, 07/2011, C79000-G8977-C196-08

115 Configuration sous Security Configuration Tool 4.2 Installation Fonctionnement - Sécurité et cohérence Accès réservé aux utilisateurs autorisés L'accès aux projets peut être protégé par l'attribution d'un mot de passe. Données de projet cohérentes Des contrôles de cohérence ont lieu dès l'entrée des données dans les différents dialogues. De plus, vous pouvez déclencher à tout moment un contrôle de cohérence de tous les dialogues du projet. Les données de projet ne peuvent être chargées que si elles sont cohérentes. Protection des données de projet par cryptage Les données de projet et de configuration enregistrées sont protégées par cryptage aussi bien dans le fichier de projet que sur le C-Plug. 4.2 Installation L'outil de configuration Security Configuration Tool s'installe à partir du CD SCALANCE S fourni. Conditions Les conditions requises pour pouvoir installer et utiliser le Security Configuration Tool sur un PC/PG sont : Système d'exploitation Windows XP SP2 ou SP3 (sauf édition Familiale), Window 7 (sauf éditions familales) ; PC/PG avec au moins 128 Mo de mémoire RAM et une CPU avec une fréquence d'horloge d'au moins 1 GHz. Marche à suivre IMPORTANT Avant d'installer le Security Configuration Tool, lisez impérativement le fichier "README" qui se trouve sur le CD. Ce fichier contient éventuellement des informations importantes et modifications de dernière minute. Introduisez le CD SCALANCE S dans votre lecteur de CD-ROM ; si la fonction de démarrage automatique est activée, l'interface utilisateur permettant d'installer le logiciel s'affiche automatiquement. ou Démarrez l'application "start.exe" qui se trouve sur le CD SCALANCE S fourni. Instructions de service, 07/2011, C79000-G8977-C

116 Configuration sous Security Configuration Tool 4.3 Interface utilisateur et commandes de menu 4.3 Interface utilisateur et commandes de menu Structure de l'interface utilisateur 1 Le volet de navigation qui sert d'explorateur de projet, affiche les dossiers principaux suivants : Règles de pare-feu globales Le noeud contient les règles de pare-feu globales configurées. D'autres répertoire distinguent : le jeux de règles IP le jeux de règles MAC Tous les modules Ce nœud contient les modules s configurés du projet. Tous les groupes Le nœud "Tous les groupes" contient tous les VPN créés. Lorsque vous sélectionnez un objet dans le volet de navigation, le volet de contenu affiche des informations détaillées sur cet objet. 116 Instructions de service, 07/2011, C79000-G8977-C196-08

117 Configuration sous Security Configuration Tool 4.3 Interface utilisateur et commandes de menu 2 Volet de contenu : Lorsque vous sélectionnez un objet dans le volet de navigation, le volet de contenu affiche des informations détaillées sur cet objet. Vous pouvez entrer ici un certain nombre de paramètres. Un double clic sur les objets ouvre les dialogues de propriétés permettant d'entrer des paramètres. 3 Barre d'état La barre d'état affiche les états et messages d'état actuels, c.-à-d. : L'utilisateur actuel et le type d'utilisateur L'affichage de commande --- mode standard/mode avancé Le mode de fonctionnement - en ligne/hors ligne Barre de menu Les tableaux ci-après récapitulent les commandes de menu disponibles et leur signification. Commande de menu Signification / Observations Raccourci Project New Open... Save Save as... Properties... Les projets ouverts récemment Quit Fonctions de paramétrage spécifiques du projet, ainsi que le chargement et l'enregistrement du fichier de projet. Crée un projet Ouvre un projet existant. Enregistre le projet ouvert dans le chemin et sous le nom de projet actuels. Enregistre le projet ouvert dans un chemin et sous un nom de projet à définir. Dialogue d'ouverture des propriétés du projet. Possibilité de sélection directe de projets édités. Edit Nota : Vous pouvez également accéder à une partie des fonctions décrites ici par le menu contextuel qui s'affiche lorsque vous cliquez avec le bouton droit de la souris sur un objet sélectionné. Copy Copie l'objet sélectionné. Ctrl+C Paste Colle l'objet préalablement enregistré dans le presse-papiers. Ctrl+V Del Supprime l'objet sélectionné. DEL Rename Renomme l'objet sélectionné. Ctrl+R Properties Ouvre le dialogue des propriétés de l'objet sélectionné. F4 Online Properties... Accès aux fonctions de test et de diagnostic. Cette commande n'est visible que dans l'affichage en ligne. Instructions de service, 07/2011, C79000-G8977-C

118 Configuration sous Security Configuration Tool 4.3 Interface utilisateur et commandes de menu Commande de menu Signification / Observations Raccourci Insert Module Group Firewall rule set (commandes de menu uniquement en mode hors ligne) Crée un module. Cette commande de menu n'est active que si un objet module ou un groupe a été sélectionné dans le volet de navigation. Crée un groupe. Cette commande de menu n'est active que si un objet groupé a été sélectionné dans le volet de navigation. Créé un nouveau jeu de règles IP ou MAC pour le pare-feu. Cette commande de menu n'est active que si un objet pare-feu a été sélectionné dans le volet de navigation. Ctrl+M Ctrl+G Ctrl+F Transfer To Module... To All Modules... Configuration Status... Transfert de firmware... Charge les données sur les modules sélectionnés. Remarque : Les données de projet ne peuvent être chargées que si elles sont cohérentes. Charge les données sur tous les modules configurés. Remarque : Les données de projet ne peuvent être chargées que si elles sont cohérentes. Affiche dans une liste l'état de configuration des modules configurés. Charge un nouveau firmware sur le SCALANCE S sélectionné. View Advanced Mode Passe du mode standard au mode avancé. Ctrl+E Attention : Après être passé au mode avancé dans le projet actuel, vous ne pouvez retourner au mode standard que si vous n'avez effectué aucune modification. Le mode par défaut est le mode standard. Offline Mode par défaut. Ctrl+Maj+D Online Ctrl+D Options IP Service Definitions MAC Service Definitions Project Change Password Networkadapters... Ouvre le dialogue des définitions de service pour les règles de pare-feu IP. Cette commande n'est visible que dans l'affichage "Mode avancé". Ouvre le dialogue des définitions de service pour les règles de pare-feu MAC. Cette commande n'est visible que dans l'affichage "Mode avancé". Fonction permettant de modifier le mot de passe de l'utilisateur. Fonction permettant de sélectionner la carte réseau locale par laquelle s'effectue la connexion au SCALANCE S. 118 Instructions de service, 07/2011, C79000-G8977-C196-08

119 Configuration sous Security Configuration Tool 4.4 Gestion de projets Commande de menu Signification / Observations Raccourci Log Files Symbolic Names... Contrôles de cohérence Affichage de fichiers journaux. Permet de lire les fichiers journaux et de déclencher leur enregistrement. Attribue des mnémoniques aux adresses IP ou MAC. Contrôle la cohérence du projet. Une liste des résultats est créée. Help Contenu... Index... Info... Aide sur les fonctions et paramètres contenus dans Security Configuration Tool. Aide sur les fonctions et paramètres contenus dans Security Configuration Tool. Informations sur la version du Security Configuration Tool. Ctrl+Maj+F1 Ctrl+Maj+F2 4.4 Gestion de projets Présentation Projet SCALANCE S Un projet comprend sous Security Configuration Tool toutes les informations de configuration et de gestion d'un ou de plusieurs appareils SCALANCE S, des SOFTNET Security Clients et des appareils MD74x. Dans le projet, vous créez un module pour chaque appareil SCALANCE S, chaque SOFTNET Security Client et chaque appareil MD74x. Les configurations d'un projet contiennent en général : Paramètres valables sur l'ensemble du projet Paramètres spécifiques à un module Affectations à un groupe pour tunnel IPsec (S612 / S613 / SOFTNET Security Client) La gestion des utilisateurs contrôle par ailleurs les droits d'accès aux données de projet et donc aux appareils SCALANCE S. Instructions de service, 07/2011, C79000-G8977-C

120 Configuration sous Security Configuration Tool 4.4 Gestion de projets Paramètres valables sur l'ensemble du projet Propriétés du projet Celles-ci comprennent les indications générales d'adresse et de nom, mais aussi les spécifications de valeurs d'initialisation et les paramètres d'authentification. Jeux de règles globales du pare-feu Les règles globales de pare-feu peuvent être attribuées simultanément à plusieurs modules. Cette possibilité simplifie dans de nombreux cas la configuration contrairement à la configuration de jeux de règles locales dans le cadre des paramètres spécifiques à un module. Définitions de service Les définitions de service IP permettent de définir des règles de pare-feu compactes et claires. Paramètres spécifiques à un module La plupart des fonctions sont configurées dans le dialogue des propriétés d'un module. Voici un récapitulatif des onglets proposés et de leurs fonctions : Fonction / onglet du dialogue des propriétés est proposé en mode... Network Vous pouvez, si nécessaire, indiquer ici les adresses des routeurs se trouvant dans votre réseau. Firewall Settings En mode standard, vous activez ici le pare-feu avec des règles standard simples. Vous pouvez en outre activer ici des paramètres de journalisation. En mode avancé, vous pouvez y définir des règles détaillées de filtrage de paquets. En outre, vous pouvez y définir pour chaque règle de filtrage de paquets des paramètres de journalisation explicites. SSL Certificate Vous pouvez, en cas de besoin et notamment lorsqu'un certificat est compromis, y importer un certificat ou faire générer un nouveau certificat par le Security Configuration Tool. Time Synchronization Permet de définir le mode de synchronisation de la date et de l'heure. Logging Permet de préciser le mode d'enregistrement des événements de journalisation. standard X X X avancé X X X X X 120 Instructions de service, 07/2011, C79000-G8977-C196-08

121 Configuration sous Security Configuration Tool 4.4 Gestion de projets Fonction / onglet du dialogue des propriétés est proposé en mode... Noeuds Vous pouvez configurer ici, pour un module en mode pont, les sous-réseaux internes statiques ainsi que les noeuds IP/MAC interne et autoriser ou interdire l'apprentissage des noeuds internes. Pour un module en mode routage, vous pouvez entrer ici les partenaires internes / les sous-réseaux complets à tunneliser. VPN Si le module se trouve dans un groupe, vous pouvez configurer ici la Dead-Peer-Detection, le type d'établissement de liaison et l'adresse IP WAN. Mode routage En mode standard, vous activez ici la fonction "Routeur". En mode avancé, vous pouvez également y activer la fonction routeur NAT/NAPT et définir la translation d'adresses dans une liste. Serveur DHCP Vous pouvez activer le module comme serveur DHCP pour le réseau interne. standard X avancé X X X X Vous trouverez la description détaillée de cette fonction au chapitre "Pare-feu, routeur et autres propriétés du module". Affectations à un groupe pour tunnel IPsec (S612 / S613 / SOFTNET Security Client) Celles-ci définissent les modules SCALANCE S, SOFTNET Security Clients et modules MD74x autorisés à communiquer entre eux via un tunnel IPsec. Les modules SCALANCE S, SOFTNET Security Clients et modules MD74x ayant été affectés à un groupe, ils peuvent établir des tunnels de communication via un VPN (virtual private network). La communication sécurisée via un tunnel n'est possible qu'entre les modules d'un même groupe, les modules SCALANCE S, les SOFTNET Security Clients et les modules MD74x pouvant cependant appartenir simultanément à plusieurs groupes. Instructions de service, 07/2011, C79000-G8977-C

122 Configuration sous Security Configuration Tool 4.4 Gestion de projets Création et édition de projets Pour créer un projet Sélectionnez la commande de menu Project New... Il vous est demandé d'entrer un nom d'utilisateur et un mot de passe. L'utilisateur que vous créez ici est de type Administrateur. Security Configuration Tool crée alors par défaut un projet et ouvre la boîte de dialogue "Sélection d'un module ou d'une configuration logicielle" dans laquelle vous pourrez configurer votre premier module. Définition des valeurs d'initialisation d'un projet En définissant les valeurs d'initialisation vous spécifiez les propriétés attribuées automatiquement lors de la création d'un nouveau module. Pour entrer les valeurs d'initialisation, sélectionnez la commande de menu suivante : Project Properties, onglet "Paramètre d'initialisation par défaut". 122 Instructions de service, 07/2011, C79000-G8977-C196-08

123 Configuration sous Security Configuration Tool 4.4 Gestion de projets Protection des données de projet par cryptage Les données de projet et de configuration enregistrées sont protégées par cryptage aussi bien dans le fichier de projet que sur le C-Plug. Voir aussi Pare-feu, routeur et autres propriétés du module (Page 135) Instructions de service, 07/2011, C79000-G8977-C

124 Configuration sous Security Configuration Tool 4.4 Gestion de projets Création d'un utilisateur Types et droits d'utilisateur L'accès aux projets et aux modules SCALANCE S est géré par des paramètres d'utilisateur configurables. SCALANCE S distingue deux types d'utilisateur possédant des droits différents : Administrateurs En vous connectant comme "Administrateur" vous disposez de droits d'accès illimités à toutes les données de configuration et aux modules SCALANCE S. Utilisateur En vous connectant comme "Utilisateur" vous disposez des droits d'accès suivants : Accès en lecture aux configurations ; exception : vous êtes autorisé à modifier votre mot de passe. Accès en lecture au SCALANCE S en mode "En ligne" à des fins de test et de diagnostic. Authentification de l'utilisateur Les utilisateurs doivent s'authentifier lors de l'accès. Vous pouvez définir pour chaque utilisateur l'authentification par mot de passe. IMPORTANT Conservez les mots de passe dans un endroit sûr. Si vous oubliez les mots de passe, vous n'aurez plus accès au projet concerné ni à ses configurations ou aux modules SCALANCE S. Vous ne pourrez accéder aux modules SCALANCE S qu'en "Rétablissant les paramètres par défaut" ; dans ce cas les configurations seront perdues. Dialogue de création d'utilisateurs Pour créer des utilisateurs, sélectionnez la commande de menu suivante : Project Properties, onglet "Authentication Settings". 124 Instructions de service, 07/2011, C79000-G8977-C196-08

125 Configuration sous Security Configuration Tool 4.4 Gestion de projets Protection contre la perte par inadvertance Le système veille à ce qu'il subsiste toujours dans le projet au moins un utilisateur de type "Administrateur". On évite ainsi la perte irrémédiable de toute possiblilité d'accéder au projet parce qu'un utilisateur a été supprimé par inadvertance. IMPORTANT Si vous modifiez les paramètres d authentification, rechargez les modules SCALANCE S pour que les nouveaux paramètres (nouvel utilisateur, modification de mot de passe p. ex.) prennent effet sur les modules. Instructions de service, 07/2011, C79000-G8977-C

126 Configuration sous Security Configuration Tool 4.4 Gestion de projets Contrôle de cohérence Présentation Security Configuration Tool distingue : les contrôles de cohérence locaux les contrôles de cohérence sur l'ensemble du projet Les descriptions de dialogue que vous trouverez dans le manuel sous "Contrôle de cohérence" renseignent sur les règles vérifiées que vous devez observer lorsque vous effectuez des entrées dans les boîtes de dialogue. Contrôles de cohérence locaux Un contrôle de cohérence est dit local lorsqu'il est exécuté directement au sein d'un dialogue. Des contrôles peuvent être exécutés lors des actions suivantes : lorsque vous quittez un champ lorsque vous quittez une ligne de tableau lorsque vous fermez la boîte de dialogue en cliquant sur "OK" Contrôles de cohérence sur l'ensemble du projet Les contrôles de cohérence sur l'ensemble du projet indiquent si les modules sont correctement configurés. Les contrôles de cohérence permanent au niveau du projet prenant trop de temps en raison de l'entrée régulière de données de projet incohérentes pendant la création d'un projet, le contrôle est déclenché automatiquement uniquement dans les cas suivants : lors de l'enregistrement du projet à l'ouverture du projet avant le chargement d'une configuration IMPORTANT Les donnnées de configuration ne peuvent être chargées que si le projet est, dans son ensemble, cohérent. 126 Instructions de service, 07/2011, C79000-G8977-C196-08

127 Configuration sous Security Configuration Tool 4.4 Gestion de projets Comment déclencher un contrôle de cohérence sur l'ensemble du projet Vous pouvez déclencher à tout moment un contrôle de cohérence du projet ouvert par la commande de menu suivante : Options Check Consistency Le résultat du contrôle est inscrit dans une liste. De plus, la barre d'état vous signale le résultat du contrôle de cohérence si le projet contient des données incohérentes. Le cas échéant, positionnez le pointeur de la souris sur la barre d'état puis cliquez pour ouvrir la liste de contrôle Attribution de mnémoniques aux adresses IP/MAC Signification et avantage Dans un projet SCALANCE S, vous pouvez attribuer des mnémoniques aux adresses IP et MAC dans une table des mnémoniques. Ceci permet de simplifier et de fiabiliser la configuration des différents services. Les mnémoniques sont pris en charge au sein d'un projet pour les fonctions suivantes et leur configuration. Pare-feu Routeur NAT/NAPT Syslog DHCP Validité et unicité Les mnémoniques figurant dans la table des mnémoniques ne sont valables que dans le cadre de la configuration d'un projet SCALANCE S. Au sein d'un projet, tout mnémonique doit être unique et ne correspondre qu'à une seule adresse IP ou adresse MAC. Recopie automatique de mnémoniques dans la table des mnémoniques Vous pouvez utiliser des mnémoniques dans les fonctions précitées à la place des adresses IP, p. ex. lors de la définition des règles du pare-feu, sans qu'ils se trouvent dans la table des mnémoniques décrites ici. Les mnémoniques ainsi attribués sont automatiquement recopiés dans la table des mnémoniques où ils pourront être affectés ultérieurement. Le contrôle de cohérence vous rappellera dans ce cas que l'affectation n'a pas encore eu lieu. Instructions de service, 07/2011, C79000-G8977-C

128 Configuration sous Security Configuration Tool 4.4 Gestion de projets Dialogue d'attribution de mnémoniques Afin d'éviter une incohérence à la suite de l'affectation "adresse IP - mnénomique" et "adresse MAC - mnémonique", les mnémoniques sont tous gérés dans une seule et même table de mnémoniques. Sélectionnez la commande de menu suivante pour ouvrir cette table de mnémoniques : Options Symbolic Names.. Pour effectuer des entrées dans la table des mnémoniques : Nouvelles entrées 1. Cliquez sur le bouton "Add" pour ajouter un mnémonique dans la prochaine ligne vide de la table. 2. Entrez le mnémonique conformément au DNS. 1) 3. Complétez l'entrée par l'adresse IP ou MAC. Vous pouvez également affecter les deux adresses. Légende : 1) La conformité au DNS selon RFC1035 présuppose le respect des règles suivantes : - pas plus de 255 caractères (lettres, chiffres, trait d'union ou point) ; - le nom doit débuter par une lettre ; - le nom ne doit se terminer que par une lettre ou un chiffre ; - un élément de nom, c.-à-d. une chaîne de caractères entre deux points, ne doit pas dépasser 63 caractères ; - les caractères spéciaux tels que les accents, parenthèses, traits de soulignement, barres obliques, espaces, etc. sont proscrits. Entrées automatiques Si le mnémonique a déjà été attribué dans le cadre d'un service, vous trouverez l'entrée correspondante dans la table des mnémoniques. 128 Instructions de service, 07/2011, C79000-G8977-C196-08

