Notions de base et application SIMATIC NET. Industrial Ethernet Security Notions de base et application. Avant-propos

Transcription

1 Avant-propos Introduction et notions élémentaires 1 SIMATIC NET Industrial Ethernet Security Manuel de configuration Configuration sous Security Configuration Tool 2 Création de modules et définition des paramètres de 3 réseau Configuration du pare-feu 4 Configuration d'autres propriétés de module 5 Communication sécurisée sur le VPN par tunnel IPsec 6 Redondance de routeur et de pare-feu 7 SOFTNET Security Client 8 Fonctions en ligne - test, diagnostic et journalisation 9 A Annexe B Bibliographie 09/2013 C79000-G8977-C286-02

2 Mentions légales Signalétique d'avertissement Ce manuel donne des consignes que vous devez respecter pour votre propre sécurité et pour éviter des dommages matériels. Les avertissements servant à votre sécurité personnelle sont accompagnés d'un triangle de danger, les avertissements concernant uniquement des dommages matériels sont dépourvus de ce triangle. Les avertissements sont représentés ci-après par ordre décroissant de niveau de risque. DANGER signifie que la non-application des mesures de sécurité appropriées entraîne la mort ou des blessures graves. ATTENTION signifie que la non-application des mesures de sécurité appropriées peut entraîner la mort ou des blessures graves. PRUDENCE signifie que la non-application des mesures de sécurité appropriées peut entraîner des blessures légères. IMPORTANT signifie que la non-application des mesures de sécurité appropriées peut entraîner un dommage matériel. En présence de plusieurs niveaux de risque, c'est toujours l'avertissement correspondant au niveau le plus élevé qui est reproduit. Si un avertissement avec triangle de danger prévient des risques de dommages corporels, le même avertissement peut aussi contenir un avis de mise en garde contre des dommages matériels. Personnes qualifiées L appareil/le système décrit dans cette documentation ne doit être manipulé que par du personnel qualifié pour chaque tâche spécifique. La documentation relative à cette tâche doit être observée, en particulier les consignes de sécurité et avertissements. Les personnes qualifiées sont, en raison de leur formation et de leur expérience, en mesure de reconnaître les risques liés au maniement de ce produit / système et de les éviter. Utilisation des produits Siemens conforme à leur destination Tenez compte des points suivants: ATTENTION Les produits Siemens ne doivent être utilisés que pour les cas d'application prévus dans le catalogue et dans la documentation technique correspondante. S'ils sont utilisés en liaison avec des produits et composants d'autres marques, ceux-ci doivent être recommandés ou agréés par Siemens. Le fonctionnement correct et sûr des produits suppose un transport, un entreposage, une mise en place, un montage, une mise en service, une utilisation et une maintenance dans les règles de l'art. Il faut respecter les conditions d'environnement admissibles ainsi que les indications dans les documentations afférentes. Marques de fabrique Toutes les désignations repérées par sont des marques déposées de Siemens AG. Les autres désignations dans ce document peuvent être des marques dont l'utilisation par des tiers à leurs propres fins peut enfreindre les droits de leurs propriétaires respectifs. Exclusion de responsabilité Nous avons vérifié la conformité du contenu du présent document avec le matériel et le logiciel qui y sont décrits. Ne pouvant toutefois exclure toute divergence, nous ne pouvons pas nous porter garants de la conformité intégrale. Si l'usage de ce manuel devait révéler des erreurs, nous en tiendrons compte et apporterons les corrections nécessaires dès la prochaine édition. Siemens AG Industry Sector Postfach NÜRNBERG ALLEMAGNE Numéro de référence du document: C79000-G8977-C P 09/2013 Sous réserve de modifications techniques Copyright Siemens AG Tous droits réservés

3 Avant-propos Avant-propos Ce manuel... vous aide à configurer les fonctions de sécurité des produits "Security Integrated" suivants : SCALANCE S : S602 / S612 / S623 / S627-2M SOFTNET Security Client CP S7 : CP Advanced, CP Advanced CP PC : CP 1628 Routeur GSM : SCALANCE M875 ainsi que SCALANCE M874-x Dénomination générale "module de sécurité" Dans la présente documentation, les produits ci-après sont regroupés sous la désignation "module de sécurité" : SCALANCE S602 / SCALANCE S612 / SCALANCE S623 / SCALANCE S627-2M, CP Advanced, CP Advanced, CP Les différences fonctionnelles sont repérées par des symboles (voir section "Légende des symboles"). Les descriptions de matériel et les instructions d'installation figurent dans les documents des divers modules. Utilisation des désignations "interface" et "port" Dans la présente documentation, les désignations ci-après sont utilisées pour les ports de modules SCALANCE S : "Interface externe" : le port externe du SCALANCE S602 / S612 / S623 ou un port externe du SCALANCE S627-2M (marquage rouge) "Interface interne" : le port interne du SCALANCE S602 / S612 / S623 ou un port interne du SCALANCE S627-2M (marquage vert) "Interface de DMZ" : Le port de DMZ du SCALANCE S623 / S627-2M (marquage jaune) La désignation "port" proprement dite est utilisée lorsqu'il est question d'un port particulier d'une interface. Manuel de configuration, 09/2013, C79000-G8977-C

4 Avant-propos Désignation générale "STEP 7" Les fonctions de sécurité des CP sont configurables à partir de STEP 7 V5.5 SP2 HF1. C'est pourquoi la désignation "STEP 7" est utilisée dans la présente documentation pour toutes les versions de STEP 7 à partir de V5.5. SP2 HF1 jusqu'à STEP 7 V10 non comprise. Pour savoir comment configurer les fonctions de sécurité de tous les modules de sécurité sous STEP 7 à partir de V12, consultez le système d'information de STEP 7 à partir de V12, rubrique "Industrial Ethernet Security". Désignation générale "CP x43-1 Adv." Dans la présente documentation, les produits ci-après sont regroupés sous la désignation "CP x43-1 Adv." : CP Advanced / CP Advanced. Security Configuration Tool V4.0 - Nouvelles fonctions Security Configuration Tool V4.0 intègre les nouvelles fonctions suivantes : SCALANCE S627-2M à deux emplacements pour module de connexion Le SCALANCE S627-2M est équipé, en plus des ports intégrés, de deux emplacements conçus pour recevoir chacun un module de connexion électrique ou optique à 2 ports. Les interfaces externe et interne du SCALANCE S627-2M sont ainsi complétées par deux ports chacune. Les ports des modules de connexion sont utilisables pour intégrer les SCALANCES S627-2M dans des topologies en anneau. Prise en charge de la redondance de supports par SCALANCE S627-2M Le SCALANCE S627-2M prend en charge les procédures de redondance de supports MRP et HRP, à savoir dans les deux cas comme client. En tant qu'abonné d'un anneau MRP/HRP, le SCALANCE S627-2M peut protéger une cellule d'automatisation ou un anneau subordonné. Cette sécurisation peut également être redondante. Toute défaillance de ligne est détectée par un gestionnaire d'anneau distinct, un SCALANCE X308 p. ex., et compensée par redirection des chemins de communications. Prise en charge de la détection de topologie avec LLDP par les modules SCALANCE S V4 Les modules de sécurité SCALANCE S602 V4 / S612 V4 / S623 V4 / S627-2M V4 prennent en charge le protocole de détection de topologie LLDP. Les systèmes de gestion de réseau peuvent ainsi intégrer les modules de sécurité cités dans la représentation de topologies de réseau. Redondance de routeur et de pare-feu avec SCALANCE S623 V4 / SCALANCE S627-2M V4 La redondance de routeur et de pare-feu permet de compenser automatiquement en fonctionnement une défaillance des modules de sécurité SCALANCE S623 V4 et SCALANCE S627-2M V4. L'un des deux modules de sécurité est pour ce faire défini comme module primaire, actif en fonctionnement normal. En cas de défaillance du module de sécurité ses fonctions de pare-feu et de routeur (NAT/NATP) sont automatiquement relayées par le module de sécurité passif. Pour assurer la configuration identique des deux modules de sécurité, ceux-ci sont interconnectés par leurs interfaces de DMZ, leurs configurations étant synchronisées durant le fonctionnement. 4 Manuel de configuration, 09/2013, C79000-G8977-C286-02

5 Avant-propos Translation d'adresse avec NAT/NAPT dans des tunnels VPN Des translations d'adresse NAT/NAPT peuvent être réalisées pour des relations de communication établies via tunnel VPN. Ceci est pris en charge sur SCALANCE S612 V4 / S623 V4 / S627-2M V4. Identification d'utilisateur via serveur Radius Des utilisateurs peuvent être authentifiés par un serveur RADIUS sur lequel vous pouvez centraliser les données de tous les utilisateurs. L'authentification par un serveur RADIUS est possible en cas d'activation d'un jeu de règles IP personnalisé. Synchronisation d'horloge "NTP (sécurisé)" pour modules SCALANCE S V4 La synchronisation d'horloge "NTP (sécurisé)" est utilisable pour les modules SCALANCE S V4. Extension de la fonctionnalité DNS L'établissement actif d'une liaison VPN par un SCALANCE S V4 (S612 / S623 / S627-2M) à une module de sécurité via son FQDN est pris en charge. Lors de la configuration de routeurs, serveurs Syslog, adresses IP WAN, serveurs NTP et serveurs RADIUS, il est désormais possible d'utiliser des adresses IP mais aussi des FQDN pour les modules SCALANCE S V4. Domaine de validité du manuel Ce manuel est valable pour les modules SIMATIC NET suivants : Module Référence Version de firmware SCALANCE S602 6GK BA10-2AA3 A partir de V4 SCALANCE S612 6GK BA10-2AA3 A partir de V4 SCALANCE S623 6GK BA10-2AA3 A partir de V4 SCALANCE S627-2M 6GK BA10-2AA3 A partir de V4 CP Advanced 6GK GX31-0XE0 A partir de V3 CP Advanced 6GK GX30-0XE0 A partir de V3 CP GK1162-8AA00 A partir de V8.2.2 Ce manuel est valable pour les outils de configuration SIMATIC NET suivants : Outil de configuration Référence Version SOFTNET Security Client 6GK VW04-0AA0 V4.0 Hotfix 1 Security Configuration Tool (SCT) - V4.0 A qui s'adresse ce manuel? Ce manuel s'adresse aux personnes chargées de mettre en place dans un réseau les fonctions de sécurité Industrial Ethernet. Manuel de configuration, 09/2013, C79000-G8977-C

6 Avant-propos SIMATIC NET Manual Collection (référence A5E ) Les modules SCALANCE S, les CP S7 ainsi que le PC-CP 1628 sont fournis avec la documentation SIMATIC NET Manual Collection. Cette documentation qui est mise à jour régulièrement, contient les manuels et descriptions à jour au moment de la publication. Symboles utilisés dans ces instructions de service Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S à partir de V3.0. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S à partir de V4.0. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S. Le chapitre / la section / la ligne en question concerne tous les modules de sécurité sauf SCALANCE S602. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S602 à partir de V3.1. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S623. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S627-2M. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S623 et SCALANCE S627-2M. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S623 à partir de V4.0 et SCALANCE S627-2M à partir de V4.0. Le chapitre / la section / la ligne en question concerne uniquement les CP S7. 6 Manuel de configuration, 09/2013, C79000-G8977-C286-02

7 Avant-propos Le chapitre / la section / la ligne en question concerne tous les modules de sécurité sauf les CP S7. Le chapitre / la section / la ligne en question concerne uniquement les CP PC. Le chapitre / la section / la ligne en question concerne tous les modules de sécurité sauf les CP PC. Le chapitre / la section / la ligne en question concerne tous les CP S7 et CP PC. Le chapitre / la section / la ligne en question concerne tous les modules de sécurité sauf les CP. Ce symbole attire votre attention sur des conseils particuliers. Ce symbole renvoie à des ouvrages de référence. Ce symbole signale l'existence d'informations détaillées dans l'aide contextuelle. Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue en question. Références bibliographiques /.../ Les renvois à d'autres documents sont repérés par un numéro entre deux barres obliques /.../. Ce numéro vous permettra de retrouver le titre du document en question dans la bibliographie qui se trouve à la fin du présent manuel. Manuel de configuration, 09/2013, C79000-G8977-C

8 Avant-propos Voir aussi Pages du Customer Support ( Glossaire SIMATIC NET Vous trouverez une explication des termes techniques figurant dans cette documentation dans le glossaire SIMATIC NET. Le glossaire SIMATIC NET se trouve ici : SIMATIC NET Manual Collection Le DVD est joint à certains produits SIMATIC NET. Sur Internet sous le numéro d'article : ( 8 Manuel de configuration, 09/2013, C79000-G8977-C286-02

9 Sommaire Avant-propos Introduction et notions élémentaires Notes importantes Introduction et notions élémentaires Caractéristiques du produit Fonctions Capacités fonctionnelles Echange de modules Mise en œuvre du SOFTNET Security Client Mise en oeuvre de SCALANCE S Mise en œuvre de SCALANCE S612, S623 et S627-2M Mise en œuvre de l'interface de DMZ de SCALANCE S623 et de SCALANCE S627-2M Utilisation des ports de module de connexion du SCALANCE S627-2M Mise en œuvre de CP Advanced et CP Advanced Mise en œuvre du CP Configuration et administration Configuration sous Security Configuration Tool Généralités - Fonctions et mode de fonctionnement Installation de Security Configuration Tool Systèmes d exploitation pris en charge Interface utilisateur et commandes de menu Création et gestion de projets Security Configuration Tool (variante autonome) Security Configuration Tool dans STEP Migration de données STEP Présentation Définition des valeurs d'initialisation par défaut d'un projet Contrôle de cohérence Attribution de mnémoniques aux adresses IP/MAC Données de configuration pour modules SCALANCE M Données de configuration pour appareils VPN Données de configuration pour clients VPN NCP (Android) Gestion des utilisateurs Présentation de la gestion des utilisateurs Création d'utilisateurs Création de rôles Manuel de configuration, 09/2013, C79000-G8977-C

10 Sommaire Gestion des droits Configuration des stratégies de mot de passe Authentification par serveur RADIUS Présentation Définition d'un serveur RADIUS Affectation d'un serveur RADIUS à un module de sécurité Gestion des certificats Présentation Renouvellement de certificats Remplacement de certificats Création de modules et définition des paramètres de réseau Paramètres dans le volet de contenu Configuration d'interfaces (SCALANCE S) Récapitulatif des possibilités de connexion Interfaces Connexion Internet DNS dynamique (DDNS) LLDP Redondance des supports dans les topologies en anneau Redondance de supports avec MRP/HRP Configuration de MRP/HRP pour le module de sécurité Particularités du mode fantôme Configuration du pare-feu CP en mode standard CP x43-1-adv Paramétrage par défaut du pare-feu Configuration du pare-feu Configuration de la liste d'accès Ajout d'une entrée à la liste d'accès CP Paramétrage par défaut du pare-feu Configuration du pare-feu SCALANCE S en mode Standard Paramétrage par défaut du pare-feu Configuration du pare-feu pour SCALANCE S V Configuration du pare-feu pour SCALANCE S < V Pare-feu en mode avancé Configuration du pare-feu en mode avancé Jeux de règles de pare-feu globaux Jeux de règles globales du pare-feu - Conventions Création et affectation de jeux de règles de pare-feu globaux Jeux de règles IP personnalisés Création et affectation de jeux de règles IP personnalisés Règles de pare-feu en rapport avec les liaisons, créées automatiquement Spécification des règles de filtrage de paquets IP locales Règles de filtrage de paquets IP Définition des services IP Définition des services ICMP Manuel de configuration, 09/2013, C79000-G8977-C286-02

11 Sommaire Paramétrage des règles de filtrage de paquets MAC Règles de filtrage de paquets MAC Définition des services MAC Création de groupes de services Adapter des règles par défaut pour services IP Configuration d'autres propriétés de module Module de sécurité comme routeur Présentation Définition du routeur par défaut et des routes Routage NAT/NAPT Translation d'adresses avec NAT/NAPT Translation d'adresse avec NAT/NAPT dans des tunnels VPN Corrélation entre routeur NAT/NAPT et pare-feu Corrélation entre routeur NAT/NAPT et pare-feu personnalisé Module de sécurité comme serveur DHCP Présentation Configuration d'un serveur DHCP Synchronisation d'horloge Présentation Configuration de l'horloge maître Définition d'un serveur NTP SNMP Présentation Activation de SNMP Proxy-ARP Communication sécurisée sur le VPN par tunnel IPsec VPN avec modules de sécurité Méthodes d'authentification Groupes VPN Règles de formation de groupes VPN Relations de communication par tunnel supportées Création de groupes VPN et affectation à des modules Configuration de tunnel en mode standard Configuration de tunnel en mode avancé Configuration des propriétés du groupe VPN Ajout d'un module de sécurité à un groupe VPN configuré Configuration des propriétés VPN spécifiques module Configuration des propriétés VPN spécifiques liaison Configuration de noeuds de réseau interne Configuration d'autres abonnés et sous-réseaux pour le tunnel VPN Fonctionnement du mode apprentissage Affichage des noeuds de réseau interne détectés Redondance de routeur et de pare-feu Présentation Manuel de configuration, 09/2013, C79000-G8977-C

12 Sommaire 7.2 Création d'une relation de redondance et affectation de modules de sécurité Configuration de relations de redondance SOFTNET Security Client Mise en oeuvre du SOFTNET Security Client Installation et mise en service du SOFTNET Security Client Installation et démarrage du SOFTNET Security Client Désinstallation du SOFTNET Security Client Création du fichier de configuration avec l'outil de configuration Security Configuration Tool Utilisation du SOFTNET Security Client Configuration et édition de tunnels Fonctions en ligne - test, diagnostic et journalisation Vue d'ensemble des fonctions du dialogue Online Enregistrement d'événements (journalisation) Journal local - Paramètres dans la configuration Syslog réseau - Paramètres dans la configuration Configuration de la journalisation de paquets A Annexe A.1 Conformité DNS A.2 Plages de valeurs de l'adresse IP, du masque de sous-réseau et de l'adresse de la passerelle de réseau A.3 Adresse MAC B Bibliographie B.1 Introduction - sans CD/DVD B.2 CP S7 / Concernant la configuration, la mise en service et l'utilisation du CP B.3 Concernant la configuration sous STEP 7 / NCM S B.4 CP S7 Pour le montage et la mise en service du CP B.5 Concernant l'installation et la mise en service d'un réseau Industrial Ethernet B.6 Notions de base SIMATIC et STEP B.7 Communication industrielle Volume B.8 Concernant la configuration de stations PC / PG B.9 Concernant la configuration de CP PC B.10 SIMATIC NET Industrial Ethernet Security Index Manuel de configuration, 09/2013, C79000-G8977-C286-02

13 Sommaire Manuel de configuration, 09/2013, C79000-G8977-C

14

15 Introduction et notions élémentaires 1 Notes relatives à la sécurité des données Remarque Siemens offre pour son portefeuille de produits d automatisation et entraînements des mécanismes de sécurité garantissant une exploitation sécurisée de l'installation ou de la machine. Nous adaptons constamment nos produits aux progrès en matière de sécurité industrielle. Nous vous recommandons par conséquent de vous informer régulièrement des dernières actualisations et mises à jour de nos produit et de n'utiliser que les dernières versions en date. Vous trouverez des informations à ce sujet sous : ( fr) Vous pouvez vous abonner ici à la newsletter correspondant à votre produit. Pour assurer un fonctionnement en toute sécurité d'une installation/machine, il est en outre nécessaire d'intégrer les composants d'automatisation dans un concept de sécurité industrielle des données global, conforme à l'état actuel des TIC et couvrant l'installation/machine complète. Vous trouverez des informations à ce sujet sous : ( Tenez également compte des produits mis en œuvre, issus d'autres constructeurs. 1.1 Notes importantes Général Remarque Protection contre les accès illicites Veillez à ce que l'ordinateur de configuration (PC/PG) et le projet soient protégés contre les accès illicites. Remarque Désactivation du compte Invité Veillez à ce que le compte Invité soit désactivé sur l'ordinateur de configuration Manuel de configuration, 09/2013, C79000-G8977-C

16 Introduction et notions élémentaires 1.1 Notes importantes Remarque Date et heure à jour sur les modules de sécurité Veillez, lors de l'utilisation de la communication sécurisée (via HTTPS, VPN,... par ex.), à ce que les modules de sécurité concernés possèdent bien la date et l'heure actuelles. Les certificats utilisés sont sinon considérés non valides et la communication sécurisée ne fonctionnera pas. Remarque Logiciel antivirus à jour Nous vous conseillons de toujours installer un logiciel antivirus à jour sur tous les ordinateurs de configuration et de l'activer. Remarque FTPS Lorsque la désignation "FTPS" est utilisée dans la présente documentation, il est question de FTPS en mode explicite (FTPES). Remarque Retour au mode standard impossible. Après être passé au mode avancé dans le projet actuel, vous ne pourrez plus retourner au mode standard. Remède sous SCT autonome : Fermez le projet sans l'enregistrer puis rouvrez-le. Remarque Mesures de sécurité supplémentaires pour SOFTNET Security Client SOFTNET Security Client offre une solution de communication sûre avec des cellules d'automatisation via VPN. Pour une auto-protection des PC/PG et de la cellule d'automatisation qui leur est associée, des mesures supplémentaires telles que scanner anti-virus et pare-feu Windows sont recommandées. Sous Windows 7, il faut activer le pare-feu du système d'exploitation pour pouvoir établir des tunnels VPN. 16 Manuel de configuration, 09/2013, C79000-G8977-C286-02

17 Introduction et notions élémentaires 1.1 Notes importantes CP x43-1 Adv. Remarque Paramètres de sécurité complémentaires Pour éviter que des données de configuration illicites ne soient chargées sur le CP, vous devez définir des paramètres de sécurité complémentaires sur le pare-feu du CP (blocage de la communication S7 ou autoriser exclusivement la communication tunnelisée p. ex.) ou prendre des mesures de sécurité externe. STEP 7 Remarque "Enregistrer et compiler" après modifications Pour que les paramètres de sécurité des données soient repris dans les blocs de données système (hors ligne) appropriés, sélectionnez, après avoir effectué des modifications, le menu "Station" > "Enregistrer et compiler" dans HW Config ou "Réseau" > "Enregistrer et compiler" dans NetPro. Remarque Ouverture d'une station alors que Security Configuration Tool est ouvert Fermez le Security Configuration Tool avant d'ouvrir une nouvelle station à l'aide du SIMATIC Manager ou de NetPro. Remarque Aucun multiprojet STEP 7 associé à Security Une configuration de sécurité particulière est créée pour chaque projet STEP 7 lors de l'activation de la sécurité des données. Les multiprojets STEP 7 en rapport avec Security ne sont donc pas pris en charge. Manuel de configuration, 09/2013, C79000-G8977-C

18 Introduction et notions élémentaires 1.2 Introduction et notions élémentaires 1.2 Introduction et notions élémentaires En acquérant les modules de sécurité SIMATIC NET et le SIMATIC NET SOFTNET Security Client vous avez opté pour le concept de sécurité SIEMENS, un concept qui répond aux sévères exigences de la communication sécurisée en automatique industrielle. Remarque Logiciel antivirus à jour Nous vous conseillons de toujours installer un logiciel antivirus à jour sur tous les ordinateurs de configuration. Ce chapitre vous donne un aperçu des fonctions de sécurité dont sont dotés les appareils et composants : SCALANCE S CP x43-1 Adv. CP 1628 SOFTNET Security Client Conseil : Une prise en main rapide des modules de sécurité est fournie dans le documents "SIMATIC NET Security - Mise en route" 1.3 Caractéristiques du produit Fonctions Fonctions des types de module Le tableau ci-après récapitule les fonctions prises en charge par les modules de sécurité. Remarque Vous trouverez dans ce manuel une description de toutes les fonctions. Consultez le tableau ci-après pour savoir quelles sont les fonctions prises en charge par le module de sécurité que vous utilisez. Tenez également compte des informations complémentaires fournies par les titres de chapitre. 18 Manuel de configuration, 09/2013, C79000-G8977-C286-02

19 Introduction et notions élémentaires 1.3 Caractéristiques du produit Tableau 1-1 Fonctions Fonction CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Configuration via Security Configuration Tool - - x Security Configuration Tool intégré dans STEP 7 Compatibilité avec les listes de contrôles d'accès IP (ACL) x x x x - - Général Routeur NAT/NAPT x - x Routage NAT/NAPT dans des liaisons VPN - - x Serveur DHCP - - x Pare-feu Règles de pare-feu locales x x x Jeux de règles de pare-feu globaux x x x Jeux de règles IP personnalisés - - x IPsec Etablissement de tunnels IPsec x x x Gestion des utilisateurs Gestion des utilisateurs x x x Migration du gestionnaire des utilisateurs actuel Identification d'utilisateur via serveur Radius x - x - - x Protocoles pris en charge SNMPv3 x x x Serveur HTTPS x - x Serveur FTPS x - - Client FTPS x - - Client NTP x x x Client NTP (sécurisé) x x x Client PPPoE - - x Client DDNS / client DNS - - x LLDP x - x Client MRP/HRP - - x Journalisation Enregistrement d'évènements système x x x Enregistrement d'évènements d'audit x x x Enregistrement d'évènements de filtre de paquets x x x Manuel de configuration, 09/2013, C79000-G8977-C

20 Introduction et notions élémentaires 1.3 Caractéristiques du produit Fonction CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Messages d'audit dans les tampons de diagnostic du module de sécurité Accès via Security Configuration Tool aux tampons de journal du module de sécurité Diagnostic via Security Configuration Tool Envoi des messages au serveur Syslog x x - x x x x x x x x x Diagnostic web x - - Mode fantôme Recherche de l'adresse IP de l'abonné interne en cours de fonctionnement et adoption de l'adresse IP pour le port externe du module de sécurité. - - x Zone démilitarisée (DMZ) Configuration d'une DMZ pour découpler le réseau sécurisé du réseau non sécurisé - - x Redondance de routeur et de pare-feu Redondance des modules de sécurité pour relayer la fonctionnalité de routeur et de pare-feu en cas de défaillance d'un module de sécurité - - x x La fonction est prise en charge - La fonction n'est pas prise en charge Capacités fonctionnelles Remarque Vous trouverez un récapitulatif complet des capacités fonctionnelles admissibles sur Internet à l'adresse suivante : ( 20 Manuel de configuration, 09/2013, C79000-G8977-C286-02

21 Introduction et notions élémentaires 1.3 Caractéristiques du produit Capacités fonctionnelles Fonction CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Tunnels VPN par module de sécurité 32 max. 64 max. 128 max. Règles de pare-feu par module de sécurité Serveurs NTP à l'échelle du projet (serveurs NTP affectables par module de sécurité) 256 max. 32 (4) Quelles sont les règles applicables aux noms d'utilisateur, noms de rôle et mots de passe? Tenez compte des règles suivantes lors de la création et de la modification d'un utilisateur, d'un rôle ou d'un mot de passe : Caractères admissibles Les caractères ASCII US suivants sont autorisés : A...Z a...z!#$%&()*+,-./:;<=>?@ [\]_{ }~ ^` Caractères interdits " ' Longueur du nom d'utilisateur (méthode d'authentification caractères "mot de passe") Longueur du nom d'utilisateur (méthode d'authentification caractères "RADIUS") Longueur du mot de passe caractères Longueur du nom de rôle caractères Nombre maximal d'utilisateurs par projet 128 Nombre maximal d'utilisateurs par module de sécurité administrateur lors de la création du projet Nombre maximal de rôles par projet 128 (122 personnalisés + 6 définis par le système) Nombre maximal de rôles par module de sécurité 37 (31 personnalisés + 6 définis par le système) Remarque Noms d'utilisateur et mots de passe Une mesure importante d'amélioration de la sécurité consiste à toujours veiller à ce que les noms d'utilisateur et les mots de passe soient le plus longs possibles et contiennent des caractères spéciaux, des minuscules/majuscule ainsi que des chiffres. Les stratégies de mot de passe permettent d'accroître encore la sévérité des restrictions pour mot de passe mentionnées ci-dessus. Pour savoir comment définir des stratégies de mot de passe, veuillez vous référer au chapitre suivant Configuration des stratégies de mot de passe (Page 79) Manuel de configuration, 09/2013, C79000-G8977-C

22 Introduction et notions élémentaires 1.3 Caractéristiques du produit Force du mot de passe Lors de la saisie d'un nouveau mot de passe, sa "force" est vérifiée. On distingue les niveaux de force de mot de passe suivants : très faible faible moyen bon fort très fort Remarque Contrôle de la force du mot de passe d'utilisateurs existants Contrôlez la force du mot de passe. des utilisateurs existant déjà dans le projet, du premier utilisateur créé sous STEP 7 des utilisateurs migrés, en sélectionnant l'utilisateur en question dans l'onglet "Utilisateurs" de la gestion des utilisateurs puis en cliquant sur le bouton "Editer..." Echange de modules Pour accéder à cette fonction 1. Sélectionnez le module de sécurité ou le SOFTNET Security Client à éditer. 2. Sélectionnez la commande de menu "Edition" > "Echanger module...". 3. Selon le type de produit et la version de firmware du module sélectionné, vous pouvez adapter dans la boîte de dialogue le type de module et/ou la version de firmware. Le tableau ci-après indique les modules que vous pouvez échanger sans perte de données et ceux avec perte éventuelle de données. Remarque Remplacement de CP Vous trouverez dans le manuel des informations sur le remplacement de CP. 22 Manuel de configuration, 09/2013, C79000-G8977-C286-02

23 Introduction et notions élémentaires 1.3 Caractéristiques du produit Module initial Echange de module possible S602 V2 S602 V3 S602 V4 S612 V1 S612 V2 S602 V2 - x x! x x x! x x x x S602 V3! - x!!!!!!!!! S602 V4!! -!!!!!!!!! S612 V1!!! - x x x x x x x x S612 V2!!!! - x x! x x x x S612 V3!!!!! - x!! x x x S612 V4!!!!!! -!! x x x S613 V1!!!!! x x - x x x x S613 V2!!!!! x x! - x x x S623 V3!!!!!!!!! - x x S623 V4!!!!!!!!!! - x S627-2M V4!!!!!!!!!!! - x sans pertes! avec pertes éventuelles - le port source n'est pas modifié S612 V3 S612 V4 S613 V1 S613 V2 S623 V3 S623 V4 S627-2M V4 Configuration initiale SOFTNET Security Client 2005 SOFTNET Security Client 2008 SOFTNET Security Client V3.0 SOFTNET Security Client V4.0 SOFTNET Security Client 2005 SOFTNET Security Client 2008 Echange possible SOFTNET Security Client V3.0 SOFTNET Security Client V4.0 - x x x x* - x x x* ** x** - x x* ** x** x - * Si le SOFTNET Security Client ne se trouve pas dans un groupe de routage. ** Si le SOFTNET Security Client ne se trouve pas avec un module SCALANCE M dans un groupe VPN. Voir aussi Interface utilisateur et commandes de menu (Page 45) /2/ (Page 264) Manuel de configuration, 09/2013, C79000-G8977-C

24 Introduction et notions élémentaires 1.4 Mise en œuvre du SOFTNET Security Client 1.4 Mise en œuvre du SOFTNET Security Client La communication PG/PC au sein du VPN - Fonction du SOFTNET Security Client Le logiciel SOFTNET Security Client, fonctionnant sur PC, permet à la PG/au PC d'accéder en toute sécurité via les réseaux publics à des automates programmables protégés par des modules de sécurité. SOFTNET Security Client configure automatiquement une PG/un PC de sorte qu'il puisse établir, via tunnel IPsec, une connexion sécurisée à un ou plusieurs modules de sécurité du VPN (Virtual Private Network). Ceci permet à des applications de PG/PC telles que Diagnostic NCM ou STEP 7, d'accéder par tunnelage sécurisé à des appareils ou réseaux se trouvant dans un réseau interne protégé par des modules de sécurité. Le logiciel de PC SOFTNET Security Client se configure également avec Security Configuration Tool, ce qui assure une configuration cohérente. 1.5 Mise en oeuvre de SCALANCE S602 Pare-feu et routeur - Fonction de SCALANCE S602 En combinant diverses fonctions de sécurité telles que pare-feu et routeur NAT/NAPT, le module de sécurité SCALANCE S602 protège les différents appareils, voire des cellules d'automatisation complètes, contre : l'espionnage de données les accès indésirables SCALANCE S602 permet d'assurer cette protection tout en profitant d'une grande souplesse et simplicité d'utilisation. SCALANCE S602 se configure à l'aide de l'outil de configuration Security Configuration Tool. 24 Manuel de configuration, 09/2013, C79000-G8977-C286-02

25 Introduction et notions élémentaires 1.5 Mise en oeuvre de SCALANCE S602 Figure 1-1 Configuration de réseau avec SCALANCE S602 Fonctions de sécurité Pare-feu Pare-feu IP avec Stateful Packet Inspection (couches 3 et 4) Pare-feu également pour télégrammes Ethernet "non IP" selon IEEE (télégrammes de couche 2 ; ne s'applique pas à S602 en cas d'utilisation du mode routeur) ; Limitation de bande passante Jeux de règles de pare-feu globaux Jeux de règles IP personnalisés Tous les nœuds de réseau, connectés à un segment de réseau interne du SCALANCE S, sont protégés par son pare-feu. Mode routeur Si vous utilisez SCALANCE S comme routeur, vous déconnectez le réseau interne du réseau externe. Le réseau interne connecté par le SCALANCE S devient ainsi un sousréseau distinct ; le SCALANCE S doit être adressé explicitement au moyen de son adresse IP. Protection des appareils et segments de réseau La fonction de sécurité du pare-feu peut s'étendre au fonctionnement d'un appareil, de plusieurs appareils ou de segments de réseau complets. Absence de rétroaction en cas d'intégration dans des réseaux plats (mode pont) Lors de l'intégration d'un SCALANCE S602 dans une infrastructure de réseau existante, il n'est pas nécessaire de reparamétrer les équipements terminaux. Manuel de configuration, 09/2013, C79000-G8977-C

26 Introduction et notions élémentaires 1.5 Mise en oeuvre de SCALANCE S602 Module de sécurité et abonné interne comme une seule unité (mode fantôme) Le module de sécurité se présente vers l'extérieur avec l'adresse IP de l'abonné interne et l'adresse MAC du module de sécurité. NTP (sécurisé) Pour la synchronisation d'horloge et la transmission de l'heure. Nœuds de réseau internes et externes SCALANCE S602 divise les réseaux en deux zones : en réseau interne : il s'agit de zones protégées équipées de "nœuds internes" Les nœuds internes sont tous les nœuds qui sont protégés par un SCALANCE S. en réseau externe : il s'agit de zones non protégées équipées de "nœuds externes" Les nœuds externes sont tous les nœuds qui se trouvent hors des zones protégées. Remarque Les réseaux internes sont considérés comme étant sûrs (dignes de confiance). Connectez un segment de réseau interne aux segments de réseau externes uniquement via SCALANCE S. Il ne doit pas exister d'autres liaisons entre le réseau interne et le réseau externe! 26 Manuel de configuration, 09/2013, C79000-G8977-C286-02

27 Introduction et notions élémentaires 1.6 Mise en œuvre de SCALANCE S612, S623 et S627-2M 1.6 Mise en œuvre de SCALANCE S612, S623 et S627-2M Protection sans faille - Fonction du SCALANCE S612, SCALANCE S623 et SCALANCE S627-2M En combinant diverses fonctions de sécurité telles que pare-feu, routeur NAT/NAPT et VPN (Virtual Private Network) via tunnel IPsec, les modules de sécurité SCALANCE S612, SCALANCE S623 et SCALANCE S627-2M protègent des appareils, voire des cellules d'automatisation complètes, contre : l'espionnage de données la manipulation de données les accès indésirables SCALANCE S offre toutes les facilités de réalisation d'une telle protection, sans répercussion sur le système et indépendamment du protocole utilisé (à partir de la couche 2 selon IEEE 802.3). SCALANCE S et SOFTNET Security Client sont configurés avec l'outil de configuration Security Configuration Tool. Figure 1-2 Configuration de réseau avec SCALANCE S612, SCALANCE S623 et SCALANCE S627-2M Manuel de configuration, 09/2013, C79000-G8977-C

28 Introduction et notions élémentaires 1.6 Mise en œuvre de SCALANCE S612, S623 et S627-2M Fonctions de sécurité Pare-feu Pare-feu IP avec Stateful Packet Inspection (couches 3 et 4) Pare-feu également pour télégrammes Ethernet "non IP" selon IEEE (télégrammes de couche 2 ; n'est pas disponible en cas d'utilisation du mode routeur) Limitation de bande passante Jeux de règles de pare-feu globaux Jeux de règles IP personnalisés Tous les nœuds de réseau, connectés à un segment de réseau interne du SCALANCE S, sont protégés par son pare-feu. Communication sécurisée par tunnel IPsec SCALANCE S et d'autres modules de sécurité peuvent être configurés en groupes. Des tunnels IPsec (VPN, Virtual Private Network) sont alors établis entre tous les modules de sécurité d'un groupe VPN. La communication entre tous les nœuds internes de ces modules de sécurité est sécurisée par ces tunnels. Sécurité non liée au protocole La tunnelisation s'applique également aux télégrammes Ethernet "non IP" selon IEEE (télégrammes de couche 2 ; n'est pas valable en cas d'utilisation de mode routage) Le tunnel IPsec assure le transit aussi bien des télégrammes IP que des télégrammes non IP. PPPoE Point to Point Protocol over Ethernet (RFC 2516) pour l'obtention automatique d'adresses IP du fournisseur d'accès de sorte à pouvoir se passer d'un routeur DSL distinct. Client pour DNS dynamique (client DDNS) Dynamic Domain Name Service pour l'utilisation d'adresses IP dynamiques si un SCALANCE S est utilisé comme serveur VPN en relation avec un SOFTNET Security Client, des modules SCALANCE M, des modules SCALANCE S ou d'autres clients VPN dans un scénario de télémaintenance. SNMPv3 Pour la transmission à l'abri des écoutes d'informations d'analyse de réseau. Mode routeur Si vous utilisez SCALANCE S comme routeur, vous connectez le réseau interne au réseau externe. Le réseau interne connecté via SCALANCE S devient par conséquent un sous-réseau distinct. Protection des appareils et segments de réseau La fonction de sécurité du pare-feu et du VPN peut s'étendre au fonctionnement d'un appareil, de plusieurs appareils ou de segments de réseau complets. 28 Manuel de configuration, 09/2013, C79000-G8977-C286-02

29 Introduction et notions élémentaires 1.6 Mise en œuvre de SCALANCE S612, S623 et S627-2M Interface de DMZ additionnelle Il est possible de placer, dans une zone démilitarisée (DMZ), des serveurs dont l'accès à partir d'autres réseaux (réseau externe non sécurisé, réseau interne sécurisé) est contrôlé et limité. Vous pouvez ainsi mettre à la disposition de ces deux réseaux, de manière sécurisée, des services et données sans permettre à ces deux réseaux de communiquer directement. Absence de rétroaction en cas d'intégration dans des réseaux plats (mode pont) Les nœuds de réseau internes peuvent être trouvés sans configuration. Lors de l'intégration d'un SCALANCE S dans une infrastructure de réseau existante, il n'est par conséquent pas nécessaire de reconfigurer les équipements terminaux. Le module de sécurité tente de trouver des correspondants interne ; les correspondants internes qui n'ont pas été trouvés de cette façon, doivent tout de même être configurés. Identification d'utilisateur via serveur Radius Vous pouvez centraliser sur le serveur RADIUS les noms d'utilisateur, mots de passe et rôles d'utilisateur. L'authentification de ces utilisateurs sera alors assurée par le serveur RADIUS. NTP (sécurisé) Pour la synchronisation d'horloge et la transmission de l'heure. Nœuds internes, nœuds externes, nœuds de DMZ SCALANCE S divise les réseaux en plusieurs zones : Réseau interne : il s'agit de zones protégées équipées de "nœuds internes" Les nœuds internes sont tous des nœuds qui sont protégés par un SCALANCE S. Réseau externe : il s'agit de zones non protégées équipées de "nœuds externes" Les nœuds externes sont tous les nœuds qui se trouvent hors des zones protégées. Réseau DMZ : il s'agit de zones protégées équipées de "nœuds de DMZ" Les nœuds de DMZ sont tous des nœuds qui se trouvent dans la DMZ et sont sécurisés par un SCALANCE S. Remarque Les réseaux connectés à l'interface interne sont considérés comme étant sûrs (dignes de confiance). Connectez un segment de réseau interne à des segments de réseau d'un autre niveau de sécurité (réseau externe, réseau de DMZ) uniquement via SCALANCE S. Il ne doit pas exister d'autres liaisons entre le réseau interne et un réseau possédant un autre niveau de sécurité. Manuel de configuration, 09/2013, C79000-G8977-C

30 Introduction et notions élémentaires 1.7 Mise en œuvre de l'interface de DMZ de SCALANCE S623 et de SCALANCE S627-2M 1.7 Mise en œuvre de l'interface de DMZ de SCALANCE S623 et de SCALANCE S627-2M Scénarios de mise en œuvre de l'interface de DMZ En plus des fonctions du SCALANCE S612, le SCALANCE S623 et le SCALANCE S627-2M possèdent une troisième interface (DMZ) qui permet de connecter un réseau additionnel.cette interface peut, selon le scénario de mise en œuvre, exercer différentes fonctions (pas simultanément) : Création d'une DMZ Terminaison de liaison par tunnel VPN Interface de synchronisation de routeur et de pare-feu... Création d'une DMZ SCALANCE S623 et SCALANCE S627-2M permettent de créer une DMZ (zone démilitarisée) à l'interface additionnelle. Une DMZ est souvent utilisée lorsque des services pour un réseau non sûr doivent être mis à disposition et lorsque le réseau sûr qui fournit les données pour ces services doit être découplé du réseau non sûr. Dans la DMZ peuvent se trouver par exemple des serveurs terminaux avec logiciel de maintenance et diagnostic, que des utilisateurs autorisés peuvent utiliser depuis le réseau externe. Dans les applications DMZ typiques, il faut que l'utilisateur configure les règles de pare-feu de sorte à autoriser les accès (externes) aux serveurs de la DMZ à partir d'internet (en les sécurisant éventuellement en plus par un tunnel VPN), mais pas aux appareils de la zone sécurisée (interne). Figure 1-3 Création d'une DMZ 30 Manuel de configuration, 09/2013, C79000-G8977-C286-02

31 Introduction et notions élémentaires 1.7 Mise en œuvre de l'interface de DMZ de SCALANCE S623 et de SCALANCE S627-2M Un exemple de configuration dans lequel l'interface de DMZ est utilisée pour créer une DMZ est présenté au chapitre "4.2 SCALANCE S comme pare-feu entre réseau externe et DMZ" du manuel "SIMATIC NET Industrial Ethernet Security - Configuration de la sécurité des données". Terminaison de liaison par tunnel VPN L'interface de DMZ peut être utilisée comme terminaison de tunnel VPN. Dans ce scénario, l'interface de DMZ est connectée à Internet via un modem DSL et exploité via PPPoE. Le tunnel VNP permet une communication sécurisée avec par exemple un automate raccordé à l'interface interne d'un autre module de sécurité. Figure 1-4 Terminaison de liaison par tunnel VPN Un exemple de configuration dans lequel l'interface de DMZ est utilisée comme terminaison d'un tunnel VPN est présenté au chapitre "5.2 Tunnel VPN entre SCALANCE S623 et SCALANCE S612" du manuel "SIMATIC NET Industrial Ethernet Security - Configuration de la sécurité des données". Manuel de configuration, 09/2013, C79000-G8977-C

32 Introduction et notions élémentaires 1.7 Mise en œuvre de l'interface de DMZ de SCALANCE S623 et de SCALANCE S627-2M Interface de synchronisation pour la redondance de routeur et de pare-feu L'utilisation de deux modules de sécurité de type SCALANCE S623 ou SCALANCE S627-2M permet de compenser la défaillance d'un module par la redondance de routeur et de pare-feu. Les deux modules de sécurité sont alors utilisés en mode routage et connectés chacun au réseau interne et au réseau externe, un seul module de sécurité étant actif à la fois. En cas de défaillance du module de sécurité ses fonctions de pare-feu et de routeur sont relayées par le modules de sécurité passif. Pour assurer un comportement fonctionnellement identique des deux modules de sécurité, ceux-ci sont interconnectés par leurs interfaces de DMZ, leurs configurations étant synchronisées durant le fonctionnement. Figure 1-5 Redondance de routeur et de pare-feu 32 Manuel de configuration, 09/2013, C79000-G8977-C286-02

33 Introduction et notions élémentaires 1.8 Utilisation des ports de module de connexion du SCALANCE S627-2M 1.8 Utilisation des ports de module de connexion du SCALANCE S627-2M Intégration dans des topologies en anneau En plus des fonctions du SCALANCE S623, le SCALANCE S627-2M possède deux emplacements de module de connexion prévus pour recevoir chacun un module de connexion électrique ou optique à deux ports. Les interfaces externe et interne sont ainsi complétées par deux ports. En mode routage, les ports additionnels du module de sécurité peuvent servir à intégrer les interfaces externe et interne dans des topologies en anneau. Redondance en anneau avec MRP ou HRP Le SCALANCE S627-2M prend en charge en tant que client les protocoles MRP et HRP sur les ports des modules de connexion des interfaces externe et interne. En tant qu'abonné d'un anneau MRP/HRP, le SCALANCE S627-2M peut protéger une cellule d'automatisation ou un anneau subordonné. Cette sécurisation peut également être redondante. Toute défaillance de ligne est détectée par un gestionnaire d'anneau distinct, un SCALANCE X308 p. ex., et compensée par redirection des chemins de communications. Manuel de configuration, 09/2013, C79000-G8977-C

34 Introduction et notions élémentaires 1.9 Mise en œuvre de CP Advanced et CP Advanced 1.9 Mise en œuvre de CP Advanced et CP Advanced Concept de protection de cellule - Fonction du CP x43-1 Adv. Industrial Ethernet Security permet de sécuriser des appareils, des cellules d'automatisation ou des segments d'un réseau Ethernet. Il est également possible de protéger le transfert de données en combinant diverses mesures de sécurité telles que pare-feu, routeur NAT/NAPT et VPN (Virtual Private Network) via tunnel IPsec contre : l'espionnage de données la manipulation de données les accès indésirables Les fonctions de sécurité du CP x43-1 Adv. se configurent à l'aide de l'outil Security Configuration Tool qui est intégré à STEP 7. Figure 1-6 Configuration de réseau avec CP x43-1 Adv. 34 Manuel de configuration, 09/2013, C79000-G8977-C286-02

35 Introduction et notions élémentaires 1.9 Mise en œuvre de CP Advanced et CP Advanced Fonctions de sécurité Pare-feu Pare-feu IP avec Stateful Packet Inspection (couches 3 et 4) Pare-feu également pour télégrammes Ethernet "non IP" selon IEEE (couche 2) Limitation de bande passante Jeux de règles de pare-feu globaux Tous les nœuds de réseau, connectés à un segment de réseau interne du CP x43-1 Adv., sont protégés par son pare-feu. Communication sécurisée par tunnel IPsec Le CP x43-1 Adv. et d'autres modules de sécurité peuvent être configurés en groupes. Des tunnels IPsec (VPN) sont alors établis entre tous les modules de sécurité. La communication entre tous les nœuds internes de ces modules de sécurité est sécurisée par ces tunnels. Journalisation Des évènements peuvent être enregistrés, à des fins de surveillance, dans des fichiers journal que l'outil de configuration permet de lire ou d'envoyer automatiquement à un serveur Syslog. HTTPS Pour la transmission cryptée, lors du contrôle de process p. ex. FTPS Pour la transmission cryptée de fichiers. NTP (sécurisé) Pour la synchronisation d'horloge et la transmission de l'heure. SNMPv3 Pour la transmission à l'abri des écoutes d'informations d'analyse de réseau. Protection des appareils et segments de réseau La fonction de sécurité du pare-feu et du VPN peut s'étendre au fonctionnement d'un appareil, de plusieurs appareils ou de segments de réseau complets. Manuel de configuration, 09/2013, C79000-G8977-C