129 Configuration sous Security Configuration Tool 4.4 Gestion de projets 1. Cliquez sur le champ d'entrée de l'adresse IP ou de l'adresse MAC. 2. Complétez l'entrée par l'adresse IP ou MAC. Vous pouvez également affecter les deux adresses. Si vous supprimez une entrée de la table des mnémoniques, les mnémoniques utilisés dans les services subsistent. Le contrôle de cohérence signalera dans ce cas des mnémoniques non définis. Ceci s'applique aussi bien aux entrées manuelles qu'aux entrées automatiques. Conseil : Le contrôle de cohérence sur l'ensemble du projet est particulièrement utile pour la table des mnémoniques décrite ici. La liste permet d'identifier et de rectifier toute incohérence. Vous pouvez déclencher à tout moment un contrôle de cohérence du projet ouvert par la commande de menu suivante : Options Check Consistency Contrôle de cohérence - Règles à observer Tenez compte des règles ci-après lorsque vous effectuez des entrées. Contrôle / règle Contrôle au niveau 1) L'affectation d'un mnémonique à une adresse IP ou MAC doit être unique dans les deux sens. Les mnémoniques doivent être conforme au DNS. 2) Chaque ligne de la table des mnémoniques doit contenir un mnémonique. Il faut indiquer une adresse IP ou une adresse MAC ou les deux. Ne pas affecter de mnémonique aux adresses IP des modules SCALANCE S. La table des mnémoniques doit contenir les mnémoniques utilisés pour les adresses IP et MAC du projet. Des incohérences peuvent survenir lorsque vous supprimez des entrées de la table de mnémoniques et que vous oubliez des les supprimer ou des les rectifier dans les dialogues du projet. Légende : local x x x projet x x 1) Tenez compte des explications du chapitre "Contrôles de cohérence". 2) La conformité au DNS selon RFC1035 présuppose le respect des règles suivantes : - pas plus de 255 caractères (lettres, chiffres, trait d'union ou point) ; - le nom doit débuter par une lettre ; - le nom ne doit se terminer que par une lettre ou un chiffre ; - un élément de nom, c.-à-d. une chaîne de caractères entre deux points, ne doit pas dépasser 63 caractères ; - les caractères spéciaux tels que les accents, parenthèses, traits de soulignement, barres obliques, espaces, etc. sont proscrits. Instructions de service, 07/2011, C79000-G8977-C

130 Configuration sous Security Configuration Tool 4.5 Chargement de la configuration sur SCALANCE S 4.5 Chargement de la configuration sur SCALANCE S Les données de configuration créées hors ligne sont chargées sur les SCALANCE S accessibles du réseau à l'aide des commandes de menu appropriées. 130 Instructions de service, 07/2011, C79000-G8977-C196-08

131 Configuration sous Security Configuration Tool 4.5 Chargement de la configuration sur SCALANCE S Conditions Connexions D'une manière générale, vous pouvez charger les données de configuration aussi bien via le port d'appareil 1 que par le port d'appareil 2. Configurez les modules d'un groupe de préférence par le réseau externe commun à ces modules (port d'appareil 1). Si l'ordinateur de configuration se trouve dans un réseau interne, l'autorisation des adresses IP des autres modules du groupe devra être explicitement spécifiée dans le pare-feu de ce SCALANCE S et ce module être configuré en premier. (Cette démarche n'est prise en charge que si une adresse IP a déjà été affectée à tous les modules SCALANCE S. voir "Particulartié de la configuration initiale") IMPORTANT Utilistation de plusieurs cartes réseau lors de la configuration initiale Si vous utilisez plusieurs cartes réseau sur votre PC/PG, sélectionnez avant la configuration initiale d'abord la carte réseau via laquelle vous pouvez accéder au module SCALANCE S. Utilisez pour ce faire la commande de menu "Options Network Adapter " Etat de fonctionnement Les configurations peuvent être chargées en cours de fonctionnement des appareils SCALANCE S. L'appareil redémarre automatiquement en fin de chargement. Il se peut qu'après le chargement, la communication entre le réseau interne et le réseau externe soit brièvement interrompue. IMPORTANT Particulartié de la première configuration Tant qu'aucun paramètre IP n'a été spécifié sur un module, c.-à-d. avant la première configuration, il ne doit pas y avoir de routeur ou de SCALANCE S entre le module et l'ordinateur de configuration. IMPORTANT Modification de la connexion PC Si vous déconnectez un PC de l'interface interne du SCALANCE S pour le connecter à l'interface externe, les accès de ce PC au SCALANCE S seront bloqués durant env. 10 min (fonction de sécurité pour éviter le "ARP-Cache-Spoofing"). IMPORTANT Le projet doit être cohérent Les donnnées de configuration ne peuvent être chargées que si le projet est, dans son ensemble, cohérent. En cas d'incohérence, une liste de contrôle détaillée s'affiche. Instructions de service, 07/2011, C79000-G8977-C

132 Configuration sous Security Configuration Tool 4.6 Données de configuration pour MD 740 / MD 741 Transfert sécurisé Les données sont transférées par un protocole sécurisé. Marche à suivre Utilisez pour le chargement l'une des commandes de menu suivantes : Transfer To Module... Transfère la configuration sur les modules sélectionnés. Transfer To All Modules... Transfère la configuration sur tous les modules configurés du projet. Mise en conformité de configurations différentes Le rapatriement des données de configuration du module SCALANCE S dans le projet n'est pas possible. 4.6 Données de configuration pour MD 740 / MD 741 Transfert sur un module Vous pouvez générer vos informations VPN pour le paramétrage d'un MD / MD avec le Security Configuration Tool. Vous pourrez ensuite configurer le MD / MD avec les fichiers ainsi générés. Les types de données suivants sont générés : Fichier d'exportation avec les données de configuration Type de fichier : fichier ".txt" au format ASCII Contient les informations de configuration exportées du MD / MD y compris une information sur les certificats additionnels générés. Certificat de module Type de fichier : fichier ".p12" Le fichier contient le certificat de module et les clés. L'accès est protégé par mot de passe. Certificat de groupe Type de fichier : Fichier ".cer" Les fichiers de configuration du MD / MD peuvent également être utilisés pour configurer d'autres types de client VPN qui ne sont pas contenus dans la sélection de modules. La condition minimale pour l'utilisation de ces clients VPN est qu'ils prennent en charge les VPN IPsec en mode tunnel. 132 Instructions de service, 07/2011, C79000-G8977-C196-08

133 Configuration sous Security Configuration Tool 4.6 Données de configuration pour MD 740 / MD 741 Figure 4-1 Fichier d'exportation pour MD Remarque Aucun fichier de configuration n'est transmis au module. On génère simplement un fichier ASCII avec lequel vous pouvez configurer le MD / MD Ceci n'est cependant pas possible si le module se trouve dans au moins un groupe VPN qui contient également un module SCALANCE S ou un SOFTNET Security Client à partir de V3.0. Instructions de service, 07/2011, C79000-G8977-C

134 Configuration sous Security Configuration Tool 4.6 Données de configuration pour MD 740 / MD 741 Marche à suivre 1. Sélectionnez dans la zone de contenu le module "MD 740-1" / "MD 741-1" puis Transfer To Module Dans le dialogue d'enregistrement suivant, entrez le chemin et le nom du fichier de configuration puis cliquez sur "Enregistrer". 3. Il vous sera demandé ensuite si vous voulez créer un mot de passe particulier pour les deux fichiers de certificat créés. Si vous sélectionnez "Non", le nom de la configuration (p. ex. DHCP_sans_routage_02) sera choisi comme mot de passe et non pas le mot de passe du projet. Si vous sélectionnez "Oui" (recommandé), entrez votre mot de passe dans le dialogue qui s'ouvre. Résultat : Les fichiers (et certificats) sont enregistrés dans le répertoire que vous avez spécifié. Remarque Après enregistrement, un message vous rappellera l'incompatibilité descendante du projet. Les projets enregistrés avec Security Configuration Tool V2.1 p. ex. ne peuvent pas être chargés avec Security Configuration Tool V2. Remarque Pour plus de détails sur la configuration du MD / MD 741-1, veuillez vous référer au manuel système MD / MD Instructions de service, 07/2011, C79000-G8977-C196-08

135 Pare-feu, routeur et autres propriétés du module 5 Le présent chapitre indique comment créer des modules et quels sont les paramètres admissibles pour les différents modules dans un projet. Le paramétrage de la fonction de pare-feu et de la fonction de routeur NAT/NAPT du SCALANCE S joue ici un rôle déterminant. Remarque S612/S613 Les paramètres de pare-feu que vous pouvez spécifier pour les différents modules ont également une influence sur la communication qui se déroule via des connexions par tunnel IPsec au sein du réseau interne (VPN). Informations complémentaires La manière de configurer des tunnels IPSec est décrite en détails au chapitre suivant du présent manuel. Vous trouverez par ailleurs des informations détaillées sur les dialogues et paramètres dans l'aide en ligne. F1 Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue en question. IMPORTANT Caractéristiques de performance et types d'appareil Tenez compte des fonctions prises en charge par le type d'appareil que vous utilisez. Voir aussi Fonctions en ligne - test, diagnostic et journalisation (Page 231) Caractéristiques du matériel et récapitulatif des fonctions (Page 15) Instructions de service, 07/2011, C79000-G8977-C

136 Pare-feu, routeur et autres propriétés du module 5.1 Présentation / Notions élémentaires 5.1 Présentation / Notions élémentaires SCALANCE S comme pare-feu Signification La fonction de pare-feu du SCALANCE S est destinée à protéger le réseau interne des influences et perturbations issues du réseau externe. Ceci signifie que, selon la configuration, seules sont autorisées des relations de communication prédéfinies entre des noeuds du réseau interne et des noeuds du réseau externe. Tous les noeuds de réseau, connectés à un segment de réseau interne du SCALANCE S, sont protégés par son pare-feu. La fonctionnalité de pare-feu peut être configurée pour les niveaux de protocole suivants : Pare-feu IP avec Stateful Packet Inspection ; Pare-feu également pour télégrammes Ethernet "non IP" selon IEEE ; (télégrammes de couche 2) Limitation de bande passante Règles de pare-feu Les règles de pare-feu sont des règles pour le trafic de données dans les directions suivantes : du réseau interne au réseau externe et inversement ; du réseau interne vers un tunnel IPsec et inversement (S612/S613). Configuration Il faut distinguer les deux affichages de commande : Le mode standard fait appel à des règles simples, prédéfinies. En mode avancé, vous pouvez y définir des règles spécifiques. De plus, il faut distinguer en mode avancé, les règles de pare-feu locales et les jeux de règles globales pour modules : Les règles de pare-feu locales sont dédiées à un module. Elles sont configurées dans le dialogue des propriétés du module. Les règles globales de pare-feu peuvent être attribuées simultanément à plusieurs modules. Cette possibilité simplifie souvent la configuration. Vous avez également la possibilité de spécifier, à l'aide de définitions de service, des règles de pare-feu compactes et claires. Vous pouvez vous référer à ces définitions de service aussi bien pour les règles de pare-feu locales que pour les jeux de règles de pare-feu globales. 136 Instructions de service, 07/2011, C79000-G8977-C196-08

137 Pare-feu, routeur et autres propriétés du module 5.1 Présentation / Notions élémentaires SCALANCE S comme routeur Signification Si vous utilisez SCALANCE S comme routeur, vous connectez le réseau interne au réseau externe. Le réseau interne connecté via SCALANCE S devient par conséquent un sousréseau distinct. Vous disposez des possibilités suivantes : Routage - paramétrable en mode standard et en mode avancé Routage NAT/NAPT - paramétrable en mode avancé Routage - paramétrable en mode standard et en mode avancé Ne sont retransmis que les télégrammes qui sont adressés à une adresse IP existant dans les sous-réseaux (internes ou externes). Sont également appliquées par ailleurs les règles de pare-feu définies pour chaque sens de transmission. Dans ce mode de fonctionnement, vous devez configurer une adresse IP supplémentaire pour le sous-réseau interne. Nota : En mode routage, les balises de réseau virtuel sont perdues ce qui n'est pas le cas lorsque le SCALANCE S fonctionne en pont. Routage NAT/NAPT - paramétrable en mode avancé Ce mode se distingue par la translation des adresses IP. Les adresses IP des appareils du sous-réseau interne sont traduites en adresses IP externes et ne sont donc pas "visibles" sur le réseau externe. Pour ce mode, vous devez configurer la translation d'adresses dans une liste. Vous y affectez à chaque adresse IP interne une adresse IP externe. Selon le procédé utilisé, les correspondances seront établies comme suit : NAT (Network Adress Translation) La règle est ici : Adresse = adresse IP NAPT (Network Address Port Translation) La règle est ici : Adresse = adresse IP + numéro de port Instructions de service, 07/2011, C79000-G8977-C

138 Pare-feu, routeur et autres propriétés du module 5.2 Création de modules et définition des paramètres de réseau SCALANCE S comme serveur DHCP Signification Vous pouvez utiliser le SCALANCE S sur le réseau interne comme serveur DHCP. Ceci permet d'affecter automatiquement des adresses IP aux appareils connectés au réseau interne. Les adresses IP sont dans ce cas attribuées dynamiquement dans une plage d'adresses que vous aurez définie ou bien une adresse IP définie sera attribuée, selon vos spécifications, à un appareil déterminé. Configuration La configuration comme serveur DHCP n'est possible que dans l'affichage "Mode avancé". 5.2 Création de modules et définition des paramètres de réseau Création de modules Lors de la création d'un projet, Security Configuration Tool ouvvre par défaut la boîte de dialogue "Sélection d'un module ou d'une configuration logicielle" dans laquelle vous pourrez configurer votre premier module. Pour créer d'autres modules, vous utiliserez la commande de menu : Insert Module Autre possibilité : à l'aide du menu contextuel de l'objet sélectionné "All Modules". Sélectionnez ensuite dans ce dialogue votre type de produit, le module et la version de firmware. 138 Instructions de service, 07/2011, C79000-G8977-C196-08

139 Pare-feu, routeur et autres propriétés du module 5.2 Création de modules et définition des paramètres de réseau Paramètres de réseau d'un module Les paramètres de réseau d'un module comprennent : les paramètres d'adresse du module les adresses des routeurs externes Paramètres d'adresse Lors de la création d'un module, vous pouvez configurer certains paramètres d'adresse dans la boîte de dialogue "Sélection d'un module ou d'une configuration logicielle". Vous pouvez également entrer les paramètres d'adresse dans le volet de contenu en sélectionnant dans le volet de navigation l'objet "All Modules" : Les propriétés de module suivantes sont alors affichées par colonne : Instructions de service, 07/2011, C79000-G8977-C

140 Pare-feu, routeur et autres propriétés du module 5.2 Création de modules et définition des paramètres de réseau Tableau 5-1 Paramètres IP - "All Modules" sélectionné Propriétés/Colonne Signification Commentaire/Sélection Number Numéro d'ordre du module Attribué automatiquement Name Désignation technologique judicieuse Libre choix Adresse IP ext. Adresse IP par laquelle l'appareil est Attribution adaptée au réseau. accessible dans le réseau externe, pour charger la configuration par exemple. Masque de sous-réseau ext. Masque de sous-réseau Attribution adaptée au réseau. Adresse IP int. Adresse IP par laquelle l'appareil est Attribution adaptée au réseau. accessible dans le réseau interne, lorsqu'il Le champ de saisie n'est éditable que si le est configuré comme routeur. mode routeur a été activé dans les propriétés du module. Masque de sous-réseau int. Masque de sous-réseau Attribution adaptée au réseau. Le champ de saisie n'est éditable que si le mode routeur a été activé dans les propriétés du module. Routeur par défaut Adresse IP du routeur du réseau externe. Attribution adaptée au réseau. MAC Address Adresse matérielle du réseau L'adresse MAC est imprimée sur le boîtier du module. Tenez compte de l'adresse MAC additionnelle en mode routage (indications à la suite de ce tableau). Type Comment Type d'appareil Information technologiquement utile concernant le module et le sous-réseau protégé par le module. SCALANCE S602 SCALANCE S612 V1 SCALANCE S612 V2 SCALANCE S613 V1 SCALANCE S613 V2 SOFTNET Security Client 2005 SOFTNET Security Client 2008 SOFTNET Security Client V3.0 SOFTNET Security Client V4.0 MD 74x Il n'existe pas de "dialogue des propriétés" pour ces types de module. Pour MD 74x, les adresses IP et masques de sous-réseau sont paramétrable dans le volet de contenu. Libre choix 140 Instructions de service, 07/2011, C79000-G8977-C196-08

141 Pare-feu, routeur et autres propriétés du module 5.2 Création de modules et définition des paramètres de réseau Adresse MAC supplémentaire en mode routage Le SCALANCE S utilise en mode routage une adresse MAC supplémentaire à l'interface du sous-réseau interne. Cette deuxième adresse MAC est composée à partir de l'adresse MAC figurant sur l'appareil comme suit : Adresse MAC (interne) = Adresse MAC imprimée + 1 En cas d'utilisation dans des réseaux plats (mode pont), l'adresse MAC imprimée est valable aussi bien à l'interface interne qu'à l'interface externe. Les adresses MAC actuellement valables sont indiquées dans l'onglet "Status" du dialogue Online du Security Configuration Tool. Dialogue "Réseau / Routeur externe" Il se peut que, du fait de la structure du réseau, vous soyez obligé de spécifier, outre le routeur par défaut, également d'autres routeurs. Sélectionnez le module à éditer puis la commande de menu suivante pour la création de routeurs externes : Edit Properties..., onglet "Réseau" Figure 5-1 Dialogue "Network". Voir aussi Vue d'ensemble des fonctions du dialogue Online (Page 232) Instructions de service, 07/2011, C79000-G8977-C

142 Pare-feu, routeur et autres propriétés du module 5.3 Pare-feu - Propriétés du module en mode standard 5.3 Pare-feu - Propriétés du module en mode standard Configuration du pare-feu Protection contre les perturbations issues du réseau externe La fonction de pare-feu du SCALANCE S est destinée à protéger le réseau interne des influences et perturbations issues du réseau externe. Ceci signifie que seules sont autorisées des relations de communication prédéfinies entre des noeuds du réseau interne et des noeuds du réseau externe. Les règles de filtrage de paquets vous permettent de définir le passage ou la restriction du trafic de données sur la base des propriétés des paquets de données. Sur le SCALANCE S612 / S613, le pare-feu peut être utilisé pour le trafic de données crypté (tunnel IPsec) et non crypté. En mode standard, vous ne pouvez paramétrer que le trafic de données non crypté. Remarque Mode routage Si vous avez activé le mode routage pour le module SCALANCE S, les règles MAC ne sont pas applicables. Dialogue Sélectionnez le module à éditer puis la commande de menu suivante pour la configuration du pare-feu : Edit Properties..., onglet "Firewall" 142 Instructions de service, 07/2011, C79000-G8977-C196-08

143 Pare-feu, routeur et autres propriétés du module 5.3 Pare-feu - Propriétés du module en mode standard Zone de sélection "Configuration" - Règles prédéfinies IMPORTANT Veuillez noter que le risque potentiel augmente à mesure que vous activez des options. Le mode standard comprend les règles de pare-feu prédéfinies suivantes, que vous pouvez sélectionner dans la zone "Configuration" : Instructions de service, 07/2011, C79000-G8977-C

144 Pare-feu, routeur et autres propriétés du module 5.3 Pare-feu - Propriétés du module en mode standard Tableau 5-2 Règles prédéfinies du pare-feu simple Règle/Option Fonction Paramétrage par défaut Communication par tunnel uniquement (S612/ S613) Tunnel Communication only Autoriser trafic IP sortant du réseau interne vers le réseau externe Allow outgoing IP traffic Autoriser trafic IP via protocole S7 du réseau interne vers le réseau externe. Allow outgoing S7 protocol Autoriser accès au serveur DHCP du réseau interne vers le réseau externe. Allow access to external DHCP server Autoriser accès au serveur NTP du réseau interne vers le réseau externe. Allow access to external NTP server Autoriser télégramme d'horodatage SiClock du réseau externe vers le réseau interne Allow access to external SiClock server C'est le paramétrage par défaut. Ce paramétrage autorise uniquement un transfert de données IPsec crypté ; seuls les noeuds des réseaux internes du SCALANCE S peuvent communiquer entre eux. L'option n'est sélectionnable que si le module fait partie d'un groupe. Si cette option est désactivée, la communication par tunnel de même que le type de communication sélectionné dans les autres cases à cocher sont autorisés. Les noeuds internes peuvent initier une communication avec des noeuds du réseau externe. Seuls les télégrammes de réponse issus du réseau externe sont transmis au réseau interne. Le réseau externe ne peut pas initier de communication avec les noeuds du réseau interne. Les noeuds internes peuvent initier une communication S7 (protocole S7 - TPP/port 102) avec des noeuds du réseau externe. Seuls les télégrammes de réponse issus du réseau externe sont transmis au réseau interne. Le réseau externe ne peut pas initier de communication avec les noeuds du réseau interne. Les noeuds internes peuvent initier une communication avec un serveur DHCP du réseau externe. Seuls les télégrammes de réponse issus du serveur DHCP sont transmis au réseau interne. Le réseau externe ne peut pas initier de communication avec les noeuds du réseau interne. Les noeuds internes peuvent initier une communication avec un serveur NTP (Network Time Protocol) du réseau externe. Seuls les télégrammes de réponse issus du serveur NTP sont transmis au réseau interne. Le réseau externe ne peut pas initier de communication avec les noeuds du réseau interne. Autoriser télégrammes d'horodatage SiClock du réseau externe vers le réseau interne. Activé Désactivé Désactivé Désactivé Désactivé Désactivé (Cette option n'est pas accessible en mode routage.) 144 Instructions de service, 07/2011, C79000-G8977-C196-08

145 Pare-feu, routeur et autres propriétés du module 5.3 Pare-feu - Propriétés du module en mode standard Règle/Option Fonction Paramétrage par défaut Autoriser accès au serveur DNS du réseau interne vers le réseau externe. Allow access to external DNS server Autoriser configuration de noeuds de réseau interne par DCP du réseau externe vers le réseau interne. Allow access from external or internal nodes via DCP server Les noeuds internes peuvent initier une communication avec un serveur DNS du réseau externe. Seuls les télégrammes de réponse issus du serveur DNS sont transmis au réseau interne. Le réseau externe ne peut pas initier de communication avec les noeuds du réseau interne. Le protocole DCP est utilisé par le PST-Tool pour le baptême de noeud (spécification des paramètres IP) des composants de réseau SIMATIC Net. Cette règle autorise les noeuds du réseau externe à accéder via protocole DCP aux noeuds du réseau interne. Désactivé Désactivé (Cette option n'est pas accessible en mode routage.) Zone de sélection Paramètres de journalisation Vous pouvez paramétrer l'enregistrement du trafic de données entrant et sortant Paramétrage par défaut du pare-feu Comportement avec paramétrage par défaut Le paramétrage par défaut du pare-feu est choisi de sorte à empêcher tout trafic de données IP. La communication entre les noeuds des réseaux internes de modules SCALANCE S est simplement autorisée entre les tunnels IPsec éventuellement configurés. Les diagrammes ci-après présentent en détail les paramètres par défaut pour le filtrage de paquets IP et le filtrage de paquets MAC. Instructions de service, 07/2011, C79000-G8977-C

146 Pare-feu, routeur et autres propriétés du module 5.3 Pare-feu - Propriétés du module en mode standard Paramétrage standard pour filtrage de paquets IP Tous les types de télégramme du réseau interne vers le réseau externe sont bloqués. 2 Tous les télégrammes du réseau interne vers le SCALANCE S sont autorisés (uniquement utile pour HTTPS). 3 Tous les télégrammes du réseau externe vers le réseau interne et vers le SCALANCE S sont bloqués (également ICMP Echo Request). 4 Les télégrammes du type ci-après, émis par le réseau externe (noeuds externes et SCALANCE S externes) vers le SCALANCE S sont autorisés : HTTPS (SSL) Protocole ESP (cryptage) IKE (protocole d'établissement des tunnels IPsec) NAT-Traversal (protocole d'établissement des tunnels IPsec) 5 La communication IP via tunnel IPsec est autorisée. 6 Les télégrammes de type Syslog et NTP que SCALANCE S émet vers l'extérieur sont autorisés. 146 Instructions de service, 07/2011, C79000-G8977-C196-08

147 Pare-feu, routeur et autres propriétés du module 5.3 Pare-feu - Propriétés du module en mode standard Paramétrage standard pour filtrage de paquets MAC l 1 Tous les types de télégramme du réseau interne vers le réseau externe sont bloqués. 2 Tous les télégrammes du réseau interne vers le SCALANCE S sont autorisés. 3 Les télégrammes ARP du réseau interne vers le réseau externe sont autorisés. 4 Tous les télégrammes du réseau externe vers le réseau interne et vers le SCALANCE S sont bloqués. 5 Les télégrammes du type ci-après, émis par le réseau externe vers le réseau interne sont autorisés : ARP avec limitation de largeur de bande 6 Les télégrammes du type ci-après, émis par le réseau externe vers le SCALANCE S sont autorisés : ARP avec limitation de largeur de bande DCP 7 Les protocoles MAC émis via un tunnel IPsec sont autorisés. Instructions de service, 07/2011, C79000-G8977-C

148 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé 5.4 Pare-feu - Propriétés du module en mode avancé En mode avancé, des possibilités de paramétrage additionnelles vous permettent de personnaliser les règles du pare-feu et les fonctions de sécurité. Passage au mode avancé Pour toutes les fonctions décrites dans le présent chapitre, changez de mode au moyen de la commande de menu suivante : View Advanced Mode... Remarque Après être passé au mode avancé dans le projet actuel, vous ne pourrez plus retourner au mode standard dès que vous aurez modifié la configuration. Les mnémoniques sont pris en charge Dans les fonctions décrites ci-après, vous pouvez entrer des mnémoniques à la place des adresses IP ou MAC Configuration du pare-feu Contrairement au mode standard qui autorise uniquement la configuration de règles de filtrage de paquets prédéfinies, le mode avancé du Security Configuration Tool permet de configurer des règles de filtrage de paquets personnalisées. Les règles de filtrage de paquets se définissent dans des onglets sélectionnables pour les protocoles suivants : Protocole IP (couche 3) Protocole MAC (couche 2) Si vous n'entrez pas de règles dans les dialogues décrits ci-après, les règles appliquées seront celle du paramétrage par défaut comme décrit au chapitre "Paramétrage par défaut du pare-feu". Remarque Mode routage Si vous avez activé le mode routage pour le module SCALANCE S, les règles MAC ne sont pas applicables (les dialogues sont inactifs). 148 Instructions de service, 07/2011, C79000-G8977-C196-08

149 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Possibilité de définition globale et locale Règles de pare-feu globales Une règle de pare-feu globale peut être attribuée simultanément à plusieurs modules. Cette possibilité simplifie souvent la configuration. Règles de pare-feu locales Une règle de pare-feu locale est dédiée à un module. Elle est configurée dans le dialogue des propriétés du module. On peut affecter à un module plusieurs règles de pare-feu locales et plusieurs règles globales. La définition des règles globales et locales et en principe identique. La description ci-après s'applique par conséquent aux deux méthodes en question Règles de pare-feu globales Utilisation Les règles de pare-feu globales sont configurées hors des modules au niveau projet. Elles sont, comme les modules, visibles dans le volet de navigation du Security Configuration Tool. Vous affectez une règle de pare-feu globale à un module en sélectionnant ce dernier et en le déposant par glisser-déplacer sur la règle de pare-feu voulue. Cette règle de pare-feu globale figure alors automatiquement dans la liste de règles de pare-feu spécifique du module. Des règles de pare-feu globales peuvent être définies pour : jeux de règles IP jeux de règles MAC La figure ci-après illustre la corrélation entre les jeux de règles difinis globalement et les jeux de règles utilisés localement. Instructions de service, 07/2011, C79000-G8977-C

150 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Quand les règles de pare-feu globales sont-elles utiles? Les règles de pare-feu globales sont utiles si vous voulez définir, pour plusieurs sousréseaux protégés par des modules SCALANCE S, des critères de filtrage identiques pour la communication avec le réseau externe. Veuillez noter cependant que cette configuration simplifiée peut produire des résultat indésirables en cas d'erreur d'affectation des modules. Il est par conséquent judicieux de toujours vérifier dans les résultats les règles de pare-feu locales, spécifiques aux modules. L'affectation erronée d'une règle n'est pas détectée par le contrôle de cohérence automatique! 150 Instructions de service, 07/2011, C79000-G8977-C196-08

151 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Utilisation locale de règles de pare-feu globales - Conventions Les conventions ci-après s'appliquent à la création d'un jeu de règles de pare-feu gloables ainsi qu'à son affectation à un module : Affichage dans Security Configuration Tool Les règles de pare-feu globales ne peuvent être créées qu'en mode avancé. Priorité Les règles définies localement possèdent par défaut une priorité plus élevée que les règles globales ; les règles globales nouvellement affectées sont par conséquent rajoutées au bas de la liste des règles locales. La priorité peut être modifiée par déplacement de la règle dans la liste. Granularité Les règles de pare-feu globales ne peuvent être affectées à un module que sous forme de jeu de règles complet. Entrée, modification ou suppression de règles Les règles de pare-feu globale ne sont pas éditables dans la liste locale des règles de pare-feu, figurant dans les propriétés du module. Elles ne peuvent qu'y être affichées et déplacées pour en modifier la priorité. Vous ne pouvez pas supprimer une règle individuelle d'un jeu de règles. Vous ne pouvez supprimer que le jeu de règles globales de la liste des règles locales ; la définition dans la liste des règles globales reste inchangée. Définition et affectation de règles globales de filtrage de paquets Pour définir et affecter un jeu de règles de pare-feu globales, procédez comme suit : 1. Sélectionnez dans le volet de navigation, l'un des dossiers suivants : Global FW Rulesets / FW IP-Rulesets. Global FW Rulesets / FW MAC-Rulesets. 2. Pour créer un jeu de règles globales, sélectionnez la commande de menu suivante : Insert Firewall rule set Instructions de service, 07/2011, C79000-G8977-C

152 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé 3. Entrez les règles de pare-feu les unes après les autres dans la liste ; tenez compte de la description des paramètres et de l'évaluation du chapitre suivant ou de l'aide en ligne. 4. Affectez la règle de pare-feu globale aux modules sur lesquels vous voulez l'utiliser. Sélectionnez pour ce faire le module dans le volet de navigation et déposez-le par glisser-déplacer sur le jeu de règles globales voulu dans le volet de navigation. Résultat : Le jeu de règles globales est utilisé par le module affecté comme jeu de règles locales Spécification des règles de filtrage de paquets IP locales Les règles de filtrage de paquets IP permettent de filtrer des télégrammes IP tels que les télégrammes UDP, TCP et ICMP. Au sein d'une règle de filtrage de paquets IP, vous pouvez vous servir de définitions de service et affiner ainsi les critères de filtrage. Si vous ne spécifiez pas de services, la règle de filtrage de paquet IP s'applique à tous les services. Ouverture du dialogue des règles locales de filtrage de paquets IP Sélectionnez le module à éditer puis la commande de menu suivante pour la configuration du pare-feu : Edit Properties 152 Instructions de service, 07/2011, C79000-G8977-C196-08

153 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Entrée des règles de filtrage de paquets IP Entrez les règles de pare-feu les unes après les autres dans la liste ; tenez compte de la description des paramètres et des exemples du chapitre suivant ou de l'aide en ligne. Utilisation de jeux de règles globales Les jeux de règles globales que vous avez affectés au module sont automatiquement intégrés dans le jeu de règles locales. Ceux-ci se trouvent dans un premier temps à la fin de la liste de règles et sont donc traités selon le niveau de priorité le plus faible. Vous pouvez cependant modifier la priorité en modifiant la position d'un jeu de règles locales ou globales dans la liste des règles. Vous trouverez dans l'aide en ligne la signification des différents boutons. F1 Instructions de service, 07/2011, C79000-G8977-C

154 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Règles de filtrage de paquets IP Le traitement des règles de filtrage de paquets IP s'effectue en fonction de l'analyse des éléments suivants : paramètres figurant dans la règle ; ordre et donc priorité des règles au sein du jeu de règles. Paramètres La configuration d'une règle IP comprend les paramètres suivants : Désignation Signification/Commentaire Options / Plages de valeurs Action Définition de l'autorisation (autorisation/blocage) Allow Autorisation des télégrammes conformément à la définition. Drop Direction Source IP Destination IP Service Indique la direction du trafic de données ("Tunnel / Any" uniquement pour S612 / S613) Adresse IP source Adresse IP destination Nom du service IP/ICMP ou groupe de services utilisé. Les définitions de services permettent de définir des règles de filtrage de paquets compactes et claires Vous sélectionnez ici l'un des services définis dans le dialogue Services IP : Services IP ou Services ICMP Si vous n'avez pas encore défini de services ou si vous voulez définir un nouveau service, cliquez sur le bouton "Définition service IP/MAC..". Blocage des télégrammes conformément à la définition. Internal External Internal External Tunnel Internal Tunnel Internal Internal Any Internal Any Voir le paragraphe "Adresse IP dans les règles de filtrage de paquets IP" du présent chapitre. Vous pouvez également entrer un mnémonique. La zone de liste déroulante affiche les services et groupes de services configurés. Pas de mention signifie : aucun service n'est contrôlé, la règle s'applique à tous les services. 154 Instructions de service, 07/2011, C79000-G8977-C196-08

155 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Désignation Signification/Commentaire Options / Plages de valeurs Bandwidth (Mbit/s) Journal Comment Possibilité de limitation de la largeur de bande. Un paquet passe le pare-feu en cas de conformité à la règle de passage et si la largeur de bande pour cette règle n'a pas encore été dépassée. Activation ou désactivation de la journalisation pour cette règle Place pour commenter la règle Plage de valeurs : Mbit/s Adresse IP dans les règles de filtrage de paquets IP L'adresse IP se compose de 4 nombres décimaux situés dans la plage de 0 à 255 et séparés par un point ; exemple : Dans la règle de filtrage de paquets, vous pouvez spécifier les adresses IP comme suit : pas de mention Aucun contrôle n'est effectué, la règle s'applique à toutes les adresses IP. une adresse IP La règle s'applique précisément à l'adresse spécifiée. Plage d'adresses La règle s'applique à toutes les adresses IP incluses dans la plage d'adresses. Une plage d'adresses est définie en indiquant le nombre de bit valables dans l'adresse IP, notamment comme suit : [adresse IP]/[nombre de bits à prendre en compte] [adresse IP]/24 signifie par conséquent que seuls les 24 bits de plus fort poids de l'adresse IP sont pris en compte dans la règle de filtrage de paquets ; il s'agit des trois premiers chiffres de l'adresse IP. [adresse IP]/25 signifie que seuls les trois premiers chiffres et le bit de plus fort poids du quatrième chiffre de l'adresse IP sont pris en compte dans la règle de filtrage de paquets. Instructions de service, 07/2011, C79000-G8977-C

156 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Tableau 5-3 Exemple de plage d'adresses IP IP source ou destination Plage d'adresses Nombre d'adresses *) de / / / / / / / / *) Nota : Veuillez noter que les valeurs 0 et 255 de l'adresse IP possèdent des fonctions spéciales (0 correspond à une adresse de réseau, 255 correspond à une adresse broadcast). Le nombre d'adresses effectivement disponibles s'en trouve réduit. à Ordre chronologique d'analyse des règles par SCALANCE S Les règles de filtrage de paquets sont analysées par le SCALANCE S comme suit : La liste est analysée de haut en bas ; en cas de règles contradictoires, c'est donc toujours l'entrée la plus haute dans la liste qui est prise en compte. Concernant les règles de communication entre réseau interne et externe, c'est la règle terminale qui s'applique : tous les télégrammes sont bloqués sauf ceux explicitement autorisés dans la liste. Concernant les règles de communication entre réseau interne et tunnel IPsec, c'est la règle terminale qui s'applique : tous les télégrammes sont autorisés sauf ceux explicitement bloqués dans la liste. 156 Instructions de service, 07/2011, C79000-G8977-C196-08

157 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Exemple Les règles de filtrage de paquets représentées à titre d'exemple dans le dialogue ci-avant se traduisent par le comportement suivant : Instructions de service, 07/2011, C79000-G8977-C

158 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Tous les types de télégramme du réseau interne vers le réseau externe sont bloqués par défaut, sauf s'ils sont explicitement autorisés. Tous les types de télégramme du réseau externe vers le réseau interne sont bloqués par défaut, sauf s'ils sont explicitement autorisés. La règle de filtrage de paquets IP 1 autorise les télégrammes avec la définition de service "Service X1" à transiter du réseau interne vers le réseau externe. La règle de filtrage de paquets IP 2 autorise les télégrammes à transiter du réseau externe vers le réseau interne si la condition suivante est remplie : adresse IP de l'expéditeur : adresse IP du destinataire : Définition de service : "Service X2" La règle de filtrage de paquets IP 3 bloque les télégrammes avec la définition de service "Service X2" dans le VPN (tunnel IPsec). La communication via tunnel IPsec est autorisée par défaut sauf pour les types de télégramme explicitement bloqués. 158 Instructions de service, 07/2011, C79000-G8977-C196-08

159 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Définition des services IP Les définitions de services IP permettent de définir des règles de pare-feu compactes et claires, applicables à des services déterminés. Vous attribuez pour ce faire un nom et vous lui affectez les paramètres de service. Vous pouvez par ailleurs regrouper les services ainsi définis sous un nom de groupe. Il vous suffira d'utiliser ce nom lors de la configuration des règles globales ou locales de filtrage de paquets. Dialogue / Onglet Ouvrez le dialogue comme suit : A l'aide de la commande de menu Options IP Service Definition... ou Dans l'onglet "Firewall Settings/IP Rules" à l'aide du bouton "IP Service Definitions...". Instructions de service, 07/2011, C79000-G8977-C

160 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Paramètres des services IP La définition des services IP s'effectue à l'aide des paramètres suivants : Tableau 5-4 Services IP : Paramètres Désignation Signification/Commentaire Options / Plages de valeurs Name Vous pouvez choisir ici librement le nom de service utilisé pour l'identification dans la définition de la règle ou dans le groupe. Protocol Nom du type de protocole TCP Source Port Le filtrage a lieu en fonction du numéro de port indiqué ici ; celui-ci définit l'accès de service de l'émetteur du télégramme. Destination Port Le filtrage a lieu en fonction du numéro de port indiqué ici ; celui-ci définit l'accès de service du destinataire du télégramme. Entrée libre UDP Any (TCP et UDP) Exemples : *: Le port n'est pas contrôlé 20 ou 21 : service FTP Exemples : *: Le port n'est pas contrôlé 80: Service HTTP Web 102: Protocole S7 - TCP/Port Définition des services ICMP Les définitions de services ICMP permettent de définir des règles de pare-feu compactes et claires, applicables à des services déterminés. Vous attribuez pour ce faire un nom et vous lui affectez les paramètres de service. Vous pouvez par ailleurs regrouper les services ainsi définis sous un nom de groupe. Il vous suffira d'utiliser ce nom lors de la configuration des règles de filtrage de paquets. 160 Instructions de service, 07/2011, C79000-G8977-C196-08