36 Introduction et notions élémentaires 1.9 Mise en œuvre de CP Advanced et CP Advanced Nœuds de réseau internes et externes : CP x43-1 Adv. divise les réseaux en deux zones : en réseau interne : il s'agit de zones protégées équipées de "nœuds internes" Les nœuds internes sont tous les nœuds qui sont protégés par un CP x43-1 Adv. en réseau externe : il s'agit de zones non protégées équipées de "nœuds externes" Les nœuds externes sont tous les nœuds qui se trouvent hors des zones protégées. Remarque Les réseaux internes sont considérés comme étant sûrs (dignes de confiance). Connectez un segment de réseau interne aux segments de réseau externes uniquement via CP x43-1 Adv. Il ne doit pas exister d'autres liaisons entre le réseau interne et le réseau externe. Informations sur les fonctions générales du CP x43-1 Adv. Le présent manuel fournit des informations sur les fonctions de sécurité du CP x43-1 Adv. Pour les descriptions des fonctions générales voir : /1/ (Page 264) /2/ (Page 264) 36 Manuel de configuration, 09/2013, C79000-G8977-C286-02

37 Introduction et notions élémentaires 1.10 Mise en œuvre du CP Mise en œuvre du CP 1628 Concept de protection de cellule - Fonction du CP 1628 Les mécanismes de sécurité intégrés du CP 1628 permettent de sécuriser des systèmes informatiques, y compris la communication de données associée, au sein d'un réseau d'automatisation ou bien l'accès à distance via Internet. Le CP 1628 permet d'accéder à des appareils mais aussi à des cellules d'automatisation complètes, protégées par des modules de sécurité, et assure des connexions sécurisées via des structures de réseau qui ne le sont pas. En combinant diverses fonctions de sécurité telles que pare-feu et VPN (Virtual Private Network) via tunnel IPsec, le CP 1628 protège contre : l'espionnage de données la manipulation de données les accès indésirables Les fonctions de sécurité du CP 1628 se configurent à l'aide de l'outil Security Configuration Tool qui est intégré à STEP 7. Figure 1-7 Configuration de réseau avec CP 1628 Manuel de configuration, 09/2013, C79000-G8977-C

38 Introduction et notions élémentaires 1.10 Mise en œuvre du CP 1628 Fonctions de sécurité Pare-feu Pare-feu IP avec Stateful Packet Inspection (couches 3 et 4) Pare-feu également pour télégrammes Ethernet "non IP" selon IEEE (couche 2) Limitation de bande passante Règles de pare-feu globales Communication sécurisée par tunnel IPsec Le CP 1628 et d'autres modules de sécurité peuvent être configurés en groupes. Des tunnels IPsec (VPN, Virtual Private Network) sont alors établis entre tous les modules de sécurité d'un groupe VPN. Journalisation Des évènements peuvent être enregistrés, à des fins de surveillance, dans des fichiers journal que l'outil de configuration permet de lire ou d'envoyer automatiquement à un serveur Syslog. NTP (sécurisé) Pour la synchronisation d'horloge et la transmission de l'heure. SNMPv3 Pour la transmission à l'abri des écoutes d'informations d'analyse de réseau. Informations sur les fonctions générales du CP 1628 Le présent manuel fournit des informations sur les fonctions de sécurité du CP Pour les descriptions des fonctions générales voir /11/ (Page 267) 38 Manuel de configuration, 09/2013, C79000-G8977-C286-02

39 Introduction et notions élémentaires 1.11 Configuration et administration 1.11 Configuration et administration L'essentiel en bref L'utilisation de l'outil de configuration Security Configuration Tool conduit à une mise en œuvre simple et fiable des modules de sécurité : Configuration sans connaissances d'expert grâce au Security Configuration Tool Il n'est pas nécessaire d'être expert en technologies de l'information pour configurer un module de sécurité avec le logiciel Security Configuration Tool. Le mode avancé permet, si nécessaire, d'effectuer des paramétrages plus complexes. Communication administrative sécurisée La transmission des paramètres est signée et cryptée et ne doit être exécutée que par des personnes habilitées. Protection d'accès sous Security Configuration Tool La gestion des utilisateurs du Security Configuration Tool assure la protection d'accès aux modules de sécurité et aux données de configuration. Possibilité d'utilisation du support de données amovible C-PLUG Le C-PLUG est un support de données amovible sur lequel les données de configuration sont enregistrées sous forme cryptée. Il permet, lors de l'échange d'un module de sécurité, de le configurer sans PG/PC à condition que le module de sécurité prenne en charge la sauvegarde des données sur C-PLUG. Manuel de configuration, 09/2013, C79000-G8977-C

40 Introduction et notions élémentaires 1.11 Configuration et administration 40 Manuel de configuration, 09/2013, C79000-G8977-C286-02

41 Configuration sous Security Configuration Tool 2 Security Configuration Tool est l'outil de configuration fourni avec les modules de sécurité. Le présent chapitre vous permettra de vous familiariser avec l'interface utilisateur et le fonctionnement de l'outil de configuration. Vous y apprendrez comment configurer, utiliser et gérer des projets de sécurité. Informations complémentaires La manière de configurer des modules de sécurité et des tunnels IPsec est décrite en détails dans les chapitres ci-après du présent manuel. Vous trouverez par ailleurs des informations détaillées sur les dialogues et paramètres dans l'aide en ligne. Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue en question. 2.1 Généralités - Fonctions et mode de fonctionnement Fonctionnalités L'outil de configuration Security Configuration Tool est conçu pour les tâches suivantes : Configuration des modules de sécurité Configuration de SOFTNET Security Client Création des données de configuration VPN pour SCALANCE M Création de fichiers de configuration VPN pour appareils VPN d'autres fournisseurs Fonctions de diagnostic et de test, indications d'état Manuel de configuration, 09/2013, C79000-G8977-C

42 Configuration sous Security Configuration Tool 2.1 Généralités - Fonctions et mode de fonctionnement Deux modes de fonctionnement du Security Configuration Tool Security Configuration Tool peut être démarré dans les modes suivants : Security Configuration Tool autonome : exécutable indépendamment de STEP 7. ne permet pas de configurer la sécurité de CP. Security Configuration Tool intégré dans STEP 7 : uniquement exécutable à partir de l'interface utilisateur de STEP 7. au moins un CP à fonction de sécurité activée doit se trouver dans le projet Les fonctions de Security Configuration Tool Standalone sont complétées par la possibilité de configurer les fonctions de sécurité de CP Affichage de configuration hors ligne et affichage de diagnostic en ligne Security Configuration Tool possède un affichage de configuration hors ligne et un affichage de diagnostic en ligne : Affichage de configuration hors ligne En mode hors ligne, les données de configuration sont définies pour le module correspondant. Une liaison au module de sécurité en question, avant le chargement, n'est pas nécessaire. En ligne Le mode en ligne sert à tester et diagnostiquer un module de sécurité. Deux modes de commande Dans l'affichage de configuration hors ligne, Security Configuration Tool met deux modes de commande à disposition : mode standard Le mode standard est le mode par défaut de Security Configuration Tool. Il se distingue par la rapidité et la simplicité de réalisation d'une configuration permettant d'utiliser les modules de sécurité. mode avancé En mode avancé, des possibilités de paramétrage additionnelles vous permettent de personnaliser les règles du pare-feu, les paramètres de journal, les règles NAT/NAPT, les nœuds VPN et les fonctions de sécurité avancées. 42 Manuel de configuration, 09/2013, C79000-G8977-C286-02

43 Configuration sous Security Configuration Tool 2.2 Installation de Security Configuration Tool Fonctionnement - Sécurité et cohérence Accès réservé aux utilisateurs autorisés L'accès aux projets est protégé contre les accès illicites par l'attribution de noms d'utilisateur et de mots de passe. Des stratégies de mot de passe permettent de spécifier des règles d'attribution de mot de passe spécifiques au projet. Données de projet cohérentes Des contrôles de cohérence ont lieu dès l'entrée des données dans les différents dialogues. De plus, vous pouvez réaliser à tout moment un contrôle de cohérence de tous les dialogues du projet. Les données de projet ne peuvent être chargées sur les modules de sécurité que si elles sont cohérentes. Protection des données de projet par cryptage Les données de projet et de configuration sont protégées par cryptage dans le fichier de projet et sur le C-PLUG (pas pour CP 1628), s'il est embroché. 2.2 Installation de Security Configuration Tool Systèmes d exploitation pris en charge Systèmes d exploitation pris en charge Les systèmes d'exploitation suivants sont pris en charge : Microsoft Windows XP 32 bits + Service Pack 3 Microsoft Windows 7 Professionnel 32/64 bits Microsoft Windows 7 Professionnel 32/64 bits + Service Pack 1 Microsoft Windows 7 Intégrale 32/64 bits Microsoft Windows 7 Intégrale 32/64 bits + Service Pack 1 Windows Server 2008 R2 64 bits Windows Server 2008 R2 64 bits + Service Pack 1 Remarque Avant d'installer Security Configuration Tool, lisez impérativement le fichier "LISEZMOI.htm" qui se trouve sur le DVD. Ce fichier contient éventuellement des informations importantes et modifications de dernière minute. Manuel de configuration, 09/2013, C79000-G8977-C

44 Configuration sous Security Configuration Tool 2.2 Installation de Security Configuration Tool SCALANCE S - Marche à suivre Vous installez l'outil de configuration Security Configuration Tool à partir du DVD de produit fourni. Insérez le DVD de produit dans votre lecteur de DVD-ROM. Si la fonction autorun est activée, l'interface utilisateur à partir de laquelle vous pourrez exécuter l'installation, s'ouvre automatiquement. ou Démarrez l'application "start.exe" qui se trouve sur le DVD de produit fourni. CP x43-1 Adv. - Marche à suivre Vous installez l'outil de configuration Security Configuration Tool à partir du support de données STEP 7. Vous trouverez le fichier d'installation sur le support de données STEP 7 dans le répertoire des composants logiciels en option. CP Marche à suivre Vous installez l'outil de configuration Security Configuration Tool à partir du support de données fourni qui contient les pilotes du CP Insérez le support de données dans votre lecteur de DVD-ROM. Si la fonction autorun est activée, l'interface utilisateur à partir de laquelle vous pourrez exécuter l'installation, s'ouvre automatiquement. ou Démarrez l'application "setup.exe" qui se trouve sur le support de données fourni. 44 Manuel de configuration, 09/2013, C79000-G8977-C286-02

45 Configuration sous Security Configuration Tool 2.3 Interface utilisateur et commandes de menu 2.3 Interface utilisateur et commandes de menu Structure de l'interface utilisateur en mode avancé 1 Volet de navigation : Jeux de règles de pare-feu globaux L'objet contient les jeux de règles de pare-feu globaux configurés. D'autres répertoires distinguent : jeux de règles IP de pare-feu jeux de règles MAC de pare-feu Jeux de règles IP personnalisés Tous les modules L'objet contient tous les modules configurés et les configurations SOFTNET du projet. Groupes VPN L'objet contient tous les groupes VPN générés. Relations de redondance L'objet contient tous les groupes VPN générés. 2 Volet de contenu : Lorsque vous sélectionnez un objet dans le volet de navigation, le volet de contenu affiche des informations détaillées sur cet objet. Pour certains modules de sécurité, vous pouvez consulter et éditer dans cette zone des extraits des configurations d'interface. Un double-clic sur ces modules de sécurité ouvre, s'ils sont configurables, des dialogues de propriétés permettant de définir d'autres paramètres. Manuel de configuration, 09/2013, C79000-G8977-C

46 Configuration sous Security Configuration Tool 2.3 Interface utilisateur et commandes de menu 3 Fenêtre de détails : La fenêtre de détail contient des informations complémentaires sur l'objet sélectionné et permet, dans le contexte du groupe VPN, de configurer individuellement des propriétés VPN pour les liaisons. La fenêtre de détails peut être affichée ou masquée à l'aide du menu "Affichage". 4 Barre d'état : La barre d'état affiche les états et messages d'état actuels. Il s'agit, entre autres, des cycles qui sont décrits ci-dessous. L'utilisateur actuel et le type d'utilisateur L'affichage de commande --- mode standard / mode avancé Le mode de fonctionnement - en ligne/hors ligne Barre d'outils Les tableaux ci-après récapitulent les icônes sélectionnables dans la barre d'outils et leur signification. Icône Signification / Observations Créer un projet. Ouvrir un projet existant. Enregistrer le projet ouvert dans le chemin et sous le nom de projet actuels. Copier l'objet sélectionné. Coller l'objet enregistré dans le presse-papiers. Supprimer l'objet sélectionné. Créer un module Cette icône n'est active que si vous vous trouvez dans le volet de navigation dans le dossier "Tous les modules". Créer un groupe VPN. Cette icône n'est active que si vous vous trouvez dans le volet de navigation dans le dossier "Groupes VPN". Créer un nouveau jeu de règles IP ou MAC global ou un jeu de règles IP personnalisé. Cette icône n'est active que si vous vous trouvez dans le volet de navigation dans un sous-dossier de "Jeux de règles de pare-feu globaux" ou dans le dossier "Jeux de règles IP personnalisés". Crée une relation de redondance. Cette icône n'est active que si vous vous trouvez dans le volet de navigation dans le dossier "Relations de redondance". 46 Manuel de configuration, 09/2013, C79000-G8977-C286-02

47 Configuration sous Security Configuration Tool 2.3 Interface utilisateur et commandes de menu Icône Signification / Observations Charge la configuration sur les modules de sécurité sélectionnés ou crée des données de configuration pour SOFTNET Security Client / SCALANCE M / appareil VPN / client VPN NCP (Android). Basculer en mode hors ligne. Basculer en mode en ligne. Manuel de configuration, 09/2013, C79000-G8977-C

48 Configuration sous Security Configuration Tool 2.3 Interface utilisateur et commandes de menu Barre de menu Les tableaux ci-après récapitulent les commandes de menu disponibles et leur signification. Commande de menu Signification / Observations Raccourci clavier Projet Nouveau... Ouvrir... Enregistrer Enregistrer sous... Propriétés... Les projets ouverts récemment Quitter Fonctions de paramétrage spécifiques du projet, ainsi que le chargement et l'enregistrement du fichier de projet. Créer un projet. Pour CP : Les projets sont créés par configuration sous STEP 7. Ouvrir un projet existant. Pour CP : Les projets existants ne peuvent être ouverts que via des projets STEP 7. Enregistrer le projet ouvert dans le chemin et sous le nom de projet actuels. Enregistre le projet ouvert dans un chemin et sous un nom de projet à définir. Pour CP : Le projet fait partie du projet STEP 7. Le chemin ne peut pas être modifié. Dialogue d'ouverture des propriétés du projet. Possibilité de sélection directe de projets édités. Pour CP : Les projets existants ne peuvent être ouverts que via STEP 7. Ferme un projet Ctrl + S Edition Commandes de menu uniquement en mode hors ligne Nota Lorsque l'objet est sélectionné, vous pouvez sélectionner certaines de ces fonctions dans le menu contextuel. Copier Copier l'objet sélectionné. Ctrl + C Coller Colle l'objet préalablement enregistré dans le pressepapiers. Ctrl + V Supprimer Supprimer l'objet sélectionné. Suppr Renommer Renomme l'objet sélectionné. F2 Nouveau certificat... Génère un nouveau certificat de groupe pour le module qui a été sélectionné dans la zone de contenu du groupe VPN choisi. Echanger le module... Remplace le module de sécurité sélectionné par un autre. Propriétés... Ouvre le dialogue des propriétés de l'objet F4 sélectionné. Diagnostic en ligne... Accès aux fonctions de test et de diagnostic. 48 Manuel de configuration, 09/2013, C79000-G8977-C286-02

49 Configuration sous Security Configuration Tool 2.3 Interface utilisateur et commandes de menu Commande de menu Signification / Observations Raccourci clavier Insérer Module Groupe Jeu de règles de pare-feu Relation de redondance Commandes de menu uniquement en mode hors ligne Crée un module de sécurité. Cette commande de menu n'est active que si un module de sécurité ou un groupe VPN a été sélectionné dans le volet de navigation. Créer un groupe VPN. Cette commande de menu n'est active que si un objet groupé a été sélectionné dans le volet de navigation. Crée un jeu de règles IP ou MAC global de pare-feu ou un jeu de règles IP personnalisé. Cette commande de menu n'est active que si un objet pare-feu a été sélectionné dans le volet de navigation. Cette commande n'est visible qu'en Mode avancé. Crée une relation de redondance. Cette commande de menu n'est active que si vous vous trouvez dans le volet de navigation dans le dossier "Relations de redondance". Ctrl + M Ctrl + G Ctrl + F Ctrl + R Transférer Au(x) module(s)... A tous les modules... Etat de configuration... Transférer firmware... Charge la configuration sur le(s) module(s) de sécurité sélectionné(s) ou crée des données de configuration pour SOFTNET Security Client / SCALANCE M / appareils VPN / client VPN NCP (Android). Remarque : Les données de projet ne peuvent être chargées que si elles sont cohérentes. Pour CP : Les données de projet ne peuvent être chargées que via STEP 7. Charge la configuration sur tous les modules de sécurité. Remarque : Les données de projet ne peuvent être chargées que si elles sont cohérentes. Affiche dans une liste l'état de configuration des modules de sécurité configurés. Charge un nouveau firmware sur le module de sécurité sélectionné. Pour CP S7 : Le firmware est chargé sur le CP via le centre de mise à jour du diagnostic Web. Affichage Manuel de configuration, 09/2013, C79000-G8977-C

50 Configuration sous Security Configuration Tool 2.3 Interface utilisateur et commandes de menu Commande de menu Signification / Observations Raccourci clavier Mode avancé Passe du mode standard (par défaut) au mode Ctrl + E avancé. Attention Après être passé au mode avancé dans le projet actuel, vous ne pourrez plus retourner au mode standard. Afficher fenêtre de détails Affiche ou masque des détails complémentaires de Ctrl + Alt + D l'objet sélectionné. Hors ligne Par défaut. Passe en mode de configuration hors Ctrl + Maj + D ligne. En ligne Passe en mode de diagnostic en ligne. Ctrl + D Options Services IP... Services MAC... Carte réseau... Langue... Fichiers journaux... Noms symboliques... Configuration des serveurs NTP... Configuration des serveurs RADIUS... Contrôles de cohérence... Gestion des utilisateurs... Gestionnaire de certificats... Ouvre le dialogue des définitions de service pour les règles de pare-feu IP. Cette commande n'est visible qu'en Mode avancé. Ouvre le dialogue des définitions de service pour les règles de pare-feu MAC. Cette commande n'est visible qu'en Mode avancé. Une adresse IP est affectée au SCALANCE S via la carte réseau sélectionnée. Sélectionne la langue d'affichage de l'interface utilisateur SCT. Pour SCT intégré à STEP 7, la langue de l'interface utilisateur SCT est définie par la sélection de langue sous STEP 7. Affiche les fichiers journaux enregistrés. Attribue des noms symboliques aux adresses IP ou MAC. Crée et édite des serveurs NTP. Crée et édite des serveurs RADIUS. Contrôle la cohérence du projet. Le contrôle se solde par l'affichage d'une liste de résultats. Crée et édite des utilisateurs et rôles, affecte des droits et définit des stratégies de mot de passe. Affiche ou importe / exporte des certificats. Aide Rubriques de l'aide... A propos de... Aide sur les fonctions et paramètres contenus dans SCT. Informations sur la version de Security Configuration Tool. F1 50 Manuel de configuration, 09/2013, C79000-G8977-C286-02

51 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets 2.4 Création et gestion de projets Security Configuration Tool (variante autonome) Configuration avec la version autonome de Security Configuration Tool Security Configuration Tool en version autonome est utilisé pour la création de projets de sécurité dans le cadre desquels il ne sera pas nécessaire de créer et de configurer des modules de sécurité sous STEP 7. La commande de menu "Projet" > "Nouveau..." permet de créer un projet. Celui-ci comprend toutes les informations de configuration et de gestion d'un ou de plusieurs appareils SCALANCE S, des SOFTNET Security Clients, des appareils SCALANCE M, des appareils VPN et clients VPN NCP (Android). Vous créez dans le projet un module par appareil ou par configuration Security Configuration Tool dans STEP 7 Configuration Security Configuration Tool dans STEP 7 est utilisé pour la création de projets de sécurité dans le cadre desquels des modules de sécurité seront créés et configurés sous STEP 7. Il prend également en charge tous les modules de sécurité de la variante autonome. Un projet SCT, dans lequel les données de la configuration de sécurité sont enregistrées et gérées, est automatiquement créé dès que vous activez la fonction de sécurité pour un module de sécurité sous STEP 7. Toutes les données de la configuration de sécurité sont traitées sous SCT, le résultat du traitement étant retourné à STEP7. Manuel de configuration, 09/2013, C79000-G8977-C

52 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Interaction de STEP 7 et SCT L'interaction de STEP 7 et de SCT est illustrée par la figure ci-après : 1 Si vous effectuez des paramétrages sous STEP 7, SCT s'ouvre car c'est sous ce logiciel que les données de sécurité sont gérées. Si des liaisons spécifiées sous NetPro ont été configurées, des règles de pare-feu sont automatiquement créées pour celles-ci sous SCT dès qu'elles ont été enregistrées et compilées. 2 Effectuez les paramétrages de sécurité complémentaires sous SCT. SCT traite les données en interne et retourne le résultat à STEP 7. 3 Les actions telles que "Enregistrer sous" et "Compiler" sont exécutées sous STEP 7. Les données de sécurité sont enregistrées sous forme de projet SCT, sous un nom attribué automatiquement, dans un sous-dossier du projet STEP 7. Le nom et le lieu d'enregistrement ne doivent pas être modifiés. Vous pouvez créer, pour un projet STEP 7, un seul projet SCT. Un projet SCT créé avec le Security Configuration Tool sous STEP 7 ne peut pas être ouvert avec le Security Configuration Tool en mode autonome. 4 Les données de sécurité configurées du CP sont chargées sous STEP 7 sur le module. Quelles sont les données migrées de STEP 7 vers SCT et affichées dans le volet de contenu? Les données de configuration suivantes, créées sous STEP 7, sont automatiquement reprises par SCT et ne peuvent pas y être modifiées : nom d'appareil Adresse IP PROFINET IO 52 Manuel de configuration, 09/2013, C79000-G8977-C286-02

53 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Adresse IP Gbit Masque de sous-réseau PROFINET IO Masque de sous-réseau Gbit Adresse MAC de l'interface Gbit Routeur par défaut Adresse MAC PROFINET IO Quelles données peuvent être migrées vers SCT et y être modifiées? Les fonctions suivantes utilisées sous STEP 7 peuvent être migrées sous SCT et y être éditées : Listes Access Control (Page 121) Utilisateur (Page 70) Serveur NTP (Page 191) Pour plus de détails à ce propos, veuillez consulter l'aide en ligne de SCT. Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue SCT. Règles de pare-feu automatiques pour liaisons configurées Pour les liaisons spécifiées sous STEP 7, des règles de pare-feu autorisant l'établissement de la liaison sont créées automatiquement dans SCT. Pour plus d'informations à ce propos, reportez-vous au chapitre suivant : Règles de pare-feu en rapport avec les liaisons, créées automatiquement (Page 145). Pour les liaisons non spécifiées, vous devez configurer les règles de pare-feu autorisant l'établissement de la liaison sous SCT. Pour plus d'informations à ce propos, reportez-vous au chapitre suivant : Pare-feu en mode avancé (Page 138). Définition des paramètres de sécurité sous STEP 7 Procédez comme suit pour définir les paramètres de sécurité : A l'aide des onglets des propriétés d'objet Vous pouvez activez et exécuter les fonctions de sécurité spécifiques CP dans les divers onglets. Lors de l'exécution le dialogue SCT correspondant s'ouvre pour vous permettre d'y définir les paramètres de sécurité. Vous pouvez définir les paramètres de sécurité dans les onglets suivants : Manuel de configuration, 09/2013, C79000-G8977-C

54 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Onglet Fonction Description Sécurité des données Activer sécurité des données Les fonctions de sécurité des données des divers onglets sont activées. Le menu "Edition" > "Security Configuration Tool" qui permet d'ouvrir le Security Configuration Tool, est activé. Vous pouvez y effectuer des paramétrages portant sur plusieurs modules de sécurité, notamment créer des groupes VPN p. ex. ou ajouter des modules de sécurité qui ne sont pas configurables sous STEP 7. Si vous avez configuré sous STEP 7 des utilisateurs pour le module de sécurité, la fenêtre "Migration de données de projet touchant à la sécurité des données" qui s'ouvre vous permettra de migrer les utilisateurs STEP 7 vers Security Configuration Tool. Utilisateur Protection d'accès IP FTP Web Synchronisation d'horloge SNMP Démarrer la configuration des données de sécurité Charger en ligne des règles de pare-feu Charger en ligne des règles de pare-feu (CP 1628) Démarrer la gestion des utilisateurs Démarrer la configuration du parefeu Autoriser l'accès uniquement via FTPS Démarrer la gestion des utilisateurs Autoriser l'accès uniquement via HTTPS Démarrer la gestion des utilisateurs Configuration NTP avancée Démarrer la configuration SNMP Démarrer la gestion des utilisateurs SCT s'ouvre dans un mode synoptique qui vous permet de configurer les propriétés spécifiques de ce module de sécurité. Des règles de pare-feu appropriées sont générées et chargées sur le CP sans provoquer l'arrêt du CP. Des paramètres de pare-feu appropriés sont générés et chargés sur le CP. Démarre la gestion des utilisateurs SCT qui permet de créer des utilisateurs et des rôles et d'affecter des droits. Lors de l'activation de la sécurité, la liste de contrôle d'accès IP est migrée dans le Security Configuration Tool par conversion en règles de pare-feu. Démarre la gestion des utilisateurs SCT qui permet d'affecter des droits FTP à un rôle. Démarre la gestion des utilisateurs SCT qui permet d'affecter des droits Web à un rôle. Démarre le SCT en mode de configuration NTP. Démarre SCT en mode de configuration SNMP. Vous pouvez opter pour SNMPv1 ou SNMPv3. Démarre la gestion des utilisateurs SCT qui permet d'affecter des droits SNMP à un rôle. 54 Manuel de configuration, 09/2013, C79000-G8977-C286-02

55 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Directement dans SCT Ouvrez SCT dans STEP 7 avec la commande de menu "Edition" > "Security Configuration Tool". En plus des paramétrages dans les onglets des propriétés d'objet, vous pouvez créer ici des groupes VPN p. ex. ou ajouter des modules SCALANCE S. Les modules SCALANCE S peuvent être configurés et chargés dans SCT mais les données ne sont pas retournées à STEP 7. Les modules ne sont pas non plus affichés dans STEP 7 après fermeture de SCT. Remarque Pour plus de détails à ce propos, veuillez vous référer à l'aide en ligne de STEP 7 ainsi qu'à l'aide en ligne de SCT. Pour des informations générales sur STEP 7, veuillez vous référer à /9/ (Page 266) Migration de données STEP 7 Migration des utilisateurs d'appareils STEP 7 dans la gestion des utilisateurs SCT Sélectionnez, dans le dialogue de migration, la manière dont les utilisateurs créés sous STEP 7 seront migrés dans la gestion des utilisateurs SCT. Vous avez le choix entre les actions suivantes : Action Appliquer comme... Fusionner Ne pas appliquer Description L'utilisateur est migré dans la gestion des utilisateurs SCT sous un autre nom. Entrez le nom dans la colonne "Nom d'utilisateur migré" Un rôle généré automatiquement est attribué sous SCT à l'utilisateur migré. S'il existe déjà dans le projet SCT un utilisateur du même nom, les deux utilisateurs sont fusionnés. Le rôle de l'utilisateur SCT est complété par les droits sélectionnés de l'utilisateur migré. L'utilisateur du module de sécurité n'est pas migré dans la gestion des utilisateurs SCT. Une migration ultérieure n'est pas possible. Remarque Les données suivantes ne sont pas migrées Les mots de passe d'utilisateurs déjà créés sous STEP 7. Sélectionnez par conséquent pour chaque utilisateur la manière dont il doit être migré et attribuez à l'aide du bouton "Attribution de mot de passe" un nouveau mot de passe. L'utilisateur "everybody" disponible sous STEP 7 et défini par le système. Ses droits ne sont également pas repris pour les utilisateurs migrés. Manuel de configuration, 09/2013, C79000-G8977-C

56 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Remarque Les utilisateurs et leurs rôle peuvent être adaptés après migration dans la gestion des utilisateurs de Security Configuration Tool. Migration de droits relatifs à l'appareil STEP 7 dans la gestion des utilisateurs SCT Les droits suivants sont migrés : Droit sous STEP 7 Droit après migration dans SCT Service Utiliser la table des mnémoniques. Applet : Lire des variables avec des mnémoniques configurés API Lire des variables via des adresses absolues Ecrire des variables via des adresses absolues Accéder avec FTP aux fichiers sur la station S7 Transmettre un courrier de test via la page système Applet : Ecrire des variables avec des mnémoniques configurés Applet : Lire des variables via des adresses absolues Applet : Ecrire des variables via des adresses absolues FTP : Lire des fichiers (DB) sur la CPU S7 FTP : Ecrire des fichiers (DB) sur la CPU S7 FTP : Lire des fichiers du système de fichiers du CP FTP : Ecrire des fichiers dans le système de fichiers du CP Web : Formater le système de fichiers du CP Web : Accéder au diagnostic Web et au système de fichiers du CP Web : Transmettre un courrier de test Interroger l'état de modules Applet : Lire l'état des modules du rack API Interroger la référence de modules Applet : Lire la référence des modules du rack Système de fichiers Web Voir aussi Synchronisation d'horloge (Page 191) Configuration de la liste d'accès (Page 121) 56 Manuel de configuration, 09/2013, C79000-G8977-C286-02

57 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Présentation Contenus généraux Lors de la création d'un projet, il vous est demandé, aussi bien dans la version autonome de Security Configuration Tool que dans la version intégrée à STEP 7, d'attribuer un nom d'utilisateur et un mot de passe. L'utilisateur que vous créez ici est de type "administrator". Après avoir effectué ces entrées, vous pouvez passer à la configuration du projet. Les configurations d'un projet contiennent en général : Paramètres valables sur l'ensemble du projet Paramètres spécifiques module Affectations à un groupe pour tunnel IPsec La gestion des utilisateurs contrôle par ailleurs les droits d'accès aux données de projet et aux modules de sécurité. Paramètres valables sur l'ensemble du projet Propriétés du projet Celles-ci comprennent les indications générales d'adresse et de nom, mais aussi les spécifications de valeurs d'initialisation. Jeux de règles de pare-feu globaux Un jeu de règles de pare-feu global peut être attribué simultanément à plusieurs modules. Cette possibilité simplifie dans de nombreux cas la configuration contrairement à la configuration de règles de pare-feu locales dans le cadre des paramètres spécifiques module. Jeux de règles IP personnalisés Un jeu de règles IP personnalisé est affecté à un utilisateur et à un module de sécurité. Un jeu de règles IP personnalisé auquel a été attribué un rôle, peut également être affecté à un module SCALANCE S V4. Les jeux de règles IP personnalisés permettent de définir des droits d'accès personnalisés, finement différenciés. Relations de redondance Une relation de redondance est établie pour deux modules de sécurité. En cas de défaillance de l'un des deux modules de sécurité, ses fonctions de pare-feu et de routeur (NAT/NATP) sont relayées par l'autre module de sécurité. Domaines MRP Les abonnés d'un anneau MRP sont définis à l'aide de domaines MRP. Le même domaine MRP doit être spécifié pour les interfaces de tous les modules connectés à un anneau MRP. Manuel de configuration, 09/2013, C79000-G8977-C

58 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Définitions de service La définition de services IP et MAC permet de définir des règles de pare-feu compactes et claires. Serveurs NTP Les serveurs NTP sont créés pour l'ensemble du projet et peuvent être affectés sous SCT à plusieurs modules de sécurité. Serveurs RADIUS Les serveurs RADIUS sont créés pour l'ensemble du projet et peuvent être affectés sous SCT à plusieurs modules de sécurité. Gestionnaire de certificats Le gestionnaire des certificats gère tous les certificats du projet et des modules de sécurité qu'il inclut. Gestion des utilisateurs La gestion des utilisateurs permet de gérer tous les utilisateurs du projet et leurs droits ainsi que de définir des stratégies de mot de passe. Noms symboliques Dans un projet, vous pouvez attribuer des noms symboliques aux adresses IP et MAC dans une table. 58 Manuel de configuration, 09/2013, C79000-G8977-C286-02

59 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Paramètres spécifiques module La plupart des fonctions sont configurées dans les onglets du dialogue des propriétés auquel on accède, après avoir sélectionné un module, par la commande de menu "Edition" > "Propriétés...". Dans le dialogue des propriétés, la disposition des onglets peut être modifiée à volonté par glisser-déposer. Les tableaux suivants présentent les descriptions fonctionnelles des divers onglets. Fonction / onglet du dialogue des propriétés est proposé en mode... Interfaces Récapitulatif des paramètres d'interface et de port. Pour CP : Les paramètres sont repris de STEP 7 et ne peuvent pas être modifiés. Pare-feu En mode standard, vous activez ici le pare-feu avec des règles standard simples. Vous pouvez en outre activer des paramètres de journalisation. En mode avancé, vous pouvez y définir des règles détaillées de filtrage de paquets. En outre, vous pouvez y définir pour chaque règle de filtrage de paquets des paramètres de journalisation explicites. Pour CP : Si une liste de contrôle d'accès a été migrée, elle est affichée ici et peut être éditée. Connexion Internet Si la connexion est paramétrée via PPPoE, définissez ici les paramètres du fournisseur d'accès à Internet. DNS Paramétrages relatifs au DNS dynamique autorisant l'accès aux adresses IP qui changent en permanence via des noms définitifs (FQDN). Le DNS dynamique est autorisé sur l'interface externe et sur l'interface de DMZ. Routage Entrez ici les données du routeur par défaut et/ou définissez une route spécifique au sous-réseau. Pour CP : La spécification d'un routeur par défaut est reprise de STEP 7 et ne peut être modifiée qu'à cet endroit. L'affichage s'effectue dans le volet de contenu du SCT. L'onglet n'existe donc pas dans les propriétés du module. NAT/NAPT Activez la fonction NAT/NAPT et définissez dans une liste la translation d'adresse. Synchronisation d'horloge Permet de définir le mode de synchronisation de la date et de l'heure. Pour CP : La synchronisation d'horloge ne peut être configurée sous SCT que si la configuration NTP avancée a été activée sous STEP 7. standard avancé X X X X X X - X X X - X X X Manuel de configuration, 09/2013, C79000-G8977-C

60 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Fonction / onglet du dialogue des propriétés est proposé en mode... Paramètres de journal Vous pouvez préciser ici le mode d'enregistrement des évènements journalisés et configurer un serveur Syslog. VPN Si le module de sécurité se trouve dans un groupe VPN, vous pouvez configurer ici la Dead-Peer-Detection, le type d'établissement de liaison et le cas échéant un point d'accès WAN (adresse IP ou FQDN). Dans la zone de dialogue "Nœuds VPN", définissez, selon le module de sécurité, les paramètres de sous-réseau, de nœuds IP/MAC et de nœuds NDIS qui doivent également être accessibles via les tunnels VPN. Pour SCALANCE S : L'apprentissage de nœuds internes peut être activé ou désactivé. La zone de dialogue "Nœuds VPN" n'est affichée que si le projet se trouve en mode avancé. Serveur DHCP Le module de sécurité peut être utilisé comme serveur DHCP pour le réseau interne ainsi que pour le réseau de DMZ (uniquement SCALANCE S623/S627-2M). SNMP Sélectionnez dans cet onglet la version de protocole SNMP et la procédure d'authentification/de cryptage. Proxy-ARP Définissez dans cet onglet des entrées statiques pour proxy ARP sur l'interface externe. MRP/HRP Définissez dans cet onglet les paramètres d'intégration du module de sécurité dans des anneaux MRP/HRP. RADIUS Dans cet onglet, affectez au module de sécurité un serveur RADIUS qui se charge d'authentifier, à la place du module de sécurité, les utilisateurs lors de l'activation de jeux de règles IP personnalisés. standard avancé - X X X - X X X - X X X X X Affectations à un groupe pour tunnel VPN Les groupes VPN définissent les modules de sécurité, SOFTNET Security Clients, modules SCALANCE M, appareils VPN et clients VPN NCP (Android) autorisés à communiquer entre eux via un tunnel IPsec. Les abonnés de réseau ayant été affectés à un groupe VPN, ils peuvent établir des tunnels de communication via un VPN (virtual private network). La communication sécurisée via un tunnel n'est possible qu'entre les modules d'un même groupe, les modules pouvant cependant appartenir simultanément à plusieurs groupes VPN. 60 Manuel de configuration, 09/2013, C79000-G8977-C286-02

61 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Voir aussi Configuration d'autres propriétés de module (Page 169) Définition des valeurs d'initialisation par défaut d'un projet Définition des valeurs d'initialisation par défaut d'un projet En définissant les valeurs d'initialisation par défaut vous spécifiez les propriétés attribuées automatiquement lors de la création d'un nouveau module. A l'aide de la case à cocher "Enregistrer sélection", vous spécifiez en outre, lors de la création d'un module, si une fenêtre doit être ouverte pour le paramétrage des propriétés ou si le module est directement inséré. Sélectionnez la commande de menu "Projet" > "Propriétés...", onglet "Valeurs d'initialisation par défaut". Protection des données de projet par cryptage Les données de projet et de configuration enregistrées sont protégées par cryptage aussi bien dans le fichier de projet que sur le C-PLUG (pas pour CP 1628) Contrôle de cohérence Présentation Security Configuration Tool distingue : Contrôles de cohérence locaux Contrôles de cohérence sur l'ensemble du projet Les descriptions de dialogue que vous trouverez dans le manuel sous le mot-clé "Contrôle de cohérence" renseignent sur les règles vérifiées que vous devez observer lorsque vous effectuez des entrées. Contrôles de cohérence locaux Un contrôle de cohérence est dit local lorsqu'il est exécuté directement au sein d'un dialogue. Des contrôles peuvent être exécutés lors des actions suivantes : lorsque vous quittez un champ lorsque vous quittez une ligne de tableau lorsque vous fermez la boîte de dialogue en cliquant sur "OK" Manuel de configuration, 09/2013, C79000-G8977-C

62 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Contrôles de cohérence sur l'ensemble du projet Les contrôles de cohérence sur l'ensemble du projet indiquent si les modules sont correctement configurés. Un contrôle de cohérence sur l'ensemble du projet est exécuté automatiquement lors des actions suivantes : lors de l'enregistrement du projet à l'ouverture du projet avant le chargement d'une configuration Remarque Les données de configuration ne peuvent être chargées que si le projet est, dans son ensemble, cohérent. Comment déclencher un contrôle de cohérence sur l'ensemble du projet Réalisez le contrôle de cohérence d'un projet ouvert comme suit : Commande de menu : "Options" > "Contrôles de cohérence...". Le résultat du contrôle est affiché dans une liste que vous pouvez filtrer en fonction des types de message "Erreurs" et "Avertissements". Si le projet contient des données incohérentes, l'état est affiché dans la barre d'état de la fenêtre SCT. Cliquez sur la barre d'état pour afficher la liste de contrôle Attribution de mnémoniques aux adresses IP/MAC Pour accéder à cette fonction Commande de menu : "Options" > "Noms symboliques...". Signification et avantage Dans un projet de sécurité, vous pouvez attribuer des noms symboliques aux adresses IP et MAC dans une table. Ceci permet de simplifier et de fiabiliser la configuration des différents services. Les noms symboliques sont pris en charge au sein d'un projet pour les fonctions suivantes et leur configuration. Pare-feu Routeur NAT/NAPT Syslog DHCP NTP 62 Manuel de configuration, 09/2013, C79000-G8977-C286-02

63 Configuration sous Security Configuration Tool 2.4 Création et gestion de projets Composition de noms symboliques Les noms symboliques doivent être précédés, lors de leur définition mais aussi de leur utilisation, d'un dièse (#). Les noms symboliques proprement dits doivent être conformes au DNS. Validité et unicité Les noms symboliques figurant dans la table ne sont valables que dans le cadre de la configuration d'un projet de sécurité. Au sein d'un projet, tout nom symbolique doit être unique et ne correspondre qu'à une seule adresse IP et/ou adresse MAC. Dialogue de définition de noms symboliques Afin d'éviter une incohérence à la suite de l'affectation "adresse IP - nom symbolique" et "adresse MAC - nom symbolique", les noms symboliques sont tous gérés dans une seule et même table. Définition de noms symboliques 1. Cliquez sur le bouton "Ajouter" pour ajouter un nom symbolique dans la prochaine ligne vide de la table. 2. Entrez un dièse (#) suivi du nom symbolique voulu, conforme au DNS. 3. Complétez l'entrée par l'adresse IP et/ou adresse MAC. Utilisation de noms symboliques non définis Lors de la configuration de modules de sécurité, vous pouvez également utiliser des noms symboliques qui n'ont pas encore été définis. Après la saisie d'un nom symbolique qui n'a pas encore été défini et validation du dialogue correspondant, le nom symbolique choisi est inscrit dans la table des noms symboliques. Dans ce dialogue, vous pourrez alors définir l'adresse IP et/ou l'adresse MAC correspondant au nom symbolique. Manuel de configuration, 09/2013, C79000-G8977-C

64 Configuration sous Security Configuration Tool 2.5 Données de configuration pour modules SCALANCE M Si vous supprimez une entrée de la table, les noms symboliques utilisés dans les services subsistent. Le contrôle de cohérence signalera dans ce cas des noms symboliques non définis. Ceci vaut, que vous ayez défini le nom symbolique initialement ou ultérieurement. Conseil : Le contrôle de cohérence sur l'ensemble du projet est particulièrement utile pour la table décrite ici. La liste permet d'identifier et de rectifier toute incohérence. Démarrez le contrôle de cohérence pour un projet ouvert avec la commande de menu "Options" > "Contrôles de cohérence...". Contrôle de cohérence - Règles à observer Tenez compte des règles ci-après lorsque vous effectuez des entrées : Les noms symboliques doivent être précédés d'un dièse (#). Le nom symbolique affecté à une adresse IP ou MAC doit être unique. Le nom symbolique et l'adresse ne doivent être attribués qu'une seule fois et ne pas être utilisés dans une autre entrée de liste. Les noms symboliques doivent être conforme au DNS. A un nom symbolique doit correspondre une adresse IP ou une adresse MAC ou les deux. Ne pas affecter de nom symbolique aux adresses IP des modules de sécurité. La table doit contenir les noms symboliques utilisés pour les adresses IP et MAC du projet. Des incohérences peuvent survenir lorsque vous supprimez des entrées de la table et que vous oubliez de les supprimer ou des les rectifier dans les dialogues du projet. Voir aussi Contrôle de cohérence (Page 61) Conformité DNS (Page 259) 2.5 Données de configuration pour modules SCALANCE M Signification Vous pouvez générer les informations VPN pour le paramétrage d'un SCALANCE M avec le Security Configuration Tool. Vous pourrez ensuite configurer le SCALANCE M avec les données générées. Les types de données suivants sont générés : 64 Manuel de configuration, 09/2013, C79000-G8977-C286-02

65 Configuration sous Security Configuration Tool 2.5 Données de configuration pour modules SCALANCE M Fichier d'exportation avec les données de configuration Type de fichier : fichier *.txt au format ASCII Contient les informations de configuration exportées du SCALANCE M y compris une information sur les certificats additionnels générés. Fichier d'exportation pour modules SCALANCE M875 : Fichier d'exportation pour modules SCALANCE M874-x : Certificats de groupe VPN du module Type de fichier de la clé privée : fichier *.p12 Le fichier contient le certificat de groupe VPN du module et les éléments de clé associés. L'accès est protégé par mot de passe. Certificats CA de groupes VPN Manuel de configuration, 09/2013, C79000-G8977-C

66 Configuration sous Security Configuration Tool 2.6 Données de configuration pour appareils VPN Type de fichier : Fichier *.cer Remarque Les fichiers de configuration ne sont pas transférés sur le module. On génère simplement un fichier ASCII avec lequel vous pouvez configurer le SCALANCE M. Il faut pour ce faire que le module se trouve dans au moins un groupe VPN avec un module de sécurité ou un SOFTNET Security Client à partir de V3.0. Génération de fichiers de configuration 1. Sélectionnez le module à éditer. 2. Sélectionnez la commande de menu "Transférer " > "Au(x) module(s)..." 3. Dans le dialogue d'enregistrement suivant, entrez le chemin et le nom du fichier de configuration puis cliquez sur le bouton "Enregistrer". 4. Spécifiez dans le dialogue suivant si vous voulez créer un mot de passe particulier pour les deux fichiers de certificat créés. Si vous sélectionnez "Non", le nom du projet (SCALANCE_M_Configuration1 p. ex.) sera choisi comme mot de passe et non pas le mot de passe du projet. Si vous sélectionnez "Oui" (recommandé), entrez un mot de passe dans le dialogue qui suit. Résultat : Les fichiers (et certificats) sont enregistrés dans le répertoire que vous avez spécifié. Remarque Pour plus d'informations sur la configuration, consultez les instructions de service du SCALANCE M875 et M874-x. 2.6 Données de configuration pour appareils VPN Signification Vous pouvez générer les informations VPN pour le paramétrage d'un appareil VPN avec Security Configuration Tool. Vous pourrez ensuite configurer l'appareil VPN avec les fichiers générés. Les fichiers suivants sont générés : 66 Manuel de configuration, 09/2013, C79000-G8977-C286-02

67 Configuration sous Security Configuration Tool 2.6 Données de configuration pour appareils VPN Fichier d'exportation avec les données de configuration Type de fichier : fichier *.txt au format ASCII Contient les informations de configuration exportées de l'appareil VPN y compris une information sur les certificats additionnels générés. Figure 2-1 Fichier exporté pour un appareil VPN Certificats de groupe VPN de l'appareil VPN Certificats de groupe VPN des modules partenaires Clés privées Certificats CA de groupes VPN Configuration des types de fichier Vous pouvez définir pour les appareils VPN les types de fichier dans lesquels les données générées seront enregistrées. Choisissez l'appareil VPN à éditer puis sélectionnez la commande de menu "Edition" > "Propriétés...". Certificats de groupe VPN de l'appareil VPN fichier *.crt : certificat codé Base64 fichier *.pem : certificat codé Base64 fichier *.pem : certificat codé binaire Certificats de groupe VPN des modules partenaires : fichier *.crt : certificat codé Base64 *.pem : certificat codé Base64 *.pem : certificat codé binaire Manuel de configuration, 09/2013, C79000-G8977-C