161 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Dialogue / Onglet Ouvrez le dialogue comme suit : à l'aide de la commande de menu Options IP Service Definition... ou dans l'onglet "Firewall" à l'aide du bouton "IP Service Definitions...". Paramètres des services ICMP La définition des services ICMP s'effectue à l'aide des paramètres suivants : Tableau 5-5 Services ICMP : Paramètres Désignation Signification/Commentaire Options / Plages de valeurs Nom Vous pouvez choisir ici librement le nom de service utilisé pour l'identification dans la définition de la règle ou dans le groupe. Entrée libre Type Type de message ICMP voir représentation du dialogue Code Code du type ICMP Les valeurs sont liées au type sélectionné. Instructions de service, 07/2011, C79000-G8977-C

162 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Paramétrage des règles de filtrage de paquets MAC Les règles de filtrage de paquets MAC permettent de filtrer des télégrammes MAC. Remarque Mode routage Si vous avez activé le mode routage pour le module SCALANCE S, les règles MAC ne sont pas applicables (les dialogues sont inactifs). Dialogue / Onglet Sélectionnez le module à éditer puis la commande de menu suivante pour la configuration du pare-feu : Edit Properties..., onglet "Firewall", onglet "MAC Rules" Figure 5-2 Dialog "MAC Rules" en prenant pour exemple le SCALANCE S Instructions de service, 07/2011, C79000-G8977-C196-08

163 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Spécification des règles de filtrage de paquets Entrez les règles de pare-feu les unes après les autres dans la liste ; tenez compte de la description des paramètres et des exemples du chapitre suivant ou de l'aide en ligne. Utilisation de jeux de règles globales Les jeux de règles globales que vous avez affecté au module sont automatiquement intégrés dans le jeu de règles locales. Ceux-ci se trouvent dans un premier temps à la fin de la liste de règles et sont donc traités selon le niveau de priorité le plus faible. Vous pouvez cependant modifier la priorité en modifiant la position d'un jeu de règles locales ou globales dans la liste des règles. Vous trouverez dans l'aide en ligne la signification des différents boutons. F Règles de filtrage de paquets MAC Le traitement des règles de filtrage de paquets MAC s'effectue en fonction de l'analyse des éléments suivants : paramètres figurant dans la règle ; Priorité de la règle au sein du jeu de règles. Règles de filtrage de paquets MAC La configuration d'une règle MAC comprend les paramètres suivants : Tableau 5-6 Règles MAC : Paramètres Désignation Signification/Commentaire Options / Plages de valeurs Action Définition de l'autorisation (autorisation/blocage) Allow Autorisation des télégrammes conformément à la définition. Drop Direction Source MAC Destination MAC Indique la direction et la nature du trafic de données ("Tunnel / Any" uniquement pour S612 / S613) Adresse MAC source Adresse MAC destination Blocage des télégrammes conformément à la définition. Internal External Internal External Tunnel Internal Tunnel Internal Internal Any Internal Any Vous pouvez également entrer un mnémonique à la place de l'adresse MAC. Instructions de service, 07/2011, C79000-G8977-C

164 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Désignation Signification/Commentaire Options / Plages de valeurs Service Nom du service MAC ou groupe de services utilisé. La zone de liste déroulante affiche les services et groupes de services configurés. Pas de mention signifie : aucun service n'est contrôlé, la règle s'applique à tous les services. Bandwidth (Mbit/s) Journal Comment Possibilité de limitation de la largeur de bande. Un paquet passe le pare-feu en cas de conformité à la règle de passage et si la largeur de bande pour cette règle n'a pas encore été dépassée. Activation ou désactivation de la journalisation pour cette règle Place pour commenter la règle Plage de valeurs : Mbit/s Analyse des règles par le SCALANCE S Les règles de filtrage de paquets sont analysées par le SCALANCE S comme suit : La liste est analysée de haut en bas ; en cas de règles contradictoires, c'est donc toujours l'entrée la plus haute dans la liste qui est prise en compte. Pour la communication en direction interne->externe et interne<-externe, la règle pour les télégrammes qui ne sont pas saisis explicitement est : tous les télégrammes sont bloqués sauf ceux explicitement autorisés dans la liste. Pour la communication en direction interne->tunnel IPsec et interne<-tunnel IPsec, la règle pour les télégrammes qui ne sont pas saisis explicitement est : tous les télégrammes sont autorisés sauf ceux explicitement bloqués dans la liste. IMPORTANT En mode pont : Les règles IP s'appliquent aux paquets IP, les règles MAC aux paquets de couche 2 Si un module se trouve en mode bridge, vous pouvez définir pour le pare-feu à la fois des règles IP et des règles MAC. L'édition dans le pare-feu s'effectue en fonction de l'ethertype du paquet. Les paquets IP sont transférés ou bloqueés en fonction des règles IP, tandis que les paquets de couche 2 le sont en fonction des règles MAC. Il n'est pas possible de filtrer un paquet IP en fonction d'une adresses MAC p. ex. à l'aide des règles de pare-feu MAC. Exemples L'exemple du filtrage de paquets IP au chapitre est applicable par analogie aux règles de filtrage de paquets MAC. 164 Instructions de service, 07/2011, C79000-G8977-C196-08

165 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Définition des services MAC Les définitions de services MAC permettent de définir des règles de pare-feu compactes et claires, applicables à des services déterminés. Vous attribuez pour ce faire un nom et vous lui affectez les paramètres de service. Vous pouvez par ailleurs regrouper les services ainsi définis sous un nom de groupe. Il vous suffira d'utiliser ce nom lors de la configuration des règles globales ou locales de filtrage de paquets. Dialogue Ouvrez le dialogue comme suit : à l'aide de la commande de menu suivante : Options MAC Service Definition... ou Dans l'onglet "Firewall/MAC Rules" à l'aide du bouton "MAC Service Definitions...". Instructions de service, 07/2011, C79000-G8977-C

166 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Paramètres des services MAC Une définition de service MAC comprend une catégorie de paramètres MAC spécifiques au protocole : Tableau 5-7 Paramètres de service MAC Désignation Signification/Commentaire Options / Plages de valeurs Name Vous pouvez choisir ici librement le nom de service utilisé pour l'identification dans la définition de la règle ou dans le groupe. Protocol Nom du type de protocole : ISO ISO désigne des télégrammes possédant les propriétés suivantes : Entrée libre ISO SNAP 0x (entrée du code) Lengthfield <= 05DC (hex), DSAP= userdefined SSAP= userdefined CTRL= userdefined SNAP SNAP désigne des télégrammes possédant les propriétés suivantes : Lengthfield <= 05DC (hex), DSAP=AA (hex), SSAP=AA (hex), CTRL=03 (hex), OUI=userdefined, OUI-Type=userdefined DSAP Destination Service Access Point : Adresse de récepteur LLC SSAP Source Service Access Point : Adresse d'émetteur LLC CTRL LLC Control Field OUI Organizationally Unique Identifier (les 3 premiers octets de l'adresse MAC = identification du constructeur) OUI-Typ Type/identification de protocole *) Les entrées de protocole 0800 (hex) et 0806 (hex) ne sont pas acceptées car ces valeurs s'appliquent aux télétrammes IP ou ICMP. Ces télégrammes sont filtrés par les règles IP. Paramétrages spécifiques pour les services SIMATIC NET Veuillez utiliser les paramétrages SNAP suivants pour le filtrage de services SIMATIC NET particuliers : DCP (Primary Setup Tool) : PROFINET SiClock : OUI= (hex), OUI-Type= (hex) 166 Instructions de service, 07/2011, C79000-G8977-C196-08

167 Pare-feu, routeur et autres propriétés du module 5.4 Pare-feu - Propriétés du module en mode avancé Création de groupes de services Création de groupes de services Vous pouvez regrouper plusieurs services par la constitution de groupes de services. Ceci vous permet de créer des services plus complexes, utilisables dans les règles de filtrage de paquets par simple sélection d'un nom. Dialogue / Onglet Ouvrez le dialogue comme suit : à l'aide de la commande de menu suivante : Options IP/MAC Service Definition... ou Dans l'onglet "Firewall Settings/IP Rules" ou "Firewall Settings/MAC Rules" à l'aide du bouton "IP/MAC Service Definitions...". Instructions de service, 07/2011, C79000-G8977-C

168 Pare-feu, routeur et autres propriétés du module 5.5 Synchronisation d'horloge 5.5 Synchronisation d'horloge Signification Le module SCALANCE S gère la date et l'heure à des fins de contrôle de la validité d'un certificat et d'horodatage des entrées de journal. Remarque La synchronisation d'horloge s'applique uniquement au module SCALANCE S et ne peut pas être utilisée pour synchroniser des appareils au sein du réseau du SCALANCE S. Options de gestion de la date/heure Vous pouvez configurer les options suivantes : Horloge PC locale Réglage automatique de l'horloge du module sur l'horloge du PC lors du chargement de la configuration. Serveur NTP Réglage automatique et synchronisation périodique de l'horloge au moyen d'un serveur NTP (Network Time Protocol). Ouverture du dialogue de configuration de la synchronisation d'horloge Sélectionnez le module à éditer puis la commande de menu suivante : Edit Properties..., onglet "Time Synchronisation" 168 Instructions de service, 07/2011, C79000-G8977-C196-08

169 Pare-feu, routeur et autres propriétés du module 5.5 Synchronisation d'horloge Synchronisation par un serveur NTP En cas de synchronisation par un serveur NTP, spécifiez les deux paramètres suivants lors de la configuration : l'adresse IP du serveur NTP l'intervalle de mise à jour en secondes IMPORTANT Si le SCALANCE S ne peut pas accéder au serveur NTP via une connexion par tunnel IPsec, vous devez autoriser explicitement le passage des télégrammes du serveur NTP à travers le pare-feu (UDP, Port 123). Télégrammes d'horodatage externes Les télégrammes d'horodatage externes ne sont pas sécurisés et peuvent être corrompus dans le réseau externe. Le temps local du réseau local et des modules SCALANCE S p. ex. risque en conséquence d'être faussé. Il convient donc, dans la mesure du possible, d'installer les serveurs NTP dans les réseaux internes. Instructions de service, 07/2011, C79000-G8977-C

170 Pare-feu, routeur et autres propriétés du module 5.6 Génération de certificats SSL 5.6 Génération de certificats SSL Signification Les certificats SSL permettent d'authentifier la communication entre un appareil et SCALANCE S lors de la communication en ligne. Ouverture du dialogue de gestion des certificats SSL Sélectionnez le module à éditer puis la commande de menu suivante : Edit Properties..., onglet "SSL certificates" 170 Instructions de service, 07/2011, C79000-G8977-C196-08

171 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage 5.7 Mode routage Routage Signification Si vous avez activé le mode routage, seuls les télégrammes qui sont adressés à une adresse IP existant dans les sous-réseaux (internes ou externes) sont retransmis. Sont également appliquées par ailleurs les règles de pare-feu définies pour chaque sens de transmission. Dans ce mode, vous devez configurer, dans le dialogue présenté ci-dessous, une adresse IP interne et un masque de sous-réseau interne pour l'adressage du routeur dans le sousréseau interne. Vue de commande Cette fonction est paramétrable de manière identique en mode standard et en mode avancé Instructions de service, 07/2011, C79000-G8977-C

172 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage Activation du mode routeur 1. Sélectionnez le module à éditer puis la commande de menu suivante : Edit Properties..., onglet "Routing Modus" 2. Sélectionnez l'option de routage "active". 3. Dans les champs de saisie à présent activés, entrez une adresse IP interne et un masque de sous-réseau interne pour l'adressage du routeur dans le sous-réseau interne. 172 Instructions de service, 07/2011, C79000-G8977-C196-08

173 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage Routage NAT/NAPT Signification Si vous configurez dans le dialogue "Routing Modus" une translation d'adresses, le SCALANCE S fonctionnera en tant que routeur NAT/NAPT. Cette technique permet d'occulter les adresses des partenaires du sous-réseau interne dans le réseau externe ; les partenaires internes ne sont visibles dans le réseau externe que par les adresses IP externes définies dans la liste de translation d'adresses (table NAT et table NAPT) et sont, de ce fait, protégés contre un accès direct. NAT : Network Adress Translation NAPT : Network Address Port Translation Vue de commande Cette fonction est disponible en mode avancé. Pour toutes les fonctions décrites dans le présent chapitre, changez de mode au moyen de la commande de menu suivante : View Advanced Mode... Le mode décrit ici inclut le mode routeur standard. Tenez compte par conséquent des informations du chapitre "Routing". Corrélation entre routeur NAT/NAPT et pare-feu Les télégrammes passent, dans les deux directions, d'abord par la translation d'adresses dans le routeur NAT/NAPT puis par le pare-feu. Les paramètres du routeur NAT/NAPT et les règles du pare-feu doivent être harmonisés de sorte que des télégrammes dont l'adresse a été translatée ne soient pas bloqués par le pare-feu. Le pare-feu et le routeur NAT/NAPT prennent en charge le mécanisme "Stateful Packet Inspection". Les télégrammes de réponse peuvent par conséquent passer par le routeur NAT/NAPT et le pare-feu sans qu'il soit nécessaire d'inscrire leur adresse dans la règle de pare-feu ou dans la liste de translation d'adresses NAT/NAPT. Instructions de service, 07/2011, C79000-G8977-C

174 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage SCALANCE S Tenez compte des exemples des chapitres ci-après. Restrictions Dans la liste décrite ici, la translation de l'adresse des partenaires du réseau interne (sousréseau) est statique. Edition du dialogue d'activation mode routeur NAT/NAPT 1. Sélectionnez le module à éditer puis la commande de menu suivante : Edit Properties..., onglet "Routing Modus" 2. Activez, selon vos besoins, la translation d'adresses NAT (Network Adress Translation) ou NAPT (Network Address Port Translation). 3. Configurez la translation d'adresses selon les instructions ci-dessous. 174 Instructions de service, 07/2011, C79000-G8977-C196-08

175 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage Zone de saisie "NAT" (Network Adress Translation) Dans ce cas : Adresse = adresse IP Tableau 5-8 Options NAT Case à cocher NAT active Allow Internal- >External for all users Signification Active la zone de saisie pour NAT. La translation d'adresses NAT ne prend effet qu'après l'activation de l'option décrite ci-après et si des entrées ont été effectuées dans la liste de translation d'adresses. Vous devez en outre configurer le pare-feu en conséquence (voir exemples). Si vous sélectionnez cette option, l'adresse interne de tous les télégrammes transitant du réseau interne au réseau externe, est remplacée par l'adresse IP externe du module et par un numéro de port attribué par le module. Ce comportement est signalé par une ligne supplémentaire affichée au bas de la table de translation NAT. Un astérisque "*" dans la colonne "internal IP address" y signale que tous les télégrammes transmis du réseau interne vers le réseau externe font l'objet d'une translation d'adresses. Remarque : En raison de cet effet sur la liste de translation d'adresses, cette option est affectée à la zone de saisie NAT malgré l'affectation d'un numéro de port. Tableau 5-9 Table NAT Paramètres Signification/Commentaire Options / Plages de valeurs external IP address Pour la direction de télégramme "Internal External" : nouvelle adresse IP attribuée Pour la direction de télégramme "External Internal" : adresse IP détectée internal IP address Pour la direction de télégramme "External Internal" : nouvelle adresse IP attribuée Pour la direction de télégramme "Internal External" : adresse IP détectée Voir le paragraphe "Adresse IP dans les règles de filtrage de paquets IP" du présent chapitre. Vous pouvez également entrer un mnémonique. Direction Affectez ici la direction de transmission du télégramme. Effet en prenant pour exemple "Internal External" : Un contrôle vérifie que les télégrammes issus du sous-réseau interne possèdent bien l'une des adresses IP internes spécifiées, puis ils sont retransmis dans le réseau externe avec l'adresse IP externe indiquée. Internal External External Internal Bidirectionnelle Instructions de service, 07/2011, C79000-G8977-C

176 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage Zone de saisie "NAPT" (Network Address Port Translation) Dans ce cas : Adresse = adresse IP + numéro de port Tableau 5-10 Options NAPT Case à cocher NAPT active external IP address Signification Active la zone de saisie pour NAPT. La translation d'adresses NAPT ne prend effet que si des entrées ont été effectuées dans la liste de translation d'adresses. Vous devez en outre configurer le pare-feu en conséquence (voir exemples). Affiche l'adresse IP du module SCALANCE S qui est utilisée par les partenaires du réseau externe comme adresse du routeur. Tableau 5-11 Table NAPT Paramètres Signification/Commentaire Options / Plages de valeurs external Port internal IP address internal Port Un partenaire du réseau externe peut répondre à un partenaire du sous-réseau interne ou émettre un télégramme en utilisant ce numéro de port. Adresse IP du partenaire adressé dans le sous-réseau interne. Numéro de port d'un service du partenaire adressé dans le sous-réseau interne. Port ou plage de ports. Exemple d'entrée d'une plage de ports : 78:99 Voir le paragraphe "Adresse IP dans les règles de filtrage de paquets IP" du présent chapitre. Vous pouvez également entrer un mnémonique. Port (pas de plage de ports) 176 Instructions de service, 07/2011, C79000-G8977-C196-08

177 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage Contrôle de cohérence - Règles à observer Observez les règles suivantes lors de l'affectation d'adresses pour obtenir des entrées cohérentes : Contrôle / règle Contrôle au niveau L'identificateur du sous-réseau interne doit être différent de l'identificateur du sousréseau externe. Les adresses IP internes ne doivent pas être identiques aux adresses IP du module. Utilisez la partie déterminée par le masque de sous-réseau pour l'identificateur de réseau. Pour l'adresse IP externe, il convient de reprendre la partie de l'adresse IP externe du SCALANCE S déterminée par le masque de sous-réseau externe. Pour l'adresse IP interne, il convient de reprendre la partie de l'adresse IP interne du SCALANCE S déterminée par le masque de sous-réseau interne. Une adresse IP utilisée dans la liste de translation d'adresses NAT/NAPT doit être différente d'une adresse multicast ou broadcast. Le routeur par défaut doit se trouver dans l'un des deux sous-réseaux du SCALANCE S, c.-à-d. qu'il doit correspondre soit à l'adresse IP externe, soit à l'adresse IP interne. Les ports attribués pour la translation d'adresses NAPT sont compris dans la plage > 0 und <= Les ports 123 (NTP), 443 (HTTPS), 514 (Syslog) et (IPsec ; uniquement pour S612 et S613) en sont exclus. L'adresse IP externe du SCALANCE S ne doit être utilisée dans la table NAT que pour la direction "Interne Externe". L'adresse IP externe du SCALANCE S ne doit pas être utilisée dans la table NAT ou dans la table NAPT. Vérification d'unicité dans la table NAT Une adresse IP externe, utilisée pour la direction "Externe Interne" ou "Birectionnel" ne doit figurer qu'une seule fois dans la table NAT. Vérification d'unicité dans la table NAPT Un numéro de port externe ne doit y figurer qu'une seul fois. L'adresse ne serait sinon plus unique car l'adresse IP du SCALANCE S est toujours utilisée comme adresse IP externe. Les numéros ou plages des ports externes ne doivent pas se recouper. Il faut attribuer les deuxièmes adresses (IP/sous-réseau) aux SCALANCE S dès que le mode routage a été activé. Les ports NAPT internes peuvent être compris dans la plage de > 0 à <= local x x x x x projet x x x x x x x Exécutez un contrôle de cohérence après avoir terminé les entrées. Sélectionnez pour ce faire la commande de menu : Options Check Consistency Instructions de service, 07/2011, C79000-G8977-C

178 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage Routage NAT/NAPT - Exemples de configuration partie 1 Présentation Vous trouverez dans ce chapitre les exemples de configuration du routeur NAT/NAPT suivants : Exemple 1 : Translation d'adresses NAT "Externe Interne" Exemple 2 : Translation d'adresses NAT "Interne Externe" Exemple 3 : Translation d'adresses NAT "Bidirectionnelle" Exemple 4 : Translation d'adresses NAPT 178 Instructions de service, 07/2011, C79000-G8977-C196-08

179 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage Configuration Dans la configuration de routage suivante vous trouverez des affectations d'adresse conformes à la translation d'adresses NAT et NAPT : Instructions de service, 07/2011, C79000-G8977-C

180 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage Description Exemple 1 : Translation d'adresses NAT "Externe Interne" Un partenaire du réseau externe peut transmettre un télégramme au partenaire possédant l'adresse IP interne dans le sous-réseau interne en utilisant l'adresse IP externe comme adresse de destination. Exemple 2 : Translation d'adresses NAT "Interne Externe" Les télégrammes d'un partenaire interne possédant l'adresse IP interne sont transmis au réseau externe avec l'adresse IP externe comme adresse source. Le pare-feu est paramétré, dans cet exemple, de sorte que le télégramme possédant l'adresse IP source soit autorisé à transiter du réseau interne vers le réseau externe et que les partenaires possédant l'adresse IP en soient destinataires. Exemple 3 : Translation d'adresses NAT "Bidirectionnelle" Dans cette exemple, la translation d'adresses s'effectue pour les télégrammes arrivant de l'extérieur ou de l'intérieur comme suit : Un partenaire du réseau externe peut transmettre un télégramme au partenaire possédant l'adresse IP interne dans le sous-réseau interne en utilisant l'adresse IP externe comme adresse de destination. Les télégrammes d'un partenaire interne possédant l'adresse IP interne sont transmis au réseau externe avec l'adresse IP externe comme adresse source. Le pare-feu est paramétré de sorte que les télégrammes possédant l'adresse IP source puissent transiter du réseau interne vers le réseau externe. Exemple 4 : Translation d'adresses NAPT La translation d'adresses NAPT consiste à attribuer en plus de l'adresse un numéro de port. L'adresse IP et le port de destination de tous les télégrammes TCP et UDP arrivant sur le réseau externe sont contrôlés. Un partenaire du réseau externe peut transmettre un télégramme au partenaire possédant l'adresse IP et le numéro de port 345 dans le sous-réseau interne en utilisant, comme adresse de destination, l'adresse IP externe du module et le numéro de port externe Instructions de service, 07/2011, C79000-G8977-C196-08

181 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage Routage NAT/NAPT - Exemples de configuration partie 2 Présentation Vous trouverez dans ce chapitre les exemples de configuration du routeur NAT/NAPT suivants : Exemple 1 : Autoriser tous les partenaires internes à communiquer avec le réseau externe Exemple 2 : Autoriser églament des télégrammes qui sont adressés du réseau externe au réseau interne. Configuration Dans la configuration de routage suivante vous trouverez des affectations d'adresse conformes à la translation d'adresses NAT : Instructions de service, 07/2011, C79000-G8977-C

182 Pare-feu, routeur et autres propriétés du module 5.7 Mode routage 182 Instructions de service, 07/2011, C79000-G8977-C196-08

183 Pare-feu, routeur et autres propriétés du module 5.8 Serveur DHCP Description Exemple 1 - Autoriser tous les partenaires internes à communiquer avec le réseau externe Dans la zone de dialogue "NAT", la case "Allow Internal->External for all users" est cochée. La communication du réseau interne vers le réseau externe est ainsi autorisée. La translation d'adresses s'effectue dans ce cas de sorte que toutes les adresses internes soient translatées sur l'adresse IP externe du SCALANCE S à laquelle est ajoutée un numéro de port attribué dynamiquement. L'indication de direction dans la liste de translation d'adresses NAT n'est désormais plus significative. Toutes les autres indications se rapportent à la direction de communication externe vers interne. De plus, le pare-feu est paramétré de sorte que les télégrammes puissent transiter du réseau interne vers le réseau externe. Exemple 2 - Autoriser églament des télégrammes qui sont adressés du réseau externe au réseau interne. Pour autoriser, en complément de l'exemple 1, les communications du réseau externe vers le réseau interne, il convient d'effectuer des entrées dans la liste de translation d'adresses NAT ou NAPT. L'entrée de l'exemple signifie que les télégrammes adressés au partenaire possédant l'adresse IP sont translatés sur l'adresse IP interne Le pare-feu doit être paramétré en conséquence. Etant donnée que la translation d'adresses NAT/NAPT précède toujours le contrôle par le pare-feu, l'adresse IP interne de l'exemple figure comme adresse IP de destination dans le pare-feu. 5.8 Serveur DHCP Présentation Vous pouvez utiliser le SCALANCE S sur le réseau interne comme serveur DHCP. Ceci permet d'affecter automatiquement des adresses IP aux appareils connectés au réseau interne. Les adresses IP sont dans ce cas attribuées dynamiquement dans une plage d'adresses que vous aurez définie ou bien une adresse IP définie sera attribuée, selon vos spécifications, à un appareil déterminé. Passage au mode avancé La configuration comme serveur DHCP n'est possible dans Security Configuration Tool qu'en "Mode avancé". Changer de mode avec la commande de menu suivante : View Advanced Mode... Instructions de service, 07/2011, C79000-G8977-C

184 Pare-feu, routeur et autres propriétés du module 5.8 Serveur DHCP Condition Les appareils du réseau interne doivent être configuré de sorte à obtenir l'adresse IP d'un serveur DHCP. Selon le mode, l'adresse IP de routeur est transmise aux partenaires du sous-réseau par le SCALANCE S ou c'est à vous de la leur indiquer. Transmission de l'adresse IP du routeur Une adresse IP de routeur est transmise au partenaire par le SCALANCE S au moyen du protocole DHCP dans les cas suivants : SCALANCE S est configuré pour le mode routeur ; SCALANCE S transmet dans ce cas sa propre adresse IP comme adresse IP de routeur SCALANCE S n'est pas configuré pour le mode routeur, mais un routeur par défaut a été spécifié dans la configuration du SCALANCE S ; SCALANCE S transmet dans ce cas l'adresse IP du routeur par défaut comme adresse IP de routeur. L'adresse IP du routeur n'est pas transmise Dans les cas suivants entrez l'adresse IP de routeur manuellement sur le partenaire : SCALANCE S n'est pas configuré pour le mode routeur ; Aucun routeur par défaut n'est spécifié dans la configuration du SCALANCE S. 184 Instructions de service, 07/2011, C79000-G8977-C196-08

185 Pare-feu, routeur et autres propriétés du module 5.8 Serveur DHCP Variantes Vous disposez des possibilités de configuration suivantes : Attribution d'adresse statique Des adresses IP prédéfinies sont attribuées aux appareils possédant une adresse MAC ou un ID client défini. Inscrivez pour ce faire ces appareils dans la zone de saisie de la liste d'adresses "Static IP addresses" Attribution d'adresse dynamique Les appareils dont l'adresse MAC ou l'id de client n'est pas indiqué explicitement obtiennent une adresse IP choisie dans une plage d'adresses prédéfinie. Vous spécifiez cette plage d'adresses dans la zone de saisie "Dynamic IP addresses" IMPORTANT Attribution d'adresse dynamique - Comportement à la suite d'une coupure de l'alimentation Veuillez noter que les adresses IP attribuées dynamiquement ne sont pas enregistrées en cas de coupure de l'alimentation. Après rétablissement de la tension, vous devez veillez à ce que les partenaires envoient à nouveau une requête d'adresse IP. Ne prévoyez par conséquent une attribution d'adresse dynamique que pour les partenaires suivants : les partenaires qui sont utilisés temporairement dans le sous-réseau (les appareils de dépannage p. ex.) ; les partenaires qui, lors d'une nouvelle requête, transmette une adresse IP qui leur a été attribuée une fois comme "adresse préférentielle" au serveur DHCP (les stations PC par exemple). Pour les partenaires fonctionnant en permanence on préconisera l'attribution d'adresse statique via la spécification d'un ID de client (recommandé pour les CP S7 afin de faciliter l'échange de modules) ou de l'adresse MAC. Les mnémoniques sont pris en charge Dans la fonction décrite ci-après, vous pouvez entrer des mnémoniques à la place des adresses IP ou MAC. Contrôle de cohérence - Règles à observer Tenez compte de règles ci-après lorsque vous effectuez des entrées. Contrôle / règle Contrôle au niveau 1) Les adresses IP spécifiées dans la zone de saisie "Static IP addresses" de la liste d'adresses ne doivent pas se situer dans la plage des adresses IP dynamiques. Les mnémoniques doivent correspondrent à une adresse numérique. Si vous attribuez ici des mnémoniques, n'oubliez pas d'établir la correspondance avec une adresse dans le dialogue "Symbolic Names". local projet/module x x Instructions de service, 07/2011, C79000-G8977-C

186 Pare-feu, routeur et autres propriétés du module 5.8 Serveur DHCP Contrôle / règle Contrôle au niveau 1) Les adresses IP, adresses MAC et ID de client doivent être uniques dans la table "Static IP addresses" (se rapportant au module SCALANCE S). Pour les adresses IP statiques, vous devez spécifier soit l'adresse MAC soit l'id de client (nom d'ordinateur). L'ID de client est une chaîne d'au maximum 63 caractères. Elle ne doit contenir que les caractères suivants : a-z, A-Z, 0-9 et - (trait d'union). Nota : En ce qui concerne SIMATIC S7, il est possible d'affecter aux appareils connectés à l'interface Ethernet un ID de client pour l'obtention d'une adresse IP vai DHCP. Pour ce qui est des PC, la marche à suivre dépend du système d'exploitation utilisé ; il est recommandé d'utiliser ici l'adresse MAC pour l'affectation. Dans le cas d'une affectation statique des adresses IP, vous devez indiquer l'adresse IP. Les adresses IP suivantes ne doivent pas se situer dans la plage d'adresses IP libres (adresses IP dynamiques) : toutes les adresses de routeur de l'onglet "Network" serveur NTP serveur Syslog routeur par défaut adresse(s) SCALANCE S DHCP est pris en charge par le SCALANCE S au niveau de l'interface avec le sous-réseau interne. Ce comportement du SCALANCE S implique par ailleurs les contraintes suivantes pour ce qui est des adresses IP dans la plage des adresse IP libres (adresses IP dynamiques) : Utilisation dans des réseaux plats La plage des adresses IP libres doit se situer dans le réseau défini par le SCALANCE S. Mode routeur La plage des adresses IP libres doit se situer dans le sous-réseau interne défini par le SCALANCE S. La plage d'adresses IP libres doit être intégralement spécifiée par l'indication de l'adresse IP de début et de l'adresse IP de fin. L'adresse IP de fin doit être supérieure à l'adresse IP de début. Les adresses IP que vous entrez dans la zone de saisie "Static IP addresses" de la liste d'adresses doivent se situer dans la plage d'adresses du sous-réseau interne du module SCALANCE S. Légende : local x x x x projet/module x x x x 1) Tenez compte des explications du chapitre "Contrôles de cohérence". 186 Instructions de service, 07/2011, C79000-G8977-C196-08

187 Communication sécurisée sur le VPN par tunnel 6 IPsec (S612/S613) Le présent chapitre explique comment interconnecter par glisser-déplacer les sous-réseaux IP protégés par des SCALANCE S en un réseau vituel privé. Comme décrit précédemment au chapitre 5 à propos des propriétés des modules, vous pouvez vous contenter ici également des paramétrages par défaut pour sécuriser la communication au sein des réseaux internes. Informations complémentaires Vous trouverez par ailleurs des informations détaillées sur les dialogues et paramètres dans l'aide en ligne. F1 Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue en question. Voir aussi Fonctions en ligne - test, diagnostic et journalisation (Page 231) 6.1 VPN avec SCALANCE S Connexion sécurisée à travers un réseau non protégé Dans les réseaux internes protégés par des SCALANCE S, les tunnels IPsec permettent de communiquer à travers le réseau externe non protégé via une connexion de données sécurisée. Les échanges de données des appareils via le tunnel IPsec au sein du VPN possèdent par conséquent les propriétés suivantes : Confidentialité Les données échangées sont à l'abri des écoutes ; Intégrité Les données échangées sont à l'abri des falsifications ; Authenticité Un tunnel ne peut être établi que par celui qui y est autorisé. SCALANCE S utilise pour le tunnelage le protocole IPsec (mode tunnel de IPsec). Instructions de service, 07/2011, C79000-G8977-C

188 0 1 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.1 VPN avec SCALANCE S External Internal SCALANCE S SCALANCE S SCALANCE S External External External Internal Internal Internal IE/PB Link HMI ET 200X OP 270 S7-400 S7-300 Les connexions tunnelisées sont établies entre modules du même groupe (VPN) Sur le SCALANCE S, les propriétés d'un VPN sont réunies au sein d'un groupe de modules pour tous les tunnels IPsec. Les tunnels IPsec sont établis automatiquement entre tous les modules SCALANCE S et les modules SOFTNET Security Client qui appartiennent au même groupe. 188 Instructions de service, 07/2011, C79000-G8977-C196-08

189 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.1 VPN avec SCALANCE S Les modules SCALANCE S peuvent appartenir simultanément à plusieurs groupes au sein d'un projet. IMPORTANT Si vous modifiez le nom d'un module SCALANCE S, vous devrez reconfigurer tous les modules SCALANCE S appartenant au même groupe que le module SCALANCE S modifié (commande de menu Transfer To All Modules...). Si vous modifiez le nom d'un groupe, vous devrez reconfigurer tous les modules SCALANCE S de ce groupe (commande de menu Transfer To All Modules...). IMPORTANT Les télégrammes de couche 2 ne sont encapsulés qu'en l'absence de routeur entre deux modules SCALANCE S. D'une manière générale : Les télégrammes non IP ne sont transmis par un tunnel que si les appareils qui émettent et reçoivent les télégrammes étaient déjà en mesure de communiquer avant la mise en oeuvre des SCALANCE S. Les réseaux IP dans lesquels se trouvent les SCALANCE S permettent de savoir si les noeuds étaient en mesure ou non de communiquer avant la mise en oeuvre des SCALANCE S. Si les SCALANCE S se trouvent dans le même sous-réseau IP, on admet que les équipements terminaux qui se trouvent dans les réseaux sécurisés des SCALANCE S étaient déjà capables de communiquer avec des télégrammes non IP avant la mise en oeuvre des SCALANCE S. Les télégrammes non IP sont alors encapsulés. Méthode d'authentification La méthode d'authentification est définie au sein d'un groupe (d'un VPN) ; elle détermine la nature de l'authentification. Les méthodes prises en charge sont l'anthentification par clé et l'authentification par certificat : Instructions de service, 07/2011, C79000-G8977-C

190 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.1 VPN avec SCALANCE S Preshared Keys La Preshared Key est distribuée à tous les modules appartenant au groupe. Pour ce faire, entrez un mot de passe dans le champ "Preshared Key" du dialogue "Group Properties". Certificat L'authentification par certificat "Certificate" est la méthode par défaut activée en mode standard. Le comportement est le suivant : Un certificat de groupe (certificat de groupe = certificat CA) est généré automatiquement lors de la création d'un groupe. Chaque SCALANCE S appartenant au groupe reçoit un certificat signé avec la clé du certificat de groupe. Tous les certificats sont conformes à la norme ITU X.509v3 (ITU, International Telecommunications Union). Les certificats sont générés par un service de certification contenu dans Security Configuration Tool. IMPORTANT Restriction en mode VLAN Les balises VLAN ne sont pas transférées dans un tunnel VPN établi avec un SCALANCE S. Motif : Les balises de VLAN contenues dans les télégrammes unicast sont perdues lors du transit par les SCALANCE S du fait de l'utilisation de IPsec pour la transmission des télégrammes IP. Dans un tunnel IPSec ne transitent que des télégrammes IP (pas des paquets Ethernet) raison pour laquelle les balises VLAN sont perdues. Normalement, il n'est pas possible de transmettre des télégrammes broadcast et multicast avec IPsec. Sur les SCALANCE S, les télégrammes IP broadcast sont encapsulés tout comme les paquets MAC dans UDP et transmis avec leur en-tête Ethernet. C'est la raison pour laquelle les balises VLAN restent également conservées dans ces paquets. 190 Instructions de service, 07/2011, C79000-G8977-C196-08

191 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.2 Groupes 6.2 Groupes Création de groupes et affectation des modules Pour configurer un VPN A l'aide de la commande de menu Insert Group créez un groupe. Affectez au groupe les modules qui doivent appartenir à un réseau interne. Pour ce faire, faites glisser avec la souris le module sur le groupe voulu (glisser-déplacer). Configuration des propriétés Comme pour la configuration des modules, vous avez le choix entre les deux affichages de commande du Security Configuration Tool pour configurer les groupes : (Commande de menu View Advanced Mode) Mode standard En mode standard, laissez les paramétrages par défaut du système inchangés. Même sans être expert en technologies de l'information, vous pourrez ainsi configurer des tunnels IPsec et assurer une communication de données sécurisée au sein de vos réseaux internes. Advanced Mode Le mode avancé offre des options de paramétrage destinées à une configuration spécifique de la communication par tunnel. Remarque Paramétrage de MD 740 / MD 741 ou d'autres clients VPN Pour paramétrer un MD 740 / MD 741 ou d'autres clients VPN, vous devez configurer des propriétés VPN spécifiques du module en mode avancé. Instructions de service, 07/2011, C79000-G8977-C

192 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.2 Groupes Affichage de tous les groupes configurés avec leurs propriétés Sélectionnez dans le volet de navigation "Tous les groupes" Les propriétés de groupe suivantes sont alors affichées par colonne : Tableau 6-1 Propriétés des groupes Propriétés/Colonne Signification Commentaire/Sélection Group Name Nom de groupe Libre choix Authentification Type d'authentification Preshared Key Certificat Group membership until Durée de vie des certificats voir plus bas Comment Commentaire Libre choix Paramétrage de la durée de vie des certificats Ouvrez le dialogue qui permet d'entrer la date d'expiration du certificat comme suit : par un double clic sur un module dans la boîte des propriétés ou par un clic du bouton droit de la souris pour sélectionner la commande de menu Properties. IMPORTANT Après expiration du certificat, la communication via le tunnel est bloquée. 192 Instructions de service, 07/2011, C79000-G8977-C196-08

193 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.2 Groupes Types de module au sein d'un groupe Types de module Les types de module suivants sont configurables en groupes avec Security Configuration Tool : SCALANCE S612 SCALANCE S613 SOFTNET Security Client MD 74x (signifie MD740-1 ou MD741-1) Règles de formation de groupes Tenez compte des règles ci-après lors de la formation de groupes VPN : Le premier module affecté à un groupe VPN détermine les types de module pouvant être ajoutés au groupe. Si le premier appareil affecté est en mode routage, il ne sera possible d'ajouter à ce groupe que des modules à routage activé. Si le premier appareil affecté est en mode pont, il ne sera possible d'ajouter à ce groupe que des modules en mode pont. Pour pouvoir modifier le "mode" d'un groupe VPN, il faut d'abord supprimer tous les modules du groupe puis les ajouter à nouveau. Il n'est pas possible d'ajouter un module MD 740-1/MD à un groupe VPN qui contient un module à mode pont. Le tableau ci-après indique les modules qui peuvent être réunis dans un groupe VPN : Module Mode du module en mode pont... en mode routage S612 V1 x - S612 V2 *) x x S613 V1 x - S613 V2 *) x x SOFTNET Security Client 2005 x - SOFTNET Security Client 2008 x x SOFTNET Security Client V3.0 x x SOFTNET Security Client V4.0 x x MD 74x - x Instructions de service, 07/2011, C79000-G8977-C