68 Configuration sous Security Configuration Tool 2.7 Données de configuration pour clients VPN NCP (Android) Clés privées : fichier *.p12 : archive PKCS12 protégée par mot de passe (avec clé privée) *.key : clé privée codée Base64 non protégée Certificats CA de groupes VPN : fichier *.crt : certificat codé Base64 fichier *.pem : certificat codé Base64 fichier *.pem : certificat codé binaire Remarque Les fichiers de configuration ne sont pas transmis à l'appareil VPN. Un fichier ASCII avec lequel vous pouvez configurer l'appareil VPN, est configuré. Il faut pour ce faire que l'appareil VPN se trouve dans au moins un groupe VPN avec un module de sécurité ou un SOFTNET Security Client à partir de V3.0. Génération de fichiers de configuration 1. Sélectionnez l'appareil VPN à éditer. 2. Sélectionnez la commande de menu "Transférer " > "Au(x) module(s)..." 3. Dans le dialogue d'enregistrement suivant, entrez le chemin et le nom du fichier de configuration puis cliquez sur le bouton "Enregistrer". 4. Spécifiez dans le dialogue suivant si vous voulez créer un mot de passe particulier pour les deux fichiers de certificat créés. Si vous sélectionnez "Non", le nom du projet (Projet_VPN_02 p. ex.) sera choisi comme mot de passe et non pas le mot de passe du projet. Si vous sélectionnez "Oui" (recommandé), entrez un mot de passe dans le dialogue qui suit. Résultat : Les fichiers (et certificats) sont enregistrés dans le répertoire que vous avez spécifié. 2.7 Données de configuration pour clients VPN NCP (Android) NCP Secure VPN Client for Android Le client Android NCP Secure permet d'établir des liaisons VPN hautement sécurisées à des réseaux de données centraux d'entreprises ou d'organismes. Il est possible d'accéder à divers réseaux de données possédant chacun un profil VPN particulier. Des tablettes et smartphones peuvent ainsi établir des liaisons de données cryptées sur la base de la norme IPsec à tous les fournisseurs d'accès connus. Le client est disponibles en deux variantes dans Google Play Store : 68 Manuel de configuration, 09/2013, C79000-G8977-C286-02

69 Configuration sous Security Configuration Tool 2.7 Données de configuration pour clients VPN NCP (Android) NCP Secure VPN Client for Android (authentification par clé partagée) NCP Secure VPN Client Premium for Android (authentification par clé partagée ou certificat) Vous trouverez des informations plus détaillées sur les clients Android NCP Secure ici : NCP Secure VPN Client for Android ( Signification Vous pouvez générer les informations VPN pour le paramétrage d'un client VPN NCP (Android) avec Security Configuration Tool. Vous pourrez ensuite configurer le logiciel client VPN NCP avec les fichiers générés. Les types de données suivants sont générés : Fichier d'exportation avec les données de configuration Type de fichier : fichier *.ini au format UTF-8 Contient les informations de configuration exportées du client VPN NCP (Android) y compris une information sur les certificats additionnels générés. Certificats de groupe VPN du module Type de fichier de la clé privée : fichier *.p12 Le fichier contient le certificat de groupe VPN du module et les éléments de clé. L'accès est protégé par mot de passe. Certificats CA de groupes VPN : Type de fichier : fichier *.crt Figure 2-2 Fichier exporté pour un client VPN NCP (Android) Manuel de configuration, 09/2013, C79000-G8977-C

70 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Remarque Les fichiers de configuration ne sont pas transmis au client VPN NCP (Android). On génère simplement un fichier ASCII avec lequel vous pouvez configurer le client VPN NCP (Android). Le client VPN NCP (Android) doit pour ce faire se trouver, avec un module de sécurité, dans au moins un groupe VPN. Génération de fichiers de configuration 1. Sélectionnez dans la zone de contenu le client VPN NCP (Android) à éditer. 2. Sélectionnez la commande de menu "Transférer " > "Au(x) module(s)..." 3. Dans le dialogue d'enregistrement suivant, entrez le chemin et le nom du fichier de configuration puis cliquez sur le bouton "Enregistrer". 4. Spécifiez dans le dialogue suivant si vous voulez créer un mot de passe particulier pour les deux fichiers de certificat créés. Si vous sélectionnez "Non", le nom du projet (Projet_NCP_02 p. ex.) sera choisi comme mot de passe et non pas le mot de passe du projet. Si vous sélectionnez "Oui" (recommandé), entrez un mot de passe dans le dialogue qui suit. Résultat : Les fichiers sont enregistrés dans le répertoire que vous avez spécifié. 2.8 Gestion des utilisateurs Présentation de la gestion des utilisateurs Comment la gestion des utilisateurs est-elle structurée? L'accès à la configuration de sécurité est géré par des paramètres d'utilisateur configurables. Créez des utilisateurs avec un seul mot de passe à des fins d'authentification. Attribuez à l'utilisateur un rôle défini par le système ou un rôle personnalisé. Des droits liés à la configuration ou au module ont été affectés à chaque rôle. Tenez compte, lors de la création des capacités fonctionnelles (Page 20) indiquées. Migration d'utilisateurs existant sous STEP 7 vers SCT Les utilisateurs créés sous STEP 7 peuvent être migrés vers SCT. Les mots de passe devront cependant être réattribués. 70 Manuel de configuration, 09/2013, C79000-G8977-C286-02

71 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Vous trouverez des informations détaillées à ce propos dans l'aide en ligne. Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue SCT. Ordre chronologique de saisie lors de la création d'utilisateurs et de rôles Choisissez l'une des deux chronologies suivantes : Créez d'abord un utilisateur, définissez ensuite un rôle puis affectez, pour terminer, le rôle à l'utilisateur. Définissez d'abord un nouveau rôle, créez ensuite un utilisateur puis affectez, pour terminer, le rôle à l'utilisateur. Remarque Conservez les mots de passe dans un endroit sûr. Si vous oubliez les mots de passe d'utilisateur, vous n'aurez plus accès au projet ni au module de sécurité concerné. Vous devrez le cas échéant recréer un projet et "Rétablir les paramètres par défaut". Dans ce cas, la configurations sera perdue. Remarque Si vous modifiez les paramètres d authentification, rechargez les modules de sécurité pour que les nouveaux paramètres (nouvel utilisateur, modification de mot de passe p. ex.) prennent effet sur les modules de sécurité. Authentification d'utilisateur lors de l'activation de jeux de règles IP personnalisés L'authentification d'utilisateurs qui se connectent sur une page web du module de sécurité pour activer un jeu de règles IP personnalisé, peut être assurée soit par le module de sécurité, soit par un serveur RADIUS. Pour savoir comment définir la méthode d'authentification "RADIUS" pour un utilisateur, veuillez vous référer au chapitre suivant : Création d'utilisateurs (Page 72) Vous trouverez des informations détaillées sur l'authentification d'utilisateurs par serveur RADIUS au chapitre suivant : Authentification par serveur RADIUS (Page 81) Manuel de configuration, 09/2013, C79000-G8977-C

72 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Création d'utilisateurs Pour accéder à cette fonction Commande de menu SCT : "Options" > "Gestion des utilisateurs...", onglet "Utilisateur", bouton "Ajouter...". Commande de menu STEP 7 : "Utilisateur" > "Démarrer la gestion des utilisateurs", bouton "Exécuter". La gestion des utilisateurs peut également être ouverte à partir d'onglets. Paramètre Nom d'utilisateur Signification Nom choisi par l'utilisateur. Méthode d'authentification Mot de passe : Utilisez cette méthode d'authentification pour les utilisateurs qui éditent et chargent le projet SCT et pour ceux qui doivent diagnostiquer le module de sécurité. L'authentification de l'utilisateur est assurée par le module de sécurité lors de l'activation de jeux de règles IP personnalisés. RADIUS : L'authentification de l'utilisateur est assurée par un serveur RADIUS lors de l'activation de jeux de règles IP personnalisés. Le mot de passe de l'utilisateur pour cette méthode d'authentification n'est pas configuré sous SCT, vous devez l'enregistrer sur le serveur RADIUS. Utilisez cette méthode d'authentification exclusivement pour des utilisateurs qui doivent simplement se connecter sur le site web d'un module de sécurité. Un utilisateur authentifié par "RADIUS" ne peut pas se connecter à des projets SCT. Mot de passe (uniquement pour la méthode d'authentification "Mot de passe") Répétez le mot de passe (uniquement pour la méthode d'authentification "Mot de passe") Commentaire Durée maximale de la session Saisie du mot de passe de l'utilisateur. Lors de la saisie, la "force" du mot de passe est contrôlée. Pour plus d'informations sur la force du mot de passe, reportez-vous au chapitre suivant : Capacités fonctionnelles (Page 20) Répétition du mot de passe saisi. Entrée d'un commentaire. Entrée de la durée au bout de laquelle un utilisateur connecté à la page web pour jeux de règles IP personnalisés de modules SCALANCE S, est automatiquement déconnecté. La durée spécifiée ici débute avec la connexion ou après un renouvellement de la session sur la page web du module de sécurité. Paramétrage par défaut : 30 minutes Valeur minimale : 5 minutes Valeur maximale : 480 minutes Rôle attribué Selon l'affectation. 72 Manuel de configuration, 09/2013, C79000-G8977-C286-02

73 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Tableau 2-1 Boutons de l'onglet "Utilisateur" Désignation Editer... Ajouter... Supprimer Signification / Effet Sélectionnez une entrée puis cliquez sur le bouton. Dans le dialogue qui s'affiche, vous pouvez modifier les paramètres mentionnés cidessus. Ajoutez avec ce bouton un nouvel utilisateur. Ce bouton permet de supprimer l'entrée sélectionnée. Nota Le projet doit toujours comporter au moins un utilisateur avec le rôle "administrator". L'administrateur qui est créé automatiquement lors de la création du projet ne peut être supprimé que si au moins un autre utilisateur possède les droits de configuration complets Création de rôles Quels rôles peut-on attribuer? Vous pouvez attribuer à un utilisateur un rôle défini par le système ou un rôle personnalisé. Définissez les droits de module d'un rôle personnalisé pour chaque module de sécurité. Rôles définis par le système Les rôles ci-après sont prédéfinis par le système. Ces rôles possèdent des droits définis qui sont identiques sur tous les modules et que l'administrateur ne peut ni modifier, ni supprimer. Gestion des droits (Page 75) administrator Rôle standard lors de la création d'un projet SCT. Droits d'accès illimités à toutes les données de configuration. standard Rôle à droits d'accès restreints. diagnostics Rôle standard lors de la création d'un utilisateur. Accès en lecture seulement. remote access Pas de droits sauf celui de se connecter à la page web pour jeux de règles IP personnalisés. Manuel de configuration, 09/2013, C79000-G8977-C

74 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs radius Rôle utilisable pour l'activation de jeux de règles IP personnalisés avec authentification via serveur RADIUS. Accès en lecture seulement. administrator (radius) Rôle utilisable pour l'activation de jeux de règles IP personnalisés avec authentification via serveur RADIUS. Droits d'accès à toutes les données de configuration sauf aux MIB SNMP. Remarque Pour plus d'informations sur les jeux de règles IP personnalisés, veuillez vous référer au chapitre suivant : Jeux de règles IP personnalisés (Page 142) Remarque Vous trouverez des informations détaillées sur l'authentification par serveur RADIUS au chapitre suivant : Authentification par serveur RADIUS (Page 81) Rôle personnalisé Vous pouvez compléter les rôles définis par le système en définissant des rôles personnalisés. Pour définir un rôle personnalisé, choisissez les droits de configuration et droits de module que vous voulez attribuer à chaque module de sécurité du projet. Attribuez ensuite manuellement les rôles personnalisés aux utilisateurs voulus. Pour accéder à cette fonction Commande de menu SCT : "Options" > "Gestion des utilisateurs...", onglet "Rôles". Commande de menu STEP 7 : "Utilisateur" > "Démarrer la gestion des utilisateurs", bouton "Exécuter". La gestion des utilisateurs peut également être ouverte à partir d'onglets. 74 Manuel de configuration, 09/2013, C79000-G8977-C286-02

75 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Tableau 2-2 Indications de l'onglet "Rôles" Paramètre Nom de rôle Commentaire Durée maximale de la session Signification Nom de rôle choisi par l'utilisateur. Entrée d'un commentaire. Entrée de la durée au bout de laquelle un utilisateur, possédant le rôle de la page web pour jeux de règles IP personnalisés, est automatiquement déconnecté de modules SCALANCE S. La durée spécifiée ici débute avec la connexion ou après un renouvellement de la session sur la page web du module de sécurité. Paramétrage par défaut : 30 minutes Valeur minimale : 5 minutes Valeur maximale : 480 minutes Tableau 2-3 Boutons de l'onglet "Rôles" Désignation Propriétés... / Editer... Ajouter... Supprimer Signification / Effet Sélectionnez dans la liste un rôle personnalisé puis cliquez sur le bouton. Dans le dialogue qui s'ouvre, vous pouvez modifier les propriétés du rôle telles que le nom du rôle, les droits affectés au rôle ainsi que la durée maximale de la session. Les rôles définis par le système ne sont pas éditables. Ajoutez avec ce bouton un nouveau rôle personnalisé. Dans le dialogue qui s'affiche, entrez le nom du rôle et attribuez au rôle les droits voulus de la liste des droits. Les droits affichés sont ceux du rôle défini par le système choisi comme modèle de droits (modèle par défaut : "diagnostics"). Ce bouton permet de supprimer l'entrée sélectionnée. Nota Une fois créé, un rôle personnalisé ne peut être supprimé que s'il n'est affecté à aucun utilisateur. Vous pouvez si nécessaire attribuer à l'utilisateur un autre rôle. Les rôles définis par le système ne peuvent pas être supprimés Gestion des droits Pour accéder à cette fonction Commande de menu SCT : "Options" > "Gestion des utilisateurs...", onglet "Rôles", bouton "Propriétés..." ou "Ajouter...". Commande de menu STEP 7 : "Utilisateur" > "Démarrer la gestion des utilisateurs", bouton "Exécuter". La gestion des utilisateurs peut également être ouverte à partir d'onglets. Manuel de configuration, 09/2013, C79000-G8977-C

76 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Création et affectation d'un rôle personnalisé 1. Entrez un nom de rôle. 2. Sélectionnez dans le modèle de droits un rôle défini par le système (modèle par défaut : "diagnostics"). Les rôles personnalisés ne sont pas affichés dans ce choix. Résultat : Selon le rôle que vous avez choisi, la liste des droits affiche les droits associés pour chaque module de sécurité utilisé dans le projet. Les droits des modules de sécurité non utilisés dans le projet sont grisés. 3. Activez ou désactivez pour chaque module de sécurité les droits que vous voulez affecter au rôle personnalisé. 4. Entrez éventuellement un commentaire ainsi qu'une durée maximale de session pour le rôle à créer. 5. Cliquez sur le bouton "Appliquer" pour enregistrer le choix ou sur "OK" pour enregistrer le choix et fermer la fenêtre. 6. Attribuez le rôle à un utilisateur. Recopie des droits de rôle d'un module de sécurité Dans le menu contextuel d'un module de sécurité, sélectionnez dans la liste d'objets la commande "Copier les droits..." et affectez-les avec la commande "Coller les droits" à un autre module de sécurité. Droits de configuration Selon le type de rôle, vous pouvez choisir, pour chaque projet de sécurité, parmi les droits de configuration suivants : Tableau 2-4 Droits de configuration pour accéder au projet de sécurité Droit de configuration administrator standard diagnostics Diagnostic de la sécurité x x x Configuration de la sécurité x x - Gestion d'utilisateurs et de rôles x - - x droit activé - droit désactivé Droits de module La colonne "Service" affiche le système auquel le droit s'applique. Selon le type de rôle, vous pouvez choisir, pour chaque projet de sécurité, parmi les droits de module suivants : 76 Manuel de configuration, 09/2013, C79000-G8977-C286-02

77 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Tableau 2-5 Droits du module CP x43-1 Adv. Droit au sein du service administrator standard diagnostics Service Web : Formater le système de fichiers du CP * x - - Système de fichiers FTP : Lire des fichiers du système de fichiers du CP FTP : Ecrire des fichiers dans le système de fichiers du CP x x x x x - FTP : Lire des fichiers (DB) sur la CPU S7 ** x x x API FTP : Ecrire des fichiers (DB) sur la CPU S7 *** x x - Applet : Lire des variables avec des mnémoniques configurés * x x x Applet : Ecrire des variables avec des mnémoniques configurés * Applet : Lire des variables via des adresses absolues * Applet : Ecrire des variables via des adresses absolues * x x x x x - Applet : Lire l'état des modules du rack * x x x Applet : Lire la référence des modules du rack * x x x SNMP : Lire MIB II x x x SNMP SNMP : Ecrire MIB-II x x - SNMP : Lire Automation MIB x x x SNMP : Lire LLDP MIB x x x SNMP : Lire SNMPv2 MIB x x x SNMP : Lire MRP MIB x x x SNMP : Écrire MRP MIB x x - SCT : Diagnostiquer le module de sécurité **** x x x Sécurité Web : Etendre la liste IP Access Control * x - - Web : Accéder au diagnostic Web et au système de fichiers du CP x x x Web Web : Transmettre un courrier de test * x x x Web : Actualiser le firmware * x x - Maintenance Web : Compléter les textes de diagnostic * x x - x droit activé - droit désactivé * Pour pouvoir appliquer cette fonction, le droit de module "Web : accéder au diagnostic web et au système de fichiers du CP" doit également être activé. ** Pour pouvoir appliquer cette fonction, le droit de module "FTP : lire des fichiers du système de fichiers du CP" doit également être activé. *** Pour pouvoir appliquer cette fonction, le droit de module "FTP : écrire des fichiers dans le système de fichiers du CP" doit également être activé. **** Pour pouvoir appliquer cette fonction, il faut que le droit de configuration "Diagnostiquer la sécurité" soit également activé. Manuel de configuration, 09/2013, C79000-G8977-C

78 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Tableau 2-6 Droits du module CP 1628 Droit au sein du service administrator standard diagnostics Service SNMP : Lire MIB II x x x SNMP SNMP : Ecrire MIB-II x x - SNMP : Lire Automation MIB x x x SNMP : Lire SNMPv2 MIB x x x SCT : Diagnostiquer le module de sécurité x x x Sécurité x droit activé - droit désactivé Tableau 2-7 Droits du module SCALANCE S V3.0 Droit au sein du service administrator standard diagnostics Service SNMP : Lire MIB II x x x SNMP SNMP : Ecrire MIB-II x x - SNMP : Lire Automation MIB x x x SNMP : Lire SNMPv2 MIB x x x SNMP : Lire MRP MIB SNMP : Écrire MRP MIB x x x x x - SCT : Diagnostiquer le module de sécurité x x x Sécurité Charger les fichiers de configuration x x - Web : Mise à jour du firmware x x - Maintenanc e x droit activé - droit désactivé Tableau 2-8 Droits du module SCALANCE S < V3.0 Droit au sein du service administrator standard diagnostics Service Charger les fichiers de configuration x x - Sécurité SCT : Diagnostiquer le module de sécurité x x x x droit activé - droit désactivé 78 Manuel de configuration, 09/2013, C79000-G8977-C286-02

79 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Définition de droits de module avant et après la création de modules de sécurité Au sein d'un rôle personnalisé, les droits de module sont définis séparément pour chaque module de sécurité. Si un module de sécurité, pour lequel des droits de module doivent être définis au sein d'un rôle, a été créé avant l'ajout du rôle, les doits de ce module de sécurité sont automatiquement paramétrés en fonction du modèle de droits sélectionné et peuvent être modifiés en cas de besoin. Si un module de sécurité a été ajouté après la création d'un rôle, SCT ne définit pas de droits. Dans ce cas, vous devrez paramétrer vous-même tous les droits du module de sécurité. Vous pouvez également copier des droits de module existants et les appliquer à un autre module de sécurité et éventuellement les y adapter. Sélectionnez pour ce faire l'option "Copier des droits" ou "Coller les droits" du menu contextuel des droits du module de sécurité Configuration des stratégies de mot de passe Signification Les stratégies de mot de passe permettent de définir des règles à appliquer lors de l'attribution de mots de passe à de nouveaux utilisateurs. Pour accéder à cette fonction Sélectionnez la commande de menu "Options" > "Gestion des utilisateurs...", onglet "Stratégies de mot de passe". La stratégie est active dès que la case correspondante a été cochée et peut être si nécessaire adaptée à l'aide du champ de saisie correspondant. Paramètre Longueur minimale du mot de passe Signification Nombre de caractères qu'un mot de passe doit au moins comporter. La case correspondante est cochée par défaut et ne peut pas être désactivée. Valeur minimale : 8 caractères Valeur maximale : 32 caractères Nombre minimal de chiffres Nombre de chiffres qu'un mot de passe doit au moins comporter. Valeur minimale : 1 chiffre Valeur maximale : 32 chiffres Nombre minimal de caractères spéciaux Nombre de caractères spéciaux qu'un mot de passe doit au moins comporter. Est un caractère spécial tout caractère autre qu'une lettre ou un chiffre. Valeur minimale : 1 caractère spécial Valeur maximale : 32 caractères spéciaux Manuel de configuration, 09/2013, C79000-G8977-C

80 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Paramètre Nombre de mots de passe dont la réutilisation est bloquée Signification Nombre de mots de passe utilisés récemment qui ne sont plus disponibles comme nouveau mot de passe après une modification de mot de passe. Valeur minimale : 1 mot de passe Valeur maximale : 10 mots de passe Au moins un caractère majuscule et minuscule Si vous cochez cette case, les mots de passe doivent comporter au moins une lettre minuscule et une lettre majuscule. 80 Manuel de configuration, 09/2013, C79000-G8977-C286-02

81 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Authentification par serveur RADIUS Présentation Signification RADIUS (Remote Authentication Dial-In User Service) est un protocole d'authentification d'utilisateurs par des serveurs sur lesquels les données d'utilisateur ont été centralisées. L'utilisation de serveurs RADIUS permet d'améliorer la protection des noms d'utilisateur, des rôles et mots de passe affectés Scénario d'utilisation de serveurs RADIUS L'authentification par serveur RADIUS peut avoir lieu dans le cadre de l'activation de jeux de règles IP personnalisés. 1 Saisie des données d'utilisateur sur la page web du module de sécurité 2 Authentification par serveur RADIUS et activation du jeu de règles IP personnalisé. 3 Accès à la cellule d'automatisation Manuel de configuration, 09/2013, C79000-G8977-C

82 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs La structure de réseau présentée ci-dessus est un exemple. Le serveur RADIUS peut se trouver dans un réseau interne ou un réseau de DMZ du module de sécurité. Les possibilités de configuration décrites ci-après présupposent qu'un serveur RADIUS ait été configuré sous SCT et affecté au module de sécurité concerné. Il faut par ailleurs qu'un utilisateur et un rôle aient été configurés avec la méthode d'authentification "RADIUS". Pour plus d informations, référez-vous aux chapitres suivants : Définition d'un serveur RADIUS (Page 84) Affectation d'un serveur RADIUS à un module de sécurité (Page 85) Création d'utilisateurs (Page 72) Création de rôles (Page 73) Vous trouverez des informations générales sur les jeux de règles IP personnalisés dans le chapitre suivant : Jeux de règles IP personnalisés (Page 142) 82 Manuel de configuration, 09/2013, C79000-G8977-C286-02

83 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Options de configuration Vous disposez de deux options de configuration d'un serveur RADIUS pour l'authentification d'une utilisateur : L'utilisateur et son rôle sont connus sur le module de sécurité, seule la gestion du mot de passe de l'utilisateur a lieu sur le serveur RADIUS. L'utilisateur et le mot de passe associé sont configurés sur le serveur RADIUS. Un utilisateur est configuré avec la méthode d'authentification "RADIUS". L'utilisateur est affecté au jeu de règles IP personnalisé. Résultat : Lors de la connexion d'un utilisateur à la page web du module de sécurité, la requête d'authentification est transmise au serveur RADIUS. Le serveur RADIUS vérifie le mot de passe et transmet le résultat au module de sécurité. Si la vérification du mot de passe est positive, le jeu de règles IP personnalisé est activé. Le rôle est connu sur le module de sécurité, la gestion des utilisateurs a lieu via le serveur RADIUS. L'utilisateur et le mot de passe associé sont configurés sur le serveur RADIUS. Un rôle personnalisé ou un rôle défini par le système est affecté au jeu de règles IP personnalisé. Dans l'onglet "RADIUS" du module de sécurité, cochez la case "Autoriser l'authentification RADIUS d'utilisateurs non configurés" ainsi que la case "ID de filtrage requis pour l'authentification". Résultat : Lors de la connexion d'un utilisateur à la page web du module de sécurité, la requête d'authentification et d'autorisation est transmise au serveur RADIUS. Le serveur RADIUS vérifie le mot de passe et transmet le résultat au module de sécurité. Cas a : Si le nom de rôle a également été configuré sur le serveur RADIUS : le serveur RADIUS retourne le nom de rôle affecté à l'utilisateur, au module de sécurité. Cas b : Si le nom de rôle n'a pas été configuré sur le serveur RADIUS : le module de sécurité affecte à l'utilisateur le rôle "radius", défini par le système. Si la vérification du mot de passe est positive, le jeu de règles IP personnalisé est activé. Manuel de configuration, 09/2013, C79000-G8977-C

84 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Conventions pour serveurs RADIUS Les serveur RADIUS peuvent se trouver dans tout réseau connecté au module de sécurité. Il n'est pas possible de configurer plus de deux serveurs RADIUS par module de sécurité. En service, un seul des serveurs RADIUS est actif. Lors de la définition de serveurs RADIUS, il est possible de configurer des FQDN au lieu des adresses IP Définition d'un serveur RADIUS Signification Avant de pouvoir authentifier avec un serveur RADIUS, celui-ci doit avoir été enregistré dans le projet SCT. Après quoi, vous devez affecter le serveur RADIUS défini au module de sécurité pour lequel le serveur RADIUS doit authentifier les utilisateurs. Marche à suivre 1. Sélectionnez la commande de menu "Options" > "Configuration des serveurs RADIUS...". 2. Cliquez sur le bouton "Ajouter...". 3. Entrez les paramètres requis en fonction du tableau suivant. Paramètre Nom Adresse IP / FQDN Port Shared Secret Répétition du Shared Secret Méthode d'authentification Commentaire Signification Nom du serveur RADIUS défini par l'utilisateur. Adresse IP ou FQDN du serveur RADIUS. Port UDP donnant accès au serveur RADIUS. Les données d'authentification sont reçues par défaut sur le port Saisie du mot de passe utilisé pour le cryptage de la transmission des données de connexion entre serveur RADIUS et modules de sécurité. Confirmation du mot de passe Affichage de la procédure utilisée pour vérifier les données d'utilisateur. La seule procédure prise en charge est "PAP" (Password Authentication Protocol). Entrée facultative d'un commentaire. Résultat Vous avez défini un serveur RADIUS et pouvez à présent l'affecter aux modules de sécurité voulus. 84 Manuel de configuration, 09/2013, C79000-G8977-C286-02

85 Configuration sous Security Configuration Tool 2.8 Gestion des utilisateurs Affectation d'un serveur RADIUS à un module de sécurité Condition Vous avez défini un serveur RADIUS. Marche à suivre 1. Sélectionnez le module de sécurité auquel vous voulez affecter un serveur RADIUS. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...". 3. Sélectionnez l onglet "RADIUS". 4. Cochez la case "Activer l'authentification RADIUS". Remarque Modification de la méthode d'authentification avec serveur web sur module de sécurité Lorsque l'authentification RADIUS est activée sur le module de sécurité, la méthode d'authentification avec le serveur web passe de "Digest Access Authentication" à "Basic Access Authentication". 5. Entrez dans le champ de saisie "Timeout RADIUS" le délai en secondes que le module de sécurité doit attendre une réponse du serveur RADIUS. 6. Dans le champ de saisie "Réitérations RADIUS", entrez le nombre de tentatives de connexion au serveur RADIUS. 7. Cochez la case "Autoriser l'authentification RADIUS d'utilisateurs non configurés" si, au lieu d'un utilisateur, c'est un rôle qui a été affecté au jeu de règles IP personnalisé. 8. Cochez la case "ID de filtrage requis pour l'authentification" si le rôle affecté est un rôle personnalisé. 9. Cliquez sur le bouton "Ajouter". Résultat : Le premier serveur RADIUS configuré est affecté au module de sécurité. 10.Sélectionnez dans la zone de liste déroulante "Nom" le serveur RADIUS que vous voulez affecter au module de sécurité. Vous trouverez des informations générales sur l'authentification par serveur RADIUS au chapitre suivant : Authentification par serveur RADIUS (Page 81) Voir aussi Création d'utilisateurs (Page 72) Manuel de configuration, 09/2013, C79000-G8977-C

86 Configuration sous Security Configuration Tool 2.9 Gestion des certificats 2.9 Gestion des certificats Présentation Comment gérer des certificats? Le gestionnaire de certificats fournit un récapitulatif de tous les certificats / certificats CA utilisés dans le projet avec mention des demandeurs, des émetteurs, de la validité, de l'utilisation dans SCT et de la présence d'une clé privée. Le certificat CA est un certificat, établi par une autorité de certification (Certificate Authority), à partir duquel sont dérivés les certificats d'appareil. Les certificats d'appareil comprennent les certificats SSL servant d'authentification lors de la communication en ligne entre un module de sécurité et un autre abonné du réseau. Les autres certificats d'appareil sont les certificats de groupe VPN de modules de sécurité faisant partie de groupes VPN. Les autorités de certification peuvent être : le logiciel SCT. Si le "demandeur" et l'"émetteur" sont identiques, il s'agit d'un certificat auto-signé, donc établi par SCT. une autorité de certification supérieure. Ces certificats externes au projet sont importés et enregistrés dans la mémoire de certificats du SCT. Les certificats créés par l'une de ces deux autorités de certification possèdent toujours une clé privée permettant de dériver les certificats d'appareil. Vous disposez en outre dans le gestionnaire de certificats des fonctions suivantes : Modification de certificats existants (de la durée de validité p. ex.). Importation de nouveaux certificats et d'autorités de certification. Importation de certificats FTPS si le CP est utilisé comme client FTP. Exportation des certificats et autorités de certification utilisés dans le projet. Renouvellement de certificats et d'autorités de certification périmés. Remplacement d'autorités de certifications existantes par d'autres. Remarque Chargement du projet. Après remplacement ou renouvellement de certificats, le projet doit être chargé sur le module de sécurité concerné. Après remplacement ou renouvellement de certificats CA, le projet doit être chargé sur tous les module de sécurité. 86 Manuel de configuration, 09/2013, C79000-G8977-C286-02

87 Configuration sous Security Configuration Tool 2.9 Gestion des certificats Remarque Date et heure à jour sur les modules de sécurité Veillez, lors de l'utilisation de la communication sécurisée (via HTTPS, VPN,... par ex.), à ce que les modules de sécurité concernés possèdent bien la date et l'heure actuelles. Les certificats utilisés sont sinon considérés non valides et la communication sécurisée ne fonctionnera pas. Pour accéder à cette fonction Commande de menu SCT : "Options" > "Gestionnaire de certificats...". Dans les divers onglets, vous avez accès aux boutons suivants : Bouton Importer... / Exporter... Description Importation / exportation de certificats d'appareils ou de certificats CA qui n'ont pas été créés sous SCT. Les certificats sont transférés sur le module de sécurité. Les formats suivants sont admis : *.pem (certificat uniquement) *.crt (certificat uniquement) *.p12 (certificat et clé privée associée) Nota Les utilisateurs possédant le rôle "diagnostics" défini par le système sont autorisés à exporter. Afficher... Ouvre le dialogue de certificat sous Windows qui affiche un récapitulatif de toutes les données de certificat. Onglet "Autorités de certification" Les certificats affichés ici sont créés par une autorité de certification. Autorité de certification d'un projet : Lors de la création d'un projet SCT, un certificat CA est créé pour le projet. Ce certificat sert à dériver les certificats SSL destinés aux divers modules de sécurité. Autorité de certification d'un groupe VPN : Lors de la création d'un groupe VPN, un certificat CA est généré pour le groupe VPN. Les certificats de groupe VPN des modules de sécurité faisant partie du groupe VPN en question sont dérivés de ce certificat. Manuel de configuration, 09/2013, C79000-G8977-C

88 Configuration sous Security Configuration Tool 2.9 Gestion des certificats Onglet "Certificats d'appareil" Affichage des certificats d'appareil qui sont générés par SCT pour un module de sécurité. Ils comprennent : Certificat SSL d'un module de sécurité : un certificat SSL dérivé du certificat CA du projet est généré pour chaque module de sécurité créé. Les certificats SSL permettent d'authentifier la communication entre PG/PC et un module de sécurité, lors du chargement de la configuration (pas pour CP) ainsi que lors de la journalisation. Certificat de groupe VPN d'un module de sécurité : un certificat de groupe VPN est généré en plus par groupe VPN pour chaque module de sécurité qui se trouve dans un tel groupe. Onglet "Certificats dignes de confiance et autorités de certification racine" Affiche les certificats externes importés dans SCT. Les certificats importés sont des certificats de serveurs FTP externes p. ex. ou des certificats d'autres projets SCT. Le certificat externe importé est transféré sur tous les CP gérés dans le projet SCT. Ce certificat permet p. ex. à un module de sécurité de s'authentifier lors d'un accès à un serveur FTPS. La configuration SCT proprement dite n'utilise pas le certificat importé. Affichage des autorités de certification, requises pour la vérification par les modules de sécurité de services externes tels que les fournisseurs de dyn. DNS Renouvellement de certificats Signification Cette boîte de dialogue permet de renouveler des certificats CA et des certificats d'appareil. Vous pouvez, en cas de besoin et notamment lorsqu'un certificat est compromis, y importer un certificat ou faire générer un nouveau certificat par Security Configuration Tool. 88 Manuel de configuration, 09/2013, C79000-G8977-C286-02

89 Configuration sous Security Configuration Tool 2.9 Gestion des certificats Pour accéder à cette fonction 1. Cliquez avec le bouton droit de la souris sur une entrée de la liste du gestionnaire de certificats. 2. Sélectionnez l'entrée "Renouveler certificat...". 3. Spécifiez si le nouveau certificat doit être auto-signé ou signé par une autorité de certification. 4. Si le certificat doit être signé par une autorité de certification, sélectionnez avec le bouton "Sélectionner..." l'autorité de certification voulue. Vous ne pouvez sélectionner qu'une autorité de certification figurant dans la mémoire de certificats du projet SCT actuel. 5. Sélectionnez la durée de validité du certificat. Par défaut, les champs "Valable de :" et "Valable jusqu'à :" sont renseignés avec la valeur du certificat actuel. 6. Entrez, selon le certificat, les valeurs suivantes : Certificat à renouveler Paramètre Demandeur Autre nom du demandeur Certificat CA du projet Nom du certificat CA - Certificat CA de groupe VPN Nom du certificat CA - Certificat SSL pour CP S7 Nom du module de sécurité Adresses IP des interfaces Gigabit et PROFINET, séparées par une virgule Certificat SSL pour CP PC Nom du module de sécurité Adresse IP du module de sécurité. Certificat SSL pour Nom du module de sécurité - SCALANCE S, SCALANCE M et SOFTNET Security Client Certificat de groupe VPN d'un module de sécurité Nom du certificat de groupe VPN Dérivé de la CA. Manuel de configuration, 09/2013, C79000-G8977-C

90 Configuration sous Security Configuration Tool 2.9 Gestion des certificats Remplacement de certificats Signification Cette boîte de dialogue permet de remplacer le certificat CA du projet ou le certificat CA d'un groupe VPN par un nouveau certificat. Pour accéder à cette fonction 1. Cliquez avec le bouton droit de la souris sur une entrée de la liste de l'onglet "Autorités de certification". 2. Sélectionnez l'entrée "Remplacer certificat". 3. La boîte de dialogue "Echanger autorité de certification" s'ouvre. Tous les certificats listés dans le champ "Certificats concernés" sont regénérés. Le certificat CA d'un groupe VPN déjà configuré peut ainsi être remplacé au sein d'un projet SCT par le certificat CA d'un groupe VPN appartenant à un autre projet SCT. Les certificats de groupe VPN pour membres d'un groupe VPN sont donc dérivés dans les deux projets d'un même certificat CA. Si un message s'affiche lors de la fermeture du gestionnaire de certificats, chargez à nouveau la configuration modifiée sur le module de sécurité. Quel format est autorisé pour le certificat? D'autres certificats sont générés par SCT à partir du certificat CA importé. Vous ne pouvez donc sélectionner que des certificats à clé privée : *.p12 90 Manuel de configuration, 09/2013, C79000-G8977-C286-02

91 Création de modules et définition des paramètres de 3 réseau Le présent chapitre indique comment créer des modules et quels sont les paramètres admissibles pour les différents modules dans un projet. Informations complémentaires Vous trouverez par ailleurs des informations détaillées sur les dialogues et paramètres dans l'aide en ligne. Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue SCT. Remarque Caractéristiques de performance et types d'appareil Tenez compte des fonctions prises en charge par le type d'appareil que vous utilisez. Voir aussi Fonctions en ligne - test, diagnostic et journalisation (Page 245) Pour accéder à cette fonction 1. Sélectionnez dans le volet de navigation l'objet "Tous les modules" 2. Sélectionnez la commande de menu "Insérer" > "Module". 3. Définissez les paramètres ci-après. Manuel de configuration, 09/2013, C79000-G8977-C

92 Création de modules et définition des paramètres de réseau Paramètre Type de produit Module Version de firmware Nom du module Adresse MAC Adresse IP (ext.) Masque de sous-réseau (ext.) Routage d'interface externe/interne Signification Type de produit utilisé lors de la création d'un module. SCALANCE S SOFTNET Configuration (SOFTNET Security Client, SCALANCE M87x/MD74x, client VPN NCP, appareil VPN) Selon le type de produit choisi, vous pouvez spécifier ici le type de module à utiliser lors de la création d'un module. Sélectionnez l'option "Client VPN NCP pour Android" pour ajouter un client VPN qui représente un appareil sur lequel est installé le logiciel NCP Secure VPN Client for Android. Sélectionnez l'option "Appareil VPN" pour ajouter un client VPN qui représente un appareil d'un autre constructeur. Nota Le fichier de configuration exporté constitue simplement une aide pour la configuration de la liaison VPN mais pas une garantie de compatibilité avec des produits d'autres constructeurs. Vous pouvez spécifier ici, pour les modules SCALANCE S, pour les SOFTNET Security Clients ainsi que pour les client VPN NCP (Android), le firmware / la version de logiciel. Pour les modules SCALANCE M vous pouvez faire votre choix entre SCALANCE M875/MD74x et SCALANCE M874-x. Nom de module choisi par l utilisateur. Entrée de l'adresse MAC du module. Adresse IP pour l'interface externe. L'adresse IP se compose de 4 nombres décimaux compris dans la plage de 0 à 255 et séparés l'un de l'autre par un point, par ex Plage de valeurs pour le masque de sous-réseau. Est proposée en fonction de l'adresse IP entrée. Le masque de sous-réseau se compose de 4 nombres décimaux compris dans la plage de 0 à 255 et séparés l'un de l'autre par un point ; par ex Choix du mode d'exploitation pour le module de sécurité. Pour SCALANCE S, les modes d'exploitation suivants sont disponibles : Mode pont Adresse IP (int.) A indiquer uniquement si le mode de routage est activé Mode de routage Si vous choisissez le mode de routage, vous devez configurer une adresse IP et un masque de sous-réseau pour l'interface interne du module de sécurité. Adresse IP de l'interface interne. L'adresse IP se compose de 4 nombres décimaux compris dans la plage de 0 à 255 et séparés l'un de l'autre par un point ; par ex Manuel de configuration, 09/2013, C79000-G8977-C286-02

93 Création de modules et définition des paramètres de réseau Paramètre Masque de sous-réseau (int.) A indiquer uniquement si le mode de routage est activé Enregistrer sélection Signification Plage de valeurs pour le masque de sous-réseau. Le masque de sous-réseau est proposé en fonction de l'adresse IP entrée. Le masque de sous-réseau se compose de 4 nombres décimaux compris dans la plage de 0 à 255 et séparés l'un de l'autre par un point ; par ex Si vous activez cette fonction, la configuration actuellement définie est adoptée comme valeurs d'initialisation par défaut. Lors de l'insertion de nouveaux modules, le dialogue "Sélection d'un module ou d'une configuration logicielle" ne s'ouvre plus et le module est immédiatement ajouté au projet avec les paramètres définis. Pour annuler cette fonction et pouvoir sélectionner un autre type de module, vous devez désactiver cette fonction avec les commandes de menu suivantes : "Projet" > "Propriétés..." > "Valeurs d'initialisation par défaut" Remarque Paramètres additionnels Définissez les autres paramètres d'interface dans l'onglet "Interfaces" des propriétés de module. Pour plus d'informations, reportez-vous au chapitre : Configuration d'interfaces (SCALANCE S) (Page 96) Création de CP sous STEP 7 Les CP sont uniquement créés sous STEP 7. Ils sont affichés, après création et définition comme module de sécurité dans les propriétés de module STEP 7, dans la liste des modules configurés sous SCT. Les données d'adresse proviennent de STEP 7 et ne peuvent pas être modifiées sous SCT. Voir aussi Paramètres dans le volet de contenu (Page 94) Plages de valeurs de l'adresse IP, du masque de sous-réseau et de l'adresse de la passerelle de réseau (Page 259) Adresse MAC (Page 261) Manuel de configuration, 09/2013, C79000-G8977-C

94 Création de modules et définition des paramètres de réseau 3.1 Paramètres dans le volet de contenu 3.1 Paramètres dans le volet de contenu Pour accéder à la vue Sélectionnez dans le volet de navigation l'objet "Tous les modules" Pour les CP, seul le contenu de la colonne "commentaire" est éditable. Les propriétés de groupe suivantes sont alors affichées par colonne : Propriétés/Colonne Signification Commentaire/Sélection N Numéro d'ordre du module Attribué automatiquement Nom Désignation unique du module Libre choix Type Type d'appareil Nota Adresse IP ext. Masque de sous-réseau ext. Adresse IP int. Adresse IP par laquelle l'appareil est accessible dans le réseau externe, par ex. pour charger la configuration. Masque de sous-réseau de l'adresse IP externe Adresse IP par laquelle l'appareil est accessible dans le réseau interne, lorsqu'il est configuré comme routeur Masque de sous-réseau de l'adresse IP interne Il n'existe pas de dialogue des propriétés pour les appareils de type "SOFTNET Security Client" ainsi que "clients VPN NCP pour Android". Dans le cas des modules SCALANCE M, vous pouvez définir des paramètres pour l'interface externe et interne dans les propriétés du module. Pour les appareils VPN, le type des fichiers de configuration exportés peut être défini dans les propriétés du module. Attribution adaptée au réseau. Attribution adaptée au réseau. Attribution adaptée au réseau. Le champ de saisie n'est éditable que si le mode routage est activé. Masque de sous-réseau int. Attribution adaptée au réseau. Le champ de saisie n'est éditable que si le mode routage est activé. Routeur par défaut Adresse IP du routeur par défaut Attribution adaptée au réseau. Adresse MAC Adresse matérielle du module L'adresse MAC est imprimée sur le boîtier du module. Commentaire Informations sur le module et sur le sous-réseau utilisé par le module. Libre choix 94 Manuel de configuration, 09/2013, C79000-G8977-C286-02

95 Création de modules et définition des paramètres de réseau 3.1 Paramètres dans le volet de contenu Modification des paramètres d'adresse pour SCALANCE S Certains paramètres d'adresse de SCALANCE S peuvent être entrés et modifiés dans le volet de contenu. Signification des paramètres d'adresse pour CP Les adresses suivantes des CP sont affichées sous STEP 7 : Champ dans SCT CP x43-1 Adv. CP 1628 Adresse IP ext. Adresse IP Gigabit Adresse IP IE (Industrial Ethernet) Adresse IP int. Adresse IP PROFINET N'est pas affichée Masque de sousréseau ext Masque de sousréseau int. Routeur par défaut Adresse MAC Masque de sous-réseau Gigabit Masque de sous-réseau PROFINET Routeur par défaut configurable sous STEP 7 Adresse MAC Gigabit (si configurée) Masque de sous-réseau IE N'est pas affiché Routeur par défaut configurable sous STEP 7 Adresse MAC IE (si configurée) Les données d'adresse sont également affichées dans l'onglet "Interfaces". Adresse IP attribuée dynamiquement Si vous avez configuré dans STEP 7 l'attribution dynamique de l'adresse IP, elle se présentera sous SCT, selon les paramétrages, comme suit : Tableau 3-1 Interface Gigabit Mode d'exploitation sous STEP 7 Obtenir l'adresse IP d'un serveur DHCP Adresse IP ext. / masque de sous-réseau ext. (champs du SCT) dynamiquement Tableau 3-2 Interface PROFINET Mode de fonctionnement sous STEP 7 Obtenir l'adresse IP d'un serveur DHCP Adresse IP int. / masque de sous-réseau int. (champs du SCT) dynamiquement Paramétrer l'adresse IP dans l'application Paramétrer l'adresse IP par un autre moyen Manuel de configuration, 09/2013, C79000-G8977-C

96 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) 3.2 Configuration d'interfaces (SCALANCE S) Récapitulatif des possibilités de connexion Possibilités de connexion prises en charge Chaque module de sécurité possède un nombre défini de ports auxquels les abonnés du réseau peuvent être connectés. Les abonnés sont traités différemment en fonction de l'interface associée. Module de sécurité SCALANCE S602 / S612 / S613 SCALANCE S623 SCALANCE S627-2M Interface Externe Adresse MAC de l'interface* Adresse MAC (imprimée) Port de l'interfac e P1 Type de port Connecteur femelle RJ-45 intégré (cuivre) Interne Adresse MAC + 1 P2 Connecteur femelle RJ-45 intégré (cuivre) Externe Adresse MAC (imprimée) P1 Connecteur femelle RJ-45 intégré (cuivre) Interne Adresse MAC + 1 P2 Connecteur femelle RJ-45 intégré (cuivre) DMZ Adresse MAC + 2 P3 Connecteur femelle RJ-45 intégré (cuivre) Externe Adresse MAC (imprimée) P1 P4 P5 Connecteur femelle RJ-45 intégré (cuivre) Port de module de connexion (cuivre/fo) Port de module de connexion (cuivre/fo) Interne Adresse MAC + 1 P2 Connecteur femelle RJ-45 intégré (cuivre) P6 Port de module de connexion (cuivre/fo) P7 Port de module de connexion (cuivre/fo) DMZ Adresse MAC + 2 P3 Connecteur femelle RJ-45 intégré (cuivre) Adresse MAC du port* Adresse MAC + 2 Adresse MAC + 3 Adresse MAC + 3 Adresse MAC + 4 Adresse MAC + 5 Adresse MAC + 3 Adresse MAC + 4 Adresse MAC + 5 Adresse MAC + 6 Adresse MAC + 7 Adresse MAC + 8 Adresse MAC + 9 * Lors du fonctionnement en mode pont, l'adresse MAC imprimée est valable aussi bien à l'interface externe qu'à l'interface interne. Les adresses MAC des interfaces sont utilisées pour tous les services sauf pour LLDP. 96 Manuel de configuration, 09/2013, C79000-G8977-C286-02

97 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Les adresses MAC du port sont utilisées pour la détection de topologie avec LLDP (uniquement pour modules en mode routage). Remarque Il faut éviter d'intervertir les interfaces Ethernet lors de la connexion au réseau de communication : Interface X1 - externe Repère rouge = zone de réseau non protégée ; Interface X2 - interne Repère vert = zone de réseau protégée par SCALANCE S ; Interface X3 - DMZ (interface réseau universelle) Repère jaune = zone de réseau non protégée ou zone de réseau protégée par SCALANCE S. Si vous intervertissez les ports, l'appareil perd sa fonction de protection. Fonctions de l'interface de DMZ Une zone démilitarisée (DMZ) est utilisée lorsque des services doivent être mis à disposition dans le réseau externe et que le réseau interne qui fournit les données pour ces services doit être découplé du réseau externe. La DMZ peut contenir par ex.. des serveurs terminaux sur lesquels sont installés des programmes de diagnostic et de maintenance autorisant des accès définis à certains systèmes du réseau sécurisé. Seuls des utilisateurs ou clients autorisés ou clients connectés via VPN peuvent accéder à partir du réseau non sécurisé. Les règles de pare-feu peuvent être configurées de sorte à autoriser l'accès à partir d'internet à des appareils de la DMZ mais pas au réseau interne. Pour renforcer la protection, on peut également limiter les accès autorisés au trafic de données via VPN. Un exemple de configuration dans lequel l'interface de DMZ est utilisée pour créer une DMZ est présenté au chapitre "4.2 SCALANCE S comme pare-feu entre réseau externe et DMZ" du manuel "SIMATIC NET Industrial Ethernet Security - Configuration de la sécurité des données". Pour pouvoir attribuer également aux appareils de la DMZ une adresse IP dynamique, vous pouvez activer sur l'interface de DMZ un serveur DHCP. Il faut cependant veiller dans un tel cas d'application à ce que les appareils dans la DMZ reçoivent toujours la même adresse IP par DHCP, car ces adresses IP doivent servir à configurer le pare-feu. Autrement dit, ce n'est pas l'affectation d'adresse dynamique mais uniquement l'affectation d'adresse statique qui doit être utilisée lors de la configuration DHCP au moyen de l'adresse MAC ou de l'id client. L'interface de DMZ peut être utilisée comme terminaison de VPN. En relation avec un modem DSL, l'interface de DMZ est alors exploitée en mode PPPoE ou, en relation avec le routeur DSL en amont, avec adresse IP statique. Un exemple de configuration dans lequel l'interface de DMZ est utilisée pour l'accès à distance via un tunnel VPN est présenté au chapitre "5.2 Tunnel VPN entre SCALANCE S623 et SCALANCE S612" du manuel "SIMATIC NET Industrial Ethernet Security - Configuration de la sécurité des données". Manuel de configuration, 09/2013, C79000-G8977-C