194 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.3 Configuration de tunnel en mode standard 6.3 Configuration de tunnel en mode standard Propriétés de groupe Les propriétés suivantes sont valables en mode standard : Tous les paramètres des tunnels IPsec et la méthode d'authentification sont prédéfinis. Le dialogue des propriétés des groupes affiche les valeurs par défaut paramétrées. Le mode d'apprentissage est activé pour tous les modules Ouverture du dialogue d'affichage des valeurs par défaut Le groupe étant sélectionné, sélectionnez la commande de menu suivante : Edit Properties L'affichage est identique à celui en mode avancé ; vous ne pouvez cependant pas modifier les valeurs. 6.4 Configuration de tunnels en mode avancé Le mode avancé offre des options de paramétrage destinées à une configuration spécifique de la communication par tunnel. Passage au mode avancé Pour toutes les fonctions décrites dans le présent chapitre, changez de mode au moyen de la commande de menu suivante : View Advanced Mode... Remarque Après être passé au mode avancé dans le projet actuel, vous ne pourrez plus retourner au mode standard. A moins de quitter le projet sans l'enregistrer et de le rouvrir. 194 Instructions de service, 07/2011, C79000-G8977-C196-08

195 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.4 Configuration de tunnels en mode avancé Configuration des propriétés de groupe Propriétés de groupe Dans l'affichage de commande "Advanced Mode" vous pouvez paramétrer les propriétés de groupe suivantes : Méthode d'authentification Paramètres IKE (zone du dialogue : Paramètres avancés phase 1) Paramètres IPsec (zone du dialogue : Paramètres avancés phase 2) IMPORTANT La spécification de ces paramètres présuppose la connaissance de IPsec. Si vous ne spécifiez ou ne modifiez pas de paramètre, ce sont les paramètres par défaut du mode standard qui seront appliqués. Instructions de service, 07/2011, C79000-G8977-C

196 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.4 Configuration de tunnels en mode avancé Ouverture du dialogue d'entrée des propriétés de groupe Le groupe étant sélectionné, sélectionnez la commande de menu suivante : Edit Properties Paramètres de la configuration avancée phase 1 - paramètres IKE Phase 1 : Echange de clés (IKE, Internet Key Exchange) : Vous pouvez spécifier ici les paramètres du protocole de gestion des clés IPSec. L'échange de clés s'effectue selon la procédure normalisée IKE. Vous pouvez spécifier les paramètres de protocole IKE suivants : 196 Instructions de service, 07/2011, C79000-G8977-C196-08

197 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.4 Configuration de tunnels en mode avancé Tableau 6-2 Paramètres de protocole IKE (groupe de paramètres "Paramètres avancés phase 1" du dialogue) Paramètres Valeurs/Sélection Commentaire IKE Mode Main Mode Aggressive Mode Phase 1 Groupe DH Group 1 Phase 1 DH Group Group 2 Group 5 Procédure d'échange de clés La différence entre Main Mode et Aggressive Mode est l'utilisation en Main Mode de la "Identity-Protection". En Main Mode l'identité est transmise cryptée, en Aggressive Mode elle ne l'est pas. Convention de clé Diffie-Hellman : Groupes Diffie-Hellman (algorithmes cryptographiques sélectionnables dans le protocole d'échange de clés Oakley) Type de durée de vie SA SA Lifetype Durée de vie SA SA Life Phase 1 Cryptage Phase 1 Encryption Time Phase 1 Security Association (SA) Limitation dans le temps (Min., par défaut : ) La durée d'utilisation du matériel de clé actuel est limitée. Après écoulement de la durée spécifiée, le matériel de clé est renégocié. Valeur numérique ("Time" Min., ) Plage de valeurs : DES Algorithme de cryptage 3DES-168 Data Encryption Standard (longueur de clé de 56 bits, AES-128 mode CBC) AES-192 Triple DES (longueur de clé de 168 bits, mode CBC) AES-256 Advanced Encryption Standard (longueur de clé de 128 bits, 192 bits ou 256 bits, mode CBC) Phase 1 Authentification Phase 1 Authentication MD5 SHA1 Algorithme d'authentification Message Digest Version 5 Secure Hash Algorithm 1 Paramètres de la configuration avancée phase 2 - paramètres IPsec Phase 2 : Echange de données (ESP, Encapsulating Security Payload) Vous pouvez spécifier ici les paramètres du protocole d'échange de données IPSec. L'échange de clés s'effectue selon le protocole de sécurité standardisé ESP. Vous pouvez spécifier les paramètres de protocole ESP suivants : Instructions de service, 07/2011, C79000-G8977-C

198 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.4 Configuration de tunnels en mode avancé Tableau 6-3 Paramètres de protocole IPsec (groupe de paramètres "Paramètres avancés phase 2" du dialogue) Paramètres Valeurs/Sélection Commentaire Type de durée de vie SA SA Lifetype Time Phase 2 Security Association (SA) Limitation dans le temps (Min., par défaut : 2880) La durée d'utilisation du matériel de clé actuel est limitée. Après écoulement de la durée spécifiée, le matériel de clé est renégocié. Limit Volume de données limité (Mo, par défaut 4000) Durée de vie SA SA Life Phase 2 Cryptage Phase 2 Encryption Phase 2 Authentification Phase 2 Authentication Valeur numérique 3DES-168 DES AES-128 MD5 SHA1 ("Time" Min., "Limit" Mo) Plage de valeurs (Time) : Plage de valeurs (Limit) : Algorithme de cryptage Triple DES spécifique (longueur de clé de 168 bits, mode CBC) Data Encryption Standard (longueur de clé de 56 bits, mode CBC) Advanced Encryption Standard (longueur de clé de 128 bits, mode CBC) Algorithme d'authentification Message Digest Version 5 Secure Hash Algorithm 1 Perfect Forward Secrecy On Off Avant chaque renégociation d'une SA IPsec, la clé doit être renégociée à l'aide de la procédure Diffie-Hellman Ajout d'un SCALANCE S dans un groupe configuré Les propriétés de groupe configurées sont recopiées pour les SCALANCE S qui sont ajoutés à un groupe existant. Marche à suivre Selon que vous avez modifiés les propriétés de groupe ou non, vous devrez distinguer les deux cas suivants : Cas a : Vous n'avez pas modifié les propriétés de groupe 1. Ajoutez les nouveaux SCALANCE S au groupe. 2. Chargez la configuration matérielle sur les nouveaux modules. Cas b :Vous avez modifié les propriétés de groupe 1. Ajoutez les nouveaux SCALANCE S au groupe. 2. Chargez la configuration matérielle sur tous les modules appartenant au groupe. 198 Instructions de service, 07/2011, C79000-G8977-C196-08

199 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.4 Configuration de tunnels en mode avancé Avantage Les SCALANCE S déjà mis en service ne doivent pas être reconfigurés ni rechargés. La communication en cours n'en est pas affectée ni interrompue SOFTNET Security Client Paramétrages compatibles pour SOFTNET Security Client Tenez compte des particularités suivantes si vous intégrez des modules du type SOFTNET Security Client au groupe configuré : Paramètres Phase 1 Groupe DH Phase 1 DH Group Phase 1 Cryptage Phase 1 Encryption Phase 1 Authentification Phase 1 Authentication Phase 1 durée de vie SA : Phase 1 SA Lifetime Type de durée de vie SA SA Lifetype Phase 2 Cryptage Phase 2 Encryption Phase 2 durée de vie SA : Phase 2 SA Lifetime Phase 2 Authentification Phase 2 Authentication Option / Particularité DH Group1 et 5 ne peuvent être utilisés que pour la communication entre les modules SCALANCES S. DES, AES-128 et AES-192 pas possible. MD5 impossible. Plage de valeurs : (uniquement SOFTNET Security Client à partir de V3.0) L'option doit être identique dans les deux phases. Pas de AES 128 possible. Plage de valeurs : (uniquement SOFTNET Security Client à partir de V3.0) MD5 impossible. Instructions de service, 07/2011, C79000-G8977-C

200 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.4 Configuration de tunnels en mode avancé IMPORTANT Les paramètres d'une configuration SOFTNET Security Client doivent correspondre au Default Proposals du module SCALANCE S parce qu'un SOFTNET Security Client est généralement utilisé en mode nomade et qu'il obtient son adresse IP dynamiquement de sorte que le SCALANCE S ne peut autoriser une connexion que via ces Default Proposals. Veillez donc à ce que vos paramètres de Phase 1 soient conformes à l'une des trois propositions suivantes afin de pouvoir établir un tunnel avec un SCALANCE S. Si vous utilisez d'autres paramètres dans le Security Configuration Tool, l'exportation de la configuration sera bloquée par le contrôle de cohérence et vous ne pourrez pas exporter votre configuration pour le SOFTNET Security Client avant d'avoir mis les paramètres en conformité. Authentification IKE Mode Groupe DH Cryptage Hash Durée de vie (min) Certificat Mainmode Groupe DH 2 3DES-168 SHA Preshared Key Mainmode Groupe DH 2 3DES-168 SHA Certificat Mainmode Groupe DH 2 AES256 SHA Configuration des propriétés VPN spécifiques du module Vous pouvez configurer les propriétés spécifiques ci-après pour les échanges de données via tunnel IPsec au sein du VPN : Dead-Peer-Detection Permission d'initier la connexion Adresse IP publique pour la communication via des passerelles Internet Ouverture du dialogue de configuration des propriétés de module VPN Sélectionnez le module à éditer puis, en mode avancé, la commande de menu suivante : Edit Properties..., onglet "VPN" Remarque L'onglet "VPN" n'est accessible que si le module à configurer se trouve dans un groupe VPN. 200 Instructions de service, 07/2011, C79000-G8977-C196-08

201 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.4 Configuration de tunnels en mode avancé Dead-Peer-Detection (DPD) Lorsque la DPD est activée, les modules échanges des informations complémentaires à intervalles à spécifier. Il est ainsi possible de savoir si une connexion VPN est encore établie. Si elle ne l'est plus, les "Security Associations" (SA) sont terminées prématurément. Lorsque la DPD est désactivée, la "Security Association" (SA) ne s'achève qu'au terme de la durée de vie SA (paramétrage de la durée de vie SA : voir Configuration des propriétés de groupe). La DPD est activée par défaut. Permission de initiate the connection (Permission d'initier la connexion) Vous pouvez limiter la permission d'initier une connexion VPN à certains modules du VPN. L'option déterminante du paramétrage décrit ici est l'attribution de l'adresse IP de la passerelle du module à configurer. En cas d'attribution d'une adresse IP statique, le module peut être trouvé par le partenaire. En cas d'attribution dynamique, c.-à-d. de changement permanent d'adresse IP, le partenaire ne peut pas établir la connexion sans information complémentaire. Instructions de service, 07/2011, C79000-G8977-C

202 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.4 Configuration de tunnels en mode avancé Mode Start connection to remote VPN gateway (par défaut) Wait for connection from remote VPN gateway Signification Dans cette option, le module est "actif", c.-à-d. qu'il tente d'établir une connexion au partenaire. Cette option est recommandée si la passerelle du module SCALANCE S à configurer ici, obtient de votre fournisseur d'accès une adresse IP dynamique. L'adressage du partenaire s'effectue via son adresse IP WAN configurée ou son adresse IP de module externe. Dans cette option, le module est "passif", c.-à-d. qu'il attend l'établissement d'une connexion par le partenaire. Cette option est recommandée si la passerelle du module à configurer ici, obtient de votre fournisseur d'accès une adresse IP statique. Ceci permet de s'assurer que les tentatives d'établissement de connexion ne proviennent que du partenaire. IMPORTANT Ne paramétrez pas "Wait for connection from remote VPN gateway" pour tous les modules d'un groupe VPN car sinon aucune connexion ne sera établie. Adresse IP WAN - Adresses IP des modules et passerelles dans un VPN via Internet En cas d'utilisation d'un VPN à tunnel IPsec via Internet, des adresses IP supplémentaires sont généralement nécessaires pour les passerelles Internet telles que les routeurs ADSL p. ex. Les différents modules SCALANCE S ou MD / MD doivent connaître les adresses IP externes des modules partenaires du VPN. Remarque Si vous utilisez un routeur ADSL comme passerelle Internet, vérifiez qu'au minimum l'accès aux ports suivants est autorisé : Port 500 (ISAKMP) Port 4500 (NAT-T) En cas de téléchargement de la configuration (via le WAN sans tunnel actif), il faut également activer le port port 443 (HTTPS). Il est possible à ce propos d'affecter cette adresse IP externe comme "adresse IP WAN" dans la configuration du module. Lors du chargement de la configuration de module, ces adresses IP WAN des modules partenaires sont alors communiquées aux modules. Si aucune adresse IP WAN n'a été affectée, c'est l'adresse IP externe du module qui est utilisée. La figure ci-après illustre la corrélation des adresses IP. 202 Instructions de service, 07/2011, C79000-G8977-C196-08

203 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.5 Configuration de noeuds de réseau interne External External Internal Internal 1 Adresse IP interne d'un module 2 Adresse IP externe d'un module 3 Adresse IP interne d'une passerelle Internet (passerelle GPRS p. ex.) 4 Adresse IP externe (adresse IP WAN) d'une passerelle Internet (routeur ADSL p. ex.) 6.5 Configuration de noeuds de réseau interne Pour que les partenaires du tunnel connaissent les noeuds internes du SCALANCE S, il faut que ce dernier les leur communique. Il faut par ailleurs qu'il connaisse les noeuds internes des SCALANCE S qui appartiennent à son groupe. Cette information permet à un SCALANCE S de déterminer les paquets de donnés à transmettre par un tunnel donné. Dans les réseaux plats, SCALANCE S est conçu pour apprendre automatiquement ou configurer statiquement les noeuds du réseau. En mode routage, des sous-réseaux complet sont tunnelés ; l'apprentissage et la configuration statique des noeuds de réseau n'y sont pas nécessaires Fonctionnement du mode apprentissage Recherche automatique des partenaires de la communication par tunnel (uniquement mode pont) Le fait que le SCALANCE S soit en mesure d'identifier automatiquement les partenaires du réseau interne présente un gros avantage pour la configuration et l'exploitation de la communication par tunnel. Instructions de service, 07/2011, C79000-G8977-C

204 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.5 Configuration de noeuds de réseau interne Les nouveaux partenaires sont identifiés par le SCALANCE S en cours de fonctionnement. Les partenaires identifiés sont signalés aux modules SCALANCE S appartenant au même groupe. L'échange de données au sein des tunnels d'un groupe est de ce fait toujours possible dans les deux directions. Conditions Partenaires identifiables : Noeuds de réseau compatibles IP Les noeuds de réseau compatibles IP sont détectés s'ils émettent une réponse ICMP à un télégramme broadcast ICMP du sous-réseau. Les noeuds IP en aval de routeurs sont détectables si les routeurs font transiter les télégrammes broadcast ICMP. Noeuds de réseau ISO Les noeuds de réseau qui ne sont pas compatibles IP, mais accessibles via protocole ISO, sont également appris. Ceci présuppose cependant qu'ils répondent aux télégrammes XID ou TEST. TEST et XID (Exchange Identification) sont des protocoles auxiliaires pour l'échange d'informations au niveau couche 2. Ces noeuds de réseau peuvent être trouvés par l'émission de ces télégrammes avec une adresse broadcast. Noeuds PROFINET DCP (Discovery and basic Configuration Protocol) permet de trouver les noeuds PROFINET. Les noeuds de réseau qui ne remplissent pas ces conditions, doivent en revanche être configurés. Sous-réseaux Il est également nécessaire de configurer les sous-réseaux qui se trouvent en aval de routeurs internes. 204 Instructions de service, 07/2011, C79000-G8977-C196-08

205 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.5 Configuration de noeuds de réseau interne Activation/désactivation du mode apprentissage La fonction d'apprentissage est activée par défaut sur chaque module SCALANCE S lors de la configuration à l'aide du logiciel Security Configuration Tool. L'apprentissage peut cependant être désactivé. Vous devrez le cas échéant configurer manuellement tous les noeuds internes que vous souhaitez faire participer à la communication par tunnel. Pour ouvrir le dialogue permettant de sélectionner cette option : en cas de module sélectionné via la commande de menu Edit Properties..., onglet "Noeuds" Instructions de service, 07/2011, C79000-G8977-C

206 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.5 Configuration de noeuds de réseau interne Quand est-il utile de désactiver la fonction d'apprentissage automatique? Le paramétrage par défaut du SCALANCE S présuppose que les réseaux internes sont toujours "sûrs" ; c.-à-d. que normalement aucun noeud n'est connecté au réseau interne s'il n'est pas digne de confiance. La désactivation du mode apprentissage peut être utile si le réseau interne est statique, c.-àd. si le nombre de noeuds internes et leur adresse ne changent pas. La désactivation du mode apprentissage réduit par ailleurs le trafic sur les supports de transmission et les noeuds du fait de l'absence des télégrammes d'apprentissage. N'ayant plus à traiter les télégrammes d'apprentissage, le SCALANCE S devient également plus performant. Remarque : En mode apprentissage, tous les noeuds du réseau interne sont pris en compte. Les indications de capacités fonctionnelles à propos de VPN ne se rapportent qu'aux noeuds qui communiquent sur le réseau interne via VPN. IMPORTANT Si vous exploitez plus de 64 nœuds internes (pour SCALANCE S613) ou plus de 32 nœuds internes (pour SCALANCE S612) dans le réseau interne, vous dépassez la capacité fonctionnelle admissible et générez un état de fonctionnement non admissible. En raison de la dynamique du trafic sur le réseau, des nœuds internes déjà appris sont remplacés par de nouveaux nœuds pas encore connus jusque-là. 206 Instructions de service, 07/2011, C79000-G8977-C196-08

207 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.5 Configuration de noeuds de réseau interne Affichage des noeuds de réseau interne détectés Tous les noeuds de réseau détectés peuvent être affichés sous Security Configuration Tool, en mode "En ligne", dans l'onglet "Internal Nodes". Sélectionnez la commande de menu suivante : Edit Online Properties.. Instructions de service, 07/2011, C79000-G8977-C

208 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.5 Configuration de noeuds de réseau interne Configuration manuelle des noeuds de réseau Noeuds de réseau non-apprenables Il existe des partenaires sur le réseau interne qui ne peuvent pas être appris. Ces partenaires doivent être configurés. Vous devez pour ce faire passer dans le Security Configuration Tool en mode avancé. Vous devez également configurer les sous-réseaux contenus dans le réseau interne du SCALANCE S. Dialogue / Onglet Pour ouvrir le dialogue permettant de configurer les noeuds de réseau : en cas de module sélectionné via la commande de menu Edit Properties..., onglet "Noeuds" Entrez dans les onglets sélectionnables les paramètres d'adresse requis de tous les noeuds de réseau devant être protégés par le module SCALANCE S sélectionné. 208 Instructions de service, 07/2011, C79000-G8977-C196-08

209 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.5 Configuration de noeuds de réseau interne Onglet "Noeuds IP internes" (uniquement en mode pont) Paramètres configurables : Adresse IP et facultativement adresse MAC ; Onglet "Noeuds MAC internes" (uniquement en mode pont) Paramètre configurable : Adresse MAC Onglet "Sous-réseau internes" En présence d'un sous-réseau interne (un routeur dans le réseau interne), entrez les paramètres d'adresse suivants : Paramètres Fonction Exemple de valeur ID de réseau Identificateur du sous-réseau : L'identificateur de sous-réseau permet au routeur de savoir si une adresse de destination fait partie ou non du sous-réseau. Masque de sous-réseau Masque de sous-réseau : Le masque de sous-réseau structure le réseau et sert à générer l'identificateur de sous-réseau. Router IP Adresse IP du routeur Conséquence lors de la mise en oeuvre du SOFTNET Security Client Si, lors de la mise en oeuvre du SCALANCE S612 / S613, vous configurez des partenaires statiquement comme décrit ci-dessus, vous devrez également charger à nouveau la configuration du client SOFTNET Security utilisé dans le groupe VPN. Instructions de service, 07/2011, C79000-G8977-C