98 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Ports de module de connexion des interfaces externe et interne En plus des fonctions du SCALANCE S623, le SCALANCE S627-2M possède deux emplacements de module de connexion prévus pour recevoir chacun un module de connexion électrique ou optique à 2 ports. Les interfaces externe et interne sont ainsi complétées par deux ports. Si vous utilisez le module de connexion "MM992-2SFP" pour une interface, vous pouvez embrocher dans le module de connexion de cette interface jusqu'à deux convertisseurs de médias électriques ou optiques SFP (Small Form-factor Pluggable Transceiver). Les ports additionnels peuvent servir à la connexion des interfaces externe et interne du SCALANCE S627-2M à des anneaux MRP-/HRP. Les ports des modules de connexion sont connectés aux ports intégrés de l'interface en question par un bloc du commutateur Les ports interconnectés par un bloc de commutateur ne disposent pas de fonctionnalité de pare-feu Tous les ports interconnectés par un bloc de commutateur sont accessibles via la même adresse IP. 98 Manuel de configuration, 09/2013, C79000-G8977-C286-02

99 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Fonctions des interfaces Les fonctions suivantes peuvent être utilisées sur les diverses interfaces : Fonction Vert (interne) Rouge (externe) Jaune (DMZ) Adresse IP statique x x x Accès WAN avec routeur DSL - x x Accès au WAN par routeur DSL (PPPoE, adresse IP dynamique du FAI) - x (si pas sur interface jaune) x (si pas sur interface rouge) Mode pont x - Mode routage x x x Mode fantôme - x - Serveur DHCP x - x Terminaison d'une liaison par tunnel VPN (avec modem DSL et routeur DSL) Client MRP/HRP (en mode routage, ports d'anneau sur les modules de connexion) - x x x x - LLDP (en mode x x x routage) Passive Listening (en mode routage, si des modules de connexion sont embrochés) x x - x est pris en charge - n'est pas pris en charge Procédé duplex Un des deux procédés duplex peut être choisi pour un port : Semi-duplex : le module de sécurité peut soit recevoir, soit émettre des données à un instant donné. Duplex intégral : le module de sécurité peut simultanément recevoir et émettre des données à un instant donné. Manuel de configuration, 09/2013, C79000-G8977-C

100 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Remarque Mode duplex et vitesse de transmission sur ports optiques Sur les ports de type "optique", le mode du port est déterminé par le module de connexion et le SFP utilisés et il n'est pas modifiable Interfaces Pour accéder à cette fonction : 1. Sélectionnez le module à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Interfaces". Routage d'interface - Options Si le module de sécurité ne fait partie d'aucun groupe VPN et d'aucune relation de redondance, le routage d'interface peut être modifié dans ce champ. Le choix s'applique au routage d'interface entre interfaces externe et interne. L'interface de DMZ (SCALANCE S623 et SCALANCE S627-2M uniquement) est toujours connecté en mode routage. Mode pont Mode routage Mode fantôme Utilisation dans des réseaux plats. Les interfaces externe et interne se trouvent dans le même sous-réseau IP. Pour S623 / S627-2M : Les interfaces externe et interne se trouvent dans le même masque de sous-réseau IP, l'interface de DMZ étant quant à elle dans un autre masque de sous-réseau ou bien désactivée. Toutes les interfaces se trouvent dans des sous-réseaux IP différents. Nota Si vous avez activé le mode routage pour le module SCALANCE S, vous ne pouvez pas définir de règles de pare-feu MAC. En service, le module de sécurité pour l'interface externe adopte l'adresse IP de l'abonné qui est connecté à l'interface interne du module de sécurité. Les données d'adresse IP à indiquer pour l'interface externe servent uniquement à charger la configuration. Nota Le mode fantôme n'est sélectionnable dans l'onglet "Interfaces" que si le projet se trouve en mode avancé. 100 Manuel de configuration, 09/2013, C79000-G8977-C286-02

101 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Configuration des interfaces Pour pouvoir programmer l'interface externe ou l'interface DMZ (SCALANCE S623/S627-2M uniquement) d'un module de sécurité, vous devez d'abord l'activer via la case à cocher "Activer interface". Définissez les informations d'adresse IP et paramétrages des ports de chaque interface. Pour affecter une adresse IP à l'interface externe et à l'interface DMZ (SCALANCE S623/S627-2M uniquement), vous avez le choix entre les modes d'affectation suivants : Adresse IP statique avec masque de sous-réseau Affectation d'adresse via PPPoE L'interface interne ne peut être configurée que via une adresse IP statique. Si des adresses IP alias sont enregistrées pour une interface lors de la configuration d'une règle NAT/NAPT, celles-ci sont affichées dans le champ "Adresses IP alias". Remarque Interface externe et interface de DMZ comme accès à Internet L'utilisation simultanée de PPPoE sur l'interface externe et sur l'interface de DMZ (double FAI) n'est pas possible. Signification de l'adresse IP de tunnel Si vous utilisez la fonction "NAT/NAPT dans tunnel VPN", vous devez attribuer au module de sécurité une adresse IP de tunnel alias. Ceci assure l'accessibilité du module de sécurité via le tunnel VPN ainsi qu'une possibilité de configuration et de diagnostic. L'adresse IP configurée est la première adresse IP de tunnel alias du module de sécurité dans le tunnel VPN et peut être complétée par d'autres adresses IP de tunnel alias à l'aide de règles NAT/NAPT adéquates. Le masque de sous-réseau de 32 bits est prédéfini pour l'adresse IP de tunnel alias et n'est pas modifiable. L'adresse IP de tunnel alias ne peut être configurée qui si les conditions suivantes sont remplies : Le module de sécurité se trouve dans un groupe VPN. Le projet est en mode avancé. Pour plus d'informations sur la translation d'adresse NAT/NAPT dans les tunnels VPN, veuillez vous référer au chapitre : Translation d'adresse avec NAT/NAPT dans des tunnels VPN (Page 181) Point to Point Protocol over Ethernet (PPPoE) Afin de permettre une connexion Internet / WAN directe via un modem DSL, l'adresse IP est attribuée par PPPoE à l'interface externe ou à l'interface de DMZ. PPPoE est un protocole de connexion permettant d'obtenir des adresses IP d'un fournisseur d'accès Internet (Internet Service Provider, ISP). SCALANCE S est utilisé pour ce faire en mode routage. Manuel de configuration, 09/2013, C79000-G8977-C

102 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Pour utiliser cette méthode d'attribution d'adresse IP, entrez les informations relatives au FAI dans l'onglet "Connexion Internet". L'adresse IP, le masque de sous-réseau, le routeur par défaut ainsi que le serveur DNS de l'interface sont alors spécifiés par le FAI. Remarque Un routeur par défaut configuré n'est pas pris en compte en cas d'utilisation de PPPoE. Il est affecté dynamiquement au module par le FAI. Remarque Pas de composant de réseau entre SCALANCE S et modem DSL Si l'interface d'un module SCALANCE S est exploitée via PPPoE, aucun composant de réseau ne doit se trouver entre cette interface et le modem DSL connecté, car les données de connexion du fournisseur d'accès Internet sont transmises en clair en raison du protocole utilisé sur ce segment du réseau. 102 Manuel de configuration, 09/2013, C79000-G8977-C286-02

103 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Paramètres de port Colonne ID de port Type de port Signification ID assigné automatiquement pour le port de l'interface. Propriété physique du port (cuivre/lwl) Mode du port Autonégociation La vitesse de transmission et le mode duplex sont sélectionnés automatiquement. Nota La fonction d'autocroisement et une vitesse de transmission de 1000 Mbit/s ne sont prises en charge que si l'autonégociation a été sélectionnée. 10 Mbit/s, half et full duplex Vitesse de transmission de 10 Mbits/s 100 Mbit/s, half et full duplex Vitesse de transmission de 100 Mbits/s Désactivé (uniquement le port externe et ou le port DMZ sur SCALANCE S623 et SCALANCE S627-2M) Le port est désactivé Mode LLDP (en mode routage) Port MRP (en mode routage pour les ports de modules de connexion des interfaces externe et interne) Nota : Les ports de modules de connexion utilisant des fibres optiques comme support de transmission, fonctionnent toujours en full duplex et à vitesse de transmission maximale. Le mode des ports de modules de connexion optiques ne peuvent par conséquent pas être configurés. RxTx Emission et réception de télégrammes LLDP Rx Réception de télégrammes LLDP Pour plus d'informations sur LLDP, reportez-vous au chapitre suivant : LLDP (Page 108) Affichage signalant la connexion ou non des ports du module de connexion de l'interface à un anneau MRP. Le cas échéant, les chaînes de caractères "RingportOne" et "RingportTwo" sont affichées dans les lignes de tableau des ports de modules de connexion. Pour les ports à ID de port "X1 P1" et X2 P1", la chaîne de caractères affichée par défaut est "None", car ceux-ci ne peuvent pas être connectés à un anneau MRP. Pour plus d'informations sur la redondance de supports avec MRP, veuillez vous référer au chapitre suivant : Redondance de supports avec MRP/HRP (Page 108) Des informations sur la configuration de MRP du module de sécurité sont fournies au chapitre suivant : Configuration de MRP/HRP pour le module de sécurité (Page 110) Port HRP (en mode routage pour les ports de modules de connexion des interfaces externe et interne) Commentaire Affichage signalant la connexion ou non des ports du module de connexion de l'interface à un anneau HRP. Le cas échéant, les chaînes de caractères "RingportOne" et "RingportTwo" sont affichées dans les lignes de tableau des ports de modules de connexion. Pour les ports à ID de port "X1 P1" et X2 P1", la chaîne de caractères affichée par défaut est "None", car ceux-ci ne peuvent pas être connectés à un anneau HRP. Pour plus d'informations sur la redondance de supports avec HRP, veuillez vous référer au chapitre suivant : Redondance de supports avec MRP/HRP (Page 108) Des informations sur la configuration de HRP du module de sécurité sont fournies au chapitre suivant : Configuration de MRP/HRP pour le module de sécurité (Page 110) Commentaire au choix Manuel de configuration, 09/2013, C79000-G8977-C

104 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Configuration de modules de connexion Cliquez sur le bouton "Configurer module de connexion...", pour ouvrir le dialogue de configuration du module de connexion de l'interface associée. Vous avez le choix entre les modes de configuration suivants : "Automatique" (par défaut) : Le module de connexion utilisé est automatiquement détecté en cours de fonctionnement. Le mode paramétré pour les deux ports est "Autonégociation". "Manuel" : Sélectionnez le type de module de connexion utilisé dans la zone de liste déroulante "Type de module". Si vous sélectionnez le type de module de connexion "MM992-2SFP", les deux zones de liste déroulante "Type de SFP" vous permettront de sélectionner les convertisseurs de médias embrochables (SFP) voulus. Dans le cas de ports de type "cuivre" vous pourrez sélectionner manuellement la vitesse de transmission ainsi que le mode duplex du port. Dans le cas de ports de type "optique", le mode du port est déterminé par le module de connexion et le SFP utilisés et il n'est pas modifiable. Voir aussi Particularités du mode fantôme (Page 111) Récapitulatif des possibilités de connexion (Page 96) Connexion Internet Pour accéder à cette fonction : 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Connexion Internet". Signification Si la connexion d'une interface du module de sécurité est paramétrée via PPPoE, effectuez les paramétrages relatifs au fournisseur d'accès Internet (FAI) dans ce registre. Tableau 3-3 Paramètres du compte auprès du FAI Fonction Nom d'utilisateur Mot de passe Description Entrez le nom d'utilisateur du compte auprès du FAI. Entrez le mot de passe du compte auprès du FAI. 104 Manuel de configuration, 09/2013, C79000-G8977-C286-02

105 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Fonction Répétition du mot de passe Authentification Description Entrez à nouveau le mot de passe du compte auprès du FAI. Choisissez aucun ou l'un des protocoles d'authentification suivants : PAP (Password Authentication Protocol) CHAP (Challenge Handshake Authentication Protocol) Nota Les deux partenaires de communication doivent utiliser la même procédure d'authentification, sinon la liaison ne peut pas être établie. Tableau 3-4 Paramètres de liaison Fonction Connexion permanente Liaison à la demande Coupure forcée (uniquement en cas de paramétrage "Connexion permanente") Temps maximal de marche à vide (uniquement en cas de paramétrage "Connexion à la demande") Description Connexion Internet permanente. Après coupure par le fournisseur, la connexion est rétablie automatiquement, même si actuellement aucun paquet n'est émis. La connexion Internet est établie automatiquement lorsque des paquets doivent être transmis sur Internet. Ce paramétrage peut entraîner des retards de transmission des paquets. Le fournisseur coupe automatiquement la connexion Internet au bout d'un temps défini. Si vous entrez dans le champ "Coupure forcée" une heure, le module de sécurité coupera la connexion Internet à cet instant précis. Ceci permet de décaler éventuellement la coupure de la connexion Internet par le fournisseur d'accès. Une coupure forcée initiée par l'utilisateur n'est possible qu'en cas de connexion permanente. Entrées admises : 00: :59 En l'absence d'envoi de paquets pendant un temps défini, la connexion Internet est coupée automatiquement. Entrez dans le champ "Temps maximal de marche à vide" le nombre de secondes au bout duquel la connexion sera coupée. Valeurs admises : Manuel de configuration, 09/2013, C79000-G8977-C

106 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) DNS dynamique (DDNS) Signification Le DNS dynamique vous permet d'accéder à une adresse IP qui change en permanence avec un nom défini invariable (FQDN). Ceci est p. ex. nécessaire si vous voulez accéder à un serveur accessible via une adresse IP publique variable. Fonctionnement Le module de sécurité signale à un fournisseur de DNS dynamique (par ex. DynDNS.org, no-ip.com) l'adresse WAN-IP actuelle via laquelle il est possible d'accéder au module de sécurité. Le fournisseur veille à ce que les requêtes DNS adressées au FQDN du module de sécurité soient redirigées vers l'adresse IP WAN actuelle du module de sécurité. Le DNS dynamique est autorisé sur les interfaces suivantes : Interface externe Interface DMZ Création d'un DNS dynamique - Condition Condition : Il faut avoir créé un compte auprès d'un fournisseur de DNS dynamique et avoir enregistré un FQDN. Créer un DNS dynamique - marche à suivre : 1. Sélectionnez dans les propriétés du module de sécurité l'onglet "DNS". 2. Si le module de sécurité se trouve en aval d'un routeur DSL ou d'un modem DSL, entrez l'adresse d'un serveur DNS valide. Deux options vous sont ici proposées : Option Obtenir automatiquement l'adresse du serveur DNS Utiliser l'adresse de serveur DNS suivante : Signification L'adresse du serveur DNS peut être obtenue automatiquement via PPPoE si le module de sécurité est connecté à Internet via un modem DSL. Ne peut être paramétré que pour l'interface externe et l'interface de DMZ. Entrez manuellement l'adresse du serveur DNS préféré et celle de son alternative. 106 Manuel de configuration, 09/2013, C79000-G8977-C286-02

107 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) 3. Activez la case de contrôle "Activer service" dans le volet "Service DNS dyn. primaire" et procédez aux paramétrages suivants : Option Fournisseur Compte utilisateur chez le fournisseur Mot de passe au fournisseur FQDN Surveiller le changement d'adresse IP sur le routeur DSL Période Signification Sélectionnez le fournisseur DNS auprès duquel vous avez créé un compte pour DNS dynamique. Entrez le nom d'utilisateur que vous avez défini lors de la création du compte DNS. Entrez le mot de passe que vous avez défini lors de la création du compte. Entrez le nom d'hôte (mysecuritydevice par ex.) et le nom de domaine (dyndns.org par ex.) enregistré auprès du fournisseur, séparés par un point. Si un FQDN est également inscrit dans l'onglet "VPN", les deux doivent concorder. Si le module de sécurité est connecté à Internet via un routeur DSL, le service de contrôle IP est activé en activant la fonction. Le module de sécurité envoie périodiquement des requêtes visant à déterminer l'adresse IP actuelle du routeur DSL et à détecter un changement d'adresse IP du routeur DSL. L'adresse IP ainsi définie est transmise au fournisseur à chaque modification détectée. Spécifiez la périodicité de lancement du service de contrôle IP. Valeurs admises : minutes 4. Dans l'onglet "Service dyndns secondaire", spécifiez un autre fournisseur pour prendre le relais en cas de défaillance du fournisseur primaire (paramètre facultatif). Créer un fournisseur personnalisé - marche à suivre : Dans la zone de liste déroulante "Fournisseur", sélectionnez l'entrée "personnalisé" et effectuez les entrées additionnelles suivantes : Option URL de mise à jour fournisseur URL du service de contrôle IP Ignorer les erreurs de vérification du certificat de serveur Signification URL des fournisseurs prédéfinis (DynDNS.org et No-IP.com) déjà renseignée. URL des fournisseurs prédéfinis (DynDNS.org et No-IP.com) déjà renseignée. Pour protéger les données d'authentification, le certificat du serveur de mise à jour est contrôlé régulièrement. Si le contrôle du certificat échoue, la liaison HTTPS est coupée et les données de compte ne sont pas transmises. Si vous activez la case, la fonction est désactivée par ex. lorsque le certificat de serveur du service DNS dyn. n'est pas valide (par ex. périmé). Il est recommandé de ne pas ignorer le contrôle et de ne pas cocher la case. Manuel de configuration, 09/2013, C79000-G8977-C

108 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) LLDP Signification LLDP (Link Layer Discovery Protocol) est un protocole utilisé pour la détection de topologies de réseau. Un appareil compatible LLDP est en mesure d'émettre à intervalles réguliers des informations sur lui-même et sur ses appareils voisins et de recevoir en même temps des informations de ses voisins. Les informations reçues sont enregistrées sur chaque appareil compatible LLDP dans un fichier MIB LLDP. Les systèmes de gestion du réseau peuvent accéder à ces fichiers MIB LLDP via SNMP et représenter la topologie de réseau détectée. Paramètres configurables L'activité du module de sécurité en ce qui concerne LLDP est configurable dans l'onglet "Interfaces" des propriétés du module comme suit : émission et réception de télégrammes LLDP (par défaut, "RxTx") réception de télégrammes LLDP ("Rx") Redondance des supports dans les topologies en anneau Redondance de supports avec MRP/HRP Signification La notion de "redondance de supports" couvre diverses procédures d'amélioration de la disponibilité de réseaux Industrial Ethernet, l'accès aux appareils étant possible par plusieurs voies. Ceci s'obtient par l'interconnexion de réseaux, l'agrégation de voies de transmission ou le bouclage en anneau d'une topologie linéaire. Procédures de redondance de supports MRP et HRP La redondance de supports au sein d'une topologie en anneau existe avec des produits SIMATIC NET dans les procédures MRP (Media Redundancy Protocol) et HRP (High Speed Redundancy Protocol). 108 Manuel de configuration, 09/2013, C79000-G8977-C286-02

109 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Dans les deux procédures, l'un des abonnés est configuré comme gestionnaire de redondance. Les autres abonnés sont des clients de redondance. Les modules SCALANCE S627-2M peuvent uniquement adopter le rôle d'un client MRP ou HRP. Le gestionnaire de redondance vérifie l'absence d'interruption sur l'anneau à l'aide de télégrammes de test. Les clients de redondance retransmettent les télégrammes de test. Si les télégrammes de test du gestionnaire de redondance ne parviennent pas à l'autre port de réseau en anneau du gestionnaire de redondance en raison d'une coupure, le gestionnaire de redondance interconnecte ses deux ports de réseau en anneau et informe sans délai les clients de redondance de ce changement. Les deux procédures de redondance de supports MRP et HRP fonctionnent selon le même principe. Ils se distinguent par le temps que les commutateurs SCALANCE X mettent, en tant que gestionnaire de redondance, pour interconnecter leurs ports de réseau en anneau : MRP : 200 ms HRP : 300 ms Notes concernant l'utilisation de MRP et de HRP MRP et HRP sont pris en charge par des topologies en anneau comptant jusqu'à 50 appareils. Un dépassement du nombre d'appareils peut provoquer la défaillance du trafic de données. Il est recommandé de paramétrer les ports de réseau en anneau pour une transmission full duplex à 100 Mbit/s. Une défaillance du trafic de données n'est sinon pas exclue. Possibilités de mise en œuvre de MRP/HRP sur ports de module de connexion MRP/HRP est uniquement pris en charge sur les ports de module de connexion du SCALANCE S627-2M. Le tableau ci-après montre les possibilités de mise en œuvre de MRP/HRP sur les ports de module de connexion d'un SCALANCE S627-2M : Ports de réseau en anneau Client MRP ou client HRP* Module de connexion 1 Module de connexion 2 P4 P5 P6 P Anneau 1 Anneau Anneau 2 Anneau 2 Anneau 1 Anneau 1 Anneau 2 Anneau 2 * La connexion simultanée d'un module de sécurité à un anneau interne et à un anneau externe n'est possible que si au moins l'une des interfaces est connectée comme client MRP. En présence de deux anneaux subordonnés par module SCALANCE S, une communication de couche 3 est possible entre les anneaux. Manuel de configuration, 09/2013, C79000-G8977-C

110 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Configuration de MRP/HRP pour le module de sécurité Condition Le module de sécurité est en mode routage. Pour accéder à cette fonction 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "MRP/HRP". Paramètres configurables Paramètre Signification Options Interfaces MRP/HRP Rôle de redondance de supports Active 'passive listening' Domaine MRP (uniquement en cas de sélection du rôle de redondance de supports "Client MRP") Port d'anneau 1 (uniquement en cas de sélection du rôle de redondance de supports "Client MRP" ou client HRP) Sélection de l'interface à connecter à l'anneau MRP/HRP. Sélection du protocole de redondance de supports ou désactivation de la redondance de supports pour l'interface sélectionnée. Cochez cette case si l'interface sélectionnée doit être connectée à des réseaux de systèmes différents mettant en œuvre STP/RSTP ((Spanning-Tree- Protocol/Rapid-Spanning- Tree-Protocol). Les abonnés d'un anneau MRP sont définis à l'aide de domaines MRP. Le même domaine MRP doit être spécifié pour les interfaces de tous les modules connectés à un même anneau MRP. Désignation du premier port de réseau en anneau de l'interface sélectionnée sous "Interface" si le rôle de redondance de supports "Client MRP" ou "Client HRP" a été choisi pour cette interface. Externe Interne Non abonné de l'anneau Client MRP (paramétrage par défaut) Client HRP Activer "passive listening" (paramétrage par défaut) Désactiver "Passive listening" Le domaine MRP prédéfini "mrpdomain-1" est sélectionné par défaut pour l'interface externe. Les boutons "Ajouter...", "Editer..." et "Supprimer" permettent d'ajouter un nouveau domaine MRP, d'éditer les noms des domaines MRP existants et de supprimer des domaines MRP Manuel de configuration, 09/2013, C79000-G8977-C286-02

111 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Paramètre Signification Options Port d'anneau 2 (uniquement en cas de sélection du rôle de redondance de supports "Client MRP" ou client HRP) Abonné MRP (uniquement en cas de sélection du rôle de redondance de support "Client MRP") Désignation du deuxième port de réseau en anneau de l'interface sélectionnée sous "Interface" si le rôle de redondance de supports "Client MRP" ou "Client HRP" a été choisi pour cette interface. Affiche des informations sur tous les modules de sécurité appartenant au même domaine MRP que l'interface sélectionnée. - - Résultat Vous avez connecté le module de sécurité à l'anneau MRP/HRP via l'interface sélectionnée. Les ports de module de connexion dont les interfaces (l'interface) sont (est) connectée(s) à l'anneau MRP/HRP sont également affichés dans l'onglet "Interfaces" des propriétés du module. Contrôle de cohérence - Règle à observer Tenez compte de la règle ci-après lorsque vous effectuez des entrées : Les noms de domaines MRP doivent être exclusivement composés de lettres minuscules, de chiffres et du caractère "-". Les noms doivent débuter et se terminer par une lettre minuscule ou un chiffre. Voir aussi Contrôle de cohérence (Page 61) Particularités du mode fantôme Signification En mode fantôme, le module de sécurité n'a pas d'adresse IP propre, que ce soit à l'interface interne ou externe. Au lieu de cela, le module de sécurité obtient en cours de fonctionnement l'adresse IP pour son interface externe d'un abonné qui est connecté à l'interface interne du module de sécurité et dont les paramètres d'adresse IP peuvent être inconnus au moment de la configuration. Une modification d'adresse IP de l'abonné interne et donc une modification d'adresse IP à l'interface externe sont possibles. L'abonné interne étant identifié par son adresse MAC, la modification d'adresses IP ne s'appliquent qu'aux adresses MAC apprises. Aucune adresse IP n'est configurée ou acquise à l'interface interne du module de sécurité. Manuel de configuration, 09/2013, C79000-G8977-C

112 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Pour ce qui est des adresses MAC, le module de sécurité remplace l'adresse MAC de l'abonné interne par l'adresse MAC du module de sécurité dans tous les paquets de données sortant à l'interface externe (réponses de l'abonné interne). Activation du mode fantôme - Marche à suivre : Condition : Le mode fantôme n'est sélectionnable que si le projet se trouve en mode avancé. 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...". 3. Sélectionnez l'entrée "Mode fantôme" dans la zone de liste déroulante " Routage interface externe/interne" de l'onglet "Interfaces". Propriétés de module configurables En mode fantôme, les propriétés de module sont configurables dans les onglets suivants : Interfaces Pare-feu Synchronisation d'horloge Paramètres de journal SNMP RADIUS Condition requise pour la détection d'un abonné interne Le module de sécurité ne peut trouver l'adresse IP de l'abonné interne que si ce dernier initie lui-même une communication de données en direction du module de sécurité. Le module de sécurité ne propose d'ailleurs pas de services de serveur durant la recherche de l'adresse IP. Ce n'est qu'après l'envoi de paquets de données de l'abonné interne au module de sécurité que ce dernier peut répondre aux requêtes de l'extérieur. Occupation des ports pour liaisons de données entrantes et sortantes L'interface externe du module de sécurité et l'abonné interne ayant la même adresse IP, un adressage ciblé des composants de réseau doit être réalisé via les ports TCP/UDP. Les ports sont par conséquent affectés soit au module de sécurité, soit à l'abonné interne. Dans les tableaux suivants sont représentées les affectations des ports aux appareils respectifs pour des liaisons de données entrantes et sortantes : 112 Manuel de configuration, 09/2013, C79000-G8977-C286-02

113 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Tableau 3-5 Occupation des ports pour connexions entrantes (de externe sur module de sécurité) Service Port Protocole Commentaire Services web, accès aux configurations et diagnostics 443 TCP Le port HTTPS est toujours activé pour l'accès aux configurations et diagnostics via Security Configuration Tool, et ne peut être modifié. SNMP 161 TCP Un fois SNMP activé dans UDP Security Configuration Tool, les demandes SNMP entrantes sont transmises via le port UDP 161. Une transmission via le port TCP 161 est également possible pour accéder ainsi à l'abonné interne par exemple. Nota Après activation de SNMP, le port SNMP est affecté au module de sécurité. Si SNMP n'est pas activé, une règle de pare-feu permet d'accéder via SNMP à l'abonné interne. Tableau 3-6 Occupation des ports pour connexions sortantes (du module de sécurité vers externe) Service Port Protocole Commentaire Syslog 514 UDP Une fois le service Syslog activé dans Security Configuration Tool, les messages Syslog sont transmis via le port UDP 514 par le module de sécurité. Cette occupation de port ne peut être modifiée. NTP 123 UDP Si des serveurs NTP sont utilisés pour la synchronisation d'horloge, les demandes NTP sont transmises via le port UDP 123. Cette occupation de port ne peut être modifiée. Adresses IP et masques de sous-réseau détectables Le module de sécurité ne détecte que des abonnés internes qui présentent des adresses IP appartenant aux classes de réseau A, B ou C. Le masque de sous-réseau est déterminé par le module de sécurité en fonction de la classe de réseau associée (voir tableau "Classes de réseau et masques de sous-réseau correspondants"). Pour que le masque de sous-réseau puisse être déterminé correctement, un routeur par défaut doit être spécifié pour l'abonné interne. Manuel de configuration, 09/2013, C79000-G8977-C

114 Création de modules et définition des paramètres de réseau 3.2 Configuration d'interfaces (SCALANCE S) Les abonnés à adresse IP appartenant aux classes D et E sont rejetés par le module de sécurité. Tableau 3-7 Classes de réseau et masques de sous-réseau correspondants Classe de réseau Adresses IP Masque de sous-réseau Limite inférieure Limite supérieure A B C D Rejeté par le module de sécurité E Rejeté par le module de sécurité Capacités fonctionnelles Un abonné interne est au maximum détecté par le module de sécurité. Dans le cas de plusieurs abonnés internes, le module de sécurité se comporte comme suit : Le premier appareil détecté par le module de sécurité sur le réseau interne peut accéder au segment de réseau externe, si le pare-feu est configuré en conséquence. Le trafic de données des éventuels abonnés supplémentaires présents dans la zone du réseau interne est bloqué à la couche 2 (couche MAC) au moyen de l'adresse expéditeur. Chargement de configurations et diagnostics après la mise en service Après obtention d'une adresse IP de l'abonné interne, le module de sécurité possède à l'interface externe une adresse IP qui peut être différente de l'adresse IP avec laquelle le module de sécurité a été initialement configuré. Pour pouvoir modifier la configuration ou effectuer un diagnostic, vous devez remplacer dans Security Configuration Tool l'adresse IP initialement configurée de l'interface externe par celle que le module de sécurité a obtenue en fonctionnement de l'abonné interne. Informations de routage pour réseaux hiérarchiques connectés au port externe Si des réseaux hiérarchiques avec passerelles de sous-réseau sont connectés à l'interface externe du module de sécurité, ce dernier doit obtenir les informations de routage correspondantes de l'abonné interne. L'abonné interne doit pour ce faire répondre aux requêtes ICMP qui lui sont adressées. Il n'est pas obligé de répondre aux broadcasts ICMP. 114 Manuel de configuration, 09/2013, C79000-G8977-C286-02

115 Configuration du pare-feu 4 Signification La fonctionnalité de pare-feu du module de sécurité est destinée à protéger les réseaux et stations des influences externes et perturbations. En d'autres termes seules sont autorisées des relations de communication prédéfinies. Les télégrammes non autorisés sont rejetés par le pare-feu sans qu'une réponse ne soit émise. Le trafic de données peut être filtré en fonction des adresses IP, sous-réseaux IP, numéros de port ou adresse MAC. La fonctionnalité de pare-feu peut être configurée pour les niveaux de protocole suivants : Pare-feu IP avec Stateful Packet Inspection (couches 3 et 4) Pare-feu également pour télégrammes Ethernet "non IP" selon IEEE (couche 2) Le pare-feu peut être utilisé pour le trafic de données crypté (tunnel IPsec) et non crypté. Règles de pare-feu Les règles de pare-feu autorisent ou bloquent le transfert des paquets dans une direction ou une autre. Règles de pare-feu automatiques pour liaisons STEP 7 Pour les liaisons configurées sous STEP 7, des règles de pare-feu autorisant le partenaire de réseau sont créées automatiquement dans SCT. Il est tenu compte ce faisant du sens d'établissement des liaisons. Les règles ne sont visibles qu'en mode avancé et ne peuvent être modifiées que dans ce mode. Manuel de configuration, 09/2013, C79000-G8977-C

116 Configuration du pare-feu Configuration Il faut distinguer les deux affichages de commande : En mode standard vous faites appel à des règles simples, prédéfinies. Vous ne pouvez autoriser que des règles spécifiques au service. Les services autorisés le sont pour tous les abonnés et l'accès complet est autorisé pour le sens indiqué. En mode avancé, vous pouvez y définir des paramètres de pare-feu détaillés. Vous pouvez autoriser des services choisis pour un abonné ou autoriser pour cet abonné tous les services d'accès à la station ou au réseau. En mode avancé, on distingue les règles et jeux de règles de pare-feu suivants : Les règles de pare-feu locales sont dédiées à un module de sécurité. Elles sont configurées dans le dialogue des propriétés du module de sécurité. Les jeux de règles de pare-feu globaux peuvent être attribués individuellement ou simultanément à plusieurs modules de sécurité. Ils sont affichés en mode avancé dans le volet de navigation de Security Configuration Tool et peuvent y être configurés globalement. Les jeux de règles de pare-feu personnalisés peuvent être attribués individuellement ou simultanément à plusieurs modules de sécurité. Ils sont affichés en mode avancé dans le volet de navigation de Security Configuration Tool et peuvent y être configurés globalement. SCALANCE S V4 (RADIUS): Il est possible d'affecter aux jeux de règles IP personnalisés un ou plusieurs utilisateurs mais aussi un ou plusieurs rôles. Vous avez également la possibilité de spécifier, à l'aide de définitions de service, des règles de pare-feu compactes et claires. Des définitions de service peuvent être utilisées dans tous les types de règle précités. Activer pare-feu Le pare-feu est activé en mode standard et en mode avancé en cochant la case "Activer pare-feu". Si vous décochez la case, les paramètres de pare-feu que vous avez entrés, continuent à être affichés dans la liste, mais ils ne peuvent plus être modifiés. Si le module de sécurité fait partie d'un groupe VPN, la case est cochée par défaut et ne peut pas être désactivée. Activation des paramètres de journalisation En mode standard, vous pouvez activer la journalisation globalement dans l'onglet "Parefeu". Les paquets qui passent le pare-feu ne sont cependant pas tous affichés. En mode avancé, vous pouvez activer la journalisation individuellement pour chaque règle de pare-feu. La restriction du mode standard concernant l'affichage de paquets est ainsi levée. 116 Manuel de configuration, 09/2013, C79000-G8977-C286-02

117 Configuration du pare-feu 4.1 CP en mode standard Remarque Pare-feu du SCALANCE S627-2M Les ports des modules de connexion du SCALANCE S627-2M sont connectés aux ports intégrés de l'interface en question par un bloc du commutateur Il n'existe donc pas de fonctionnalité de pare-feu (couche 2 / couche 3) entre les ports de l'interface externe, ni entre les ports de l'interface interne (couche 2 / couche 3). 4.1 CP en mode standard Activation des règles de filtrage de paquets Si vous activez la fonction de sécurité sous STEP 7 pour les CP, tous les accès au et via le CP sont autorisés dans un premier temps. Pour activer certaines règles de filtrage de paquets, cochez la case "Activer pare-feu". Activez ensuite les services voulus. Les règles de pare-feu qui sont créées automatiquement suite à la configuration d'une liaison, sont prioritaires par rapport aux services paramétrés ici. Tous les abonnés ont accès aux services que vous avez autorisés. Paramètres de pare-feu détaillés en mode avancé En mode avancé les règles de pare-feu peuvent être limitées à certains abonnés. Pour passer en mode avancé, cochez la case "Mode avancé" Remarque Retour au mode standard impossible. Après être passé au mode avancé dans le projet actuel, vous ne pourrez plus retourner au mode standard. Configuration du pare-feu avec VPN Si le module de sécurité fait partie d'un groupe VPN, la case "Communication tunnelisée uniquement" est automatiquement cochée. Ceci signifie qu'aucune communication via l'interface externe ne peut contourner le tunnel et que seul le transfert de données IPsec crypté est autorisé. La règle de pare-feu "Drop" > "Any" > "Extern" est automatiquement créée. Si cette case est décochée, la communication tunnelisée de même que les types de communication sélectionnés avec les autres cases à cocher sont autorisés. Manuel de configuration, 09/2013, C79000-G8977-C

118 Configuration du pare-feu 4.1 CP en mode standard CP x43-1-adv Paramétrage par défaut du pare-feu Comportement avec paramétrage par défaut Les diagrammes ci-après montrent en détails les paramètres par défaut du filtre de paquets IP et du filtre de paquets MAC lorsque la case "Activer pare-feu" est cochée et qu'aucune règle n'a été définie en mode avancé. Le comportement peut être modifié par la création de règles de pare-feu appropriées en mode avancé. Paramètres par défaut du CP x43-1 Adv. Figure 4-1 Paramètres par défaut du filtre de paquets IP du CP x43-1 Adv. 1 Tous les types de télégramme du réseau interne vers le réseau externe sont bloqués. 2 Tous les télégrammes transmis du réseau interne au module de sécurité sont autorisés. 3 Tous les télégrammes du réseau externe vers le réseau interne et vers le module de sécurité sont bloqués (également ICMP Echo Request). 4 Les télégrammes du type ci-après, émis par le réseau externe (nœuds externes et modules de sécurité externes) vers les modules de sécurité sont autorisés : Protocole ESP (cryptage) IKE (protocole d'établissement des tunnels IPsec) NAT-Traversal (protocole d'établissement des tunnels IPsec) 5 La communication IP via tunnel IPsec est autorisée. 118 Manuel de configuration, 09/2013, C79000-G8977-C286-02

119 Configuration du pare-feu 4.1 CP en mode standard 6 Les télégrammes de type Syslog que le module de sécurité émet vers l'extérieur sont autorisés et ne sont pas influencés par le pare-feu. Nota Syslog étant un protocole non sécurisé, il n'est pas possible de garantir la transmission sécurisée des données de journal. 7 Les télégrammes du module de sécurité vers le réseau interne et externe sont autorisés. 8 Les réponses aux requêtes issues du réseau interne ou du module de sécurité sont autorisées. Figure 4-2 Paramètres par défaut du filtre de paquets MAC du CP x43-1 Adv. 1 Tous les télégrammes transmis du réseau interne au module de sécurité sont autorisés. 2 Tous les télégrammes transmis du réseau externe au module de sécurité sont autorisés. 3 Tous les télégrammes du réseau externe de type suivant vers le module de sécurité sont autorisés : ARP avec limitation de largeur de bande PROFINET DCP avec limitation de largeur de bande LLDP 4 Les télégrammes du module de sécurité de type suivant vers le réseau externe sont autorisés : ARP avec limitation de largeur de bande PROFINET DCP avec limitation de largeur de bande 5 Les protocoles MAC suivants, émis via un tunnel IPsec sont autorisés : ISO LLDP Manuel de configuration, 09/2013, C79000-G8977-C

120 Configuration du pare-feu 4.1 CP en mode standard Remarque Pas de communication en dehors du tunnel VPN Toute tentative de communication en dehors du tunnel, entre les terminaisons VPN, est en outre bloquée pour les partenaires VPN connus du projet. Ce comportement ne peut d'ailleurs pas être modifié par la création de règles de pare-feu spécifiques en mode avancé Configuration du pare-feu Pour accéder à cette fonction 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Pare-feu". Tableau 4-1 Services et directions disponibles Service Autorise communicat ion IP Autorise protocole S7 Autorise FTP/FTPS (mode explicite) Autorise HTTP Autorise HTTPS Autorise DNS Autorise SNMP Autorise SMTP Autorise NTP Station Externe Interne Externe Externe Interne Externe Station Externe Station Ports autorisés Signification x x x - - Le trafic IP est autorisé pour les directions de communication sélectionnées. x x x - Port TCP 102 Communication des abonnés de réseau via le protocole S7 autorisée. x x x - Port TCP 20 Port TCP 21 Pour la gestion de fichiers et l'accès aux fichiers entre serveur et client. x x x - Port TCP 80 Pour la communication avec un serveur web. x x x - Port TCP 443 Pour la communication sécurisée avec un serveur web, pour un diagnostic web par ex.. x x - - Port TCP 53 La liaison de communication à un serveur Port UDP 53 DNS est autorisée. x x x - Port TCP 161/162 Port UDP 161/162 Pour la surveillance des abonnés de réseau compatibles SNMP. x x - - Port TCP 25 Pour l'échange de courriers électroniques entre utilisateurs authentifiés via un serveur SMTP. x x - - Port UDP 123 Pour la synchronisation de l'heure. 120 Manuel de configuration, 09/2013, C79000-G8977-C286-02

121 Configuration du pare-feu 4.1 CP en mode standard Service Autorise communicat ion niveau MAC Autorise communicat ion ISO Station Externe Interne Externe Externe Interne Externe Station Externe Station Ports autorisés Signification x - Le trafic MAC du réseau externe vers la station et inversement est autorisé x - Le trafic ISO du réseau externe vers la station et inversement est autorisé. Tableau 4-2 Journalisation pour jeux de règles IP et MAC Jeu de règles Action à l'activation Règle créée Paramètres de journal IP Action de vers Enregistrement de paquets tunnelisés Uniquement activé si le module de Allow Station Tunnel sécurité fait partie d'un groupe VPN. Tous les paquets IP Allow Tunnel Station retransmis via le tunnel sont journalisés. Enregistrement de paquets entrants bloqués Tous les paquets IP entrants qui Drop Externe Station ont été rejetés, sont journalisés. Paramètres de journal MAC Action de vers Enregistrement de paquets entrants bloqués vers la station Tous les paquets MAC entrants qui ont été rejetés, sont journalisés. Drop Externe Station Enregistrement de paquets sortants bloqués de la station Tous les paquets MAC sortants qui ont été rejetés, sont journalisés. Drop Station Externe Remarque Le trafic de données via liaisons configurées n'est pas journalisé Configuration de la liste d'accès Modification de la liste d'accès IP / des entrées ACL La liste s'affiche si dans l'onglet Protection d'accès de STEP 7, la case "Activer protection d'accès IP de la communication IP" est cochée. Les listes de protection d'accès IP permettent de définir la protection d'accès à certaines adresses IP. Les entrées de liste qui ont déjà été effectuées sous STEP 7 avec les droits voulus sont affichées sous SCT. Manuel de configuration, 09/2013, C79000-G8977-C

122 Configuration du pare-feu 4.1 CP en mode standard Le droit "Modification de la liste d'accès (M)", sélectionnable sous STEP 7, n'est pas transféré vers SCT. Pour que les autorisations d'accès IP additionnelles puissent être transférées, vous devez affecter à l'utilisateur en question sous SCT le droit "Web : Compléter l'ip Access Control List". Remarque Comportement modifié après migration Après migration, la protection d'accès n'agit plus qu'au niveau de l'interface externe. Pour que la protection d'accès agisse également au niveau de l'interface interne, configurez en mode avancé de SCT les règles de pare-feu appropriées. Le module de sécurité répond aux requêtes ARP d'adresse IP non autorisées (couche 2). Si vous migrez une liste de contrôle d'accès IP exempte d'entrées, le pare-feu est activé et il n'est plus possible d'accéder au CP de l'extérieur. Pour que le CP reste accessible, configurez sous SCT les règles de pare-feu appropriées. Pour accéder à cette fonction Commande de menu SCT : Sélectionnez le module de sécurité à éditer puis la commande de menu "Edition" > "Propriétés...", onglet "Pare-feu". Commande de menu STEP 7 : "Protection d'accès IP" > "Démarrer la configuration du parefeu", bouton "Exécuter". Tableau 4-3 Indications Paramètre Adresse IP Droits Commentaire Journalisation Signification Adresse IP ou plage d'adresses IP autorisées Selon l'affectation. Droits activés pour l'adresse IP. Entrée d'un commentaire. Si vous cochez la case, les règles sont enregistrées dans le journal de filtrage de paquets. Activation du mode avancé Si vous cochez la case, les entrées sont converties en règles de parefeu suivantes. Tableau 4-4 Boutons Désignation Nouveau... Modifier Supprimer Signification / Effet Permet de créer une adresse IP ou une plage d'adresses IP avec les droits associés. Sélectionnez une entrée puis cliquez sur le bouton pour éditer une entrée. Ce bouton permet de supprimer l'entrée sélectionnée. 122 Manuel de configuration, 09/2013, C79000-G8977-C286-02

123 Configuration du pare-feu 4.1 CP en mode standard Ajout d'une entrée à la liste d'accès Procédez aux paramétrages suivants : Champ Adresse IP (ou début de la plage IP) Fin de plage IP (facultatif) Commentaire Cette adresse IP est autorisée pour les accès suivants Description Entrez ici l'adresse IP ou la valeur de début de plage d'adresses IP. Entrez la valeur de fin de la plage d'adresses IP. Entrée de commentaires ; par exemple pour décrire les partenaires de réseau ou la plage d'adresses. Accès à la station (A=Access) : Les partenaires de réseau dont l'adresse est comprise dans la plage spécifiée ont accès à la station associée au CP (CP / CPU). Cette autorisation d'accès est implicitement activée pour les adresses IP que vous avez indiquées dans la configuration des liaisons (ne vaut que pour les liaisons spécifiées). Routage IP vers un autre sous-réseau (R=Routage) : Les partenaires de réseau dont l'adresse est comprise dans la plage spécifiée ont accès à d'autres sousréseaux connectés au CP. Cette autorisation d'accès n'est pas automatiquement activée pour les adresses IP que vous avez indiquées dans la configuration des liaisons. En cas de besoin, cette autorisation doit être activée explicitement. Autres règles de saisie : Il est vérifié que les adresses sont bien uniques ; sont détectés : les entrées multiples; les recoupements de plages. Des adresses IP entrées individuellement peuvent venir s ajouter à une plage d adresses; toutes les autorisations d accès affectées au total à une adresse IP sont alors valables. Le système ne vérifie pas si une plage d'adresses contient des adresses invalides (vous pourriez p. ex. indiquer des adresses broadcast de sous-réseau alors qu'elles ne peuvent pas figurer comme adresse IP d'un émetteur) CP Paramétrage par défaut du pare-feu Comportement avec paramétrage par défaut Les diagrammes ci-après montrent en détails les paramètres par défaut du filtre de paquets IP et du filtre de paquets MAC lorsque la case "Activer pare-feu" est cochée et qu'aucune règle n'a été définie en mode avancé. Le comportement peut être modifié par la création de règles de pare-feu appropriées en mode avancé. Manuel de configuration, 09/2013, C79000-G8977-C

124 Configuration du pare-feu 4.1 CP en mode standard Paramètres par défaut du CP 1628 Figure 4-3 Paramétrage standard pour filtrage de paquets IP CP Tous les télégrammes de l'interface NDIS et IE (Industrial Ethernet) vers le réseau externe sont autorisés. 2 Tous les télégrammes du réseau externe sont bloqués. 3 Tous les télégrammes du réseau externe de type suivant vers le module de sécurité et inversement sont autorisés : Protocole ESP (cryptage) IKE (protocole d'établissement des tunnels IPsec) NAT-Traversal (protocole d'établissement des tunnels IPsec) 4 La communication IP via tunnel IPsec est autorisée. 5 Les télégrammes de type Syslog que le module de sécurité externe émet vers l'extérieur sont autorisés. 124 Manuel de configuration, 09/2013, C79000-G8977-C286-02

125 Configuration du pare-feu 4.1 CP en mode standard Figure 4-4 Paramétrage standard pour filtrage de paquets MAC CP Tous les télégrammes du réseau externe sont bloqués. 2 Tous les télégrammes du réseau externe de type suivant sont autorisés : ARP avec limitation de largeur de bande PROFINET DCP avec limitation de largeur de bande 3 Les télégrammes du module de sécurité de type suivant vers le réseau externe sont autorisés : PROFINET DCP avec limitation de largeur de bande 4 Les protocoles MAC émis via un tunnel IPsec sont autorisés. Remarque Pas de communication en dehors du tunnel VPN Toute tentative de communication en dehors du tunnel, entre les terminaisons VPN, est en outre bloquée pour les partenaires VPN connus du projet. Ce comportement ne peut d'ailleurs pas être modifié par la création de règles de pare-feu spécifiques en mode avancé. Manuel de configuration, 09/2013, C79000-G8977-C

126 Configuration du pare-feu 4.1 CP en mode standard Configuration du pare-feu Pour accéder à cette fonction 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Pare-feu". Tableau 4-5 Services et directions disponibles Service Autorise communication IP Externe Station Externe Station Ports autorisés Signification x - - Le trafic IP est autorisé pour les directions de communication sélectionnées. Autorise protocole S7 x - Port TCP 102 Communication des abonnés de réseau via le protocole S7 autorisée. Autorise FTP/FTPS (mode explicite) x - Port TCP 20 Port TCP 21 Pour la gestion de fichiers et l'accès aux fichiers entre serveur et client. Autorise HTTP x - Port TCP 80 Pour la communication avec un serveur web. Autorise HTTPS x - Port TCP 443 Pour la communication sécurisée avec un serveur web, pour un diagnostic web par ex.. Autorise DNS x - Port TCP 53 Port UDP 53 La liaison de communication à un serveur DNS est autorisée. Autorise SNMP x - Port TCP 161/162 Port UDP 161/162 Pour la surveillance des abonnés de réseau compatibles SNMP. Autorise SMTP x - Port TCP 25 Pour l'échange de courriers électroniques entre utilisateurs authentifiés via un serveur SMTP. Autorise NTP x - Port UDP 123 Pour la synchronisation de l'heure. Autorise communication niveau MAC Autorise communication ISO - x - Le trafic MAC du réseau externe vers la station et inversement est autorisé. - x - Le trafic ISO du réseau externe vers la station et inversement est autorisé. Autorise SiCLOCK - x - Les télégrammes SiCLOCK du réseau externe vers la station et inversement sont autorisés. 126 Manuel de configuration, 09/2013, C79000-G8977-C286-02

127 Configuration du pare-feu 4.1 CP en mode standard Tableau 4-6 Journalisation pour jeux de règles IP et MAC Jeu de règles Action à l'activation Règle créée Paramètres de journal IP Action de vers Enregistrement de paquets tunnelisés Uniquement activé si le Allow Station Tunnel module de sécurité fait partie d'un groupe VPN. Tous les Allow Tunnel Station paquets IP retransmis via le tunnel sont journalisés. Enregistrement de paquets entrants Tous les paquets IP entrants Drop Externe Station bloqués qui ont été rejetés, sont journalisés. Paramètres de journal MAC Action de vers Enregistrement de paquets entrants bloqués Enregistrement de paquets sortants bloqués Tous les paquets MAC entrants qui ont été rejetés, sont journalisés. Tous les paquets MAC sortants qui ont été rejetés, sont journalisés. Drop Externe Station Drop Station Externe Remarque Le trafic de données via liaisons configurées n'est pas journalisé. Manuel de configuration, 09/2013, C79000-G8977-C

128 Configuration du pare-feu 4.2 SCALANCE S en mode Standard 4.2 SCALANCE S en mode Standard Paramétrage par défaut du pare-feu Comportement avec paramétrage par défaut Les diagrammes ci-après présentent en détail les paramètres par défaut pour le filtrage de paquets IP et le filtrage de paquets MAC. Le comportement peut être modifié par la création de règles de pare-feu appropriées en mode avancé. Paramétrage par défaut pour SCALANCE S602/S612 à partir de V3 Figure 4-5 Paramétrage par défaut du filtre de paquets IP SCALANCE S602/S612 à partir de V3 1 Tous les types de télégramme du réseau interne vers le réseau externe sont bloqués. 2 Tous les télégrammes transmis du réseau interne au module de sécurité sont autorisés. 3 Tous les télégrammes du réseau externe vers le réseau interne et vers le module de sécurité sont bloqués. 4 Les télégrammes du type ci-après, émis par le réseau externe (nœuds externes et modules de sécurité externes) vers le module de sécurité sont autorisés : HTTPS (SSL) Protocole ESP (cryptage) IKE (protocole d'établissement des tunnels IPsec) NAT-Traversal (protocole d'établissement des tunnels IPsec) 128 Manuel de configuration, 09/2013, C79000-G8977-C286-02

129 Configuration du pare-feu 4.2 SCALANCE S en mode Standard 5 La communication IP via tunnel IPsec est autorisée. 6 Les télégrammes du réseau interne vers le réseau interne sont autorisés. 7 Les télégrammes du réseau externe vers le tunnel connecté à l'interface externe et viceversa sont bloqués. Figure 4-6 Paramétrage par défaut du filtre de paquets MAC SCALANCE S602/612 à partir de V3 1 Tous les types de télégramme du réseau interne vers le réseau externe, sauf les types de télégramme suivants, sont bloqués. télégrammes ARP 2 Tous les télégrammes transmis du réseau interne au module de sécurité sont autorisés. 3 Tous les télégrammes du réseau externe vers le réseau interne, sauf les types de télégramme suivants, sont bloqués. télégrammes ARP avec limitation de largeur de bande 4 Les télégrammes du réseau externe de type suivant vers le module de sécurité sont autorisés : ARP avec limitation de largeur de bande PROFINET DCP avec limitation de largeur de bande En mode routage : Télégrammes LLDP (Ethertype 0x88CC) 5 En mode pont : Les protocoles MAC émis via un tunnel IPsec sont autorisés. Manuel de configuration, 09/2013, C79000-G8977-C

130 Configuration du pare-feu 4.2 SCALANCE S en mode Standard 6 Les télégrammes du module de sécurité de type suivant vers le réseau externe sont autorisés : PROFINET En mode routage : Télégrammes LLDP (Ethertype 0x88CC) 7 Les télégrammes multicast et broadcast du réseau externe de type suivant vers le module de sécurité sont autorisés : PROFINET avec limitation de largeur de bande Remarque Autorisation automatique d'ethertypes Si PPPoE est actif, les Ethertypes 0x8863 et 0x8864 sont automatiquement autorisés (PPPoE Discovery et Session Stage). 130 Manuel de configuration, 09/2013, C79000-G8977-C286-02

131 Configuration du pare-feu 4.2 SCALANCE S en mode Standard Paramétrage par défaut pour SCALANCE S623 à partir de V3 et S627-2M V4 Les règles de pare-feu par défaut pour les interfaces externe et interne correspondent à celles valables pour les modules SCALANCE S de type S602 et 612. Les deux graphiques suivants ne présentent que les règles de filtrage de paquets IP qui concernent l'interface de DMZ. Des règles de filtrage de paquets MAC ne peuvent être définies pour l'interface de DMZ car les télégrammes sont ici routés entre le réseau externe ou interne et l'interface de DMZ. Figure 4-7 Paramétrage par défaut du filtre de paquets IP SCALANCE S623/S627-2M (trafic entre réseau DMZ et réseau interne ou entre réseau DMZ et module de sécurité) 1 Tous les télégrammes du réseau interne au réseau DMZ sont bloqués. 2 Tous les télégrammes du réseau interne vers le tunnel connecté à l'interface de DMZ et vice-versa sont autorisés. 3 Tous les télégrammes du réseau DMZ au réseau interne sont bloqués. Manuel de configuration, 09/2013, C79000-G8977-C

132 Configuration du pare-feu 4.2 SCALANCE S en mode Standard 4 Tous les télégrammes du réseau DMZ vers le tunnel connecté à l'interface de DMZ et vice-versa sont bloqués. 5 Les télégrammes du réseau DMZ (nœuds du réseau DMZ et modules de sécurité dans le réseau DMZ) de type suivant au module de sécurité sont autorisés : HTTPS (SSL) Protocole ESP (cryptage) IKE (protocole d'établissement des tunnels IPsec) NAT-Traversal (protocole d'établissement des tunnels IPsec) Figure 4-8 Paramétrage par défaut du filtre de paquets IP SCALANCE S623/S627-2M (trafic entre réseau DMZ et réseau externe) 1 Tous les télégrammes du réseau externe au réseau DMZ sont bloqués. 2 Tous les télégrammes du réseau externe vers le tunnel connecté à l'interface de DMZ et vice-versa sont bloqués. 132 Manuel de configuration, 09/2013, C79000-G8977-C286-02

133 Configuration du pare-feu 4.2 SCALANCE S en mode Standard 3 Tous les télégrammes du réseau DMZ vers le tunnel connecté à l'interface externe et vice-versa sont bloqués. 4 Tous les télégrammes du réseau DMZ au réseau externe sont bloqués. Remarque Autorisation automatique d'ethertypes Si PPPoE est actif, les Ethertypes 0x8863 et 0x8864 sont automatiquement autorisés (PPPoE Discovery et Session Stage) Configuration du pare-feu pour SCALANCE S V3.0 Pour accéder à cette fonction 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Pare-feu". Pare-feu activé par défaut La case "Activer pare-feu" est cochée par défaut. Le pare-feu est donc automatiquement actif et tous les accès de l'extérieur au module de sécurité sont bloqués. En mode standard, activez le pare-feu pour les diverses directions de transmission en cochant les cases voulues. Paramètres de pare-feu détaillés en mode avancé En mode avancé les règles de pare-feu peuvent être limitées à certains abonnés, voir le chapitre suivant : Pare-feu en mode avancé (Page 138) Configuration du pare-feu avec VPN Si le module de sécurité fait partie d'un groupe VPN et si, en mode standard, la case "Communication tunnelisée uniquement" est cochée, l'interface externe ou l'interface de DMZ autorise uniquement un transfert de données IPsec crypté. Si cette case est décochée, la communication tunnelisée de même que les types de communication sélectionnés avec les autres cases à cocher sont autorisés. Manuel de configuration, 09/2013, C79000-G8977-C

134 Configuration du pare-feu 4.2 SCALANCE S en mode Standard Tableau 4-7 Règles de pare-feu et directions disponibles (trafic IP) Service Interne Externe Externe Interne Interne => DMZ DMZ => interne Du réseau interne Du réseau externe Ports autorisés Signification Autorise communicat ion IP Autorise protocole S7 Autorise FTP/FTPS (mode explicite) Autorise HTTP Autorise HTTPS Autorise DNS Autorise SNMP Autorise SMTP Autorise NTP x x x x La communication IP est autorisée pour les directions de communication sélectionnées. x x x x - - Port TCP 102 Communication des abonnés de réseau via le protocole S7 autorisée. x x x x - - Port TCP 20 Pour la gestion Port TCP 21 de fichiers et l'accès aux fichiers entre serveur et client. x x x x - - Port TCP 80 Pour la communication avec un serveur web. x x x x - - Port TCP 443 Pour la communication sécurisée avec un serveur web, pour un diagnostic web par ex.. x x x x - - Port TCP 53 La liaison de Port UDP 53 communication à un serveur DNS est autorisée. x x x x - - Port TCP 161/162 Port UDP 161/162 Pour la surveillance des abonnés de réseau compatibles SNMP. x x x x - - Port TCP 25 Pour l'échange de courriers électroniques entre utilisateurs authentifiés via un serveur SMTP. x x x x - - Port UDP 123 Pour la synchronisation de l'heure. 134 Manuel de configuration, 09/2013, C79000-G8977-C286-02

135 Configuration du pare-feu 4.2 SCALANCE S en mode Standard Service Interne Externe Externe Interne Interne => DMZ DMZ => interne Du réseau interne Du réseau externe Ports autorisés Signification Autorise DHCP Autorise communicat ion niveau MAC Autorise communicat ion ISO Autorise SiCLOCK Autorise DCP x x x x - - UDP Port 67 UDP Port 68 La communication avec un serveur DHCP est autorisée x x - Le trafic MAC du réseau interne vers le réseau externe et inversement est autorisé x x - Le trafic ISO du réseau interne vers le réseau externe et inversement est autorisé x x - Les télégrammes SiClock dans le sens interne vers externe et inversement sont autorisés x x - Le trafic DCP pour l'attribution d'adresses IP est autorisé dans le sens interne vers externe et inversement. Tableau 4-8 Journalisation pour jeux de règles IP et MAC Jeu de règles Paramètres de journal IP Enregistrement de paquets tunnelisés Enregistrement de paquets entrants bloqués Enregistrement de paquets sortants bloqués Paramètres de journal MAC Enregistrement de paquets tunnelisés Action à l'activation Uniquement activé si le module de sécurité fait partie d'un groupe VPN. Tous les paquets IP retransmis via le tunnel sont journalisés. Tous les paquets IP entrants qui ont été rejetés, sont journalisés. Tous les paquets IP sortants qui ont été rejetés, sont journalisés. Uniquement activé si le module de sécurité fait partie d'un groupe VPN. Tous les paquets MAC retransmis via le tunnel sont journalisés. Manuel de configuration, 09/2013, C79000-G8977-C

136 Configuration du pare-feu 4.2 SCALANCE S en mode Standard Jeu de règles Enregistrement de paquets entrants bloqués Enregistrement de paquets sortants bloqués Action à l'activation Tous les paquets MAC entrants qui ont été rejetés, sont journalisés. Tous les paquets MAC sortants qui ont été rejetés, sont journalisés Configuration du pare-feu pour SCALANCE S < V3.0 Pour accéder à cette fonction 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Pare-feu". Remarque Paramètres de pare-feu détaillés en mode avancé En mode avancé les règles de pare-feu peuvent être limitées à certains abonnés. Remarque Retour au mode standard impossible. Après être passé au mode avancé dans le projet actuel, vous ne pourrez plus retourner au mode standard. Remède sous SCT autonome : Fermez le projet sans l'enregistrer puis rouvrez-le. Tableau 4-9 Services et directions disponibles Règle/Option Ports autorisés Fonction Communication tunnelisée uniquement Autorise communication IP de réseau interne à externe - C'est le paramétrage par défaut. L'option n'est sélectionnable que si le module de sécurité se trouve dans un groupe VPN. Ce paramétrage autorise uniquement un transfert de données IPsec crypté ; seuls les nœuds protégés par des modules de sécurité à l'aide de mécanismes VPN peuvent communiquer entre eux. Si cette option est désactivée, la communication par tunnel de même que le type de communication sélectionné dans les autres cases à cocher sont autorisés. - Les nœuds internes peuvent initier une communication avec des nœuds du réseau externe. Seuls les télégrammes de réponse issus du réseau externe sont transmis au réseau interne. Le réseau externe ne peut pas initier de communication avec les nœuds du réseau interne. 136 Manuel de configuration, 09/2013, C79000-G8977-C286-02

137 Configuration du pare-feu 4.2 SCALANCE S en mode Standard Règle/Option Ports autorisés Fonction Autorise communication IP via protocole S7 de réseau interne à externe Autorise l'accès au serveur DHCP du réseau interne au réseau externe Autorise l'accès au serveur NTP du réseau interne au réseau externe Autorise télégrammes d'horodatage SiClock du réseau externe au réseau interne Autorise l'accès au serveur DNS du réseau interne au réseau externe Autorise la configuration de nœuds de réseau via DCP Port TCP 102 Les nœuds internes peuvent initier une liaison de communication S7 avec des nœuds du réseau externe. Seuls les télégrammes de réponse issus du réseau externe sont transmis au réseau interne. Le réseau externe ne peut pas initier de communication avec les nœuds du réseau interne. Port UDP 67 Les nœuds internes peuvent initier une communication avec un serveur Port UDP 68 DHCP du réseau externe. Seuls les télégrammes de réponse issus du serveur DHCP sont transmis au réseau interne. Le réseau externe ne peut pas initier de communication avec les nœuds du réseau interne. Port UDP 123 Les nœuds internes peuvent initier une communication avec un serveur NTP (Network Time Protocol) du réseau externe. Seuls les télégrammes de réponse issus du serveur NTP sont transmis au réseau interne. Le réseau externe ne peut pas initier de communication avec les nœuds du réseau interne. - Autoriser télégrammes d'horodatage SiClock du réseau externe vers le réseau interne. Port TCP 53 Port UDP 53 Les nœuds internes peuvent initier une communication avec un serveur DNS du réseau externe. Seuls les télégrammes de réponse issus du serveur DNS sont transmis au réseau interne. Le réseau externe ne peut pas initier de communication avec les nœuds du réseau interne. - Le protocole DCP est utilisé par le PST-Tool pour le baptême de nœud (spécification des paramètres IP) des composants de réseau SIMATIC NET. Cette règle autorise les nœuds du réseau externe à accéder via protocole DCP aux nœuds du réseau interne. Tableau 4-10 Journalisation pour jeux de règles IP et MAC Jeu de règles Paramètres de journal IP Enregistrement de paquets tunnelisés Enregistrement de paquets entrants bloqués Enregistrement de paquets sortants bloqués Paramètres de journal MAC Enregistrement de paquets tunnelisés Enregistrement de paquets entrants bloqués Enregistrement de paquets sortants bloqués Action à l'activation Uniquement si le module de sécurité fait partie d'un groupe VPN : Tous les paquets IP retransmis via le tunnel sont journalisés. Tous les paquets IP entrants qui ont été rejetés, sont journalisés. Tous les paquets IP sortants qui ont été rejetés, sont journalisés. Uniquement si le module de sécurité fait partie d'un groupe VPN : Tous les paquets MAC retransmis via le tunnel sont journalisés. Tous les paquets MAC entrants qui ont été rejetés, sont journalisés. Tous les paquets MAC sortants qui ont été rejetés, sont journalisés. Manuel de configuration, 09/2013, C79000-G8977-C

138 Configuration du pare-feu 4.3 Pare-feu en mode avancé 4.3 Pare-feu en mode avancé En mode avancé, des possibilités de paramétrage additionnelles vous permettent de personnaliser les règles du pare-feu et les fonctions de sécurité. Passage au mode avancé Pour toutes les fonctions décrites dans le présent chapitre, passez en mode avancé. Remarque Retour au mode standard impossible. Dès que vous avez modifié la configuration du projet actuel et que vous êtes passé au mode avancé vous ne pouvez plus l'annuler. Remède sous SCT autonome : Fermez le projet sans l'enregistrer puis rouvrez-le. Les noms symboliques sont pris en charge Dans les fonctions décrites ci-après, vous pouvez entrer des noms symboliques à la place des adresses IP ou MAC. Pour d'autres informations à ce sujet, référez-vous aussi au chapitre : Attribution de mnémoniques aux adresses IP/MAC (Page 62) Configuration du pare-feu en mode avancé Signification Contrairement au mode standard qui autorise uniquement la configuration de règles de filtrage de paquets prédéfinies, le mode avancé du Security Configuration Tool permet de configurer des règles de filtrage de paquets personnalisées. Les règles de filtrage de paquets se définissent dans des onglets sélectionnables pour les protocoles suivants : 138 Manuel de configuration, 09/2013, C79000-G8977-C286-02

139 Configuration du pare-feu 4.3 Pare-feu en mode avancé Couche 3, 4 : Protocole IP, services IP Couche 2 : Protocole MAC, services MAC Remarque Pas de règles MAC si le mode routage est activé Si vous avez activé le mode routage pour le module de sécurité, les règles MAC ne sont pas applicables (les dialogues sont inactifs). Si vous n'entrez pas de règles dans les dialogues décrits ci-après, les règles appliquées seront celles du paramétrage par défaut du pare-feu. Pour plus d'informations, reportez-vous au chapitre suivant : Paramètres par défaut du CP x43-1 Adv. : Paramétrage par défaut du pare-feu (Page 118) Paramètres par défaut du CP 1628 : Paramétrage par défaut du pare-feu (Page 123) Paramètres par défaut du SCALANCE S : Paramétrage par défaut du pare-feu (Page 128) Possibilité de définition globale, personnalisée et locale Les jeux de règles de pare-feu globaux peuvent être attribués simultanément à plusieurs modules de sécurité. Ils sont affichés en mode avancé dans le volet de navigation Security Configuration Tool et peuvent y être configurés globalement. Les jeux de règles de pare-feu personnalisés peuvent être attribués individuellement ou simultanément à plusieurs modules de sécurité. Ils sont affichés en mode avancé dans le volet de navigation Security Configuration Tool et peuvent y être configurés globalement. SCALANCE S V4 (RADIUS): Il est possible d'affecter aux jeux de règles IP personnalisés un ou plusieurs utilisateurs mais aussi un ou plusieurs rôles. Les règles de pare-feu locales sont dédiées à un module de sécurité. Elles sont configurées dans le dialogue des propriétés du module de sécurité. On peut affecter à un module de sécurité plusieurs règles de pare-feu locales, plusieurs jeux de règles de pare-feu globaux et plusieurs jeux de règles IP personnalisés Jeux de règles de pare-feu globaux Utilisation Les jeux de règles de pare-feu globaux sont configurés en fonction des modules au niveau projet et sont affichés dans le volet de navigation du Security Configuration Tool. Un jeu de règles de pare-feu global se compose d'une ou de plusieurs règles de pare-feu et est affecté à plusieurs modules de sécurité. On distingue dans les jeux de règles de pare-feu globaux : Manuel de configuration, 09/2013, C79000-G8977-C

140 Configuration du pare-feu 4.3 Pare-feu en mode avancé les jeux de règles IP les jeux de règles MAC La figure ci-après illustre la corrélation entre les jeux de règles définis globalement et les jeux de règles utilisés localement. Quand les jeux de règles de pare-feu globaux sont-ils utiles? Les jeux de règles de pare-feu globaux sont utiles lorsque vous voulez définir des critères de filtrage de la communication identiques pour plusieurs modules de sécurité. Remarque N'affecter que des jeux de règles de pare-feu pris en charge par le module de sécurité Toute erreur d'affectation de jeux de règles de pare-feu peut se traduire par des résultats indésirables. Vérifiez par conséquent toujours, dans les résultats, les règles de pare-feu locales, spécifiques aux modules. Les erreurs d'affectation ne sont pas identifiées par le contrôle automatique de cohérence. Seules les règles prises en charge par le module de sécurité sont adoptées. Voir aussi Jeux de règles IP personnalisés (Page 142) 140 Manuel de configuration, 09/2013, C79000-G8977-C286-02

141 Configuration du pare-feu 4.3 Pare-feu en mode avancé Jeux de règles globales du pare-feu - Conventions Utilisation locale de jeux de règles de pare-feu globaux Les conventions ci-après s'appliquent à la création d'un jeu de règles de pare-feu global ainsi qu'à son affectation à un module de sécurité : Affichage de configuration Les jeux de règles de pare-feu globaux ne peuvent être créées qu'en mode avancé. Priorité La priorité des règles de pare-feu définies localement est par défaut supérieure à celle des jeux de règles de pare-feu globaux affectés localement. Les jeux de règles de parefeu globaux sont donc ajoutés au bas de la liste locale des règles. La priorité peut être modifiée par déplacement de la règle dans la liste. Entrée, modification ou suppression de jeux de règles Les jeux de règles de pare-feu globaux ne sont pas éditables dans la liste locale des règles de pare-feu, figurant dans les propriétés du module. Elles ne peuvent qu'y être affichées et déplacées pour en modifier la priorité. Dans la liste des règles locales, il n'est pas possible de supprimer une règles de pare-feu d'un jeu de règles de pare-feu global affecté. Vous pouvez seulement supprimer le jeu de règles complet de la liste locale des règles. Une adaptation du jeu de règles global est possible à tout moment via le dialogue des propriété du jeu de règles global. Tous les appareils concernés par cette modification devront ensuite être rechargés Création et affectation de jeux de règles de pare-feu globaux Pour accéder à cette fonction 1. Sélectionnez dans le volet de navigation, l'un des dossiers suivants : "Jeux de règles de pare-feu globaux" > "Jeux de règles IP de pare-feu" "Jeux de règles de pare-feu globaux" > "Jeux de règles MAC de pare-feu" 2. Sélectionnez la commande de menu "Insérer" > "Jeu de règles de pare-feu". 3. Saisissez les données ci-après : Nom : Désignation, unique au sein du projet, du jeu de règles. Le nom figure, après affectation du jeu de règles, dans la liste des règles locales du module de sécurité. Description : Entrez une description du jeu de règles global. 4. Cliquez sur le bouton "Ajouter une règle". Manuel de configuration, 09/2013, C79000-G8977-C

142 Configuration du pare-feu 4.3 Pare-feu en mode avancé 5. Entrez successivement les règles de pare-feu dans la liste. Tenez compte de la description des paramètres des chapitres ci-après : Pour jeux de règles IP : Règles de filtrage de paquets IP (Page 149). Pour jeux de règles MAC : Règles de filtrage de paquets MAC (Page 159). 6. Affectez le jeu de règles de pare-feu global aux modules sur lesquels vous voulez l'utiliser. Sélectionnez pour ce faire le jeu de règles de pare-feu global dans le volet de navigation et placez-le par glisser-déposer sur les modules de sécurité dans le volet de navigation. Vous pouvez sinon procéder à l'affectation dans la liste locale des règles d'un module de sécurité via le bouton "Ajouter jeux de règles...". Résultat Le jeu de règles de pare-feu global est utilisé par les modules de sécurité comme jeu de règles local et apparaît automatiquement dans leurs listes des règles de pare-feu spécifiques au module. Voir aussi Jeux de règles globales du pare-feu - Conventions (Page 141) Jeux de règles IP personnalisés Signification Dans un premier temps, on affecte un ou plusieurs utilisateurs aux jeux de règles IP personnalisés. Les jeux de règles IP personnalisés sont ensuite affectés à un ou plusieurs modules de sécurité. Il est ainsi possible d'autoriser des accès spécifiques utilisateurs. Si p. ex. tous les accès aux réseaux en aval du module de sécurité sont bloqués par défaut, il est possible d'autoriser un utilisateur à accéder à certains abonnés via leurs adresses IP. L'accès sera donc autorisé pour l'utilisateur en question et restera bloqué pour les autres. Connexion de l'utilisateur via Internet L'utilisateur peut se connecter via une page web à l'interface externe ou à l'interface de DMZ du module de sécurité. Dès que l'authentification est réussie, le jeu de règles IP prédéfini pour cet utilisateur est activé. La liaison au module de sécurité s'effectue via HTTPS en utilisant l'adresse IP du port connecté en tenant compte des règles de routage applicables : Exemple : Interface externe : Accès à la page de connexion via : Les utilisateurs peuvent se connecter avec n'importe quel rôle à condition que l'utilisateur ou le rôle soit affecté à un jeu de règles de IP personnalisé. 142 Manuel de configuration, 09/2013, C79000-G8977-C286-02

143 Configuration du pare-feu 4.3 Pare-feu en mode avancé Possibilités d'authentification de l'utilisateur Selon la méthode d'authentification que vous avez choisie lors de la création de l'utilisateur qui se connecte au module de sécurité, l'authentification est assurée par diverses instances : méthode d'authentification "Mot de passe" : l'authentification est assurée par le module de sécurité. méthode d'authentification "RADIUS" : l'authentification est assurée par un serveur RADIUS. Affectation de rôles à des jeux de règles IP personnalisés Il est également possible d'affecter des jeux de règles IP personnalisés auxquels ont été attribués des rôles, à des modules SCALANCE S V4. Il est ainsi possible d'autoriser un groupe d'utilisateurs à accéder à certaines adresses IP. Si un serveur RADIUS est utilisé pour l'authentification des utilisateurs et si un rôle est affecté au jeu de règles IP personnalisé, le serveur RADIUS peut également authentifier des utilisateurs qui n'ont pas été configurés sur le module de sécurité. Ces utilisateurs doivent être enregistrés sur le serveur RADIUS et y être affectés au rôle qui a été affecté sous SCT au jeu de règles IP personnalisé. Cette méthode a pour avantage que les données d'utilisateur sont exclusivement enregistrées sur le serveur RADIUS. Vous trouverez des informations complémentaires sur l'authentification par serveur RADIUS au chapitre suivant : Authentification par serveur RADIUS (Page 81) Utilisation locale de jeux de règles IP personnalisés - Conventions Les conventions applicables sont les mêmes que celles décrites dans le chapitre suivant : Jeux de règles globales du pare-feu - Conventions (Page 141) Création et affectation de jeux de règles IP personnalisés Pour accéder à cette fonction 1. Sélectionnez dans le volet de navigation le dossier "Jeux de règles IP personnalisés". 2. Sélectionnez la commande de menu "Insérer" > "Jeu de règles de pare-feu". 3. Saisissez les données ci-après : Nom : Désignation, unique au sein du projet, du jeu de règles IP personnalisé. Le nom figure, après affectation du jeu de règles, dans la liste des règles locales du module de sécurité. Description : Entrez une description du jeu de règles IP personnalisé. 4. Cliquez sur le bouton "Ajouter une règle". Manuel de configuration, 09/2013, C79000-G8977-C

144 Configuration du pare-feu 4.3 Pare-feu en mode avancé 5. Entrez les règles de pare-feu les unes après les autres dans la liste. Tenez compte de la description des paramètres dans le chapitre ci-après : Règles de filtrage de paquets IP (Page 149) Tenez compte des particularités des règles de pare-feu générées automatiquement par SCT pour les règles NAT/NAPT : Corrélation entre routeur NAT/NAPT et pare-feu personnalisé (Page 184) 6. Affectez au jeu de règles IP personnalisé un ou plusieurs utilisateurs et/ou un ou plusieurs rôles. L'affectation de rôle à des jeux de règles IP personnalisés n'est possible que pour des modules SCALANCE S V4. Remarque Affectation de jeux de règles IP personnalisés Il n'est possible d'affecter à un module de sécurité qu'un seul jeu de règles IP personnalisé par utilisateur. Cette affectation active le droit "L'utilisateur/rôle est autorisé à se connecter au module" pour tous les utilisateurs et rôles affectés au jeu de règles IP. 7. Affectez le jeu de règles IP personnalisé aux modules de sécurité sur lesquels vous voulez l'utiliser. Sélectionnez pour ce faire le jeu de règles IP personnalisé dans le volet de navigation et placez-le par glisser-déposer sur les modules de sécurité dans le volet de navigation. Vous pouvez sinon procéder à l'affectation dans la liste locale des règles d'un module de sécurité via le bouton "Ajouter jeux de règles...". 144 Manuel de configuration, 09/2013, C79000-G8977-C286-02

145 Configuration du pare-feu 4.3 Pare-feu en mode avancé Résultat Le jeu de règles IP personnalisé est utilisé par les modules de sécurité comme jeu de règles local et apparaît automatiquement dans la liste des règles de pare-feu spécifique au module. L'utilisateur peut se connecter au module de sécurité. L'utilisateur est authentifié, selon la méthode d'authentification définie, soit par le module de sécurité, soit par un serveur RADIUS. Plage de valeur de la durée maximale de session La durée au bout de laquelle l'utilisateur est automatiquement déconnecté, peut être définie à la création ou lors de l'édition de l'utilisateur ; elle est par défaut de 30 minutes. La durée de session peut être prolongée sur la page web du module de sécurité jusqu'à la valeur affectée à l'utilisateur. Pour plus d'informations sur la création d'utilisateurs, veuillez vous référer au chapitre suivant : Gestion des utilisateurs (Page 70) Règles de pare-feu en rapport avec les liaisons, créées automatiquement Règles de pare-feu créées automatiquement sous SCT Des règles de pare-feu sont créées automatiquement dans le cas suivant : Liaisons configurées sous STEP 7 Manuel de configuration, 09/2013, C79000-G8977-C

146 Configuration du pare-feu 4.3 Pare-feu en mode avancé Règles de pare-feu pour liaisons configurées Si des liaisons ont été créées sous STEP 7, des règles de pare-feu sont créées automatiquement pour ces liaisons sous SCT. Les systèmes STEP 7 et SCT sont synchronisés ; pendant cette synchronisation toutes les liaisons configurées du projet sont contrôlées. Sont également synchronisées automatiquement pour chaque partenaire de réseau, l'adresse IP/MAC, l'action et l'interface. 2 règles sont ainsi générées par partenaire de réseau, indépendamment du nombre de liaisons. Remarque Autorisation manuelle des liaisons multicast UDP et broadcast UDP Il n'y a pas de création automatique de règles de pare-feu pour les liaisons multicast UDP et broadcast UDP. Pour autoriser les liaisons, ajoutez les règles de pare-feu voulues manuellement, en mode avancé. Selon la manière dont l'établissement de la liaison est configuré sous STEP 7, SCT crée les règles de pare-feu de couche 3 suivantes. Si le module de sécurité fait partie d'un groupe VPN, la direction "Externe" devient "Tunnel". L'adresse IP du partenaire de liaison est inscrite dans la colonne "Adresse IP source" ou "Adresse IP de destination" de ces règles de pare-feu. CP->réseau externe Action de vers actif Allow Station Externe Drop Externe Station passif Drop Station Externe Allow Externe Station actif et passif Allow Externe Station Allow Station Externe CP->réseau interne Action de vers actif Allow Station Interne Drop Interne Station passif Drop Station Interne Allow Interne Station actif et passif Allow Interne Station Allow Station Interne Pour les liaisons de couche 2, des règles "Allow" sont créées pour les deux directions. Si le module de sécurité fait partie d'un groupe VPN, la direction "Externe" devient "Tunnel". L'adresse MAC du partenaire de liaison est inscrite dans la colonne "Adresse MAC source" ou "Adresse MAC de destination" de ces règles de pare-feu. 146 Manuel de configuration, 09/2013, C79000-G8977-C286-02

147 Configuration du pare-feu 4.3 Pare-feu en mode avancé CP->réseau externe Action de vers actif, passif, actif et passif Allow Station Externe Allow Externe Station Conventions pour règles de pare-feu créées automatiquement Priorité Les règles possèdent la plus haute priorité et sont donc ajoutées en haut dans la liste des règles locales. Suppression de règles Les jeux de règles ne peuvent pas être supprimés. La journalisation peut être activée et les services peuvent être attribués. Il est en outre possible d'ajouter un commentaire et une bande passante. Changement de l'action Si vous changez sous SCT l'action "Allow" en "Drop" ou inversement, celles-ci sont écrasées lors d'une nouvelle synchronisation. Si vous voulez conserver les modifications effectuées, sélectionnez comme action "Allow*" ou "Drop*". Dans ce cas, seul l'adresse IP/MAC sera synchronisée avec STEP 7, tandis que l'action et la direction resteront inchangées. Les paramètres de journalisation, service, largeur de bande et commentaire restent inchangés même après une nouvelle synchronisation, même sans changement de l'action en "Allow*" ou "Drop*". Si la liaison correspondante n'existe pas sous STEP 7, la règle est supprimée de la liste. Manuel de configuration, 09/2013, C79000-G8977-C

148 Configuration du pare-feu 4.3 Pare-feu en mode avancé Module de sécurité dans un groupe VPN La case "Communication tunnelisée uniquement" est cochée par défaut. Décocher la case permet d'établir, outre une communication par tunnel entre partenaires de tunnel, une communication avec d'autres abonnés vers lesquels aucun tunnel ne mène. La communication passe en dehors du tunnel si l'adresse de partenaire appartient à une station connue sous SCT, vers laquelle aucun tunnel VPN n'a été configuré. La communication passe par le tunnel VPN, si l'adresse de partenaire est une terminaison VPN. S'il n'est pas possible de déterminer clairement le passage de la liaison par le tunnel VPN ou hors du tunnel VPN, la liaison est affectée au tunnel VPN et un message adéquat affiché. L'affectation peut être modifiée en mode avancé, p. ex. en changeant la direction "De" "Tunnel" en "Externe". Pour que cette adaptation ne soit pas écrasée lors de la prochaine synchronisation, l'action "Allow*" ou "Drop*" doit être sélectionnée. Remarque Si vous voulez vous assurer que la communication s'effectue exclusivement par le tunnel, vous devez créer, en mode avancé, les règles de pare-feu voulues pour les abonnés internes ou les adresses NDIS p. ex. Pour autoriser la communication exclusivement via le tunnel pour un CP, ajoutez la règle "Drop" > "Any" > "Externe". Pour le CP 1628, ajoutez une règle "Drop" > "Station" > "Extern". Supprimez en outre les règles de pare-feu déjà créées qui autorisent la communication hors tunnel Spécification des règles de filtrage de paquets IP locales Les règles de filtrage de paquets IP permettent de filtrer des télégrammes IP tels que les télégrammes UDP, TCP et ICMP. Au sein d'une règle de filtrage de paquets IP, vous pouvez vous servir de définitions de service et affiner ainsi les critères de filtrage. Si vous ne spécifiez pas de services, la règle de filtrage de paquet IP s'applique à tous les services. Ouverture du dialogue des règles locales de filtrage de paquets IP SCT : Sélectionnez le module de sécurité à éditer puis la commande de menu "Edition" > "Propriétés...", onglet "Pare-feu". STEP 7 : Cliquez dans l'onglet "Sécurité", à côté de "Démarrer configuration de sécurité" sur le bouton "Exécuter", onglet "Pare-feu". 148 Manuel de configuration, 09/2013, C79000-G8977-C286-02

149 Configuration du pare-feu 4.3 Pare-feu en mode avancé Entrée des règles de filtrage de paquets IP Entrez les règles de pare-feu les unes après les autres dans la liste ; tenez compte de la description des paramètres et des exemples du chapitre suivant ou de l'aide en ligne. Utilisation de jeux de règles globaux et personnalisés Les jeux de règles de pare-feu globaux et les jeux de règles IP personnalisés que vous avez affectés au module sont automatiquement intégrés dans la liste locale des règles. Si le jeu de règles affecté figure à la fin de la liste de règles, il est traité avec la plus faible priorité. Vous pouvez cependant modifier la priorité en modifiant la position dans la liste des règles. Vous trouverez dans l'aide en ligne la signification des différents boutons Règles de filtrage de paquets IP Le traitement des règles de filtrage de paquets IP s'effectue en fonction de l'analyse des éléments suivants : paramètres figurant dans la règle ; ordre et donc priorité des règles. Manuel de configuration, 09/2013, C79000-G8977-C

150 Configuration du pare-feu 4.3 Pare-feu en mode avancé Paramètre La configuration d'une règle IP comprend les paramètres suivants : Désignation Signification/Commentaire Options / plages de valeurs Action Définition de l'autorisation (autorisation/blocage) Allow Autorisation des télégrammes conformément à la définition. Drop Blocage des télégrammes conformément à la définition. Pour règles de connexion créées automatiquement : Allow* De / Vers Les directions de communication autorisées Drop* Si vous sélectionnez ces règles, il n'y aura pas de synchronisation avec STEP 7. Les règles modifiées ne sont donc pas écrasées dans SCT. Sont décrites dans les tableaux ci-après. Adresse IP source Adresse source des paquets IP Voir la section suivante de ce chapitre : Adresse IP-de Adresse-de destination des paquets Règles de filtrage de paquets IP (Page 149) destination IP Vous pouvez également entrer un nom symbolique. Remarque concernant le mode fantôme Quand le mode fantôme est activé, l'adresse IP de l'abonné interne est déterminée de manière dynamique selon la durée par le module de sécurité. En fonction de la direction choisie, vous ne pouvez effectuer aucune entrée dans la colonne "Adresse IP-source" (direction ''interne vers externe") ou dans la colonne "Adresse IP-de destination" (direction "externe vers interne). Au lieu de cela, l'adresse IP est automatiquement ajoutée par le SCALANCE S lui-même dans la règle de pare-feu. 150 Manuel de configuration, 09/2013, C79000-G8977-C286-02

151 Configuration du pare-feu 4.3 Pare-feu en mode avancé Désignation Signification/Commentaire Options / plages de valeurs Service Bande passante (Mbit/s) Journalisation Nom du service IP/ICMP ou groupe de services utilisé. Les définitions de services permettent de définir des règles de filtrage de paquets. Vous sélectionnez ici l'un des services définis dans le dialogue Services IP : Services IP Services ICMP Groupe de services comprenant des services IP et/ou ICMP Si vous n'avez pas encore défini de service ou si vous voulez définir un nouveau service, cliquez sur le bouton "Services IP..." (dans l'onglet "Règles IP") ou "Services MAC..." (dans l'onglet "Règles MAC"). Possibilité de limitation de la largeur de bande. Ne peut être entrée que si "Allow" a été sélectionné sous Action. Un paquet passe le pare-feu en cas de conformité à la règle de passage et si la largeur de bande pour cette règle n'a pas encore été dépassée. Activation ou désactivation de la journalisation pour cette règle. Vous trouverez des informations sur les paramètre de journalisation au chapitre Enregistrement d'événements (journalisation) (Page 249). La zone de liste déroulante affiche les services et groupes de services configurés. Pas de mention signifie : aucun service n'est contrôlé, la règle s'applique à tous les services. Note : Pour que les services IP prédéfinis apparaissent dans la zone de liste déroulante, activez-les d'abord en mode standard. CP x43-1 Adv. et SCALANCE S < V3.0: CP 1628 et SCALANCE S V3.0 : Pour les règles de jeux de règles globaux et personnalisés : N Numéro de règle attribué automatiquement pour l'affectation des paquets journalisés à une règle de pare-feu configurée. Commentaire Place pour commenter la règle. Si un commentaire est repéré par "AUTO", cela veut dire qu'il a été créé automatiquement pour une règle de connexion. Tableau 4-11 Directions CP Options / plages de valeurs Module de sécurité Signification de vers CP x43-1 Adv. CP 1628 Interne Station x - Accès du réseau interne à la station. Any x - Accès du réseau interne au réseau externe, au partenaire de tunnel VPN et à la station. Manuel de configuration, 09/2013, C79000-G8977-C

152 Configuration du pare-feu 4.3 Pare-feu en mode avancé Options / plages de valeurs Module de sécurité Signification Externe Station x x Accès du réseau externe à la station. Any x - Accès du réseau externe au réseau interne et à la station. Station Interne x - Accès de la station au réseau interne. Externe x x Accès de la station au réseau externe. Tunnel x x Accès de la station au partenaire de tunnel VPN. Tunnel Station x x Accès via le partenaire de tunnel VPN à la station. Any x - Accès de partenaires de tunnel VPN au réseau interne et à la station. Any Externe x - Accès du réseau interne et de la station au réseau externe. Tableau 4-12 Directions SCALANCE S Options / plages de valeurs Module de sécurité de vers S602 S61x S623 / S627-2M Interne Externe x x x Tunnel - x x Any - x x DMZ - - x Interne x x x Externe Interne x x x Any - - x Tunnel - - x DMZ - - x Tunnel Interne - x x Externe - x x DMZ - - x Any Interne - x x Externe - - x DMZ - - x DMZ Interne - - x Externe - - x Any - - x Tunnel - - x 152 Manuel de configuration, 09/2013, C79000-G8977-C286-02

153 Configuration du pare-feu 4.3 Pare-feu en mode avancé Ordre chronologique d'analyse des règles par le module de sécurité Les règles de filtrage de paquets sont analysées comme suit : La liste est analysée de haut en bas ; en cas de règles contradictoires (p. ex. des entrées spécifiant la même direction, mais des actions différentes), c'est donc toujours l'entrée la plus haute dans la liste qui est prise en compte. Concernant les règles de communication entre réseau interne, externe et réseau DMZ, c'est la règle suivante qui s'applique : tous les télégrammes sont bloqués sauf ceux explicitement autorisés dans la liste. Concernant les règles de communication en direction et venant du tunnel IPsec, on retiendra : tous les télégrammes sont autorisés sauf ceux explicitement bloqués dans la liste. Exemple Les règles de filtrage de paquets représentées se traduisent par le comportement suivant : Manuel de configuration, 09/2013, C79000-G8977-C

154 Configuration du pare-feu 4.3 Pare-feu en mode avancé Tous les types de télégramme du réseau interne vers le réseau externe sont bloqués par défaut, sauf s'ils sont explicitement autorisés. Tous les types de télégramme du réseau externe vers le réseau interne sont bloqués par défaut, sauf s'ils sont explicitement autorisés. La règle de filtrage de paquets IP 1 autorise les télégrammes avec la définition de service "Service X1" à transiter du réseau interne vers le réseau externe. La règle de filtrage de paquets IP 2 autorise les télégrammes à transiter du réseau externe vers le réseau interne si la condition suivante est remplie : adresse IP de l'expéditeur : adresse IP du destinataire : Définition de service : "Service X2" La règle de filtrage de paquets IP 3 bloque les télégrammes avec la définition de service "Service X1" qui est envoyée par le tunnel VPN au réseau interne. La communication via tunnel IPsec est autorisée par défaut sauf pour les types de télégramme explicitement bloqués. Voir aussi Règles de filtrage de paquets MAC (Page 159) Plages de valeurs de l'adresse IP, du masque de sous-réseau et de l'adresse de la passerelle de réseau (Page 259) Adresse IP dans les règles de filtrage de paquets IP L'adresse IP se compose de 4 nombres décimaux situés dans la plage de 0 à 255 et séparés par un point ; exemple : Dans la règle de filtrage de paquets, vous pouvez spécifier les adresses IP comme suit : 154 Manuel de configuration, 09/2013, C79000-G8977-C286-02

155 Configuration du pare-feu 4.3 Pare-feu en mode avancé pas de mention Aucun contrôle n'est effectué, la règle s'applique à toutes les adresses IP. une adresse IP La règle s'applique précisément à l'adresse spécifiée. Plage d'adresses La règle s'applique à toutes les adresses IP incluses dans la plage d'adresses. Une plage d'adresses est définie en indiquant le nombre de bit valables dans l'adresse IP, notamment comme suit : [adresse IP]/[nombre de bits à prendre en compte] [adresse IP]/24 signifie par conséquent que seuls les 24 bits de plus fort poids de l'adresse IP sont pris en compte dans la règle de filtrage de paquets ; il s'agit des trois premiers nombres de l'adresse IP. [adresse IP]/25 signifie que seuls les trois premiers nombres et le bit de plus fort poids du quatrième nombre de l'adresse IP sont pris en compte dans la règle de filtrage de paquets. Plage d'adresses Pour l'adresse IP source, il est possible d'entrer une plage d'adresses, séparées par un trait d'union : [Adresse IP de début]-[adresse IP de fin] Pour plus d'informations, reportez-vous au chapitre suivant : Plages de valeurs de l'adresse IP, du masque de sous-réseau et de l'adresse de la passerelle de réseau (Page 259) Tableau 4-13 Exemple de plage d'adresses IP Adresse IP source ou adresse IP de destination Plage d'adresses Nombre d'adresses de à / / / / / / / / Manuel de configuration, 09/2013, C79000-G8977-C

156 Configuration du pare-feu 4.3 Pare-feu en mode avancé Définition des services IP Pour accéder à cette fonction Via la commande de menu "Options" > "Services IP...". ou Dans l'onglet "Règles IP" à l'aide du bouton "Services IP...". Signification Les définitions de services IP permettent de définir des règles de pare-feu compactes et claires, applicables à des services déterminés. Vous attribuez pour ce faire un nom et vous lui affectez les paramètres de service. Vous pouvez par ailleurs regrouper les services ainsi définis sous un nom de groupe. Vous utiliserez alors ce nom lors de la configuration des règles globales ou locales de filtrage de paquets. Paramètres des services IP La définition des services IP s'effectue à l'aide des paramètres suivants : Tableau 4-14 Services IP : Paramètre Désignation Signification/Commentaire Options / Plages de valeurs Nom Vous pouvez choisir ici librement le nom de service Librement choisi utilisé pour l'identification dans la définition de la règle ou dans le groupe. Protocole Nom du type de protocole TCP UDP Any Port source Le filtrage a lieu en fonction du numéro de port Exemples : indiqué ici ; celui-ci définit l'accès de service de *: Le port n'est pas contrôlé l'expéditeur du télégramme. 20 ou 21 : service FTP Port de Le filtrage a lieu en fonction du numéro de port Exemples : destination indiqué ici ; celui-ci définit l'accès de service du *: Le port n'est pas contrôlé destinataire du télégramme. 80: Service HTTP Web 102: Protocole S7 - TCP/Port 156 Manuel de configuration, 09/2013, C79000-G8977-C286-02