210 Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) 6.5 Configuration de noeuds de réseau interne 210 Instructions de service, 07/2011, C79000-G8977-C196-08

211 SOFTNET Security Client (S612 / S613) 7 Le logiciel SOFTNET Security Client, fonctionnant sur PC, permet au PC/à la PG d'accéder en toute sécurité à des automates programmables protégés par SCALANCE S via les réseaux publics. Ce chapitre indique comment configurer le SOFTNET Security Client avec le logiciel Security Configuration Tool et comment le mettre ensuite en service sur le PC/PG. Informations complémentaires Vous trouverez par ailleurs des informations détaillées sur les dialogues et paramètres dans l'aide en ligne du SOFTNET Security Client. F1 Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue en question. Voir aussi Communication sécurisée sur le VPN par tunnel IPsec (S612/S613) (Page 187) 7.1 Mise en oeuvre du SOFTNET Security Client Domaine de mise en oeuvre - Accès via VPN SOFTNET Security Client configure automatiquement un PC/PG de sorte qu'il puisse établir, via tunnel IPsec, une connexion sécurisée à un ou plusieurs SCALANCE S du VPN (Virtual Private Network). Ceci permet à des applications de PG/PC telles que Diagnostic NCM ou STEP7, d'accéder par tunnelage sécurisé à des appareils ou réseaux se trouvant dans un réseau interne protégé par SCALANCE S. Instructions de service, 07/2011, C79000-G8977-C

212 SOFTNET Security Client (S612 / S613) 7.1 Mise en oeuvre du SOFTNET Security Client External External External Internal Internal Internal Communication automatique via VPN L'important pour votre application est que le SOFTNET Security Client détecte automatiquement un accès à l'adresse IP d'un partenaire du VPN. Vous accédez au partenaire simplement par l'adresse IP comme s'il se trouvait dans le sous-réseau local auquel est également connecté le PC/PG sur lequel tourne l'application. IMPORTANT Veuillez noter que la communication entre le SOFTNET Security Client et le SCALANCE S via le tunnel IPsec est exclusivement basée IP. Utilisation Le logiciel de PC SOFTNET Security Client possède une interface utilisateur conviviale qui permet de configurer les propriétés de sécurité nécessaires à la communication avec les appareils protégés par des SCALANCE S. Après configuration, le SOFTNET Security Client fonctionne en arrière-plan, ce qui est indiqué par l'icône dans la zone de notifications de votre PG/PC. 212 Instructions de service, 07/2011, C79000-G8977-C196-08

213 SOFTNET Security Client (S612 / S613) 7.1 Mise en oeuvre du SOFTNET Security Client Détails de l'aide en ligne Vous trouverez par ailleurs des informations détaillées sur les dialogues et champs de saisie dans l'aide en ligne de l'interface utilisateur du SOFTNET Security Client. F1 Vous accédez à l'aide en ligne au moyen du bouton "Aide" ou de la touche F1. Comment fonctionne le SOFTNET Security Client? SOFTNET Security Client lit la configuration réalisée au moyen de l'outil de configuration Security Configuration Tool et recherche dans le fichier les certificats à importer. Le Root Certificate et les Private Keys sont importés et enregistrés sur le PG/PC local. Les données sont ensuite utilisées pour configurer les paramètres de sécurité afin que les applications puissent accéder aux adresses IP en aval des modules SCALANCE-S. Si le mode d'apprentissage des partenaires internes ou automates programmables est activé, le module de configuration crée d'abord une stratégie de sécurité pour l'accès sécurisé aux modules SCALANCE S. Le SOFTNET Security Client s'adresse ensuite aux modules SCALANCE S pour déterminer les adresses IP des partenaires internes correspondants. Le SOFTNET Security Client inscrit ces adresses IP dans des listes de filtrage particulières de cette stratégie de sécurité. Les applications telles que STEP 7 peuvent ensuite communiquer avec les automates programmables via VPN. IMPORTANT Sur un système Windows, les stratégies de sécurité IP sont spécifiques à un utilisateur. A chaque utilisateur correspond une seule stratégie de sécurité IP. Si vous ne voulez pas qu'une stratégie de sécurité IP soit écrasée par l'installation du SOFTNET Security Client, nous vous conseillons de créer un utilisateur particulier pour l'installation et l'utilisation du SOFTNET Security Client. Environnement de mise en oeuvre Le SOFTNET Security Client est conçu pour une mise en oeuvre sous les systèmes d'exploitation Windows XP SP2 et SP3 (pas l'"edition Familiale") et Windows 7 (pas l'"edition familiale"). Comportement en cas de dysfontionnements En cas de dysfonctionnements sur votre PG/PC, SOFTNET Security Client se comporte comme suit : Les stratégies de sécurité définies sont conservées même après arrêt et redémarrage de votre PG/PC ; Des messages sont émis en cas de configuration erronée. Instructions de service, 07/2011, C79000-G8977-C

214 SOFTNET Security Client (S612 / S613) 7.2 Installation et mise en service du SOFTNET Security Client 7.2 Installation et mise en service du SOFTNET Security Client Installation et démarrage du SOFTNET Security Client L'installation du logiciel de PC SOFTNET Security Client s'effectue à partir du CD SCALANCE S. 1. Lisez d'abord les informations du fichier README sur le CD SCALANCE S et tenez compte d'éventuelles instructions d'installation complémentaires. 2. Exécutez le programme Setup ; Pour ce faire, ouvrez simplement le sommaire de votre CD SCALANCE S il s'ouvre automatiquement lors de l'introduction du CD dans le lecteur mais vous pouvez également y accéder en ouvrant le fichier start.exe. Sélectionnez ensuite directement l'entrée "Installation SOFTNET Security Client" Après installation et démarrage du SOFTNET Security Client, l'icône du SOFTNET Security Client s'affiche dans la barre des tâches Windows : Configuration du SOFTNET Security Client Une fois activées, les principales fonctions sont exécutées en tâche de fond sur votre PG/PC. La configuration du SOFTNET Security Client s'effectue en 2 étapes : Exportation d'une configuration de sécurité de l'outil de configuration du SCALANCE S Security Configuration Tool. Importation de la configuration de sécurité sur l'interface utilisateur locale, comme indiqué au sous-chapitre suivant. Comportement au démarrage Pour une configuration maximale, SOFTNET Security Client met, pour des raisons propres au système, jusqu'à 15 minutes pour charger les stratégies de sécurité. L'utilisation de la capacité de la CPU de votre PG/PC pourra atteindre pendant ce temps jusqu'à 100%. 214 Instructions de service, 07/2011, C79000-G8977-C196-08

215 SOFTNET Security Client (S612 / S613) 7.3 Création du fichier de configuration avec l'outil de configuration Security Configuration Tool Arrêt du SOFTNET Security Client - Conséquences L'arrêt du SOFTNET Security Client se solde également par la désactivation des stratégies de sécurité. Pour quitter le SOFTNET Security Client : à l'aide de la commande de menu dans la zone de notifications de Windows ; cliquez avec le bouton droit de la souris sur l'icône du SOFTNET Security Client et sélectionnez l'option "Shut Down SOFTNET Security Client". l'interface utilisateur étant ouverte, par le bouton "Quitter" Désinstallation du SOFTNET Security Client Lors de la désinstallation, les propriétés de sécurité paramétrées par le SOFTNET Security Client, sont annulées. 7.3 Création du fichier de configuration avec l'outil de configuration Security Configuration Tool Configuration du module SOFTNET Security Client dans le projet Le SOFTNET Security Client est créé dans le projet sous forme de module. Contrairement aux modules SCALANCE S, il n'y pas d'autres propriétés à configurer. Il suffit d'affecter le module SOFTNET Security Client au(x) groupe(s) de modules dans le(s)quel(s) des tunnels IPsec doivent être créés vers le PC/PG. Les propriétés de groupe déterminantes seront celles qui auront été configurées pour le groupe en question. IMPORTANT Veuillez tenir compte des indications à propos des paramètres décrits dans le chapitre 6.4 à la section "Paramétrages compatibles pour SOFTNET Security Client". Remarque Si vous créez plusieurs SOFTNET Security Clients au sein d'un groupe, les tunnels ne sont pas établis entre ces clients mais uniquement de chaque client vers les modules SCALANCE S! Instructions de service, 07/2011, C79000-G8977-C

216 SOFTNET Security Client (S612 / S613) 7.3 Création du fichier de configuration avec l'outil de configuration Security Configuration Tool Fichiers de configuration pour le SOFTNET Security Client L'interface entre l'outil de configuration Security Configuration Tool et le SOFTNET Security Client est commandées par des fichiers de configuration. La configuration est enregistrée dans les 3 types de fichier suivant : *.dat *.p12 *.cer 216 Instructions de service, 07/2011, C79000-G8977-C196-08

217 SOFTNET Security Client (S612 / S613) 7.3 Création du fichier de configuration avec l'outil de configuration Security Configuration Tool Marche à suivre Pour créer les fichiers de configuration, exécutez les opérations suivantes dans l'outil de configuration Security Configuration Tool : 1. Créez d'abord dans le projet un module du type Typ SOFTNET Security Client. 2. Affectez le module aux groupes de modules dans lesquels le PC/PG communiquera via des tunnels IPsec. 3. Sélectionnez le SOFTNET Security Client voulu avec le bouton droit de la souris puis sélectionnez la commande de menu suivante : Transfer To Module Dans la boîte de dialogue qui s'ouvre, sélectionnez l'emplacement d'enregistrement du fichier de configuration. 5. Si vous avez choisi la méthode d'authentification Certificat, il vous est demandé à l'étape suivante de spécifier un mot de passe pour le certificat de la configuration VPN. Vous avez la possibilité d'entrer ici un mot de passe personnel. Si vous n'attribuez pas de mot de passe, le mot de passe sera le nom de projet. L'entrée du mot de passe s'effectue comme d'habitude avec une entrée de confirmation. L'exportation des fichiers de configuration est alors terminée. 6. Recopiez les fichiers de type *.dat, *.p12, *.cer sur le PC/PG sur lequel vous voulez utiliser le SOFTNET Security Client. Instructions de service, 07/2011, C79000-G8977-C

218 SOFTNET Security Client (S612 / S613) 7.4 Utilisation du SOFTNET Security Client 7.4 Utilisation du SOFTNET Security Client Propriétés configurables Vous pouvez utiliser les services suivants : Configuration d'une communication sécurisée par tunnel IPsec (VPN) entre le PC/PG et tous les modules SCALANCE S d'un projet ou entre certains modules SCALANCE S. Ces tunnels IPsec permettent au PC/PG d'accéder aux noeuds internes du VPN. Désactivation et activation de connexions sécurisées déjà configurées ; Configuration de connexions après rajout d'équipement terminaux ; (le mode apprentissage doit dans ce cas être activé) Contrôle d'une configuration, pour savoir quelles connexions sont configurées ou possibles. Pour ouvrir le SOFTNET Security Client à des fins de configuration Ouvrez l'interface utilisateur du SOFTNET Security Client en double cliquant sur l'icône dans la zone de notifications ou en cliquant avec le bouton droit de la souris pour sélectionner la commande de menu "Open SOFTNET Security Client" : 218 Instructions de service, 07/2011, C79000-G8977-C196-08

219 SOFTNET Security Client (S612 / S613) 7.4 Utilisation du SOFTNET Security Client Les boutons permettent d'accéder aux fonctions suivantes : Bouton Load Configuration data Tunnel Overview Disable Minimize Signification Importation de la configuration Ouvre un dialogue de sélection du fichier de configuration. Après fermeture du dialogue, le fichier de configuration est chargé après entrée du mot de passe correspondant au fichier de configuration. La boîte de dialogue vous demande de spécifier s'il faut configurer immédiatement des tunnels pour tous les SCALANCE S. Si la configuration contient des adresses IP de SCALANCE S ou si le mode d'apprentissage est activé, des tunnels sont configurés pour toutes les adresses configurées ou apprises. Cette méthode est rapide et efficace notamment pour les petites configurations. Facultativement, vous pouvez configurer tous les tunnels dans le dialogue "Tunnel Overview". Remarque : Vous pouvez importer successivement les fichiers de configuration de plusieurs projets réalisés avec le Security Configuration Tool (voir aussi les explications ciaprès à propos de la marche à suivre). Dialogue de configuration et d'édition des tunnels. Ce dialogue permet de réaliser la configuration proprement dites du SOFTNET Security Client. Vous trouverez dans ce dialogue une liste des tunnels sécurisés configurés. Vous pouvez y consulter/contrôler les adresses IP des modules SCALANCE S. Si votre PG/PC est équipé de plusieurs carte de réseau, SOFTNET Security Client sélectionne automatiquement celle qui tente d'établir un tunnel. SOFTNET Security Client n'a éventuellement pas trouvé de carte adaptée à votre partenaire et a entré une carte quelconque. Le cas échéant, vous devrez adapter le paramétrage de la carte réseau manuellement à l'aide du dialogue "Network Adapters" dans le menu contextuel des partenaires et des modules SCALANCE S. Désactive tous les tunnels sécurisés. Application : Désactivez le tunnel vers le SOFTNET Security Client lorsque la configuration d'un module SCALANCE S612 / S613 est modifiée puis rechargée. Ceci accélère la nouvelle mise en place du tunnel. L'interface utilisateur du SOFTNET Security Client est fermée. L'icône du SOFTNET Security Client se trouve toujours dans la barre des tâches de Windows. Instructions de service, 07/2011, C79000-G8977-C

220 SOFTNET Security Client (S612 / S613) 7.4 Utilisation du SOFTNET Security Client Bouton Quit Help Info Signification Abandonner la configuration ; arrête le SOFTNET Security Client ; désactive tous les tunnels. Appel de l'aide en ligne. Informations sur la version du SOFTNET Security Client Détails : Liste de tous les fichiers nécessaires au fonctionnement du SOFTNET Security Client avec messages indiquant si ces derniers ont été trouvés sur le système 220 Instructions de service, 07/2011, C79000-G8977-C196-08

221 SOFTNET Security Client (S612 / S613) 7.5 Configuration et édition de tunnels 7.5 Configuration et édition de tunnels Configuration de connexions sécurisées à tous les SCALANCE S La boîte de dialogue d'importation de la configuration offre l'option de configurer immédiatement des tunnels pour tous les SCALANCE S. Il en découle les possibilités suivantes : Activation automatique des tunnels Si la configuration contient des adresses IP de SCALANCE S ou si le mode d'apprentissage est activé, des tunnels sont configurés pour toutes les adresses configurées ou apprises. Lire uniquement la configuration des tunnels Cette option permet de lire seulement les tunnels configurés pour les activer ensuite individuellement dans le dialogue de configuration des tunnels. Instructions de service, 07/2011, C79000-G8977-C

222 SOFTNET Security Client (S612 / S613) 7.5 Configuration et édition de tunnels Pour configurer les connexions par tunnel 1. Cliquez sur le bouton "Load Configurationdate" pour ouvrir le dialogue d'importation du fichier de configuration. 2. Sélectionnez le fichier de configuration créé avec le Security Configuration Tool. 3. Si des données de configuration existent déjà dans le SOFTNET Security Client, il vous est demandé d'indiquer de quelle manière traiter les nouvelles données de configuration. Faites votre choix parmi les options proposées : Notes à propos de ce dialogue : Vous pouvez, d'une manière générale, lire les données de configuration de plusieurs projets. Ce dialogue tient compte de la situation en présence de plusieurs projets. De ce fait, les effets produits varient en fonction des options comme suit : Si vous optez pour "delete", il ne restera plus que les données de configuration chargées en dernier. La deuxième option "importer et remplacer" est utile lorsque les données de configuration ont été modifiées, par exemple lorsque la configuration du projet A a été modifiée tandis que celle des projets B et C est restée inchangée. La troisième option "pas importer" est utile lorsqu'un SCALANCE S a été ajouté à un projet et que l'on ne veut pas perdre les nœuds internes appris. 4. Si vous avez sélectionné Certificat comme méthode d'authentification lors de la configuration sous Security Configuration Tool, il vous est demandé à présent d'entrer un mot de passe. 222 Instructions de service, 07/2011, C79000-G8977-C196-08

223 SOFTNET Security Client (S612 / S613) 7.5 Configuration et édition de tunnels 5. Spécifiez maintenant si les connexions par tunnel doivent à présent être activées ou non pour les partenaires configurés (configurés statiquement). Si vous n'activez pas les connexions ici, vous pourrez le faire à tout moment dans le dialogue de tunnel décrit ci-après. Si vous avez opté pour l'activation des connexions par tunnel, les connexions par tunnel entre le SOFTNET Security Client et les modules SCALANCE S sont établies. Ceci peut durer plusieurs secondes. Instructions de service, 07/2011, C79000-G8977-C

224 SOFTNET Security Client (S612 / S613) 7.5 Configuration et édition de tunnels 6. Ouvrez à présent le dialogue "Tunnel Overview". Dans le tableau qui s'affiche, vous voyez les modules et partenaires avec les informations d'état des connexions par tunnel. 7. Si vous constatez à présent que des nœuds ou partenaires souhaités ne sont pas inscrits dans le tableau, procédez comme suit : Entrez, à la suite de l'invite de commande, une commande PING avec l'adresse du nœud voulu. Vous forcez ainsi le SCALANCE S à apprendre le nœud et à le transmettre au SOFTNET Security Client. Remarque : Si le dialogue est fermé pendant que le partenaire est enregistré, il s'ouvre automatiquement. 224 Instructions de service, 07/2011, C79000-G8977-C196-08

225 SOFTNET Security Client (S612 / S613) 7.5 Configuration et édition de tunnels Remarque Partenaires et sous-réseaux configurés statiquement Si, lors de la mise en œuvre du SCALANCE S612 / S613, vous configurez des partenaires ou sous-réseaux statiquement, vous devrez également charger à nouveau la configuration du client SOFTNET Security utilisé dans le groupe VPN. 8. Activez les partenaires dont l'indication d'état signale qu'ils ne sont pas encore reliés par une connexion par tunnel. Après établissement de la connexion, vous pourrez démarrer votre application, STEP 7 par exemple, et établir une liaison de communication à un partenaire. IMPORTANT Si votre PG/PC est équipé de plusieurs carte de réseau, SOFTNET Security Client sélectionne automatiquement celle qui tente d'établir un tunnel. SOFTNET Security Client n'a éventuellement pas trouvé de carte adaptée à votre projet et a entré une carte quelconque. Le cas échéant, vous devrez adapter le paramétrage de la carte réseau manuellement à l'aide du menu contextuel des partenaires et des modules SCALANCE S. Signification des paramètres Tableau 7-1 Paramètres dans la zone de dialogue "Tunnel overview" Paramètres Signification / Plage de valeurs Status Les indications d'état sont décrites dans le tableau 7 2 Name Nom du module ou du partenaire repris de la configuration sous Security Configuration Tool. IP d'abonné / sous-réseau int. L'adresse IP du nœud interne et l'identificateur du sous-réseau interne s'il existe des abonnées / sous-réseaux internes IP de terminaison de tunnel Adresse IP du module SCALANCE S ou MD741-1 affecté Tunnel over.. Si vous utilisez plusieurs cartes réseau sur votre PC, ce paramètre affiche l'adresse IP affectée. Instructions de service, 07/2011, C79000-G8977-C