157 Configuration du pare-feu 4.3 Pare-feu en mode avancé Définition des services ICMP Les définitions de services ICMP permettent de définir des règles de pare-feu, applicables à des services ICMP déterminés. Vous attribuez pour ce faire un nom et vous lui affectez les paramètres de service. Vous pouvez regrouper les services ainsi définis sous un nom de groupe. Vous utiliserez ensuite ce nom lors de la configuration des règles de filtrage de paquets. Pour accéder à cette fonction Via la commande de menu "Options" > "Services IP...", onglet "ICMP". ou Dans l'onglet "Règles IP" à l'aide du bouton "Services IP...", onglet "ICMP" Paramètres des services ICMP La définition des services ICMP s'effectue à l'aide des paramètres suivants : Tableau 4-15 Services ICMP : Paramètre Désignation Signification/Commentaire Options / Plages de valeurs Nom Vous pouvez choisir ici librement le nom de Librement choisi service utilisé pour l'identification dans la définition de la règle ou dans le groupe. Type Type de message ICMP Voir représentation du dialogue. Code Code du type ICMP Les valeurs sont liées au type sélectionné. Manuel de configuration, 09/2013, C79000-G8977-C

158 Configuration du pare-feu 4.3 Pare-feu en mode avancé Paramétrage des règles de filtrage de paquets MAC Les règles de filtrage de paquets MAC permettent de filtrer des télégrammes MAC. Remarque Pas de règles MAC si le mode routage est activé Si vous avez activé le mode routage pour le module SCALANCE S, les règles MAC ne sont pas applicables. Dialogue / Onglet Sélectionnez le module de sécurité à éditer. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Pare-feu" > "Règles MAC" pour configurer le pare-feu. Spécification des règles de filtrage de paquets Entrez les règles de pare-feu les unes après les autres dans la liste ; tenez compte de la description des paramètres et des exemples du chapitre suivant ou de l'aide en ligne. 158 Manuel de configuration, 09/2013, C79000-G8977-C286-02

159 Configuration du pare-feu 4.3 Pare-feu en mode avancé Utilisation de jeux de règles de pare-feu globaux Les jeux de règles de pare-feu globaux que vous avez affectés au module sont automatiquement intégrés dans la liste locale des règles. Si le jeu de règles affecté figure à la fin de la liste de règles, il est traité avec la plus faible priorité. Vous pouvez cependant modifier la priorité en modifiant la position dans la liste des règles. Vous trouverez dans l'aide en ligne la signification des différents boutons Règles de filtrage de paquets MAC Le traitement des règles de filtrage de paquets MAC s'effectue en fonction de l'analyse des éléments suivants : paramètres figurant dans la règle ; Priorité de la règle au sein du jeu de règles. Manuel de configuration, 09/2013, C79000-G8977-C

160 Configuration du pare-feu 4.3 Pare-feu en mode avancé Règles de filtrage de paquets MAC La configuration d'une règle MAC comprend les paramètres suivants : Tableau 4-16 Règles MAC : Paramètre Désignation Signification/Commentaire Options / plages de valeurs Action Définition de l'autorisation (autorisation/blocage) Allow Autorisation des télégrammes conformément à la définition. Drop Blocage des télégrammes conformément à la définition. Pour règles de connexion créées automatiquement : Allow* De / Vers Les directions de communication autorisées Adresse MAC source Adresse source des paquets MAC Adresse MAC destination Service Bande passante (Mbit/s) Journalisation Adresse-de destination des paquets MAC Nom du service MAC ou groupe de services utilisé. "Any" regroupe les directions autorisées pour une entrée. Possibilité de limitation de la largeur de bande. Ne peut être entrée que si "Allow" a été sélectionné sous Action. Un paquet passe le pare-feu en cas de conformité à la règle de passage et si la largeur de bande pour cette règle n'a pas encore été dépassée. Activation ou désactivation de la journalisation pour cette règle. Drop* Si vous sélectionnez ces règles, il n'y aura pas de synchronisation avec STEP 7. Les règles modifiées ne sont donc pas écrasées dans SCT. Sont décrites dans les tableaux ci-après. Vous pouvez également entrer un nom symbolique. La zone de liste déroulante affiche les services et groupes de services configurés. Pas de mention signifie : aucun service n'est contrôlé, la règle s'applique à tous les services. Note : Pour que les services MAC prédéfinis apparaissent dans la zone de liste déroulante, activez-les d'abord en mode standard. CP x43-1 Adv. et SCALANCE S V3.0: CP 1628 et SCALANCE S V3.0 : Pour les règles de jeux de règles globaux et personnalisés : N Numéro attribué automatiquement pour l'affectation à une règle de parefeu configurée. Commentaire Place pour commenter la règle Si un commentaire est repéré par "AUTO", cela veut dire qu'il a été créé pour une règle de connexion automatique. 160 Manuel de configuration, 09/2013, C79000-G8977-C286-02

161 Configuration du pare-feu 4.3 Pare-feu en mode avancé Directions autorisées Les directions suivantes peuvent être configurées : Tableau 4-17 Directions de pare-feu CP Options / plages de valeurs Module de sécurité Signification de vers CP x43-1 Adv. CP 1628 Externe Station x x Accès du réseau externe à la station. Station Externe x x Accès de la station au réseau externe. Tunnel x x Accès de la station au partenaire de tunnel VPN. Tunnel Station x x Accès via le partenaire de tunnel VPN à la station. Tableau 4-18 Directions de pare-feu SCALANCE S Options / Plages de valeurs Module de sécurité de vers S602 S61x S623 / S627-2M Interne Externe x x x Tunnel - x x Any - x x Externe Interne x x x Any - - x Tunnel - - x Tunnel Interne - x x Externe - x x Any Interne - x x Externe - - x Manuel de configuration, 09/2013, C79000-G8977-C

162 Configuration du pare-feu 4.3 Pare-feu en mode avancé Analyse des règles par le module de sécurité Les règles de filtrage de paquets sont analysées comme suit : La liste est analysée de haut en bas ; en cas de règles contradictoires, c'est donc l'entrée la plus haute dans la liste qui est prise en compte. Pour la communication en direction de "Externe" ou venant de "Externe", la règle pour les télégrammes qui ne sont pas saisis explicitement est : tous les télégrammes sont bloqués sauf ceux explicitement autorisés dans la liste. Pour la communication en direction du "Tunnel" ou venant du "Tunnel", la règle pour les télégrammes qui ne sont pas saisis explicitement est : tous les télégrammes sont autorisés sauf ceux explicitement bloqués dans la liste. Remarque Les règles IP s'appliquent aux paquets IP, les règles MAC aux paquets de couche 2 Vous pouvez définir pour le pare-feu aussi bien des règles IP que des règles MAC. L'édition dans le pare-feu s'effectue en fonction de l'ethertype du paquet. Les paquets IP sont transférés ou bloquées en fonction des règles IP, tandis que les paquets de couche 2 le sont en fonction des règles MAC. Il n'est pas possible de filtrer un paquet IP en fonction d'une adresses MAC par ex.. à l'aide des règles de pare-feu MAC. Exemples L'exemple du filtrage de paquets IP au chapitre (Page 149) est applicable par analogie aux règles de filtrage de paquets MAC Définition des services MAC Pour accéder à cette fonction Via la commande de menu "Options" > "Services MAC...". ou Dans l'onglet "Règles MAC" à l'aide du bouton "Services MAC...". Signification Les définitions de services MAC permettent de définir des règles de pare-feu, applicables à des services ICMP déterminés. Vous attribuez un nom et vous lui affectez les paramètres de service. Vous pouvez par ailleurs regrouper les services ainsi définis sous un nom de groupe. Vous utiliserez alors ce nom lors de la configuration des règles globales ou locales de filtrage de paquets. 162 Manuel de configuration, 09/2013, C79000-G8977-C286-02

163 Configuration du pare-feu 4.3 Pare-feu en mode avancé Paramètres des services MAC Une définition de service MAC comprend une catégorie de paramètres MAC spécifiques au protocole : Tableau 4-19 Paramètres de service MAC Désignation Signification/Commentaire Options / Plages de valeurs Nom Vous pouvez choisir ici librement le nom de service utilisé pour l'identification dans la définition de la règle ou dans le groupe. Protocole Nom du type de protocole : ISO ISO désigne des télégrammes possédant les propriétés suivantes : Librement choisi ISO SNAP PROFINET IO 0x (entrée du code) Lengthfield <= 05DC (hex), DSAP= userdefined SSAP= userdefined CTRL= userdefined SNAP SNAP désigne des télégrammes possédant les propriétés suivantes : Lengthfield <= 05DC (hex), DSAP=AA (hex), SSAP=AA (hex), CTRL=03 (hex), OUI=userdefined, OUI-Type=userdefined PROFINET IO DSAP Destination Service Access Point : Adresse de récepteur LLC SSAP Source Service Access Point : Adresse d'émetteur LLC CTRL LLC Control Field OUI Organizationally Unique Identifier (les 3 premiers octets de l'adresse MAC = identification du constructeur) Type OUI Type/identification de protocole *) Les entrées de protocole 0800 (hex) et 0806 (hex) ne sont pas acceptées car ces valeurs s'appliquent aux télégrammes IP ou ARP. Manuel de configuration, 09/2013, C79000-G8977-C

164 Configuration du pare-feu 4.3 Pare-feu en mode avancé Remarque Traitement pour CP S7 Seuls sont traités les paramètres de trames ISO avec DSAP=SSAP=FE (hex). Les autres types de trame sont sans signification pour les CP S7 et sont donc déjà rejetés avant même leur traitement par le pare-feu. Paramétrages spécifiques pour les services SIMATIC NET Veuillez utiliser les paramétrages SNAP suivants pour le filtrage de services SIMATIC NET particuliers : DCP (Primary Setup Tool) : PROFINET SiCLOCK : OUI= (hex), OUI-Type= (hex) 164 Manuel de configuration, 09/2013, C79000-G8977-C286-02

165 Configuration du pare-feu 4.3 Pare-feu en mode avancé Création de groupes de services Création de groupes de services Vous pouvez regrouper plusieurs services par la constitution de groupes de services. Ceci vous permet de créer des services plus complexes, utilisables dans les règles de filtrage de paquets par simple sélection d'un nom. Dialogue / Onglet Pour ouvrir le dialogue, utilisez la commande de menu : "Options" > "Services IP..." ou "Services MAC...", onglet "Groupes de services". Manuel de configuration, 09/2013, C79000-G8977-C

166 Configuration du pare-feu 4.3 Pare-feu en mode avancé Adapter des règles par défaut pour services IP Pour accéder à cette fonction : 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Pare-feu" > onglet "Règles par défaut pour services IP". Signification des paramètres avancés Paramètre Utiliser les options d'état avancées Journaliser toutes les règles activées Activer test ICMP pour interfaces Signification pour l'activation Le nombre de liaisons et d'états de pare-feu autorisés pendant une durée donnée est limité. Si un abonné du réseau dépasse cette limite, son adresse IP est inscrite dans la liste noire d'adresses IP du module de sécurité. La liste noire d'adresses IP du module de sécurité peut être consultée en mode en ligne. Les paquets qui sont autorisés, conformément aux règles par défaut pour services IP, sont journalisés. Les requêtes ping reçues par une interface du module de sécurité peuvent être retransmises à d'autres interfaces. Le réseau externe peut donc envoyer par exemple des requêtes ping à l'interface interne du module de sécurité. Signification des règles de pare-feu par défaut Dans ce dialogue, il vous est possible d'adapter les règles de service spécifiques qui sont paramétrées par défaut pour les interfaces du module de sécurité. Les paramétrages par défaut du dialogue correspondent aux règles de pare-feu par défaut du module de sécurité en question. Règles de pare-feu par défaut pour SCALANCE S Le tableau suivant contient les règles de pare-feu par défaut des modules SCALANCE S. Les règles de pare-feu ne sont actives que si le service en question est utilisé par le module de sécurité (par ex. SNMP). Service Direction Interface X1 (rouge) Interface X2 (verte) Interface X3 (jaune) Interface de tunnel Routage d'interface sortant - x - - HTTPS x x* x x* ICMP entrant - x - x 166 Manuel de configuration, 09/2013, C79000-G8977-C286-02

167 Configuration du pare-feu 4.3 Pare-feu en mode avancé Service Direction Interface X1 (rouge) Interface X2 (verte) Interface X3 (jaune) Interface de tunnel ICMP Pathfinder sortant - x - - SNMP entrant x x x x Syslog sortant x x x x NTP sortant x x x x DNS sortant x x x x HTTP sortant x - x - VPN (IKE) x - x - VPN (NAT Traversal) x - x - BootP Server entrant - x x - BootP Client sortant - x x - RADIUS sortant x x x x CARP Pfsync sortant x* x* - - sortant - - x* - x activé par défaut - désactivé par défaut * pas adaptable Règles de pare-feu par défaut pour CP S7 Le tableau suivant contient les règles de pare-feu par défaut des CP S7. Les règles de parefeu ne sont paramétrées que si le service en question est activé dans Security Configuration Tool. Service Direction Externe (GBit) Interne (PN-IO) VPN (IKE) x* -* VPN (NAT Traversal) x* -* BootP Server sortant x* x* BootP Client entrant x* x* x activé par défaut - désactivé par défaut * pas adaptable Les deux services "BootP Server" et "BootP Client" sont actifs ensemble soit à l'interface externe, soit à l'interface interne. Les règles de pare-feu sont par conséquent toutes deux actives à l'interface externe ou toutes deux actives à l'interface interne. Manuel de configuration, 09/2013, C79000-G8977-C

168 Configuration du pare-feu 4.3 Pare-feu en mode avancé 168 Manuel de configuration, 09/2013, C79000-G8977-C286-02

169 Configuration d'autres propriétés de module Module de sécurité comme routeur Présentation Signification Si vous utilisez le module de sécurité comme routeur, les réseaux à l'interface interne, externe et de DMZ (SCALANCE S623/S627-2M,uniquement, voir section ci-dessous) deviennent des sous-réseaux distincts. Les options suivantes sont disponibles : Routage - paramétrable en mode standard et en mode avancé Routage NAT/NAPT - paramétrable en mode avancé Toutes les requêtes de réseau n'appartenant pas à un sous-réseau sont retransmises par un routeur dans un autre sous-réseau, voir le chapitre suivant : Définition du routeur par défaut et des routes (Page 170) Activation du mode routage ou de l'interface de DMZ- Onglet "Interfaces" Si vous avez activé le mode routage ou l'interface de DMZ, seuls les télégrammes qui sont adressés à une adresse IP existante dans le sous-réseau (interne, externe, DMZ) sont retransmis. Sont également appliquées par ailleurs les règles de pare-feu configurées pour chaque direction de transmission. Dans ce mode, vous devez configurer dans l'onglet "Interfaces" une adresse IP et un masque de sous-réseau pour l'interface interne et/ou pour l'interface de DMZ, pour l'adressage du routeur dans le sous-réseau interne et/ou dans le sous-réseau de DMZ. Toutes les requêtes de réseau n'appartenant pas à un sous-réseau sont retransmises par le routeur par défaut dans un autre sous-réseau. Remarque En mode routage, les étiquettes de réseau virtuel sont perdues ce qui n'est pas le cas lorsque le module de sécurité fonctionne en pont. Manuel de configuration, 09/2013, C79000-G8977-C

170 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Mode pont et mode routage sur SCALANCE S623/S627-2M Pour le réseau DMZ, il s'agit toujours d'un sous-réseau distinct. La différence entre mode pont et mode routage réside dans la subdivision des réseaux externe et interne : Mode d'exploitation "Pont" Les réseaux interne et externe se trouvent dans le même sous-réseau ; le réseau DMZ se trouve dans un sous-réseau à part. Mode d'exploitation "Routage" : Les réseaux interne et externe ont leur sous-réseau respectif ; le réseau DMZ se trouve à part dans un autre sous-réseau Définition du routeur par défaut et des routes Pour accéder à cette fonction 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Routage". 3. Si vous entrez l'adresse IP / le FQDN du routeur par défaut, toutes les routes transiteront par ce routeur, à condition qu'aucune route spécifique ne s'applique. Les routes spécifiques peuvent être définies dans la zone de saisie "Routes". 4. Cliquez sur le bouton "Ajouter une route". 5. Entrez les valeurs suivantes : Paramètre Fonction Exemple de valeur ID de réseau Masque de sousréseau Les requêtes d'abonnés du sous-réseau à ID de réseau spécifié ici et à masque de sous-réseau indiqué sont redirigées vers les sous-réseaux avec l'adresse IP de routeur mentionnée. L'identificateur de réseau permet au routeur de savoir si une adresse de destination fait partie ou non du sous-réseau. L'ID de réseau indiqué ne doit pas se trouver dans le même sous-réseau que l'adresse IP du module de sécurité. Le masque de sous-réseau structure le réseau. L'identificateur de réseau et le masque de sous-réseau permettent au routeur de savoir si une adresse de destination fait partie ou non du sous-réseau. Le masque de sous-réseau à spécifier ne peut pas être limité à un seul abonné de réseau ( ) Manuel de configuration, 09/2013, C79000-G8977-C286-02

171 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Paramètre Fonction Exemple de valeur Adresse IP de routeur Activer reroutage (uniquement pour modules SCALANCE S V3/V4) Adresse IP / FQDN du routeur utilisé pour l'accès au sous-réseau. L'adresse IP du routeur doit se trouver dans le même sous-réseau que l'adresse IP du module de sécurité. Cochez cette case si vous voulez que les télégrammes de la route entrante entrent et sortent par la même interface du module de sécurité (reroutage). Le reroutage est pris en charge par l'interface interne du module de sécurité / myrouter.dyndns.org Particularités du routeur par défaut Si l'affectation d'ip est configurée via "PPPoE" dans l'onglet "Interfaces", il n'est pas nécessaire de configurer un routeur par défaut car la route par défaut passe automatiquement via l'interface PPPoE. Si l'affectation d'adresse configurée dans l'onglet "Interfaces" est "Adresse statique" et si le module de sécurité est connecté à Internet via un routeur DSL (NAPT), le routeur DSL doit être déclaré comme routeur par défaut. Il n'est pas possible de configurer des routeurs par défaut pour les modules de sécurité en mode fantôme (SCALANCE S602 V3.1 uniquement) car ceux-ci ne sont déterminés qu'en cours de fonctionnement. Il n'est pas possible de configurer des routes spécifiques pour les modules de sécurité en mode fantôme Routage NAT/NAPT Condition Le projet est en mode avancé. Le module de sécurité est en mode routage ou l'interface de DMZ (uniquement SCALANCE S623 / S627-2M) est activée. Pour accéder à cette fonction 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "NAT/NAPT". 3. Activez, selon vos besoins, la translation d'adresse NAT (Network Address Translation) ou NAPT (Network Address Port Translation). Manuel de configuration, 09/2013, C79000-G8977-C

172 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Translation d'adresse par NAT (Network Address Translation) NAT est un protocole de translation d'adresse entre deux espaces d'adressage. Sa principale fonction consiste à traduire des adresses IP privées en adresses publiques, c.- à-d. en adresses utilisables sur Internet et donc routables. Ceci a pour effet que les adresses IP du réseau interne ne sont pas divulguées sur le réseau externe. Les abonnés internes ne sont visibles dans le réseau externe que sous les adresses IP externes définies dans la liste de translation d'adresse (table NAT). Si l'adresse IP externe n'est pas l'adresse du module de sécurité et si l'adresse IP interne est unique, il s'agit de NAT 1 pour 1. Dans le cas de la NAT 1 pour 1, l'adresse interne est traduite dans cette adresse externe sans translation de port. Sinon, il s'agit de NAT n pour 1. Translation d'adresse par NAPT (Network Address Port Translation) La translation d'adresse selon NAPT modifie l'adresse IP de destination et le port de destination dans une relation de communication (retransmission de port). La translation s'applique aux télégrammes arrivant du réseau externe ou du réseau de DMZ et qui sont destinés à l'adresse IP du module de sécurité. Si le port de destination du télégramme est identique à l'une des valeurs figurant dans la colonne "Port source", le module de sécurité remplace l'adresse IP de destination et le port de destination comme indiqué dans la ligne correspondante de la table NAPT. Lors de la réponse, le module de sécurité indique comme adresse IP source et port source les valeurs qui figurent en face du télégramme initial comme adresse IP de destination et port de destination. La différence par rapport à NAT réside dans le fait que ce protocole assure également la traduction des ports. Il n'y a pas de traduction 1 pour 1 de l'adresse IP. Il n'existe au contraire plus qu'une seule adresse IP publique qui, par ajout du numéro de port, peut être traduite en une série d'adresses IP privées. Translation d'adresse dans des tunnels VPN Des translations d'adresse NAT/NAPT peuvent également être réalisées pour des relations de communication établies via tunnel VPN. Ceci est pris en charge pour les partenaires de liaison de type SCALANCE M (uniquement NAT 1 pour 1) et SCALANCE S612 / S623 / S627-2M V4. Pour plus d'informations sur la translation d'adresse dans des tunnels VPN, veuillez vous référer au chapitre : Translation d'adresses avec NAT/NAPT (Page 174) Translation d'adresse avec NAT/NAPT dans des tunnels VPN (Page 181) 172 Manuel de configuration, 09/2013, C79000-G8977-C286-02

173 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Conversion de règles NAT/NAPT de projets antérieurs Le mode de configuration des règles NAT/NAPT et des règles de pare-feu correspondantes a changé avec SCT V4.0. Si vous voulez adapter ou compléter sous SCT V4.0 des règles créées dans un projet sous SCT V3.0/V3.1, vous devez d'abord convertir les règles NAT/NAPT au format SCT V4.0. Sélectionnez pour ce faire, dans le menu contextuel d'une règle NAT/NAPT, la commande de menu "Convertir toutes les règles NAT/NAPT en SCT V4" ou "Convertir la règle NAT/NAPT sélectionnée en SCT V4". SCT génère ensuite automatiquement pour les règles NAT/NAPT converties des règles de pare-feu qui autorisent la communication dans la direction de translation d'adresse configurée. Modifiez ou supprimez ensuite manuellement les règles de pare-feu que vous avez créées pour les règles NAT/NAPT si elles sont en contradiction avec les règles de pare-feu générées automatiquement. Adaptez et/ou complétez les règles NAT/NAPT et règles de pare-feu comme vous le souhaitez. Contrôle de cohérence - Règles à observer Observez les règles suivantes lors de l'affectation d'adresses pour obtenir des entrées cohérentes : Les adresses IP internes ne doivent pas être identiques aux adresses IP du module de sécurité. Utilisez la partie déterminée par le masque de sous-réseau pour l'adresse IP : Les adresses IP que vous spécifiez pour la direction "Externe" doivent se trouver dans le même sous-réseau que l'adresse IP externe du module de sécurité figurant dans l'onglet "Interfaces". Les adresses IP que vous spécifiez pour la direction "Interne" doivent se trouver dans la même plage de sous-réseau que l'adresse IP interne du module de sécurité figurant dans l'onglet "Interfaces". Les adresses IP que vous spécifiez pour la direction "DMZ" doivent se trouver dans la même plage de sous-réseau que l'adresse IP de DMZ du module de sécurité figurant dans l'onglet "Interfaces". Une adresse IP utilisée dans la liste de translation d'adresse NAT/NAPT doit être différente d'une adresse multicast ou broadcast. Les ports attribués pour la translation d'adresse NAPT sont compris dans la plage > 0 et Les ports 123 (NTP), 443 (HTTPS), 514 (Syslog), 161 (SNMP), (DHCP) et (IPsec) en sont exclus, dans la mesure où ces services sont activés sur le module de sécurité. L'adresse IP externe du module de sécurité ou l'adresse IP de l'interface de DMZ ne doit être utilisée dans la table NAT que pour la direction "NAT de source". Vérification d'unicité dans la table NAT Une adresse IP externe ou une adresse IP dans le réseau DMZ, qui est utilisée pour la direction "NAT de destination" ou "NAT de source + NAT de destination" ou "NAT double" ne doit être utilisée qu'une seule fois dans chaque direction indiquée. Manuel de configuration, 09/2013, C79000-G8977-C

174 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Vérification d'unicité dans la table NAPT Un numéro de port source ne doit être spécifiée qu'une seul fois pour chaque interface. Les numéros ou plages des ports externes et des ports DMZ ne doivent pas se recouper. Les ports NAPT internes peuvent être compris dans la plage > 0 et Exécutez un contrôle de cohérence après avoir terminé les entrées. Sélectionnez pour ce faire la commande de menu "Options" > "Contrôles de cohérence" Translation d'adresses avec NAT/NAPT Activer NAT Active la zone de saisie pour NAT. Les translations d'adresses NAT ne prennent effet que si les entrées décrites ci-après ont été effectuées dans la liste de translation d'adresse. Après création des règles NAT, les règles de pare-feu correspondantes sont générées et affichées en mode avancé, voir chapitre : Corrélation entre routeur NAT/NAPT et pare-feu (Page 182) Si PPPoE a été activé pour l'interface externe ou pour l'interface de DMZ, l'action "NAT de destination" n'est pas configurable. Lors de la configuration de l'action "NAT de source", l'adresse IP du champ de saisie "Translation de source" ne peut pas être entrée car celle-ci est déterminée dynamiquement durant le fonctionnement. Actions de translation d'adresse possibles pour NAT Les tableaux suivants présentent les entrées possibles pour la translation d'adresse avec NAT. Action "NAT de destination" - "Redirect" L'action "NAT de destination" peut être exécutée dans la direction suivante : Externe vers interne Si l'interface de DMZ du module de sécurité est activée (uniquement SCALANCE S623/S627-2M), l'action "NAT de destination" peut également être exécutée dans les directions suivantes : 174 Manuel de configuration, 09/2013, C79000-G8977-C286-02

175 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Externe vers DMZ DMZ vers interne DMZ vers externe Si le module de sécurité fait partie d'un groupe VPN (pas pour SCALANCE S602), l'action "NAT de destination" peut également être exécutée dans les directions suivantes : Tunnel vers interne Tunnel vers externe Tunnel vers DMZ (uniquement si l'interface DMZ est activée) Pour la direction "Externe vers interne", la règle est par exemple : La concordance de l'adresse IP de destination d'un télégramme venant du réseau externe avec l'adresse IP figurant dans le champ de saisie "Adresse IP de destination" est vérifiée. En cas de concordance, le télégramme est retransmis dans le réseau interne, l'adresse IP de destination du télégramme étant remplacé par l'adresse IP qui figure dans le champ de saisie "Translation de destination". L'accès du réseau externe au réseau interne via l'adresse IP externe est possible. Le tableau suivant indique le schéma de saisie pour l'action "NAT de destination". Champ Options d'entrée Signification Adresse IP source Non significatif pour cette action. - Translation de source Non significatif pour cette action. - Adresse IP de destination Adresse IP dans le réseau source Adresse IP de destination du réseau source via laquelle on souhaite accéder à une adresse IP du réseau de destination. Si, dans un télégramme, l'adresse IP de destination concorde avec l'adresse entrée, l'adresse est remplacée par l'adresse IP correspondante du réseau de destination. Si l'adresse entrée ici n'est pas l'adresse IP du module de sécurité, elle devient l'adresse alias. Ceci signifie que l'adresse IP indiquée est également enregistrée comme adresse IP sur l'interface sélectionnée. Les adresses alias sont également affichées dans l'onglet "Interfaces" du module de sécurité. Veuillez vous assurer que l'adresse alias ne crée pas un conflit d'adresses IP dans le réseau. Translation de destination Adresse IP du réseau de destination L'adresse IP de destination est remplacée par l'adresse IP indiquée ici. N - Numéro d'ordre attribué par SCT, utilisé comme référence à la règle de pare-feu générée par SCT pour la règle NAT. Action "NAT de source" - "Masquerading" L'action "NAT de source" peut être exécutée dans la direction suivante : Interne vers externe Manuel de configuration, 09/2013, C79000-G8977-C

176 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Si l'interface de DMZ du module de sécurité est activée (uniquement SCALANCE S623/S627-2M), l'action "NAT de source" peut également être exécutée dans les directions suivantes : Interne vers DMZ Externe vers DMZ DMZ vers externe Si le module de sécurité fait partie d'un groupe VPN (pas pour SCALANCE S602), l'action "NAT de source" peut également être exécutée dans les directions suivantes : Interne vers tunnel Externe vers tunnel DMZ vers tunnel (uniquement si l'interface DMZ est activée) Pour la direction "Interne vers externe", la règle est par exemple : La concordance de l'adresse IP source d'un télégramme venant du réseau interne avec l'adresse IP figurant dans le champ de saisie "Adresse IP source" est vérifiée. En cas de concordance, le télégramme est retransmis dans le réseau externe avec l'adresse IP externe spécifiée dans le champ de saisie "Translation de source" comme nouvelle adresse IP source. Sur le réseau externe, c'est l'adresse IP externe qui prend effet. Le tableau suivant indique le schéma de saisie pour l'action "NAT de source". Champ Options d'entrée Signification Adresse IP source Adresse IP dans le réseau source L'adresse IP source de l'abonné indiqué est remplacée par l'adresse IP indiquée dans le champ de saisie "Translation de source". Plage d'adresses IP dans le réseau source La plage d''adresses IP est remplacée par l'adresse IP indiquée dans le champ de saisie "Translation de source". Translation de source Adresse IP du réseau de destination Entrée de l'adresse IP à utiliser comme nouvelle adresse IP source. Si l'adresse entrée ici n'est pas l'adresse IP du module de sécurité, elle devient l'adresse alias. Ceci signifie que l'adresse indiquée est également enregistrée comme adresse IP sur l'interface sélectionnée. Les adresses alias sont également affichées dans l'onglet "Interfaces" du module de sécurité. Veuillez vous assurer que l'adresse alias ne crée pas un conflit d'adresses IP dans le réseau. Adresse IP de Non significatif pour cette action. Non significatif pour cette action. destination Translation de Non significatif pour cette action. Non significatif pour cette action. destination N - Numéro d'ordre attribué par SCT, utilisé comme référence à la règle de pare-feu générée par SCT pour la règle NAT. 176 Manuel de configuration, 09/2013, C79000-G8977-C286-02

177 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Vous pouvez configurer, pour tous les télégrammes transitant d'un réseau source vers un réseau de destination, une translation d'adresse sur l'adresse IP de module dans le réseau de destination. Le module de sécurité attribue en plus à chaque télégramme un numéro de port. Il s'agit en l'occurrence d'une translation d'adresse NAT n pour 1 au cours de laquelle plusieurs adresses IP du réseau source sont traduites en une adresse IP du réseau de destination. Entrez par exemple pour la direction "interne vers externe" les paramètres suivants : Action : "NAT de source" De : "interne" Vers "externe" Adresse IP source : "*" Translation de source : Adresse IP externe du module de sécurité Action "NAT de source + NAT de destination" - "1:1-NAT" L'action "NAT de source + NAT de destination" peut être exécutée dans la direction suivante : Interne vers externe Si l'interface de DMZ du module de sécurité est activée (uniquement SCALANCE S623/S627-2M), l'action "NAT de source + NAT de destination" peut également être exécutée dans les directions suivantes : Interne vers DMZ Externe vers DMZ DMZ vers externe Si le module de sécurité fait partie d'un groupe VPN (pas pour SCALANCE S602), l'action "NAT de source + NAT de destination" peut également être exécutée dans les directions suivantes : Externe vers tunnel Interne vers tunnel DMZ vers tunnel (uniquement si l'interface DMZ est activée) Pour la direction "Interne vers externe", la règle est par exemple : L'action "NAT de source" est exécutée lors de l'accès du réseau interne vers le réseau externe. L'action "NAT de destination" est exécutée lors de l'accès du réseau externe vers le réseau interne. Le tableau suivant indique le schéma de saisie pour l'action "NAT de source + NAT de destination". Manuel de configuration, 09/2013, C79000-G8977-C

178 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Champ Options d'entrée Signification Adresse IP source Adresse IP dans le réseau source La configuration est toujours indiquée dans la Plage d'adresses IP dans le réseau direction NAT de source. Les adresses IP de la source direction NAT de destination sont rajoutées automatiquement par SCT. Translation de source Adresse IP du réseau de destination Adresse IP de Non significatif pour cette action. destination Translation de Non significatif pour cette action. destination N - Numéro d'ordre attribué par SCT, utilisé comme référence aux règles de pare-feu générées par SCT pour la règle NAT. Action "NAT double" L'action "NAT double" peut être exécutée dans la direction suivante : Interne vers externe Externe vers interne Si l'interface de DMZ du module de sécurité est activée (uniquement SCALANCE S623/S627-2M), l'action "NAT double" peut également être exécutée dans les directions suivantes : Interne vers DMZ Externe vers DMZ DMZ vers interne DMZ vers externe Une NAT de source et de destination a lieu simultanément dans les deux directions. Pour la direction "Externe vers interne", la règle est par exemple : Lors d'un accès du réseau externe au réseau interne, l'adresse IP source de l'abonné externe est remplacée (NAT de source). De plus, l'accès au réseau interne s'effectue via l'adresse IP externe spécifiée dans le champ de saisie "Adresse IP de destination" (NAT de destination). Vous pouvez utiliser cette action par exemple si un routeur par défaut autre que le module de sécurité a été spécifié pour l'appareil auquel l'accès s'effectue à l'aide de la NAT de destination. Les télégrammes de réponse de cet appareil ne sont alors pas transmis au routeur par défaut spécifié mais à l'interface correspondante du module de sécurité. Le tableau suivant indique le schéma de saisie pour l'action "NAT double" : 178 Manuel de configuration, 09/2013, C79000-G8977-C286-02

179 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Champ Options d'entrée Signification Adresse IP source Adresse IP dans le réseau source Adresse IP de l'abonné dans le réseau source Translation de source - La translation d'adresse NAT de source s'effectue toujours sur l'adresse IP du module de sécurité dans le réseau de destination. C'est pourquoi le champ de saisie "Translation de source" n'est pas configurable. Adresse IP de destination Adresse IP dans le réseau source Adresse IP de destination du réseau source via laquelle on souhaite accéder à une adresse IP du réseau de destination. Si, dans un télégramme, l'adresse IP de destination concorde avec l'adresse entrée, l'adresse IP est remplacée par l'adresse IP spécifiée dans le champ de saisie "Translation de destination". Si l'adresse entrée ici n'est pas l'adresse IP du module de sécurité, elle devient l'adresse alias. Ceci signifie que l'adresse indiquée est également enregistrée comme adresse IP sur l'interface sélectionnée. Les adresses alias sont également affichées dans l'onglet "Interfaces" du module de sécurité. Veuillez vous assurer que l'adresse alias ne crée pas un conflit d'adresses IP dans le réseau. Translation de destination Adresse IP du réseau de destination L'adresse IP de destination est remplacée par l'adresse IP indiquée ici. N - Numéro d'ordre attribué par SCT, utilisé comme référence à la règle de pare-feu générée par SCT pour la règle NAT. Activation de NAPT Active la zone de saisie pour NAPT. Les translations NAPT ne prennent effet que si les entrées décrites ci-après ont été effectuées dans la liste. Après création des règles NAPT, les règles de pare-feu correspondantes sont générées et affichées en mode avancé, voir chapitre : Corrélation entre routeur NAT/NAPT et pare-feu (Page 182) La translation d'adresse IP avec NAPT peut être exécutée dans la direction suivante : Externe vers interne Si l'interface de DMZ du module de sécurité est activée (uniquement SCALANCE S623/S627-2M), la translation d'adresse IP avec NAPT peut également être exécutée dans les directions suivantes : Manuel de configuration, 09/2013, C79000-G8977-C

180 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Externe vers DMZ DMZ vers interne DMZ vers externe Si le module de sécurité fait partie d'un groupe VPN (pas pour SCALANCE S602), la translation d'adresse IP avec NAPT peut également être exécutée dans les directions suivantes : Externe vers tunnel Tunnel vers interne Tunnel vers externe DMZ vers tunnel (uniquement si l'interface DMZ est activée) Tunnel vers DMZ (uniquement si l'interface DMZ est activée) Pour la direction "Externe vers interne", la règle est par exemple : Les télégrammes adressés à l'adresse IP externe du module de sécurité et au port inscrit dans la colonne "Port source" sont retransmis à l'adresse IP de destination du réseau interne et au port de destination indiqué. Le tableau suivant indique le schéma de saisie pour la translation d'adresse NAPT : Champ Options d'entrée Signification Port source Adresse IP de destination Port de Port TCP/UDP destination Protocole TCP+UDP TCP UDP Port ou plage de ports TCP/UDP Exemple d'entrée d'une plage de ports : 78:99 Adresse IP du réseau de destination Un abonné du réseau source peut envoyer un télégramme à un abonné du réseau de destination en utilisant ce numéro de port. Les télégrammes adressés à l'adresse IP du module de sécurité du réseau source et au port TCP/UDP spécifié dans le champ "Port source" sont retransmis à l'adresse IP indiquée. Numéro de port auquel sont retransmis les télégrammes issus du réseau source. Sélection de la famille de protocoles pour les numéros de port indiqués. N - Numéro d'ordre attribué par SCT, utilisé comme référence à la règle de pare-feu générée par SCT pour la règle NAPT. Voir aussi Règles de filtrage de paquets IP (Page 149) 180 Manuel de configuration, 09/2013, C79000-G8977-C286-02

181 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Translation d'adresse avec NAT/NAPT dans des tunnels VPN Signification Des translations d'adresse NAT/NAPT peuvent également être réalisées pour des relations de communication établies via tunnel VPN. Conditions Un module SCALANCE S qui doit exécuter une translation d'adresse avec NAT/NAPT dans un tunnel VPN doit d'une manière générale répondre aux conditions suivantes : Le module SCALANCE S fait partie d'un groupe VPN. Le module SCALANCE S est en mode routage et/ou l'interface de DMZ du module SCALANCE S est activée. Directions de translation d'adresse prises en charge Les directions de translation d'adresse prises en charge sont décrites dans le chapitre suivant Translation d'adresses avec NAT/NAPT (Page 174) Action de translation d'adresse prises en charge Dans le cas de relations de communication tunnelisées, les actions de translation d'adresse suivantes sont prises en charge : NAT de destination ("Redirect") NAT de source ("Masquerading") NAT de source et de destination ("NAT 1 pour 1") NAPT ("Portforwarding") Vous trouverez des informations générales sur les actions de translation d'adresse au chapitre suivant : Translation d'adresses avec NAT/NAPT (Page 174) Manuel de configuration, 09/2013, C79000-G8977-C

182 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Couplages VPN pris en charge Les couplages VPN suivants sont pris en charge en relation avec NAT/NAPT : Couplage VPN Liaison VPN établie à l'initiative de Translation d'adresse exécutée par SCALANCE S (a) SCALANCE S (b) SCALANCE S (a) ou SCALANCE S (b) SCALANCE S (a) et/ou SCALANCE S (b) SCALANCE S CP S7 / CP PC SCALANCE S ou CP S7 / CP PC SCALANCE S SCALANCE S SCALANCE M (SCALANCE S ou ) SCALANCE M SCALANCE S et/ou SCALANCE M* SOFTNET Security Client SCALANCE S SOFTNET Security Client SCALANCE S et/ou SOFTNET Security Client (action : "NAT de source", direction : "tunnel vers interne") SCALANCE S Client VPN NCP (Android) Client VPN NCP (Android) SCALANCE S * Seul NAT 1 pour 1 est pris en charge. Les modules SCALANCE S de type SCALANCE S623 V4 et SCALANCE S627-2M V4 qui possèdent uneterminaison VPN à l'interface externe et à l'interface de DMZ, peuvent exécuter des translations d'adresse simultanément aux deux interfaces. Comportement de translation d'adresse en cas d'appartenance à plusieurs groupes VPN Si un module SCALANCE S fait partie de plusieurs groupes VPN, les règles de translation d'adresse qui sont configurées pour l'interface de tunnel du module SCALANCE S s'appliquent à toutes les liaisons VPN de ce module SCALANCE S. Nota : Dès que vous avez configuré une translation d'adresse NAT en direction du tunnel ou venant du tunnel, il ne sera plus possible d'accéder via le tunnel VPN qu'aux adresses IP participant aux règles de translation d'adresse NAT Corrélation entre routeur NAT/NAPT et pare-feu Signification Après la création de règles NAT/NAPT, SCT génère automatiquement des règles de parefeu qui autorisent la communication dans la direction de translation d'adresse configurée. Les règles de pare-feu générées peuvent, si nécessaire, être décalées ou complétées (adresses IP, services, bande passante supplémentaires). Les paramètres de pare-feu générés par SCT ne peuvent pas être modifiés. Après désactivation de NAT/NAPT, les règles de pare-feu générées par SCT sont supprimées. 182 Manuel de configuration, 09/2013, C79000-G8977-C286-02

183 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Pour retrouver plus facilement la correspondance entre règles NAT/NAPT et règles de parefeu, les règles sont repérées dans les onglets "NAT/NAPT" et "Pare-feu" par des numéros d'ordre qui se correspondent. Le tableau ci-après présente les schémas de règles de pare-feu générées pour les règles NAT. Tableau 5-1 Translation d'adresse NAT et règles de pare-feu correspondantes Action NAT Règle de pare-feu créée Action De Vers Adresse IP source Adresse IP de destination NAT de source Allow Réseau source Réseau de destination NAT de destination NAT de source + NAT de destination Allow Réseau source Réseau de destination Allow Réseau source Réseau de destination Allow Réseau de destination NAT double Allow Réseau source Réseau de destination Adresse IP de - l'abonné spécifiée dans le champ de saisie "Adresse IP source" - Adresse IP de l'abonné spécifiée dans le champ de saisie "Translation de destination" Adresse IP de - l'abonné spécifiée dans le champ de saisie "Adresse IP source" Réseau source - Adresse IP de l'abonné inscrite par SCT dans le champ de saisie "Translation de destination" Adresse IP de l'abonné spécifiée dans le champ de saisie "Adresse IP source" Adresse IP de l'abonné spécifiée dans le champ de saisie "Translation de destination" Le tableau ci-après présente le schéma de règles de pare-feu générées pour les règles NAPT. Manuel de configuration, 09/2013, C79000-G8977-C

184 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Tableau 5-2 Translations NAPT et règles de pare-feu créées Règle de pare-feu créée Action De Vers Adresse IP source Adresse IP de destination Service Allow Réseau source Réseau de destination - Adresse IP de l'abonné spécifiée dans le champ de saisie "Adresse IP de destination" [Numéro_de_port_ Protocole] Stateful Packet Inspection Le pare-feu et le routeur NAT/NAPT prennent en charge le mécanisme "Stateful Packet Inspection". Les télégrammes de réponse peuvent par conséquent passer par le routeur NAT/NAPT et le pare-feu sans qu'il soit nécessaire d'inscrire leur adresse dans la règle de pare-feu ou dans la liste de translation d'adresse NAT/NAPT Corrélation entre routeur NAT/NAPT et pare-feu personnalisé Signification Après la création de règles NAT/NAPT, SCT génère automatiquement un jeu de règles IP personnalisé dans le pare-feu personnalisé qui autorise la communication dans la direction de translation d'adresse configurée. Vous pouvez affecter ce jeu de règles IP personnalisé à un ou plusieurs utilisateurs et/ou à un ou plusieurs rôles (uniquement pour modules SCALANCE S V4). Les règles de pare-feu générées peuvent, si nécessaire, être décalées ou complétées (adresses IP, services, bande passante supplémentaires). Les paramètres de pare-feu générés par SCT ne peuvent pas être modifiés. Si le jeu de règles IP personnalisé est placé par glisser-déposé sur un module de sécurité sur lequel NAT/NAPT est désactivé, les règles NAT/NAPT du pare-feu personnalisé ne sont pas appliquées à ce module de sécurité. Remarque L'action de translation d'adresse "NAT double" n'est pas prise en compte en relation avec le pare-feu personnalisé. Pour accéder à cette fonction Onglet "NAT" ou "NAPT" dans le dialogue de configuration pour jeux de règles IP personnalisé, voir le chapitre suivant : Jeux de règles IP personnalisés (Page 142) 184 Manuel de configuration, 09/2013, C79000-G8977-C286-02

185 Configuration d'autres propriétés de module 5.1 Module de sécurité comme routeur Directions de translation d'adresse prises en charge pour l'action "NAT de source" L'action "NAT de source" peut être exécutée dans les directions suivantes : Externe vers DMZ DMZ vers externe... Vous ne pouvez pas entrer d'adresse IP dans le champ "Adresse IP source". Celle-ci est inscrite automatiquement lors de la connexion de l'abonné au module de sécurité. Directions de translation d'adresse prises en charge pour l'action "NAT de destination" L'action "NAT de destination" peut être exécutée dans les directions suivantes : Externe vers interne Externe vers DMZ DMZ vers interne DMZ vers externe... Directions de translation d'adresse prises en charge pour l'action "NAT de source + NAT de destination" L'action "NAT de source + NAT de destination" peut être exécutée dans les directions suivantes : Externe vers DMZ DMZ vers externe Vous ne pouvez pas entrer d'adresse IP dans le champ "Adresse IP source". Celle-ci est inscrite automatiquement lors de la connexion de l'abonné au module de sécurité. Directions de translation d'adresse prises en charge pour NAPT La translation d'adresse IP avec NAPT peut être exécutée dans les directions suivantes : Externe vers interne Externe vers DMZ DMZ vers interne DMZ vers externe... Manuel de configuration, 09/2013, C79000-G8977-C

186 Configuration d'autres propriétés de module 5.2 Module de sécurité comme serveur DHCP Translation d'adresse NAT/NAPT et jeux de règles IP personnalisés correspondants Les règles de pare-feu pour jeux de règles IP personnalisés, générées sur la base de règles NAT-/NAPT, sont identiques aux règles de pare-feu générées localement pour un module de sécurité, voir chapitre : Corrélation entre routeur NAT/NAPT et pare-feu (Page 182) 5.2 Module de sécurité comme serveur DHCP Présentation Présentation Vous pouvez utiliser le module de sécurité sur le réseau interne et sur le réseau DMZ comme serveur DHCP (DHCP = Dynamic Host Configuration Protocol). Ceci permet d'affecter automatiquement des adresses IP aux appareils connectés. Le fonctionnement simultané en serveur DHCP aux deux interfaces est possible. Les adresses IP sont distribuées dynamiquement dans une plage d'adresses que vous aurez définie ou bien une adresse IP définie sera attribuée, selon vos spécifications, à un appareil déterminé. Si les appareils de l'interface interne ou de l'interface de DMZ doivent toujours obtenir la même adresse IP pour la configuration du pare-feu, l'attribution d'adresses doit être uniquement statique, c.-à-d. avec l'adresse MAC ou l'id de client. Condition Les appareils du réseau interne ou du réseau DMZ doivent être configurés de manière à obtenir l'adresse IP d'un serveur DHCP. En fonction du mode d'exploitation, soit le module de sécurité transmet une adresse IP du routeur par défaut aux abonnés du sous-réseau en question, soit vous devez communiquer une adresse IP du routeur aux abonnés du sous-réseau. 186 Manuel de configuration, 09/2013, C79000-G8977-C286-02

187 Configuration d'autres propriétés de module 5.2 Module de sécurité comme serveur DHCP L'adresse IP du routeur est transmise Une adresse IP de routeur est transmise au partenaire par le module de sécurité au moyen du protocole DHCP dans les cas suivants : L'abonné est connecté à l'interface de DMZ (SCALANCE S623/S627-2M uniquement) Le module de sécurité transmet dans ce cas sa propre adresse IP comme adresse IP de routeur. L'abonné est connecté à l'interface interne et le module de sécurité est configuré pour le mode routeur Le module de sécurité transmet dans ce cas sa propre adresse IP comme adresse IP de routeur. L'abonné est connecté à l'interface interne et le module de sécurité n'est pas configuré pour le mode routeur, mais un routeur par défaut a été spécifié dans la configuration du module de sécurité. Le module de sécurité transmet dans ce cas l'adresse IP du routeur par défaut comme adresse IP de routeur. L'adresse IP du routeur n'est pas transmise Dans les cas suivants entrez l'adresse IP de routeur manuellement sur l'abonné : L'abonné est connecté à l'interface interne et le module de sécurité n'est pas configuré pour le mode routeur Aucun routeur par défaut n'est en outre spécifié dans la configuration du module de sécurité. Voir aussi Contrôle de cohérence (Page 61) Configuration d'un serveur DHCP Condition L'onglet "Serveur DHCP" n'est affiché que si le projet se trouve en mode avancé. Remarque Retour au mode standard impossible. Dès que vous avez modifié la configuration du projet actuel et que vous êtes passé au mode avancé vous ne pouvez plus l'annuler. Remède sous SCT autonome : Fermez le projet sans l'enregistrer puis rouvrez-le. Manuel de configuration, 09/2013, C79000-G8977-C

188 Configuration d'autres propriétés de module 5.2 Module de sécurité comme serveur DHCP Pour accéder à cette fonction 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Serveur DHCP". 3. Cochez la case "Activer DHCP". 4. Sélectionnez l'interface pour laquelle vous voulez paramétrer DHCP. 5. Choisissez le mode d'attribution d'adresse. Vous disposez des possibilités de configuration suivantes : 188 Manuel de configuration, 09/2013, C79000-G8977-C286-02

189 Configuration d'autres propriétés de module 5.2 Module de sécurité comme serveur DHCP Attributions d'adresse statiques Des adresses IP prédéfinies sont attribuées aux appareils possédant une adresse MAC ou un ID client défini. Inscrivez pour ce faire ces appareils dans la zone de saisie de la liste d'adresses "Attribution d'adresse statique" Cette option s'avère judicieuse au regard des règles de pare-feu avec indication explicite des adresses IP de source et IP de destination. Attributions d'adresse dynamiques Les appareils dont l'adresse MAC ou l'id de client n'est pas indiqué explicitement obtiennent une adresse IP choisie dans une plage d'adresses prédéfinie. Vous spécifiez cette plage d'adresses dans la zone de saisie "Attribution d'adresse dynamique". Remarque Attribution d'adresse dynamique - Comportement à la suite d'une coupure de l'alimentation Veuillez noter que les adresses IP attribuées dynamiquement ne sont pas enregistrées en cas de coupure de l'alimentation. Après rétablissement de la tension, vous devez veillez à ce que les abonnés envoient à nouveau une requête d'adresse IP. Ne prévoyez par conséquent une attribution d'adresse dynamique que pour les abonnés suivants : les abonnés qui sont utilisés temporairement dans le sous-réseau (les appareils de dépannage par ex.) ; les abonnés qui, lors d'une nouvelle requête, transmette une adresse IP qui leur a été attribuée une fois comme "adresse préférentielle" au serveur DHCP (les stations PC par exemple). Pour les abonnés fonctionnant en permanence on préconisera l'attribution d'adresse statique via la spécification d'un ID de client (recommandé pour les CP S7 afin de faciliter l'échange de modules) ou de l'adresse MAC. Les noms symboliques sont pris en charge Dans la fonction décrite ci-après, vous pouvez entrer des noms symboliques à la place des adresses IP ou MAC. Contrôle de cohérence - Règles à observer Tenez compte des règles ci-après lorsque vous effectuez des entrées : Les adresses IP spécifiées dans la zone de saisie "Attributions d'adresse statiques" de la liste d'adresses ne doivent pas se situer dans la plage des adresses IP dynamiques. Les noms symboliques doivent correspondre à une adresse numérique. Si vous attribuez ici des noms symboliques, n'oubliez pas d'établir la correspondance à une adresse dans le dialogue "Noms symboliques". Les adresses IP, adresses MAC et ID de client doivent être uniques dans la zone de saisie "Attributions d'adresse statiques" (dans le contexte du module de sécurité). Pour les adresses IP statiques, vous devez spécifier soit l'adresse MAC soit l'id de client (nom d'ordinateur). Manuel de configuration, 09/2013, C79000-G8977-C

190 Configuration d'autres propriétés de module 5.2 Module de sécurité comme serveur DHCP L'ID de client est une chaîne d'au maximum 63 caractères. Elle ne doit contenir que les caractères suivants : a-z, A-Z, 0-9 et - (trait d'union). Nota Dans le cas de SIMATIC S7, il est possible d'attribuer un identificateur de client aux appareils connectés à l'interface Ethernet pour qu'ils puissent obtenir une adresse IP via DHCP. Pour ce qui est des PC, la marche à suivre dépend du système d'exploitation utilisé ; il est recommandé d'utiliser ici l'adresse MAC pour l'affectation. Dans le cas d'une affectation statique des adresses IP, vous devez indiquer l'adresse IP. Les adresses IP suivantes ne doivent pas être comprises dans la plage des attributions d'adresse dynamiques : toutes les adresses IP de routeur de l'onglet "Routage" serveur Syslog routeur par défaut adresse(s) IP du module de sécurité DHCP est pris en charge à l'interface vers le sous-réseau interne et à l'interface vers le réseau DMZ par le module de sécurité. Ce comportement du module de sécurité implique par ailleurs les contraintes suivantes pour ce qui est des adresses IP dans la plage des attributions d'adresse dynamiques : Mode pont La plage doit être située dans le réseau défini par le module de sécurité. Mode routage La plage doit être située dans le sous-réseau interne défini par le module de sécurité. Nota Le réseau DMZ représente toujours un sous-réseau séparé. Veillez impérativement à ce que la plage d'adresses IP libre (adresses IP dynamiques) se trouve dans le sousréseau DMZ quand DHCP est utilisé sur l'interface de DMZ. La plage d'adresses IP libres doit être intégralement spécifiée par l'indication de l'adresse de début et de l'adresse de fin. L'adresse de fin doit être supérieure à l'adresse de début. Les adresses IP que vous entrez dans la zone de saisie "Attributions d'adresse statiques" de la liste d'adresses doivent se situer dans la plage d'adresses du sous-réseau interne ou dans le réseau DMZ du module de sécurité. Tenez compte des explications du chapitre Contrôle de cohérence (Page 61). 190 Manuel de configuration, 09/2013, C79000-G8977-C286-02

191 Configuration d'autres propriétés de module 5.3 Synchronisation d'horloge 5.3 Synchronisation d'horloge Présentation Signification Le module de sécurité gère la date et l'heure à des fins de contrôle de la validité d'un certificat et d'horodatage des entrées de journal. Vous pouvez configurer les options suivantes : Réglage automatique de l'horloge du module sur l'horloge du PC lors du chargement de la configuration. Réglage automatique et synchronisation périodique de l'horloge au moyen d'un serveur Network Time Protocol (serveur NTP). Synchronisation par un serveur NTP Les règles suivantes s'appliquent à la configuration d'un serveur NTP : Les serveur NTP peuvent être configurés avec le menu SCT "Options" > "Configuration des serveurs NTP...". Affectez le serveur NTP à un module de sécurité via l'onglet "Synchronisation d'horloge" du dialogue des propriétés. Si plusieurs modules de sécurité du projet SCT utilisent le même serveur NTP, il suffit d'entrer ses données une seule fois. Vous pouvez créer jusqu'à 32 serveurs NTP par projet. Vous pouvez affecter au maximum 4 serveurs NTP à un module de sécurité. Les noms symboliques sont pris en charge lors de la définition de serveurs NTP. Les FQDN sont pris en charge lors de la définition de serveurs NTP. L'adresse IP et l'intervalle de mise à jour des serveurs NTP créés sous STEP 7 sont migrés vers SCT. En cas de sélection de l'option "Synchronisation d'horloge avec NTP (sécurisée)", le module de sécurité accepte uniquement la date/heure de serveurs NTP sécurisés configurés en conséquence. Une configuration mixte de serveurs NTP sécurisés et non sécurisés sur un même module de sécurité n'est pas possible. Manuel de configuration, 09/2013, C79000-G8977-C

192 Configuration d'autres propriétés de module 5.3 Synchronisation d'horloge Configuration de l'horloge maître Pour accéder à cette fonction Commande de menu SCT : 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Synchronisation d'horloge". Commande de menu STEP 7 (si l'option "Activer la synchronisation d'horloge selon la méthode NTP" est activée) : "Synchronisation d'horloge" > "Activer la configuration NTP avancée", bouton "Exécuter". Alternatives à la synchronisation d'horloge Vous pouvez configurer les options suivantes : Tableau 5-3 Synchronisation d'horloge pour CP Option de sélection Pas de synchronisation d'horloge Synchronisation d'horloge avec NTP Synchronisation d'horloge avec NTP (sécurisé) Signification / Effet Pas de synchronisation d'horloge via le PC ou le serveur NTP. Réglage automatique et synchronisation périodique de l'horloge au moyen d'un serveur NTP. Réglage automatique et synchronisation périodique de l'horloge au moyen d'un serveur NTP (sécurisé). Tableau 5-4 Synchronisation d'horloge pour SCALANCE S V3.0 Option de sélection Pas de synchronisation d'horloge Régler la date/heure à chaque chargement Synchronisation d'horloge avec NTP Synchronisation d'horloge avec NTP (sécurisé) Signification / Effet Pas de synchronisation d'horloge. Réglage automatique de l'horloge du module sur l'horloge du PC lors du chargement de la configuration. Réglage automatique de l'horloge au moyen d'un serveur NTP. Réglage automatique et synchronisation périodique de l'horloge au moyen d'un serveur NTP (sécurisé). 192 Manuel de configuration, 09/2013, C79000-G8977-C286-02

193 Configuration d'autres propriétés de module 5.3 Synchronisation d'horloge Sélection du mode de synchronisation d'horloge Procédez de la manière suivante : 1. Sélectionnez un mode de synchronisation 2. Pour SCALANCE S < V3.0 : Lors de la synchronisation par un serveur NTP, entrez l'intervalle de mise à jour en secondes. Pour SCALANCE S V3.0, l'interface d'interrogation du serveur NTP est définie automatiquement. Remarque Les serveurs créés sous STEP 7 sont automatiquement migrés avec leur intervalle de mise à jour vers SCT. L'intervalle de mise à jour ne peut être modifié que sous STEP Si vous avez sélectionné le mode de synchronisation "Synchronisation d'horloge avec NTP" ou "Synchronisation d'horloge avec NTP (sécurisé)", affectez au module de sécurité, à l'aide du bouton "Ajouter", un serveur NTP déjà créé du même type que celui sélectionné dans le champ "Mode de synchronisation". S'il n'existe pas encore de serveur NTP, créez un serveur NTP à l'aide du bouton "Configurer le serveur..." Définition d'un serveur NTP Pour définir un nouveau serveur NTP : 1. Entrez un nom pour le serveur NTP. 2. Entrez l adresse IP / le FQDN du serveur NTP. 3. Sélectionnez un type. Manuel de configuration, 09/2013, C79000-G8977-C

194 Configuration d'autres propriétés de module 5.4 SNMP Paramètres pour NTP (sécurisé) 1. Cliquez sur le bouton "Ajouter...". 2. Saisissez les données ci-après : Paramètre Signification ID clé Valeur numérique comprise entre 1 et Authentification Sélectionnez l'algorithme d'authentification. Hex/ASCII Sélectionnez le format de la clé NTP. Clé Entrez la clé NTP avec les longueurs suivantes : Hex : caractères ASCII : caractères Importation / exportation de serveurs NTP Les boutons "Importer..." et "Exporter..." permettent d'exporter la liste des clés du serveur NTP actuellement affiché et d'importer le fichier sur un serveur NTP ou inversement. 5.4 SNMP Présentation Qu'est-ce que SNMP? Le module de sécurité prend en charge la transmission d'informations de gestion via Simple Network Management Protocol (SNMP): Un "Agent SNMP" qui réceptionne les requêtes SNMP et y répond, est installé pour ce faire sur le module de sécurité Les informations sur les propriétés des appareils compatibles SNMP sont enregistrées dans des fichiers MIB (Management Information Base) pour lesquels l'utilisateur doit posséder les droits requis (SNMPv3). Sous SNMPv1 le "Community String" est transmis. Le "Community String" est comme un mot de passe, transmis en même temps que la requête SNMP. Si le Community String est correct, le module de sécurité répond avec les informations requises. Si le Community String est incorrect, le module de sécurité rejette la requête et ne répond pas. Sous SNMPv3, les données peuvent être transmises cryptées. 194 Manuel de configuration, 09/2013, C79000-G8977-C286-02

195 Configuration d'autres propriétés de module 5.4 SNMP Activation de SNMP Condition HW Config : Dans les propriétés du CP, la case "Activer SNMP" de l'onglet "SNMP" est cochée. Si elle n'est pas cochée, il n'est pas possible de configurer SNMP sous Security Configuration Tool. Configuration de SNMP - Marche à suivre : 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "SNMP". 3. Cochez la case "Activer SNMP". 4. Choisissez l'une des versions du protocole SNMP. Remarque Transmission de données cryptée sous SNMPv3 Pour améliorer la sécurité, il est conseillé d'utiliser SNMPv3 car avec ce protocole la transmission de données est cryptée. SNMPv1 Le module de sécurité utilise, pour gérer les droits d'accès dans l'agent SNMP, les valeurs par défaut suivantes pour les Community Strings : pour l'accès en lecture : public pour l'accès en lecture et écriture : private Pour activer l'accès en écriture via SNMP, cochez la case "Autorise l'accès en écriture". SNMPv3 Sélectionnez soit une procédure d'authentification, soit une procédure d'authentification et de cryptage. Algorithme d'authentification : aucun, MD5, SHA-1 Algorithme de cryptage : aucun, AES 128, DES Remarque Eviter d'utiliser DES DES est un algorithme de cryptage peu sûr. Utilisez cet algorithme uniquement pour assurer la compatibilité descendante. Manuel de configuration, 09/2013, C79000-G8977-C

196 Configuration d'autres propriétés de module 5.5 Proxy-ARP 5. Entrez dans la zone "Paramètres avancés" les informations spécifiques au module telles qu'auteur, lieu et adresse qui écrasent les indications issues des propriétés du projet. Si vous cochez la case "Conserver les valeurs écrites par SNMP Set", les valeurs écrites par un outil SNMP via une commande SNMP SET sur le module de sécurité ne seront pas écrasées par le nouveau chargement d'une configuration de STC sur le module de sécurité. 6. Si vous voulez utiliser SNMPv3, affectez à un utilisateur un rôle dans lequel les droits SNMP voulus sont activés pour qu'il puisse accéder au module de sécurité via SNMP. Pour plus d'informations sur la configuration d'utilisateurs, de droits et de rôles, voir le chapitre suivant : Gestion des utilisateurs (Page 70) 5.5 Proxy-ARP Présentation Proxy-ARP permet aux routeurs de répondre aux requêtes ARP adressées à des hôtes. Les hôtes se trouvent dans des réseaux séparés par des routeurs, mais utilisent la même plage d'adresses IP. Si le PC1 envoie une requête ARP au PC2, il recevra une réponse ARP du module de sécurité situé entre les deux et non pas du PC2, ainsi que l'adresse matérielle de l'interface (adresse MAC du port du module de sécurité), sur lequel la requête a été reçue. Le PC1, auteur de la requête, envoie alors ses données au module de sécurité qui les retransmet au PC2. Pour accéder à cette fonction Cette fonction est uniquement disponible pour l'interface interne d'un module de sécurité qui est abonné d'un groupe VPN et qui se trouve en mode pont. Le projet doit par ailleurs être en mode avancé. 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "ARP-Proxy". 3. Si le module de sécurité doit répondre, à la place d'un partenaire de communication spécifique, à une requête ARP issue du propre réseau local, entrez l'adresse IP voulue. 196 Manuel de configuration, 09/2013, C79000-G8977-C286-02

197 Communication sécurisée sur le VPN par tunnel 6 IPsec Ce chapitre explique comment interconnecter des sous-réseaux IP protégés par le module de sécurité en un VPN (Virtual Private Network). Comme décrit précédemment dans le chapitre à propos des propriétés des modules, vous pouvez vous contenter ici également des paramétrages par défaut pour sécuriser la communication au sein de vos réseaux internes. Informations complémentaires Vous trouverez par ailleurs des informations détaillées sur les dialogues et paramètres dans l'aide en ligne. Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue en question. Voir aussi Fonctions en ligne - test, diagnostic et journalisation (Page 245) 6.1 VPN avec modules de sécurité Connexion sécurisée à travers un réseau non protégé Les tunnels IPsec permettent aux modules de sécurité qui protègent le réseau interne, de communiquer à travers le réseau externe non protégé via une connexion de données sécurisée. L'échange de données via IPsec assure les aspects de sécurité des communications suivants : Confidentialité Assure la transmission cryptée des données. Intégrité Veille à ce que les données ne soient pas altérées. Authenticité Veille à ce que les terminaisons du VPN soient dignes de confiance. Le module de sécurité utilise pour le tunnelage le protocole IPsec (mode tunnel de IPsec). Manuel de configuration, 09/2013, C79000-G8977-C

198 Communication sécurisée sur le VPN par tunnel IPsec 6.1 VPN avec modules de sécurité Les connexions tunnelisées sont établies entre modules du même groupe VPN Sur les modules de sécurité, les propriétés d'un VPN sont réunies au sein d'un groupe VPN pour tous les tunnels IPsec. Les tunnels IPsec sont établis automatiquement entre tous les modules de sécurité et les SOFTNET Security Client qui appartiennent à un groupe VPN. Les modules de sécurité peuvent appartenir simultanément à plusieurs groupes VPN au sein d'un projet. 198 Manuel de configuration, 09/2013, C79000-G8977-C286-02

199 Communication sécurisée sur le VPN par tunnel IPsec 6.1 VPN avec modules de sécurité Remarque Si vous modifiez le nom d'un module de sécurité, vous devrez reconfigurer tous les modules de sécurité appartenant aux mêmes groupes VPN que le module de sécurité modifié (commande de menu "Transférer" > "A tous les modules..."). Si vous modifiez le nom d'un groupe VPN, vous devrez reconfigurer tous les modules de sécurité de ce groupe VPN (commande de menu "Transférer" > "A tous les modules..."). Remarque Les télégrammes de couche 2 sont également encapsulés en l'absence de routeur entre deux modules de sécurité. Il faut toutefois pour ce faire que les adresses MAC des partenaires de communication soient configurées statiques dans le Security Configuration Tool et que les entrées ARP sur les appareils de communication soient également statiques. D'une manière générale : les télégrammes non IP ne sont transmis par un tunnel que si les appareils qui émettent et reçoivent les télégrammes étaient déjà en mesure de communiquer avant la mise en œuvre des modules de sécurité. Manuel de configuration, 09/2013, C79000-G8977-C

200 Communication sécurisée sur le VPN par tunnel IPsec 6.2 Méthodes d'authentification 6.2 Méthodes d'authentification Méthodes d'authentification La méthode d'authentification est définie au sein d'un groupe VPN ; elle détermine la nature de l'authentification utilisée. Les méthodes prises en charge sont l'authentification par clé et l'authentification par certificat : Clés partagées L'authentification s'effectue à l'aide d'une chaîne de caractères convenue, distribuée à tous les modules du groupe VPN. Entrez pour ce faire dans le champ "Clé" du dialogue "Propriétés du groupe VPN" un mot de passe ou générez un mot de passe à l'aide du bouton "Nouveau...". Certificat L'authentification par certificat "Certificat" est la méthode par défaut activée en mode standard. Le comportement est le suivant : Lors de la création d'un groupe VPN, un certificat CA est généré automatiquement pour le groupe VPN. Chaque module de sécurité appartenant au groupe VPN reçoit un certificat de groupe VPN signé avec la clé de l'autorité de certification du groupe VPN. Tous les certificats sont conformes à la norme ITU X.509v3 (ITU, International Telecommunications Union). Les certificats sont générés par un service de certification contenu dans Security Configuration Tool. Remarque Restriction en mode VLAN Dans le cas de télégrammes IP transitant par le tunnel VPN du module de sécurité aucune étiquette de VLAN n'est transmise. Les étiquettes de VLAN contenues dans les télégrammes unicast sont perdues lors du transit par les modules de sécurité du fait de l'utilisation de IPsec pour la transmission des télégrammes IP. D'une manière générale, IPsec ne permet pas de transmettre des télégrammes IP broadcast ou multicast via un tunnel VPN de couche 3. A travers un tunnel VPN de couche 2 du module de sécurité, les télégrammes IP broadcast et multicast sont, tout comme les paquets MAC, encapsulés avec leur en-tête Ethernet dans UDP et transmis. C'est la raison pour laquelle les étiquettes VLAN restent conservées dans ces paquets. 200 Manuel de configuration, 09/2013, C79000-G8977-C286-02

201 Communication sécurisée sur le VPN par tunnel IPsec 6.3 Groupes VPN 6.3 Groupes VPN Règles de formation de groupes VPN Tenez compte des règles suivantes : Pour SCALANCE S612 / S613 / S623 / S627-2M / SCALANCE M / appareil VPN Le premier module affecté à un groupe VPN détermine les types de module pouvant être ajoutés au groupe. Si le premier SCALANCE S ajouté se trouve en mode routage ou si le premier module de sécurité est un module SCALANCE M ou un appareil VPN, il ne sera possible d'ajouter que des modules SCALANCE S à mode routage activé ou des modules SCALANCE M ou des appareil VPN car les modules SCALANCE M et les appareils VPN fonctionnent toujours en mode routage. Si le premier module SCALANCE S ajouté est en mode pont, il ne sera possible d'ajouter à ce groupe que des modules SCALANCE S en mode pont. Un CP ou un SSC ou encore un client VPN NCP (Android) peut être ajouté à un groupe VPN contenant un SCALANCE S en mode pont ou routage. Pour CP / SSC / Client VPN NCP (Android) Si un CP / SSC / client VPN NCP (Android) est le premier appareil d'un groupe VPN, il sera possible d'y ajouter des modules de sécurité fonctionnant dans n'importe quel mode jusqu'à ce qu'un module SCALANCE S ou SCALANCE M y soit ajouté. A partir de là, les règles applicables sont celles pour modules SCALANCE S et SCALANCE M, voir cidessus. Il n'est pas possible d'ajouter un module SCALANCE M à un groupe VPN qui contient un module SCALANCE S en mode pont. Le tableau ci-après indique les modules qui peuvent être réunis dans un groupe VPN : Tableau 6-1 Règles de formation de groupes VPN Module Peut être ajouté à un groupe VPN contenant le module suivant : SCALANCE S en mode pont SCALANCE S en mode routage / SCALANCE M / appareil VPN / client VPN NCP (Android) CP / SSC SCALANCE S en mode pont x - x SCALANCE S en mode routage - x x CP x43-1 Adv. x x x CP 1628 x x x SOFTNET Security Client 2005 x - - SOFTNET Security Client 2008 x x x Manuel de configuration, 09/2013, C79000-G8977-C

202 Communication sécurisée sur le VPN par tunnel IPsec 6.3 Groupes VPN Module Peut être ajouté à un groupe VPN contenant le module suivant : SCALANCE S en mode pont SCALANCE S en mode routage / SCALANCE M / appareil VPN / client VPN NCP (Android) CP / SSC SOFTNET Security Client V3.0 x x x SOFTNET Security Client V4.0 x x x SCALANCE M / appareil VPN - x x Client VPN NCP (Android) - x x Relations de communication par tunnel supportées Signification Les tableaux ci-après indiquent quelles interfaces de tunnel peuvent établir un tunnel. On distingue à cet égard les cas où le module SCALANCE S se trouve en mode routage ou en mode pont. Quelle que soit l'interface par laquelle le tunnel VPN est établi, les abonnés des sousréseaux internes des modules de sécurité peuvent toujours communiquer entre eux. Si la communication via le tunnel VPN doit également s'étendre à d'autres sous-réseaux, il est possible de les autoriser à communiquer via le tunnel dans l'onglet "VPN" des propriétés avancées du module, voir le chapitre suivant : Configuration d'autres abonnés et sous-réseaux pour le tunnel VPN (Page 217) Les sous-réseaux qui doivent être autorisés à communiquer via le tunnel sont : le sous-réseau connecté à l'interface externe (si l'interface externe n'est pas une terminaison VPN) le sous-réseau connecté à l'interface de DMZ (si l'interface de DMZ n'est pas une terminaison VPN) les autres sous-réseaux accessibles via routeur connectés aux diverses interfaces (s'ils ne sont pas des terminaisons VPN) 202 Manuel de configuration, 09/2013, C79000-G8977-C286-02

203 Communication sécurisée sur le VPN par tunnel IPsec 6.3 Groupes VPN Tableau 6-2 Communication par tunnel entre CP, modules SCALANCE M, SOFTNET Security Clients et modules SCALANCE S en mode routage Interface répondeur Interface initiateur PC/PG (SSC) Externe (SCALANCE M875) Gbit, IE (CP) Externe (SCALANCE S) DMZ (SCALANCE S623 / S627-2M) Externe (SCALANCE M875) Gbit, IE (CP) Externe (SCALANCE S) DMZ (SCALANCE S623 / S627-2M) x x x x x x x x - x x x - x x x - x x x x est pris en charge - n'est pas pris en charge Tableau 6-3 Communication par tunnel entre CP, SOFTNET Security Clients et modules SCALANCE S en mode pont Interface répondeur Interface initiateur Gbit, IE (CP) Externe (SCALANCE S) DMZ (SCALANCE S623 / S627-2M) PC/PG (SSC) x x - Gbit, IE (CP) x x - Externe (SCALANCE S) x x - DMZ (SCALANCE S623 / S627-2M) x est pris en charge - n'est pas pris en charge Manuel de configuration, 09/2013, C79000-G8977-C

204 Communication sécurisée sur le VPN par tunnel IPsec 6.3 Groupes VPN Création de groupes VPN et affectation à des modules Condition Remarque Date et heure à jour sur les modules de sécurité Veillez, lors de l'utilisation de la communication sécurisée (via HTTPS, VPN,... par ex.), à ce que les modules de sécurité concernés possèdent bien la date et l'heure actuelles. Les certificats utilisés sont sinon considérés non valides et la communication sécurisée ne fonctionnera pas. Pour accéder à cette fonction 1. Créez un groupe VPN à l'aide de la commande de menu "Insérer" > "Groupe". 2. Affectez au groupe VPN les modules de sécurité, modules SOFTNET Security Client, appareils VPN et clients VPN NCP (Android) qui doivent appartenir à un groupe VPN. Pour ce faire, faites glisser avec la souris les modules de la zone de contenu sur le groupe VPN voulu dans le volet de navigation (glisser-déplacer). Configuration des propriétés Comme pour la configuration des modules, vous avez le choix entre les deux affichages de commande du Security Configuration Tool pour configurer les groupes VPN : Mode standard En mode standard, laissez les paramétrages par défaut du système inchangés. Même sans être expert en technologies de l'information, vous pourrez ainsi configurer des tunnels IPsec et assurer une communication de données sécurisée. Mode avancé Le mode avancé offre des options de paramétrage destinées à une configuration spécifique de la communication par tunnel. 204 Manuel de configuration, 09/2013, C79000-G8977-C286-02

205 Communication sécurisée sur le VPN par tunnel IPsec 6.4 Configuration de tunnel en mode standard Affichage de tous les groupes VPN configurés avec leurs propriétés Sélectionnez dans le volet de navigation l'objet "Groupes VPN". Les propriétés de groupe suivantes sont alors affichées par colonne : Propriétés/Colonne Signification Commentaire/Sélection Nom Nom de groupe Libre choix Authentification Type d'authentification Clé partagée Appartenance au groupe jusqu'à Durée de vie des certificats Certificat Commentaire Commentaire Libre choix Voir section "Paramétrer la durée de vie des certificats" Paramétrage de la durée de vie des certificats Ouvrez le dialogue qui permet d'entrer la date d'expiration du certificat comme suit : 1. Sélectionnez dans le volet de navigation, le groupe VPN correspondant pour lequel vous voulez configurer un certificat. 2. Dans le volet de contenu, cliquez avec le bouton droit de la souris sur le module de sécurité et sélectionnez dans le menu contextuel la commande "Nouveau certificat...". Remarque Expiration d'un certificat La communication via tunnel VPN se poursuit après expiration du certificat juqu'à ce que le tunnel soit coupé ou que la durée de vie SA se termine. Pour plus d'informations sur les certificats, veuillez vous référer au chapitre suivant : Gestion des certificats (Page 86) 6.4 Configuration de tunnel en mode standard Ouverture du dialogue d'affichage des valeurs par défaut 1. Sélectionnez le groupe VPN. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...". L'affichage des propriétés de groupe VPN est identique à celui en mode avancé ; vous ne pouvez cependant pas modifier les valeurs en mode standard. Manuel de configuration, 09/2013, C79000-G8977-C

206 Communication sécurisée sur le VPN par tunnel IPsec 6.5 Configuration de tunnel en mode avancé 6.5 Configuration de tunnel en mode avancé Le mode avancé offre des options de paramétrage destinées à une configuration spécifique de la communication par tunnel. Passage au mode avancé Pour toutes les fonctions décrites dans le présent chapitre, activez le mode avancé du projet. Remarque Retour au mode standard impossible. Dès que vous avez modifié la configuration du projet actuel et que vous êtes passé au mode avancé vous ne pouvez plus l'annuler. Remède sous SCT autonome : Fermez le projet sans l'enregistrer puis rouvrez-le Configuration des propriétés du groupe VPN Propriétés de groupe VPN Remarque Connaissances IPsec requises La spécification de ces paramètres présuppose la connaissance de IPsec. Si vous ne spécifiez ou ne modifiez pas de paramètre, ce sont les paramètres par défaut du mode standard qui seront appliqués. En mode avancé, vous pouvez paramétrer les propriétés de groupe VPN suivantes : Méthodes d'authentification Paramètres IKE (zone du dialogue : Paramètres avancés phase 1) Paramètres IPsec (zone du dialogue : Paramètres avancés phase 2) 206 Manuel de configuration, 09/2013, C79000-G8977-C286-02

207 Communication sécurisée sur le VPN par tunnel IPsec 6.5 Configuration de tunnel en mode avancé Pour accéder à cette fonction 1. Sélectionnez dans le volet de navigation le groupe VPN à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...". 3. Choisissez l'authentification par clé partagée ou par certificat. Pour plus d'informations, reportez-vous au chapitre suivant : Méthodes d'authentification (Page 200). Paramètres de la configuration avancée phase 1 - paramètres IKE Phase 1 : Echange de clés (IKE = Internet Key Exchange) : Spécifiez ici les paramètres du protocole IKEv1 de gestion des clés IPsec. L'échange de clés s'effectue par la procédure standardisée IKEv1 pour laquelle vous devez définir les paramètres de protocole suivants : Manuel de configuration, 09/2013, C79000-G8977-C

208 Communication sécurisée sur le VPN par tunnel IPsec 6.5 Configuration de tunnel en mode avancé Paramètre Description Mode IKE Procédure d'échange de clés : Main Mode Aggressive Mode La différence entre Main Mode et Aggressive Mode est l'utilisation en Main Mode de la "Identity Protection". En Main Mode l'identité est transmise cryptée, en Aggressive Mode elle ne l'est pas. Groupe DH phase 1 Convention de clé Diffie-Hellman : Type de durée de vie SA Groupe 1 Groupe 2 Groupe 5 Groupe 14 Groupes Diffie-Hellman (algorithmes cryptographiques sélectionnables dans le protocole d'échange de clés Oakley). Phase 1 Security Association (SA) : Time : Limite de temps en minutes La durée d'utilisation du matériel de clé actuel est limitée. Après écoulement de la durée spécifiée, le matériel de clé est renégocié. Durée de vie SA Valeur numérique : Plage de valeurs pour Time : minutes (par défaut : ) Phase 1 Cryptage Algorithme de cryptage : DES* : Data Encryption Standard (longueur de clé de 56 bits, mode CBC) 3DES-168 : Triple DES (longueur de clé de 168 bits, mode CBC) AES-128, 192, 256 : Advanced Encryption Standard (longueur de clé de 128, 192 bits ou 256 bits, mode CBC) Phase 1 Authentification Algorithme d'authentification : MD5 : Message Digest Algorithm 5 SHA1 : Secure Hash Algorithm 1 * DES est un algorithme de cryptage peu sûr. Utilisez cet algorithme uniquement pour assurer la compatibilité descendante. Paramètres de la configuration avancée phase 2 - paramètres IPsec Phase 2 : Echange de données (ESP = Encapsulating Security Payload) Spécifiez ici les paramètres du protocole d'échange de données IPsec. L'échange de données à lieu en "Quick Mode". Toutes la communication de cette phase est cryptée à l'aide du protocole de sécurité standardisé ESP pour lequel vous pouvez définir les paramètres suivants : 208 Manuel de configuration, 09/2013, C79000-G8977-C286-02

209 Communication sécurisée sur le VPN par tunnel IPsec 6.5 Configuration de tunnel en mode avancé Paramètre Type de durée de vie SA Description Phase 2 Security Association (SA) : Time : Limite de temps en minutes La durée d'utilisation du matériel de clé actuel est limitée. Après écoulement de la durée spécifiée, le matériel de clé est renégocié. Limit : limitation du volume de données en Mo Durée de vie SA Valeur numérique : Plage de valeurs pour Time : minutes (par défaut : 2880) Plage de valeurs pour Limit : Mo (par défaut : 4000) Phase 2 Cryptage Algorithme de cryptage : DES* : Data Encryption Standard (longueur de clé de 56 bits, mode CBC) 3DES-168 : Triple DES (longueur de clé de 168 bits, mode CBC) AES-128 : Advanced Encryption Standard (longueur de clé de 128 bits, mode CBC) Phase 2 Authentification Perfect Forward Secrecy Algorithme d'authentification : MD5 : Message Digest Algorithm 5 SHA1 : Secure Hash Algorithm 1 Spécifiez si avant chaque renégociation d'une SA IPsec, la clé doit être renégociée à l'aide de la procédure Diffie-Hellman. Perfect Forward Secrecy veille à ce que les clés générées précédemment ne permettent pas de déduire les nouvelles clés. * DES est un algorithme de cryptage peu sûr. Utilisez cet algorithme uniquement pour assurer la compatibilité descendante Ajout d'un module de sécurité à un groupe VPN configuré Les propriétés de groupe configurées sont recopiées pour les modules de sécurité qui sont ajoutés à un groupe VPN existant. Manuel de configuration, 09/2013, C79000-G8977-C

210 Communication sécurisée sur le VPN par tunnel IPsec 6.5 Configuration de tunnel en mode avancé Ajout d'abonnés actifs à un groupe VPN Lorsqu'un abonné actif est ajouté à un groupe VPN, celui-ci peut accéder aux abonnés du groupe sans que vous soyez obligé de recharger le projet sur tous les abonnés du groupe VPN. Remarque Si vous supprimez un abonné actif d'un groupe VPN, celui-ci peut encore établir une liaison aux abonnés du groupe même si vous avez rechargé le projet sur tous les abonnés du groupe VPN. Si vous ne souhaitez pas que l'abonné actif supprimé puisse établir une liaison, renouvelez le certificat CA et rechargez le projet sur tous les abonnés du groupe VPN. Le certificat CA du groupe VPN peut être renouvelé dans les propriétés du groupe VPN ou dans le gestionnaire de certificats, onglet "Autorités de certification". Marche à suivre La marche à suivre distingue les cas suivants : Cas a : si vous n'avez pas modifié les propriétés de groupe et que le module devant être ajouté établit la liaison avec les modules de sécurité déjà configurés de manière active : 1. Ajoutez le nouveau module de sécurité au groupe VPN. 2. Chargez la configuration sur le nouveau module de sécurité. Cas b :si vous avez modifié les propriétés de groupe ou si le module de sécurité devant être ajouté n'établit pas activement la liaison aux modules de sécurité déjà configurés : 1. Ajoutez le nouveau module de sécurité au groupe VPN. 2. Chargez la configuration sur tous les modules de sécurité appartenant au groupe VPN. Avantage dans le cas a Les modules de sécurité déjà mis en service ne doivent pas être reconfigurés, ni rechargés. La communication en cours n'est pas affectée, ni coupée. 210 Manuel de configuration, 09/2013, C79000-G8977-C286-02

211 Communication sécurisée sur le VPN par tunnel IPsec 6.5 Configuration de tunnel en mode avancé Paramètres pour abonnés à adresse IP inconnue Il est possible d'ajouter des abonnés dont l'adresse IP est inconnue au moment de la configuration (unknown peers) à un groupe VPN. Les abonnés étant le plus souvent utilisés en mode itinérant et l'adresse IP obtenue dynamiquement (SOFTNET Security Client ou SCALANCE M p. ex.), le tunnel VPN ne peut être établi que si les paramétrages de phase 1 sont réalisés selon l'un des tableaux ci-après. Si vous utilisez d'autres paramètres, vous ne pourrez pas établir de tunnel VPN vers l'équipement terminal. Tableau 6-4 Paramètres de cryptage 1 Paramètre Phase 1 Cryptage Groupe DH phase 1 Phase 1 Authentification Méthode d'authentification Durée de vie SA Option AES-256 Group2 SHA1 Certificat minutes Tableau 6-5 Paramètres de cryptage 2 Paramètre Phase 1 Cryptage Groupe DH phase 1 Phase 1 Authentification Méthode d'authentification Durée de vie SA Option 3DES-168 Group2 SHA1 Certificat minutes Tableau 6-6 Paramètres de cryptage 3 Paramètre Phase 1 Cryptage Groupe DH phase 1 Phase 1 Authentification Méthode d'authentification Durée de vie SA Option DES Group2 MD5 Certificat minutes Tableau 6-7 Paramètres de cryptage 4 Paramètre Phase 1 Cryptage Groupe DH phase 1 Phase 1 Authentification Méthode d'authentification Durée de vie SA Option 3DES-168 Group2 SHA1 Clé partagée minutes Manuel de configuration, 09/2013, C79000-G8977-C

212 Communication sécurisée sur le VPN par tunnel IPsec 6.5 Configuration de tunnel en mode avancé Restrictions additionnelles pour SOFTNET Security Client Les restrictions suivantes viennent s'ajouter dans le cas du SOFTNET Security Client : Paramètre Option / Particularité Phase 1 Cryptage AES-256 uniquement possible sous Windows 7 Phase 1 durée de vie SA Type de durée de vie SA Phase 2 Cryptage Phase 2 durée de vie SA Phase 2 Authentification minutes L'option choisie doit être identique dans les deux phases Pas de AES 128 possible minutes MD5 impossible Configuration des propriétés VPN spécifiques module Signification Vous pouvez configurer les propriétés spécifiques module ci-après pour les échanges de données via tunnel IPsec au sein du VPN : Dead-Peer-Detection Permission d'initier la connexion Adresse IP WAN / FQDN pour la communication via des passerelles Internet Conditions L'onglet "VPN" n'est paramétrable que si le module à configurer se trouve dans un groupe VPN. La zone de dialogue "Nœuds VPN" de l'onglet "VPN" n'est affichée que si le projet se trouve en mode avancé. Pour accéder à cette fonction 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "VPN". Les paramétrages effectués ici sont utilisés par défaut sur tout le module comme paramètres spécifiques des liaisons. Les paramètres spécifiques des liaisons peuvent écraser les paramètres de module et sont configurables dans la fenêtre de détails. Vous trouverez des informations complémentaires sur la configuration de paramètre spécifiques liaison au chapitre suivant : Configuration des propriétés VPN spécifiques liaison (Page 215). 212 Manuel de configuration, 09/2013, C79000-G8977-C286-02

213 Communication sécurisée sur le VPN par tunnel IPsec 6.5 Configuration de tunnel en mode avancé Dead-Peer-Detection (DPD) La DPD est activée par défaut. Pour que DPD fonctionne fiablement, elle doit être activée sur les deux modules de sécurité concernés. Lorsque la DPD est activée, les modules de sécurité échangent à intervalles paramétrables des messages additionnels en l'absence de trafic de données via le tunnel VPN. Ceci permet de savoir si la connexion IPsec est encore valide ou si elle doit éventuellement être rétablie. Si elle ne l'est plus, les "Security Associations" (SA) de la phase 2 sont terminées prématurément. Si la DPD est désactivée, la SA n'est terminée qu'après écoulement de la durée de vie SA. Pour paramétrer la durée de vie SA, voir le chapitre suivant : Configuration des propriétés du groupe VPN (Page 206). Permission d'initier la connexion Vous pouvez limiter la permission d'initier une connexion VPN à certains modules de sécurité du VPN. L'option déterminante du paramétrage décrit est l'attribution de l'adresse IP de la passerelle du module de sécurité à configurer. En cas d'attribution d'une adresse IP statique, le module de sécurité peut être trouvé par le partenaire. En cas d'attribution dynamique, c.-à-d. de changement permanent d'adresse IP, le partenaire ne peut pas établir la connexion sans information complémentaire. Mode Démarre la connexion au correspondant (initiateur/répondeur) (par défaut) Attente de correspondant (répondeur) Signification Dans cette option, le module de sécurité est "actif", c.-à-d. qu'il tente d'établir une connexion à un partenaire. Cette option est recommandée si le module de sécurité configuré obtient du FAI une adresse IP dynamique. L'adressage du partenaire s'effectue via son adresse IP WAN configurée, via son adresse IP configurée de module externe ou via le FQDN configuré. Dans cette option, le module de sécurité est "passif", c.-àd. qu'il attend l'établissement d'une connexion par le partenaire. Cette option est recommandée si le module de sécurité configuré a obtenu du FAI une adresse IP statique. Remarque Ne paramétrez pas "Attente du partenaire" pour tous les modules de sécurité d'un groupe VPN car sinon aucune connexion ne sera établie. Manuel de configuration, 09/2013, C79000-G8977-C

214 Communication sécurisée sur le VPN par tunnel IPsec 6.5 Configuration de tunnel en mode avancé Adresse IP WAN /FQDN - Adresses IP des modules de sécurité et passerelles dans un VPN via Internet En cas d'utilisation d'un VPN à tunnel IPsec via Internet, des adresses IP supplémentaires sont généralement nécessaires pour les passerelles Internet telles que les routeurs ADSL p. ex. Les différents modules de sécurité ou modules SCALANCE M doivent connaître les adresses IP publiques des modules partenaires du VPN qui doivent être accessibles via Internet. Remarque Si vous utilisez un routeur ADSL comme passerelle Internet, vérifiez qu'au minimum l'accès aux ports suivants est autorisé et que les paquets de données sont retransmis au module de sécurité : Port 500 (ISAKMP) Port 4500 (NAT-T) Il est possible à ce propos de définir dans la configuration du module de sécurité une "adresse IP WAN". Lors du chargement de la configuration de module, les adresses IP WAN des modules partenaires sont alors communiquées aux abonnés du groupe. Au lieu d'une adresse IP WAN vous pouvez également entrer un FQDN. Si vous avez configuré en même temps DNS dynamique sur le module de sécurité, ce FQDN devra concorder avec le FQDN figurant dans l'onglet "DNS" et qui est enregistré auprès d'un fournisseur de DNS dynamique. Vous pourrez définir dans les propriétés VPN spécifiques liaison s'il faut employer l'adresse IP externe, l'adresse IP de l'interface DMZ (uniquement SCALANCE S623 / S627-2M) ou l'adresse IP de WAN / le FQDN. Vous trouverez des informations complémentaires sur les propriétés VPN spécifiques liaison au chapitre suivant : Configuration des propriétés VPN spécifiques liaison (Page 215). Si vous n'entrez pas de point d'accès ici, c'est l'adresse IP externe ou l'adresse IP de l'interface DMZ (SCALANCE S623/S627-2M uniquement) qui est utilisée comme terminaison de VPN. 214 Manuel de configuration, 09/2013, C79000-G8977-C286-02

215 Communication sécurisée sur le VPN par tunnel IPsec 6.5 Configuration de tunnel en mode avancé 1 Adresse IP interne d'un module de sécurité 2 Adresse IP externe d'un module 3 Adresse IP d'une passerelle Internet (passerelle GPRS p. ex.) 4 Adresse IP (adresse IP WAN) d'une passerelle Internet (routeur ADSL p. ex.) Configuration de nœuds VPN La zone de dialogue "Nœuds VPN" permet d'autoriser les sous-réseaux ou abonnés pour la communication via tunnel VPN. Les chapitres ci-après indiquent quels sont les abonnés et sous-réseau qui doivent être autorisés et expliquent comment les autoriser pour la communication via tunnel VPN : Configuration d'autres abonnés et sous-réseaux pour le tunnel VPN (Page 217) Configuration de noeuds de réseau interne (Page 216) Configuration des propriétés VPN spécifiques liaison Signification Tandis que les propriétés VPN spécifiques module sont configurées spécialement pour un module de sécurité, les propriétés VPN spécifiques liaison se rapportent aux liaisons VPN particulières d'un module de sécurité. Si un module de sécurité établit plusieurs liaisons par tunnel à d'autres modules de sécurité, vous pouvez spécifier à l'aide de propriétés VPN spécifiques liaison quelles liaisons seront établies à l'initiative du module de sécurité et quelles liaisons ne le seront pas. Conditions Le module de sécurité est membre d'un groupe VPN. Manuel de configuration, 09/2013, C79000-G8977-C

216 Communication sécurisée sur le VPN par tunnel IPsec 6.6 Configuration de noeuds de réseau interne Pour accéder à cette fonction 1. Sélectionnez dans le volet de navigation, le groupe VPN auquel appartient le module de sécurité à configurer. 2. Sélectionnez dans la zone de contenu le module de sécurité dont vous voulez configurer les propriétés. Vous pouvez configurer les propriétés VPN spécifiques liaison dans la fenêtre de détails. Les valeurs par défaut proviennent des propriétés VPN spécifiques module. Paramètre Paramètre Initiateur/répondeur Module partenaire Type de paquets transmis Interface locale Interface du partenaire Signification Définition de la permission d'initier l'établissement de la liaison. Affiche le nom du module partenaire. Indique sur quelle couche les paquets sont transmis. Spécification de l'interface à utiliser comme terminaison VPN sur le module de sécurité sélectionné. Si un point d'accès WAN (adresse IP / FQDN) a été configuré pour le module de sécurité, celui-ci peut également être sélectionné. Spécification de l'interface à utiliser comme terminaison VPN sur le module partenaire. Si un point d'accès WAN (adresse IP / FQDN) a été configuré pour le partenaire VPN, celui-ci peut également être sélectionné. 6.6 Configuration de noeuds de réseau interne Configuration de nœuds de réseau internes Chaque module de sécurité doit connaître tous les nœuds du réseau interne pour pouvoir vérifier l'authenticité d'un télégramme. Le module de sécurité doit connaître ses propres nœuds internes mais aussi les nœuds internes des modules de sécurité du groupe VPN auquel il appartient. Cette information permet à un module de sécurité de déterminer les paquets de données à transmettre par un tunnel donné. SCALANCE S En plus de la configuration statique des nœuds de réseau, le module SCALANCE S en mode pont offre également la possibilité de les apprendre automatiquement. La manière de configurer les nœuds de réseau statiquement est expliquée au chapitre suivant : Configuration d'autres abonnés et sous-réseaux pour le tunnel VPN (Page 217) 216 Manuel de configuration, 09/2013, C79000-G8977-C286-02