226 SOFTNET Security Client (S612 / S613) 7.5 Configuration et édition de tunnels Tableau 7-2 Indications d'état Icône Signification Aucune connexion n'est établie au module ou au partenaire. Il existe d'autres partenaires que ne sont pas affichés. Double-cliquez sur l'icône pour afficher d'autres partenaires. L'abonné n'est pas activé. L'abonné est activé. Module SCALANCE S désactivé. Module SCALANCE S activé. Module MD741-1 désactivé. Module MD741-1 activé. Sous-réseau interne désactivé. Sous-réseau interne activé. Le module / abonné n'est pas accessible. Le module / abonné est accessible. Test d'accessibilité désactivé. Case à cocher "Enable active learning" Si, dans la configuration des modules SCALANCE S, vous avez activé le mode d'apprentissage, vous pouvez également utiliser le mode d'apprentissage pour le SOFTNET Security Client ; vous obtiendrez ainsi automatiquement les informations des modules SCALANCE S. La case à cocher "Activate learning mode" est sinon désactivée et grisée. 226 Instructions de service, 07/2011, C79000-G8977-C196-08

227 SOFTNET Security Client (S612 / S613) 7.5 Configuration et édition de tunnels Sélection et commande de l'entrée de tunnel Le dialogue "Tunnel" permet de sélectionner une entrée et d'accéder à d'autre commande au moyen du bouton droit de la souris. IMPORTANT Si vous utilisez plusieurs adresses IP pour une carte réseau, vous serez obligé, dans le dialogue "Tunnel", d'affecter à chaque entrée l'adresse IP à utiliser. Bouton "Delete All" Ce bouton supprime intégralement la stratégie de sécurité IP, y compris le entrées complémentaires qui n'ont pas été créées par SOFTNET Security Client. Instructions de service, 07/2011, C79000-G8977-C

228 SOFTNET Security Client (S612 / S613) 7.5 Configuration et édition de tunnels Désactivation et activation de connexions sécurisées déjà configurées Vous pouvez désactiver des connexions sécurisées déjà configurées au moyen du bouton "Desable". Si vous avez cliqué sur le bouton, le texte du bouton se transforme en "Activer" et l'icône de la barre d'état est remplacée. Sur le PC, la stratégie de sécurité est alors désactivée. Cliquez à nouveau sur le bouton pour annuler la modification décrite ci-dessus et réactiver les tunnels configurés. Console de journal La console de journal se trouve dans la partie inférieure du dialogue "Tunnel Overview" ; elle fournit des informations de diagnostic sur l'établissement de la liaison avec les modules SCALANCE S / MD741-1configurés et les partenaires / sous-réseaux internes. Les événements sont horodatés. L'activation et la désactivation d'une Security Association est affiché. Le journal indique également les pings de test (test d'accessibilité) adressés aux partenaires configurés si le résultat est négatif. Vous pouvez configurer dans la boîte de dialogue "Paramètres" les informations que vous voulez voir afficher. Bouton "Vider liste" Il supprime, lorsqu'il est actionné, les entrées de la console de journal dans "Tunnel Overview". Paramétrages globaux pour SOFTNET Security Client Ouvrez, dans le dialogue principal du SOFTNET Security Client, l'option de menu : Options Paramètres Vous pouvez définir ici les paramètres globaux qui seront conservés après fermeture et réouverture du SOFTNET Security Client. Pour les fonctions, voir le tableau ci-dessous. Fonction Taille du fichier journal (console de journal) Nombre de messages à afficher dans la console de journal de "Tunnel Overview" Description / Options Taille du fichier source du journal dans lequel sont consignés les messages qui, après filtrage et limitation à un nombre défini, sont affichés dans la console de journal Nombre de messages extraits du fichier source du journal et affichés sur la console de journal 228 Instructions de service, 07/2011, C79000-G8977-C196-08

229 SOFTNET Security Client (S612 / S613) 7.5 Configuration et édition de tunnels Fonction Afficher les messages de journal suivants dans la console de journal de "Tunnel Overview" : Description / Options Les messages affichés en option dans la console de journal peuvent être activés/désactivés ici Affichage des tests d'accessibilité (ping) négatifs Création / suppression de Security Associations (Quick Modes) Création / suppression de Main Modes Chargement des fichiers de configuration Apprentissage des abonnés internes Taille du fichier de journal (debug logfiles) Teste d'accessibilité, temps d'attente de la réponse Désactivation global du test d'accessibilité Taille des fichiers sources du journal de messages de débogage du SOFTNET Security Client (peuvent être demandés au Customer Support pour faciliter les analyses) Temps d'attente paramétrable du ping indiquant l'accessibilité du partenaire de tunnel. Il est important de le paramétrer surtout dans le cas de tunnels établis sur des voies de transmission lentes (UMTS, GPRS, etc.) sur lesquelles les temps de propagation des paquets de données sont nettement plus longs. Il a donc une influence directe sur l'affichage de l'accessibilité dans "Tunnel Overview". Nota Sélectionnez pour les réseaux hertziens un temps d'attente d'au moins 1500 ms. Si vous activez cette fonction, le test d'accessibilité est désactivé globalement pour toutes les configurations contenues dans le SOFTNET Security Client. Ceci présente l'avantage de ne pas générer, par des paquets additionnels, de volume de données supplémentaire mais aussi l'inconvénient de ne pas être informé dans "Tunnel Overview" de l'accessibilité du partenaire du tunnel. Instructions de service, 07/2011, C79000-G8977-C

230 SOFTNET Security Client (S612 / S613) 7.5 Configuration et édition de tunnels Diagnostic de module avancé Ouvrez, dans le dialogue principal du SOFTNET Security Client, l'option de menu : Options Diagnostic de module avancé Vous pouvez analyser ici l'état momentané de votre système en relation avec un module configuré. Cet affichage sert uniquement au diagnostic de l'état du système et permet de répondre aux questions du Customer Support. Module SCALANCE S / MD741-1 Permet de sélectionner le module auquel s'appliquera le diagnostic du système. Paramètres de routage (paramètres spécifiques du module) Affiche les paramètres de configuration du module, notamment des interfaces et des noeuds / sous-réseau internes. Main Modes / Quick Modes actifs Affiche en détail les Main Modes ou Quick Modes actifs dès que ceux-ci ont été créés sur la PG/le PC pour le module sélectionné. L'écran affiche en outre le nombre de Main Modes ou Quick Modes trouvés sur le système en fonction du module sélectionné. Paramètres de routage (paramètres de réseau de l'ordinateur) Affiche les paramètres de routage momentanés de votre ordinateur. L'option "Afficher tous les paramètres de routage" permet d'afficher les paramètres de routage qui étaient masqués pour assurer une meilleure lisibilité Adresses IP affectées Affiche une liste des interfaces de réseau, connues de l'ordinateur, mentionnant les adresses IP configurées ou affectées. 230 Instructions de service, 07/2011, C79000-G8977-C196-08

231 Fonctions en ligne - test, diagnostic et journalisation 8 Le SCALANCE S est doté de fonctions de diagnostic et de journalisation à des fin de test et de surveillance. Fonctions de diagnostic On entent par là diverses fonctions système et d'état utilisables en mode en ligne. Fonctions de journalisation Il s'agit ici de l'enregistrement des événements système et de sécurité. Les événements sont enregistrés dans des zones tampons du SCALANCE S ou d'un serveur. Le paramétrage et l'analyse de ces fonctions présuppose l'existence d'une connexion au module SCALANCE S. Enregistrement d'événements avec les fonctions de journalisation Les événements à enregistrer sont définis avec les paramètres de journalisation pour chaque module SCALANCE S. Vous pouvez configurer pour l'enregistrement les variantes suivantes : Journal local Cette variante consiste à enregistrer les événements dans les tampons locaux du module SCALANCE S. Le dialogue Online du Security Configuration Tool vous permet d'accéder à ces enregistrements, de les visualiser et de les archiver dans la station de service. Syslog réseau Pour le Syslog réseau vous devez faire appel à un serveur Syslog connecté au réseau. Celui-ci enregistre les événements en fonction de la configuration des paramètres de journalisation du module SCALANCE S en question. Informations complémentaires F1 Pour des informations détaillées sur les dialogues et les paramètres enregistrés dans le diagnostic et la journalisation, veuillez vous référer à l'aide en ligne de Security Configuration Tool. Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue en question. Voir aussi Vue d'ensemble des fonctions du dialogue Online (Page 232) Instructions de service, 07/2011, C79000-G8977-C

232 Fonctions en ligne - test, diagnostic et journalisation 8.1 Vue d'ensemble des fonctions du dialogue Online 8.1 Vue d'ensemble des fonctions du dialogue Online SCALANCE S propose dans le dialogue Online les fonctions suivantes dans Security Configuration Tool : Tableau 8-1 Fonctions et journalisation dans le diagnostic en ligne Fonction / onglet du dialogue Online Signification Fonctions système et d'état Status Communication Status (S612/ S613) Date and Time Internal Nodes (S612/ S613) Affichage de l'état du module SCALANCE S sélectionné dans le projet. Affichage de l'état des communications et des noeuds de réseau internes avec les autres modules SCALANCE S appartenant au groupe VPN. Réglage de la date et de l'heure. Affichage des noeuds internes du module SCALANCE S. Fonctions de journalisation System Log Affichage des événements système enregistrés. Audit Log Affichage des événements de sécurité enregistrés. Paket Filter Log Affichage de paquets de données journalisés de même que démarrage et arrêt de la journalisation de paquets. Remarque : Veuillez tenir compte des informations sur les types d'appareil. Conditions d'accès Pour pouvoir exécuter en ligne les fonctions en ligne sur un module SCALANCE S, les conditions suivantes doivent être remplies : le mode en ligne du Security Configuration Tool est activé une connexion de réseau au module sélectionné est établie le projet correspondant, avec lequel le module a été configuré, est ouvert Ouverture du dialogue en ligne Changez le mode de fonctionnement du Security Configuration Tool à l'aide de la commande de menu suivante : View Online Sélectionnez le module à éditer puis la commande de menu suivante pour ouvrir le dialogue Online Edit Online Properties 232 Instructions de service, 07/2011, C79000-G8977-C196-08

233 Fonctions en ligne - test, diagnostic et journalisation 8.1 Vue d'ensemble des fonctions du dialogue Online Message d'avertissement en cas de configuration ou de projet non conforme Lorsque vous ouvrez le dialogue en ligne, il vérifie que la configuration actuelle du module SCALANCE S correspond bien à la configuration du projet chargé. Si les deux configurations diffèrent, un message d'avertissement est émis. Celui-ci signale que la configuration n'est pas (encore) à jour ou que le projet utilisé est erroné. Les parmétrages en ligne ne sont pas enregistrés dans la configuration Les paramétrages que vous effectuez en ligne ne sont pas enregistrés dans la configuration du module SCALANCE S. Après un redémarrage du module, les paramétrages actifs sont par conséquent toujours ceux de la configuration. Instructions de service, 07/2011, C79000-G8977-C

234 Fonctions en ligne - test, diagnostic et journalisation 8.2 Enregistrement d'événements (journalisation) 8.2 Enregistrement d'événements (journalisation) Présentation Les événements survenant sur le SCALANCE S peuvent être enregistés. L'enregistrement s'effectue, selon le type d'événement, dans des zones tampons locales volatiles ou permanentes. L'enregistrement peut également s'effectuer sur un serveur du réseau. Configuration en mode standard et en mode avancé Le choix proposé par le Security Configuration Tool dépend, également dans le cas de la journalisation, de l'affichage sélectionné : Mode standard La journalisation locale est activée par défaut en mode standard ; les événements de filtrage de paquets peuvent être activés globalement dans l'onglet "Firewall". Le Syslog réseau n'est pas possible dans cet affichage. Mode avancé Toutes les fonctions de journalisation peuvent être activées ou désactivées individuellement ; les événements de filtrage de paquets doivent être activés sélectivement dans l'onglet "Firewall" (règles locales ou globales). Procédure d'enregistrement et classes d'événement Vous pouvez définir dans la configuration les données à enregistrer. Vous activez ainsi l'enregistrement dès le chargement de la configuration sur le module SCALANCE S. Vous sélectionnez en outre dans la configuration l'une ou les deux procédures d'enregistrement : Journal local Syslog réseau Le SCALANCE S connaît pour les deux procédures d'enregistrement les trois types d'événements suivants : 234 Instructions de service, 07/2011, C79000-G8977-C196-08

235 Fonctions en ligne - test, diagnostic et journalisation 8.2 Enregistrement d'événements (journalisation) Tableau 8-2 Journalisation - Présentation de tous les événements sélectionnables Fonction / onglet du dialogue Online Evénements de filtrage de paquets (pare-feu) / Packet Filter Log Evénements de sécurité / Audit Log Evénements système / System Log Fonctionnement Le journal des paquets filtrés enregistre certains paquets du trafic de données. Le journal enregistre les paquets de donnnées qui sont conformes aux critères de filtrage de paquets configurés (pare-feu) ou qui ont déclenché une réaction de la protection de base (paquets corrompus ou non valides). Ceci présuppose que l'enregistrement soit activé pour la règle de filtrage de paquets. Le journal de sécurité enregistre automatiquement et en permanence les événements touchant à la sécurité. A titre d'exemple : les actions de l'utilisateur telles que l'activation ou la désactivation de la journalisation des paquets ou telles qu'une authentification par mot de passe incorrecte. Le journal système enregistre automatiquement et en continu les événements système, tels que le démarrage d'un processus. L'enregistrement est modulable par le biais des classes d'événement. Vous pouvez en outre configurer un diagnostic des lignes. Le diagnostic des lignes émet des messages dès que le nombre de paquets de télégramme erronés dépasse un seuil défini. Procédures d'enregistrement des données pour la journalisation locale Pour l'enregistrement des données, vous avez le choix entre deux procédures : Tampon cyclique Lorsque le tampon est plein, l'enregistrement se poursuit au début par l'écrasement des entrées les plus anciennes. Tampon à stockage limité L'enregistrement s'arrête dès que le tampon est plein. Activation et désactivation de la journalisation En mode hors ligne, vous pouvez activer la journalisation locale pour les classes d'événement et la procédure d'enregistrement au moyen des paramètres de journal. Ces paramètres de journal sont chargés avec la configuration sur le module et prennent effet au démarrage du SCALANCE S. Vous pouvez également activer ou désactiver en cas de besoin la journalisation locale des événements de filtrage de paquets et des événements système dans les fonctions en ligne. Les paramètres de la configuration de projet ne seront toutefois pas modifiés. Instructions de service, 07/2011, C79000-G8977-C

236 Fonctions en ligne - test, diagnostic et journalisation 8.2 Enregistrement d'événements (journalisation) Journal local - Paramètres dans la configuration En mode hors ligne, vous pouvez activer les classes d'événement et la procédure d'enregistrement au moyen des paramètres de journal. Ces paramètres de journal sont chargés avec la configuration sur le module et prennent effet au démarrage du SCALANCE S. En cas de besoin, vous pouvez modifier ces paramètres de journal configurés dans les fonctions en ligne. Les paramètres de la configuration de projet ne seront toutefois pas modifiés. Paramètres de journal en mode standard Les paramètres de journal en mode standard correspondent aux paramètres par défaut du mode avancé. En mode standard vous ne pouvez toutefois pas modifier les paramètres. Paramètres de journal en mode avancé Sélectionnez le module à éditer puis la commande de menu suivante : Edit Properties..., onglet "Paramètres de journal" Le dialogue ci-après présente les paramètres par défaut du SCALANCE S ; la figure présente en outre le dialogue de configuration de l'enregistrement des événements système : 236 Instructions de service, 07/2011, C79000-G8977-C196-08

237 Fonctions en ligne - test, diagnostic et journalisation 8.2 Enregistrement d'événements (journalisation) Configuration des classes d'événement Tableau 8-3 Journal local - Fonctions Fonction / onglet du dialogue Online Evénements de filtrage de paquets (pare-feu) / Packet Filter Log (configurable) Evénements de sécurité / Audit Log (toujours activé) Configuration L'activation s'effectue au moyen des cases à cocher. La sélection de la procédure d'enregistrement s'obtient au moyen des cases d'option. La journalisation est toujours activée. Les données sont enregistrées dans le tampon cyclique. Observations Les données du journal de filtre de paquets ne sont pas rémanentes Ces données sont enregistrées dans une mémoire volatile du SCALANCE S et sont donc perdues dès que la tension est coupée. Les données du journal de sécurité sont rémanentes Les données du journal de sécurité sont enregistrées dans une mémoire rémanente du SCALANCE S. Ces données restent donc disponibles même après coupure de la tension. Instructions de service, 07/2011, C79000-G8977-C

238 Fonctions en ligne - test, diagnostic et journalisation 8.2 Enregistrement d'événements (journalisation) Fonction / onglet du dialogue Online Evénements système / System Log (configurable) Configuration L'activation s'effectue au moyen des cases à cocher. La sélection de la procédure d'enregistrement s'obtient au moyen des cases d'option. Le dialogue de configuration des filtres d'événement et du diagnostic des lignes s'ouvre au moyen du bouton "Configuration...". Dans ce sous-dialogue des événements système, vous définissez un niveau de filtrage. Le plus haut niveau étant paramétré par défaut, les événements critiques sont les seuls à être enregistrés. Le diagnostic des lignes génère un événement système spécifique. Un événement système est généré lorsqu'un pourcentage défini de télégrammes erronés est dépassé. La priorité et la signification (Facillity) paramétrables dans ce sous-dialogue sont affectés à cet événement système. Observations Les données du journal système ne sont pas rémanentes Les données du journal système sont enregistrées dans une mémoire volatile du SCALANCE S. Ces données sont donc perdues dès que la tension est coupée. Filtrage des événements système Sélectionnez le niveau de filtrage "Error" ou un niveau supérieur pour empêcher l'affichage d'événements généraux, non critiques. Priorité des événements système du diagnostic de lignes Veillez à ce que les événements système du diagnostic de lignes ne possèdent pas une priorité inférieure à celle paramétrée pour le filtre. Si la priorité était plus faible, ces événements ne passeraient pas le filtre et ne seraient pas enregistrés Syslog réseau - Paramètres dans la configuration Vous pouvez configurer le SCALANCE S de sorte qu'il fournisse des informations en tant que client Syslog à un serveur Syslog. Le serveur Syslog peut se trouver dans un sousréseau interne ou externe. L'implémentation est conforme à RFC Remarque Pare-feu - Serveur Syslog inactif dans le réseau externe Si le serveur Syslog n'est pas actif sur l'ordinateur adressé, cet ordinateur retourne en règle générale des télégrammes de réponse ICMP "port not reachable". Si, du fait de la configuration du pare-feu, ces télégrammes de réponse sont enregistrés comme événements système et transmis au serveur Syslog, cette opérations peut se poursuivre à l'infini (avalanche d'événements). Remèdes : démarrer le serveur Syslog ; modifier les règles du pare-feu ; déconnecter l'ordinateur du réseau tandis que le serveur Syslog est désactivé ; 238 Instructions de service, 07/2011, C79000-G8977-C196-08

239 Fonctions en ligne - test, diagnostic et journalisation 8.2 Enregistrement d'événements (journalisation) Passage au mode avancé La configuration du serveur Syslog n'est possible dans Security Configuration Tool qu'en "Mode avancé". Changer de mode avec la commande de menu suivante : View Advanced Mode... Définition des paramètres de journal Sélectionnez le module à éditer puis la commande de menu suivante : Edit Properties..., onglet "Paramètres de journal" Le dialogue ci-après présente les paramètres par défaut du SCALANCE S lorsque la journalisation Syslog réseau est activée : Instructions de service, 07/2011, C79000-G8977-C