217 Communication sécurisée sur le VPN par tunnel IPsec 6.6 Configuration de noeuds de réseau interne Vous trouverez des informations sur l'apprentissage automatique de nœuds de réseau internes au chapitre suivant : Fonctionnement du mode apprentissage (Page 219) CP x43-1 Adv. et CP 1628 CP x43-1 Adv. Spécifiez si la communication par tunnel vers le CP et/ou vers le sous-réseau interne est autorisée ou non pour les partenaires de liaison VPN en mode routage (SCALANCE S / M / appareil VPN / client VPN NCP (Android)). CP 1628 Entrez les nœuds NDIS auxquels les partenaires VPN doivent avoir accès via le tunnel en mode routage (SCALANCE S / M / appareil VPN / client VPN NCP (Android)) Configuration d'autres abonnés et sous-réseaux pour le tunnel VPN Signification Lorsque vous ajoutez un module de sécurité à un groupe VPN, les nœuds de réseau/sousréseaux internes locaux du module de sécurité sont automatiquement autorisés à communiquer par tunnel VPN. Pour leur permettre de communiquer par tunnel VPN avec d'autres sous-réseaux ou abonnées d'un autre sous-réseau, ces sous-réseaux ou abonnés doivent être autorisés par la configuration à communiquer par tunnel VPN. Un sous-réseau autorisé par la configuration peut être : un sous-réseau accessible à l'interface interne via le réseau local si un tunnel VPN se termine à l'interface externe ou à l'interface de DMZ. un sous-réseau accessible via l'interface de DMZ si un tunnel VPN se termine à l'interface externe. un sous-réseau accessible via l'interface externe si un tunnel VPN se termine à l'interface de DMZ. Manuel de configuration, 09/2013, C79000-G8977-C

218 Communication sécurisée sur le VPN par tunnel IPsec 6.6 Configuration de noeuds de réseau interne Condition Avant de pouvoir autoriser les abonnés ou sous-réseau à communiquer par tunnel, les conditions suivantes doivent être réunies : Le module de sécurité se trouve dans un groupe VPN. La zone de dialogue "Nœuds VPN" de l'onglet "VPN" n'est affichée que si le projet se trouve en mode avancé. Remarque Retour au mode standard impossible. Dès que vous avez modifié la configuration du projet actuel et que vous êtes passé au mode avancé vous ne pouvez plus l'annuler. Remède sous SCT autonome : Fermez le projet sans l'enregistrer puis rouvrez-le. Pour accéder à cette fonction - Mode pont Remarque : Si vous voulez autoriser des abonnées ou sous-réseaux connectés à l'interface de DMZ (SCALANCE S623/S627-2M uniquement), conformez-vous à la description du mode routage. 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "VPN". L'autorisation d'abonnés et de sous-réseaux se configure dans la zone de dialogue "Nœuds VPN". 3. Si vous voulez autoriser des sous-réseaux complets à communiquer par tunnel, mentionnez-les dans l'onglet "Sous-réseaux internes". Si vous voulez autoriser certains abonnés à communiquer par tunnel, mentionnez-les dans l'onglet "Nœuds IP internes" ou "Nœuds MAC internes". Remarque : Pour que les sous-réseaux mentionnés soient accessibles, ils faut qu'un routeur soit inscrit pour ceux-ci dans l'onglet "Routage". De plus, le pare-feu doit permettre de communiquer avec les abonnés. Pour accéder à cette fonction - Mode routage 1. Sélectionnez le module de sécurité à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "VPN". L'autorisation de sous-réseaux se configure dans la zone de dialogue "Nœuds VPN". 3. Dans l'onglet "Sous-réseaux accessibles par le tunnel", entrez l'id de réseau et le masque de sous-réseau que la communication du tunnel doit prendre en compte. Remarque : Pour que les sous-réseaux mentionnés soient accessibles, ils faut qu'un routeur soit inscrit pour ceux-ci dans l'onglet "Routage". De plus, le pare-feu doit permettre de communiquer avec les sous-réseaux. 218 Manuel de configuration, 09/2013, C79000-G8977-C286-02

219 Communication sécurisée sur le VPN par tunnel IPsec 6.6 Configuration de noeuds de réseau interne Fonctionnement du mode apprentissage Recherche automatique des partenaires de la communication par tunnel (pour SCALANCE S en mode pont uniquement) Le fait que les modules SCALANCE S soient en mesure d'identifier automatiquement les partenaires du réseau interne présente un gros avantage pour la configuration et l'exploitation de la communication par tunnel. Vous n'êtes par conséquent pas obligé de configurer manuellement tous les nœuds de réseau internes que vous souhaitez faire participer à la communication par tunnel. Les nouveaux partenaires sont identifiés par le module SCALANCE S en cours de fonctionnement. Les partenaires identifiés sont signalés au module SCALANCE S appartenant au même groupe. L'échange de données au sein des tunnels d'un groupe VPN est de ce fait toujours possible dans les deux directions. Conditions Partenaires identifiables : Nœuds de réseau compatibles IP Les nœuds de réseau compatibles IP sont détectés s'ils émettent une réponse ICMP à un télégramme broadcast ICMP du sous-réseau. Les nœuds IP en aval de routeurs sont détectables si les routeurs font transiter les télégrammes broadcast ICMP. Nœuds de réseau ISO Les nœuds de réseau qui ne sont pas compatibles IP, mais accessibles via protocole ISO, sont également appris. Ceci présuppose cependant qu'ils répondent aux télégrammes XID ou TEST. TEST et XID (Exchange Identification) sont des protocoles auxiliaires pour l'échange d'informations au niveau couche 2. Ces nœuds de réseau peuvent être trouvés par l'émission de ces télégrammes avec une adresse broadcast. Nœuds PROFINET DCP (Discovery and basic Configuration Protocol) permet de trouver les nœuds PROFINET. Manuel de configuration, 09/2013, C79000-G8977-C

220 Communication sécurisée sur le VPN par tunnel IPsec 6.6 Configuration de noeuds de réseau interne Les nœuds de réseau qui ne remplissent pas ces conditions, doivent en revanche être configurés statiquement. Remarque Pas de mode apprentissage en cas de tunnel VPN connecté à l'interface de DMZ L'apprentissage de nœuds internes n'est pris en charge que sur les interfaces connectées en mode pont. L'interface de DMZ est toujours connectée en mode routage. Pour accéder à la fonction 1. Sélectionnez le module SCALANCE S à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "VPN". Quand est-il utile de désactiver la fonction d'apprentissage automatique? Le paramétrage par défaut du module de sécurité présuppose que les réseaux internes soient toujours sûrs ; c.-à-d. que normalement aucun nœud n'est connecté au réseau interne s'il n'est pas digne de confiance. La désactivation du mode apprentissage est utile si le réseau interne est statique, c.-à-d. si le nombre de nœuds internes et leur adresse ne changent pas. La désactivation du mode apprentissage réduit par ailleurs le trafic sur les supports de transmission et les nœuds de réseau du fait de l'absence des télégrammes d'apprentissage. N'ayant plus à traiter les télégrammes d'apprentissage, le module SCALANCE S devient également plus performant. 220 Manuel de configuration, 09/2013, C79000-G8977-C286-02

221 Communication sécurisée sur le VPN par tunnel IPsec 6.6 Configuration de noeuds de réseau interne Remarque : En mode apprentissage, tous les nœuds du réseau interne sont pris en compte. Les indications de capacités fonctionnelles VPN ne se rapportent qu'aux nœuds de réseau qui communiquent sur le réseau interne via VPN. Remarque Si vous exploitez plus de 128 nœuds internes dans le réseau interne, vous dépassez la capacité fonctionnelle admissible et générez un état de fonctionnement non admissible. En raison de la dynamique du trafic sur le réseau, des nœuds internes déjà appris sont remplacés par de nouveaux nœuds pas encore connus jusque-là. Nœuds de réseau non-apprenables Il existe des partenaires sur le réseau interne qui ne peuvent pas être appris. Il s'agit ici d'abonnés de sous-réseaux connectés au réseau local interne du module SCALANCE S (en aval de routeurs p. ex.). Ces sous-réseaux également ne peuvent pas être appris. Les abonnés et sous-réseaux non-apprenables doivent être configurés statiquement en mode avancé. Remarque Retour au mode standard impossible. Dès que vous avez modifié la configuration du projet actuel et que vous êtes passé au mode avancé vous ne pouvez plus l'annuler. Remède sous SCT autonome : Fermez le projet sans l'enregistrer puis rouvrez-le Affichage des noeuds de réseau interne détectés Tous les nœuds de réseau trouvés sont affichés dans Security Configuration Tool. 1. Passez en mode "En ligne". 2. Sélectionnez la commande de menu "Edition" > "Diagnostic en ligne...", onglet "Nœuds internes". Résultat : Les nœuds de réseau internes trouvés sont affichés. Manuel de configuration, 09/2013, C79000-G8977-C

222 Communication sécurisée sur le VPN par tunnel IPsec 6.6 Configuration de noeuds de réseau interne 222 Manuel de configuration, 09/2013, C79000-G8977-C286-02

223 Redondance de routeur et de pare-feu Présentation Signification La redondance de routeur et de pare-feu permet de compenser automatiquement en fonctionnement une défaillance des modules de sécurité SCALANCE S623 V4 et SCALANCE S627-2M V4. Vous regroupez ici deux modules de sécurité de type SCALANCE S623 ou SCALANCE S627-2M dans une relation de redondance et définissez le module de sécurité de la relation de redondance qui sera actif en fonctionnement normal. En cas de défaillance du module de sécurité ses fonctions de pare-feu et de routeur (NAT/NATP) sont automatiquement relayées par le module de sécurité passif. Pour assurer la configuration identique des deux modules de sécurité, ceux-ci sont interconnectés par leurs interfaces de DMZ, leurs configurations étant synchronisées durant le fonctionnement. Redondance d'adresse Les deux modules de sécurité se partagent à l'interface externe et à l'interface interne une adresse IP commune afin, qu'en cas de défaillance d'un module de sécurité, aucune modification des adresses IP ne soit nécessaire. Vous devez par conséquent configurer une adresse IP pour les interfaces externe et interne de la relation de redondance. Configuration de relations de redondance et des modules de sécurité liés Les modules de sécurités ayant été liés par une relation de redondance, une partie des propriétés des modules est configurée exclusivement via la relation de redondance. Cette partie des propriétés des modules est désactivée sur les modules de sécurité et ne sera de nouveau activée et éditable qu'après suppression des modules de sécurité de la relation de redondance. Les propriétés suivantes sont configurées via la relation de redondance : Paramètres de base de la relation de redondance (paramètres de réseau, module primaire) Pare-feu Routage Routage NAT/NAPT (pas de NAT 1 pour 1) Les paramètres mentionnés ci-après restent actifs pour les modules de sécurité même après leur intégration à la relation de redondance. Ces paramètres peuvent encore être adaptés individuellement sur les deux modules de sécurité. Paramètres d'interface (il n'est pas possible de désactiver les interfaces) Règles par défaut des services IP (pare-feu) DDNS Synchronisation d'horloge Manuel de configuration, 09/2013, C79000-G8977-C

224 Redondance de routeur et de pare-feu 7.2 Création d'une relation de redondance et affectation de modules de sécurité Paramètres de journal SNMP MRP/HRP RADIUS 7.2 Création d'une relation de redondance et affectation de modules de sécurité Conditions Vous ne pouvez affecter à une relation de redondance que des modules de sécurité qui remplissent les conditions suivantes : le module de sécurité est de type "S623 V4" ou "S627-2M V4" le module de sécurité est en mode routage. toutes les interfaces du module de sécurité sont actives la méthode d'attribution d'adresse IP "Adresse statique" est configurée pour toutes les interfaces le module de sécurité n'est pas membre d'un groupe VPN le module de sécurité n'est pas affecté à une autre relation de redondance Marche à suivre 1. Sélectionnez dans le volet de navigation l'objet "Relations de redondance". 2. Dans le menu contextuel (bouton droit de la souris) de l'objet sélectionnez la commande de menu "Ajouter relation de redondance...". Résultat : La relation de redondance créée est affichée dans le volet de navigation. 224 Manuel de configuration, 09/2013, C79000-G8977-C286-02

225 Redondance de routeur et de pare-feu 7.3 Configuration de relations de redondance 3. Affectez les modules de sécurité à la relation de redondance en les sélectionnant dans la zone de contenu et en les tirant sur la relation de redondance créée dans le volet de navigation (glisser-déposer). 4. Dans le dialogue "Configuration de la relation de redondance" vous disposez des options suivantes de configuration de la relation de redondance : application de la configuration des onglets "Pare-feu", "Routage" ainsi que "NAT/NAPT" d'un module de sécurité pour la relation de redondance. Dans la zone de liste déroulante, vous pouvez sélectionner le module de sécurité dont vous voulez utiliser la configuration dans la relation de redondance. La configuration existante de la relation de redondance est alors écrasée. génération d'une copie du module de sécurité affecté au sein de la relation de redondance. Ceci n'est possible qui si un seul module de sécurité a été affecté à la relation de redondance créée. Vous pouvez sinon configurer également la relation de redondance ultérieurement à l'aide des propriétés de la relation de redondance, voir chapitre : Configuration de relations de redondance (Page 225) Résultat : vous avez créé une relation de redondance et lui avez affecté les modules de sécurité voulus. 7.3 Configuration de relations de redondance Pour accéder à cette fonction Sélectionnez la relation de redondance dans le volet de navigation puis la commande de menu "Edition" > "Propriétés...". Configuration des paramètres de réseau de la relation de redondance Tableau 7-1 Paramètres de l'onglet "Paramètres de base" Paramètre configurable Module primaire Adresse IP Masque de sous-réseau Commentaire Signification Sélection du module de sécurité qui sera le module de sécurité actif en fonctionnement normal. Adresse IP virtuelle des interfaces externe et interne de la relation de redondance Masque de sous-réseau des interfaces externe et interne virtuelles de la relation de redondance Commentaire facultatif Vous trouverez des informations générales sur la configuration de paramètres de réseau au chapitre suivant : Création de modules et définition des paramètres de réseau (Page 91) Manuel de configuration, 09/2013, C79000-G8977-C

226 Redondance de routeur et de pare-feu 7.3 Configuration de relations de redondance Configuration du pare-feu La configuration de règles IP de filtrage de paquets pour relations de redondance s'effectue selon le même schéma que la configuration de règles IP de filtrage de paquets pour modules de sécurité. Les directions de communication disponibles sont "d'externe vers interne" et "d'interne vers externe". Vous trouverez des informations générales sur la configuration de règles IP de filtrage de paquets en mode avancé au chapitre suivant : Règles de filtrage de paquets IP (Page 149) Configuration de la translation d'adresse avec NAT/NAPT La configuration de la translation d'adresse avec NAT/NAPT pour la relation de redondance s'effectue selon le même schéma que la configuration de la translation d'adresse avec NAT/NAPT pour modules de sécurité. Seule la translation NAT et NAPT de source est configurable pour des relations de redondance. Dans le cas de la NAT de source, les adresses IP source du sous-réseau interne peuvent être uniquement remplacées par l'adresse IP externe virtuelle de la relation de redondance. Il n'est pas possible d'enregistrer des adresse IP alias sur l'interface externe de la relation de redondance. En cas de NAPT, seule la direction de translation d'adresse "externe vers interne" est configurable. Vous trouverez des informations générales sur la configuration de translations d'adresse avec NAT/NAPT au chapitre suivant : Translation d'adresses avec NAT/NAPT (Page 174) Configuration du routage La configuration de routes pour la relation de redondance s'effectue selon le même schéma que la configuration de routes pour modules de sécurité. Vous trouverez des informations générales sur le routage au chapitre suivant : Définition du routeur par défaut et des routes (Page 170) Voir aussi Règles de filtrage de paquets MAC (Page 159) 226 Manuel de configuration, 09/2013, C79000-G8977-C286-02

227 SOFTNET Security Client 8 Le logiciel SOFTNET Security Client, fonctionnant sur PC, permet à la PG/au PC d'accéder en toute sécurité via les réseaux publics à des automates programmables protégés par des modules de sécurité. Ce chapitre indique comment configurer le SOFTNET Security Client avec le logiciel Security Configuration Tool et comment le mettre ensuite en service sur le PC/la PG. Informations complémentaires Vous trouverez par ailleurs des informations détaillées sur les dialogues et paramètres dans l'aide en ligne du SOFTNET Security Client. Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Help" de la boîte de dialogue en question. Voir aussi Communication sécurisée sur le VPN par tunnel IPsec (Page 197) 8.1 Mise en oeuvre du SOFTNET Security Client Domaine de mise en œuvre - Accès via VPN SOFTNET Security Client configure automatiquement un PC/une PG de sorte qu'il puisse établir automatiquement une connexion sécurisée via tunnel IPsec dans le VPN (Virtual Private Network) à un ou plusieurs modules de sécurité. Ceci permet à des applications de PG/PC telles que Diagnostic NCM ou STEP 7, d'accéder par tunnelage sécurisé à des appareils ou réseaux se trouvant dans un réseau interne protégé par le module de sécurité. Manuel de configuration, 09/2013, C79000-G8977-C

228 SOFTNET Security Client 8.1 Mise en oeuvre du SOFTNET Security Client Communication automatique via VPN L'important pour votre application est que le SOFTNET Security Client détecte un accès à l'adresse IP d'un abonné du VPN. Vous accédez à l'abonné simplement par l'adresse IP comme s'il se trouvait dans le sous-réseau local auquel est également connecté le PC/la PG sur lequel(laquelle) tourne l'application. Remarque Le tunnel IPsec autorise uniquement une communication basée IP entre le SSC et les modules de sécurité ainsi qu'avec les abonnées internes en aval des modules de sécurité. Le SSC n'autorise pas de communication de couche 2. Utilisation Le logiciel de PC SOFTNET Security Client sert à configurer les propriétés de sécurité nécessaires à la communication avec les appareils protégés par des modules de sécurité. Après configuration, le SOFTNET Security Client fonctionne en arrière-plan, ce qui est indiqué par l'icône dans la barre d'outils de votre PG/PC. Détails de l'aide en ligne Vous trouverez par ailleurs des informations détaillées sur les dialogues et champs de saisie dans l'aide en ligne de l'interface utilisateur du SOFTNET Security Client. Vous accédez à l'aide en ligne au moyen du bouton "Help" ou de la touche F Manuel de configuration, 09/2013, C79000-G8977-C286-02

229 SOFTNET Security Client 8.1 Mise en oeuvre du SOFTNET Security Client Comment fonctionne le SOFTNET Security Client? Le SOFTNET Security Client lit la configuration réalisée au moyen de l'outil de configuration Security Configuration Tool et recherche le cas échéant dans le fichier les certificats à importer. Le certificat racine et les clés privées sont importés et enregistrés sur la PG/le PC local. Les données sont ensuite utilisées pour configurer les paramètres de sécurité afin que les applications puissent accéder via des adresses IP à des services sur et en aval des modules de sécurité. Si le mode d'apprentissage des abonnés internes ou automates programmables est activé, le module de configuration crée d'abord une stratégie de sécurité pour l'accès sécurisé aux modules de sécurité. Le SOFTNET Security Client détermine ensuite les adresses IP des abonnées internes et les inscrits dans des listes de filtrage particulières de la stratégie de sécurité. Résultat : Les applications telles que STEP 7 communiquent avec les automates programmables via VPN. Remarque Sur un système Windows, les stratégies de sécurité IP sont spécifiques à un utilisateur. A chaque utilisateur correspond une seule stratégie de sécurité IP. Si vous ne voulez pas qu'une stratégie de sécurité IP soit écrasée par l'installation du SOFTNET Security Client, installez et utilisez le SOFTNET Security Client sous un utilisateur que vous avez spécialement créé dans ce but. Systèmes d exploitation pris en charge Le SOFTNET Security Client est compatible avec les systèmes d'exploitation suivants : Microsoft Windows XP 32 bits + Service Pack 3 Microsoft Windows 7 Professionnel 32/64 bits Microsoft Windows 7 Professionnel 32/64 bits + Service Pack 1 Microsoft Windows 7 Intégrale 32/64 bits Microsoft Windows 7 Intégrale 32/64 bits + Service Pack 1 Comportement en cas de dysfonctionnements En cas de dysfonctionnements sur votre PG/PC, SOFTNET Security Client se comporte comme suit : Les stratégies de sécurité définies sont conservées même après arrêt et redémarrage de votre PG/PC ; Des messages sont émis en cas de configuration erronée. Manuel de configuration, 09/2013, C79000-G8977-C

230 SOFTNET Security Client 8.2 Installation et mise en service du SOFTNET Security Client 8.2 Installation et mise en service du SOFTNET Security Client Installation et démarrage du SOFTNET Security Client Installez le logiciel de PC SOFTNET Security Client à partir du DVD de produit. 1. Lisez d'abord les informations du fichier README sur le DVD SCALANCE S et tenez compte d'éventuelles instructions d'installation complémentaires. 2. Exécutez le programme Setup ; Pour ce faire, ouvrez simplement le sommaire de votre DVD SCALANCE S il s'ouvre automatiquement lors de l'introduction du DVD dans le lecteur mais vous pouvez également y accéder en ouvrant le fichier start.exe. Sélectionnez ensuite directement l'entrée "Installation SOFTNET Security Client" Après installation et démarrage de SOFTNET Security Client, l'icône de SOFTNET Security Client s'affiche dans la barre des tâches Windows : IMPORTANT Incompatibilité avec d'autres logiciels client VPN Si un autre logiciel client VPN est installé sur votre PC, en plus de SOFTNET Security Client, il se peut que vous ne puissiez plus établir de tunnel VPN avec SOFTNET Security Client. Le cas échéant, désinstallez d'abord le logiciel client VPN en question avant d'utiliser SOFTNET Security Client. Configuration de SOFTNET Security Client Une fois activées, les principales fonctions sont exécutées en tâche de fond sur votre PG/PC. La configuration de SOFTNET Security Client s'effectue comme suit : 230 Manuel de configuration, 09/2013, C79000-G8977-C286-02

231 SOFTNET Security Client 8.3 Création du fichier de configuration avec l'outil de configuration Security Configuration Tool Exportation d'une configuration de sécurité de l'outil de configuration Security Configuration Tool. Importation de la configuration de sécurité sur l'interface utilisateur locale, comme indiqué au sous-chapitre suivant. Comportement au démarrage Le chargement des règles de sécurité peut prendre un certain temps. L'utilisation de la capacité de la CPU de la PG/du PC pourra atteindre pendant ce temps jusqu'à 100%. Fermeture de SOFTNET Security Client Pour fermer SOFTNET Security Client : cliquez avec le bouton droit de la souris sur l'icône de SOFTNET Security Client puis sélectionnez l'option "Fermer SOFTNET Security Client". Cliquez dans la boîte qui s'ouvre sur le bouton "Fermer". Résultat : SOFTNET Security Client est fermé et la stratégie de sécurité est désactivée Désinstallation du SOFTNET Security Client Lors de la désinstallation, les propriétés de sécurité paramétrées par le SOFTNET Security Client, sont annulées. 8.3 Création du fichier de configuration avec l'outil de configuration Security Configuration Tool Configuration de SOFTNET Security Client dans le projet SCT SOFTNET Security Client est créé dans le projet sous forme de module. Contrairement aux autres modules de sécurité, il n'y pas d'autres propriétés à configurer. Il suffit d'affecter le SOFTNET Security Client créé au(x) groupe(s) VPN dans le(s)quel(s) des tunnels IPsec doivent être créés vers la PG/le PC. Les propriétés de groupe que vous avez configurées pour ce groupe VPN sont appliquées. Remarque Tenez compte des informations à propos des paramètres dans le chapitre suivant : Ajout d'un module de sécurité à un groupe VPN configuré (Page 209) Manuel de configuration, 09/2013, C79000-G8977-C

232 SOFTNET Security Client 8.3 Création du fichier de configuration avec l'outil de configuration Security Configuration Tool Remarque Si vous créez plusieurs SOFTNET Security Clients au sein d'un groupe VPN, les tunnels ne sont pas établis entre ces clients mais uniquement de chaque client vers les modules de sécurité. Fichiers de configuration pour le SOFTNET Security Client L'interface entre l'outil de configuration Security Configuration Tool et le SOFTNET Security Client est commandées par des fichiers de configuration. La configuration est enregistrée dans les types de fichier suivants : *.dat *.p12 *.cer 232 Manuel de configuration, 09/2013, C79000-G8977-C286-02

233 SOFTNET Security Client 8.3 Création du fichier de configuration avec l'outil de configuration Security Configuration Tool Marche à suivre Pour générer les fichiers de configuration, exécutez sous SCT les opérations suivantes : 1. Créez d'abord sous SCT un module du type SOFTNET Security Client. 2. Affectez le module SSC aux groupes VPN dans lesquels la PG/le PC communiquera via des tunnels IPsec. 3. Sélectionnez la commande de menu "Projet" > "Enregistrer". 4. Sélectionnez le module de type "SOFTNET Security Client" puis choisissez la commande de menu "Transférer" > "Au(x) module(s)...". 5. Sélectionnez l'emplacement d'enregistrement des fichiers de configuration. 6. Si vous avez choisi la méthode d'authentification "Certificate", entrez un mot de passe pour le certificat de la configuration VPN. Si vous n'attribuez pas de mot de passe, le nom de projet (et non le mot de passe de l'utilisateur connecté) sera utilisé comme mot de passe. Résultat : L'exportation des fichiers de configuration est alors terminée. 7. Transférez les fichiers de type *.dat, *.p12, *.cer sur la PG/le PC sur laquelle(lequel) vous voulez utiliser le SOFTNET Security Client. Manuel de configuration, 09/2013, C79000-G8977-C

234 SOFTNET Security Client 8.4 Utilisation du SOFTNET Security Client 8.4 Utilisation du SOFTNET Security Client Propriétés configurables Vous pouvez utiliser les services suivants : Configuration d'une communication sécurisée par tunnel IPsec (VPN) entre le PC/la PG et tous les modules de sécurité ou certains modules de sécurité d'un projet ou de plusieurs projets. Ces tunnels IPsec permettent au PC/à la PG d'accéder au module de sécurité et aux nœuds internes du module de sécurité. Désactivation et activation de connexions sécurisées déjà configurées. Configuration de connexions sur équipements terminaux rajoutés ultérieurement Il faut pour ce faire que le mode d'apprentissage soit activé. Contrôle d'une configuration, pour savoir quelles connexions sont configurées ou possibles. Pour ouvrir le SOFTNET Security Client à des fins de configuration Double-cliquez sur l'icône de la barre de tâches Windows ou sélectionnez dans le menu contextuel l'option "Open SOFTNET Security Client". 234 Manuel de configuration, 09/2013, C79000-G8977-C286-02

235 SOFTNET Security Client 8.4 Utilisation du SOFTNET Security Client Les boutons permettent d'accéder aux fonctions suivantes : Bouton Chargement de la configuration Tunnel Overview Disable Minimize Quit Signification Dialogue de sélection d'un fichier de configuration pour importation Sélectionnez un fichier puis cliquez sur le bouton "Open". Résultat : La configuration est lue. La boîte de dialogue vous demande de spécifier s'il faut configurer immédiatement des tunnels pour tous les modules de sécurité. Les tunnels vers les adresses IP des modules de sécurité figurant dans la configuration sont immédiatement établis. Cette méthode est rapide et efficace notamment pour les grosses configurations. Facultativement, vous pouvez configurer tous les tunnels manuellement via le menu contextuel, dans le dialogue "Tunnel Overview". Remarque : Vous pouvez importer successivement les fichiers de configuration de plusieurs projets réalisés avec SCT (voir aussi les explications ci-après à propos de la marche à suivre). Dialogue de configuration et d'édition des tunnels ainsi que de diagnostic de l'état des tunnels Ce dialogue permet de réaliser la configuration proprement dites du SOFTNET Security Client. Une liste des tunnels sécurisés et des adresses IP des modules de sécurité s'affiche. L'icône de chaque entrée de la liste permet de déterminer l'état du tunnel du module de sécurité en question. Le menu contextuel permet d'activer / désactiver les tunnels, de les tester et de supprimer l'entrée de la liste. Si votre PG/PC est équipé de plusieurs cartes de réseau, SOFTNET Security Client sélectionne automatiquement celle qui tente d'établir un tunnel. SOFTNET Security Client n'a éventuellement pas trouvé de carte adaptée à votre abonné et a entré une carte quelconque. Dans ce cas, adaptez manuellement le paramétrage de la carte réseau à l'aide du dialogue "Network Device". Ce dialogue s'ouvre à l'aide de l'entrée "Select Network Device" du menu contextuel des abonnés et modules de sécurité. Tous les tunnels sécurisés sont désactivés. L'interface utilisateur du SOFTNET Security Client est fermée. L'icône du SOFTNET Security Client est toujours affichée dans la barre des tâches de Windows. SOFTNET Security Client est fermé et tous les tunnels sont désactivés. Manuel de configuration, 09/2013, C79000-G8977-C

236 SOFTNET Security Client 8.5 Configuration et édition de tunnels Bouton Help Info Signification Appel de l'aide en ligne. Informations sur la version du SOFTNET Security Client Details : Liste de tous les fichiers nécessaires au fonctionnement du SOFTNET Security Client avec messages indiquant si ces derniers ont été trouvés sur le système. 8.5 Configuration et édition de tunnels Configuration de connexions sécurisées à tous les modules de sécurité Dans la boîte de dialogue d'importation de la configuration, vous pouvez spécifier la configuration immédiate de la liaison par tunnel pour tous les abonnés internes du module de sécurité. Il en découle les options suivantes : "Oui" - Activation automatique des tunnels Les tunnels vers les adresses IP des modules de sécurité figurant dans la configuration sont établis. "Non" - Lire uniquement la configuration des tunnels Cette option permet de lire seulement les tunnels configurés pour configurer ensuite individuellement les tunnels dans le dialogue "Tunnel Overview". 236 Manuel de configuration, 09/2013, C79000-G8977-C286-02

237 SOFTNET Security Client 8.5 Configuration et édition de tunnels Pour configurer les connexions par tunnel 1. Cliquez sur le bouton "Load Configuration Data" pour ouvrir le dialogue d'importation du fichier de configuration. 2. Sélectionnez le fichier de configuration créé sous SCT (format de fichier ".dat"). Vous pouvez charger les données de configuration de plusieurs projets. Si le SOFTNET Security Client contient déjà des données de configuration, sélectionnez l'une des options suivantes : "deleted" : seules les dernières données de configuration chargées sont disponibles. "imported and replaced" : est utile lorsque les données de configuration ont été modifiées, par exemple lorsque la configuration a du projet a été modifiée tandis que les données de configuration des projets b et c sont restées inchangées et que les données de configuration modifiées sont remplacées dans le projet a. "not imported" : est utile lorsqu'un module de sécurité a été ajouté à un projet. La configuration SSC existante avec les modules de sécurité déjà importés n'est pas modifiée, les nœuds internes appris étant perdus en cas de choix d'une autre option. 3. Si vous avez choisi sous SCT la méthode d'authentification "Certificat", entrez le mot de passe. Si vous avez choisi la méthode d'authentification "Certificate", entrez un mot de passe pour le certificat de la configuration VPN. Si vous n'avez pas attribué de mot de passe sous SCT, le nom de projet (et non le mot de passe de projet de l'utilisateur connecté) sera utilisé comme mot de passe. 4. Si vous avez configuré un module SCALANCE M87x, un module SCALANCE MD874x ou un CP S7 avec DHCP activé à l'interface Gbit dans Security Configuration Tool, la boîte de dialogue "IP/DNS Settings" s'affiche. Procédez, selon le type de module configuré, comme suit : Pour les modules SCALANCE M87x et modules SCALANCE M874x : Spécifiez si vous voulez établir le tunnel vers le module avec l'adresse IP obtenue du FAI en cours de fonctionnement ou bien via un nom DNS. Pour CP S7 à DHCP activé à l'interface Gbit : Entrez l'adresse IP fournie par DHCP. Manuel de configuration, 09/2013, C79000-G8977-C

238 SOFTNET Security Client 8.5 Configuration et édition de tunnels 5. Spécifiez si les liaisons par tunnel doivent à présent être activées ou non pour les abonnés internes du module de sécurité. Si vous n'activez pas les connexions ici, vous pourrez le faire à tout moment dans le dialogue "Tunnels Overview" décrit ci-après. Si vous avez opté pour l'activation des connexions par tunnel, les connexions par tunnel entre le SOFTNET Security Client et les modules de sécurité sont établies. Ceci peut prendre un certain temps. 6. Ouvrez à présent le dialogue "Tunnel Overview". Le tableau affiche les modules de sécurité et abonnés internes avec des informations sur l'état des connexions par tunnel. 238 Manuel de configuration, 09/2013, C79000-G8977-C286-02

239 SOFTNET Security Client 8.5 Configuration et édition de tunnels 7. Si des nœuds ou abonnés ne sont pas affichés dans le tableau, lancez une commande ping à l'adresse du nœud manquant. Résultat : Le nœud est appris par le module de sécurité et transmis au SOFTNET Security Client. S'il n'est pas appris, configurez le nœud ou l'abonné statiquement dans l'onglet VPN. Remarque : Si le dialogue est fermé pendant que le abonné est enregistré, il s'ouvre automatiquement. Cette fonction peut être désactivée sous "Options" > "Settings". Remarque Abonnés et sous-réseaux configurés statiquement Si vous configurez ultérieurement des abonnés ou sous-réseaux statiquement, vous devrez également charger à nouveau la configuration du SOFTNET Security Client utilisé dans le groupe VPN. 8. Activez les abonnés qui ne sont pas encore reliés par une connexion par tunnel. Après connexion, démarrez l'application qui doit établir une liaison de communication à l'un des abonnés, STEP 7 par ex. Remarque Si la PG/le PC est équipé(e) de plusieurs cartes réseau, le SCC sélectionne automatiquement la carte réseau permettant d'établir un tunnel. Il se peut que ce ne soit pas la carte réseau souhaitée. En l'absence de carte appropriée dans le projet, le SCC en inscrit une automatiquement. Adaptez le cas échéant les paramètres de la carte réseau aux abonnés et modules de sécurité dans le dialogue "Tunnel Overview" ouvert à l'aide du menu contextuel. Signification des paramètres Tableau 8-1 Paramètres dans la zone de dialogue "Tunnel Overview" Paramètre Status Nom IP address int. / Subnet Tunnel endpoint IP Tunnel over.. Signification / Plage de valeurs La signification des indications d'état possibles figurent dans le tableau ci-après. Nom du module ou de l'abonné repris de la configuration SCT. En présence d'abonnés internes / sous-réseaux, l'adresse IP du nœud interne et l'identificateur du sous-réseau interne sont affichés. Adresse IP du module de sécurité affecté. Si le PC est utilisé avec plusieurs cartes de réseau, l'adresse IP affichée est celle par laquelle le tunnel VPN est établi. Manuel de configuration, 09/2013, C79000-G8977-C

240 SOFTNET Security Client 8.5 Configuration et édition de tunnels Tableau 8-2 Indications d'état* Icône Signification Aucune connexion n'est établie au module de sécurité ou à l'abonné. Il existe d'autres abonnés que ne sont pas affichés. Double-cliquez sur l'icône pour afficher d'autres abonnés. Tunnel vers abonné désactivé. Aucune stratégie de sécurité IP dans le système. La communication vers cet abonné n'est pas cryptée. Tunnel vers abonné activé. Une stratégie de sécurité IP existe dans le système. La communication avec cet abonné est cryptée et donc sécurisée. Tunnel vers module SCALANCE S désactivé. Aucune stratégie de sécurité IP dans le système. Vous communiquez en non codé vers ce module de sécurité. Tunnel vers module SCALANCE S activé. Une stratégie de sécurité IP existe dans le système. La communication avec ce module de sécurité est cryptée et donc sécurisée. Tunnel vers module SCALANCE M désactivé. Aucune stratégie de sécurité IP dans le système. Vous communiquez en non codé vers ce module de sécurité. Tunnel vers module SCALANCE M activé. Une stratégie de sécurité IP existe dans le système. La communication avec ce module de sécurité est cryptée et donc sécurisée. Tunnel vers CP343-1 Advanced désactivé. Aucune stratégie de sécurité IP dans le système. Vous communiquez en non codé vers ce CP. Tunnel vers CP343-1 Advanced activé. Une stratégie de sécurité IP existe dans le système. La communication avec ce CP est cryptée et donc sécurisée. Tunnel vers CP443-1 Advanced désactivé. Aucune stratégie de sécurité IP dans le système. Vous communiquez en non codé vers ce CP. Tunnel vers CP443-1 Advanced activé. Une stratégie de sécurité IP existe dans le système. La communication avec ce CP est cryptée et donc sécurisée. Tunnel vers CP1628 désactivé. Aucune stratégie de sécurité IP dans le système. Vous communiquez en non codé vers ce CP. Tunnel vers CP1628 activé. Une stratégie de sécurité IP existe dans le système. La communication avec ce CP est cryptée et donc sécurisée. Le tunnel vers le sous-réseau interne est désactivé. Aucune stratégie de sécurité IP dans le système. La communication avec ce sous-réseau n'est pas cryptée. Le tunnel vers le sous-réseau interne est activé. Une stratégie de sécurité IP existe dans le système. La communication avec ce sous-réseau est cryptée et donc sécurisée. Le module / abonné n'est pas accessible. Le module / abonné est accessible, le tunnel vers le module / abonné est cependant désactivé. Aucune stratégie de sécurité IP dans le système. Vous communiquez en non codé vers de module / cet abonné. Le module / abonné est accessible, le tunnel vers le module / abonné est activé. Test d'accessibilité désactivé. Il n'est pas possible de se prononcer sur l'accessibilité du module /de l'abonné. * Le tableau est valable pour Windows XP. Sous Windows 7, le tableau est valable si le pare-feu Windows est activé. 240 Manuel de configuration, 09/2013, C79000-G8977-C286-02

241 SOFTNET Security Client 8.5 Configuration et édition de tunnels Eléments de commande du dialogue "Tunnel Overview" Elément de commande Case à cocher "Enable active learning" Bouton "Delete All" Bouton "Clear all" Signification Si dans la configuration des modules de sécurité, le mode d'apprentissage est activé, il peut l'être également pour le SOFTNET Security Client. Vous obtenez ainsi automatiquement des informations sur les abonnés internes du module de sécurité dans Tunnel Overview. La zone de liste déroulante "Learning internal nodes" est sinon désactivée et Tunnel Overview n'affiche pas d'informations sur les abonnés internes des modules de sécurité. La stratégie de sécurité IP des entrées qui ont été configurées via SSC est supprimée. Supprime toutes les entrées de la console de journal Sélection et commande de l'entrée de tunnel - Options du menu contextuel Sélectionnez une entrée du dialogue "Tunnel Overview" et ouvrez d'autres options à l'aide du menu contextuel. Manuel de configuration, 09/2013, C79000-G8977-C

242 SOFTNET Security Client 8.5 Configuration et édition de tunnels Commande de menu Enable all members / Disable all members Select Network Device Test Tunnel Advanced Module Diagnostics Change IP Address/DNS Name (uniquement pour SCALANCE M) Delete Entry Signification Vous pouvez désactiver des connexions sécurisées déjà configurées au moyen du bouton de l'entrée "Disable all members". Résultat : Sur le PC, la stratégie de sécurité est désactivée. Pour annuler la modification et activer de nouveau les tunnels, cliquez sur l'entrée "Enable all members". La commande de menu "Select Network Device" du menu contextuel permet de sélectionner pour chaque module de sécurité une carte de réseau via laquelle le tunnel sera créé. Test de la liaison par tunnel. Ouvre le dialogue "Advanced Module Diagnostics". Modification de l'adresse IP ou du nom DNS de l'entrée sélectionnée. La stratégie de sécurité de l'entrée sélectionnée est supprimée. Remarque Extension de la stratégie de sécurité lors de l'activation d'abonnés internes Veillez ce que la stratégie de sécurité soit respectivement étendue au système lors de chaque activation des abonnés internes. Une désactivation de l'ensemble du système (via le menu contextuel du SCALANCE S supérieur) ne provoque cependant pas une adaptation de la stratégie de sécurité, mais seulement sa désactivation. La stratégie de sécurité globale désactivée est ainsi toujours activée en plus de l'abonné interne lors de l'activation d'un abonné interne. Si vous voulez être sûr que la stratégie de sécurité mise en œuvre se rapporte complètement aux abonnés activés par vos soins, fermez SOFTNET Security Client puis ouvrez-le de nouveau. Diagnostic de module avancé Pour lancer le diagnostic de module avancé, sélectionnez la commande "Advanced Module Diagnostics" du menu contextuel de l'entrée. Vous pouvez également ouvrir le dialogue par la commande de menu "Options" > "Advanced Module Diagnostics" dans la fenêtre principale du SOFTNET Security Client. Cet affichage sert uniquement à diagnostiquer l'état du système en relation avec les modules de sécurité configurés et peut être utile lors de consultations du Customer Support. Module / CP SCALANCE S / MD74x Permet de sélectionner le module de sécurité pour lequel vous voulez diagnostiquer l'état du système. Remarque : Tous les modules de sécurité lus dans la configuration sont sélectionnables. Routing settings (module-specific parameters) Affiche les paramètres d'interface et de nœuds internes/sous-réseaux déterminé à partir de la configuration. 242 Manuel de configuration, 09/2013, C79000-G8977-C286-02

243 SOFTNET Security Client 8.5 Configuration et édition de tunnels Active main modes / active quick modes Si vous avez configuré des main modes et quick modes pour le module sélectionné sur la PG/le PC, les détails associés sont affichés ici. L'écran affiche en outre le nombre total de main modes ou quick modes trouvés sur le système en fonction du module sélectionné. Routing settings (network settings of the computer) Affiche les paramètres de routage actuels de l'ordinateur. L'option "Show all routing settings" fournit des informations de routage additionnelles. Assigned IP addresses Liste des interfaces de réseau, connues de l'ordinateur, mentionnant les adresses IP configurées ou affectées. Console de journal Sélectionnez dans le dialogue "Settings" les entrées à afficher dans la console de journal. Ouvrez, dans le dialogue principal du SOFTNET Security Client, l'option de menu "Options" > "Settings". Les informations suivantes sont affichées : Informations de diagnostic sur l'établissement de liaisons avec les modules de sécurité configurés et sous-réseaux / abonnés internes. Horodatage des évènements Etablissement et coupure d'une Security Association Test d'accessibilité (test ping) des abonnés configurés sanctionné négativement Download configuration files Learn/unlearn internal nodes/subnets Paramètres globaux du SOFTNET Security Client 1. Ouvrez, dans le dialogue principal du SOFTNET Security Client, l'option de menu "Options" > "Settings". 2. Définissez ici les paramètres globaux qui seront conservés après fermeture et réouverture du SOFTNET Security Client. Pour les fonctions, voir le tableau ci-dessous. Manuel de configuration, 09/2013, C79000-G8977-C

244 SOFTNET Security Client 8.5 Configuration et édition de tunnels Fonction Log file size Number of messages to be displayed in the logging console of the tunnel overview. Output the following log messages in the logging console of the tunnel overview: Description / Options Taille du fichier qui contient les messages émis par la Logging Console dans Tunnel Overview. Les données de journal étant enregistrées dans le fichier sous forme de tampon cyclique, la taille de fichier choisie détermine la durée d'enregistrement des données de journal dans le fichier. Nombre de messages extraits du fichier de journal et affichés sur la Logging Console de Tunnel Overview. Choix des messages affichés facultativement dans la Logging Console de Tunnel Overview. Display of the negative reachability test (ping) Creation/deletion of security associations (quick modes) Creation / deletion of main modes Download configuration files Learn internal nodes Log file size (debug log files) Reachability test, wait time for reply Disable reachability test globally Afficher la fenêtre Tunnel Overview au premier plan en cas de modification d'un abonné appris Taille du fichier journal des fichiers sources de messages de débogage du SOFTNET Security Client (peuvent être demandés au Customer Support pour faciliter les analyses) Temps d'attente paramétrable du ping indiquant l'accessibilité du abonné de tunnel. Doit surtout être paramétré dans le cas de tunnels établis sur des voies de transmission lentes (UMTS, GPRS, etc.) sur lesquelles les temps de propagation des paquets de données sont nettement plus longs. Il a donc une influence directe sur l'affichage de l'accessibilité dans "Tunnel Overview". Si vous activez cette fonction, le test d'accessibilité est désactivé globalement pour toutes les configurations contenues dans le SOFTNET Security Client. Avantage : Aucun volume de données additionnel n'est généré. Inconvénient : Vous n'obtenez pas dans Tunnel Overview de message en retour sur l'accessibilité ou non d'un partenaire de tunnel. Si vous activez cette fonction, le dialogue "Tunnel Overview" est affiché automatiquement dès qu'un nouvel abonné interne est détecté. 244 Manuel de configuration, 09/2013, C79000-G8977-C286-02

245 Fonctions en ligne - test, diagnostic et journalisation 9 Le module de sécurité est doté de fonctions de diagnostic et de journalisation à des fin de test et de surveillance. Fonctions de diagnostic On entent par là diverses fonctions système et fonctions de signalisation d'état utilisables en ligne. Fonctions de journalisation Il s'agit ici de l'enregistrement des événements système et de sécurité. Les événements sont enregistrés dans des zones tampons du module de sécurité ou sur un serveur Syslog. Le paramétrage et l'analyse de ces fonctions présuppose l'existence d'une connexion au module de sécurité sélectionné. Enregistrement d'événements avec les fonctions de journalisation Les évènements à enregistrer sont définis avec les paramètres de journalisation pour chaque module de sécurité. Vous pouvez configurer pour l'enregistrement les variantes suivantes : Local logging Cette variante consiste à enregistrer les évènements dans les tampons locaux du module de sécurité. Le dialogue en ligne du Security Configuration Tool vous permet d'accéder à ces enregistrements, de les visualiser et de les archiver dans la station de service. Syslog réseau Pour le réseau Syslog, utilisez un serveur Syslog connecté au réseau auquel les évènements seront envoyés. Les événements à enregistrer sont définis dans les paramètres de journalisation du module de sécurité en question. Archivage des données de journalisation et chargement à partir d'un fichier Les évènements enregistrés peuvent être sauvegardés à des fins d'archivage dans un fichier journal qui pourra aussi être ouvert hors ligne. Sélectionnez pour ce faire la commande de menu "Options" > "Fichiers journaux..." et sélectionnez le fichier journal à ouvrir à l'aide du bouton "Ouvrir...". Pour plus d'informations, reportez-vous au chapitre suivant : Vue d'ensemble des fonctions du dialogue Online (Page 247) Manuel de configuration, 09/2013, C79000-G8977-C

246 Fonctions en ligne - test, diagnostic et journalisation Diagnostic en mode fantôme Après obtention d'une adresse IP de l'abonné interne, le module de sécurité possède à l'interface externe une adresse IP qui peut être différente de l'adresse IP avec laquelle le module de sécurité a été initialement configuré. Pour pouvoir effectuer un diagnostic via l'interface externe, vous devez remplacer dans Security Configuration Tool l'adresse IP initialement configurée de l'interface externe par celle que le module de sécurité a obtenue en fonctionnement de l'abonné interne. 246 Manuel de configuration, 09/2013, C79000-G8977-C286-02

247 Fonctions en ligne - test, diagnostic et journalisation 9.1 Vue d'ensemble des fonctions du dialogue Online 9.1 Vue d'ensemble des fonctions du dialogue Online Le module de sécurité propose dans le dialogue en ligne les fonctions suivantes dans Security Configuration Tool : Tableau 9-1 Fonctions et journalisation dans le diagnostic en ligne Fonction / onglet du dialogue Online Signification Fonctions système et de signalisation d'état Etat Affichage de l'état du module de sécurité sélectionné dans le projet. Date et heure Réglage de la date et de l'heure. Paramètres d'interface Récapitulatif des paramètres des interfaces DNS dynamique Présentation des paramètres de DNS dynamique Table ARP Affichage de la table ARP du module de sécurité. Utilisateurs connectés Etat de communication Nœuds internes Affichage des utilisateurs connectés au site Internet des jeux de règles IP personnalisées. Affichage de l'état de communication et des nœuds de réseau internes de modules de sécurité qui se trouvent dans le même groupe VPN que le module de sécurité sélectionné. Affichage des nœuds internes du module de sécurité. Règles de pare-feu mises jour dynamiquement Affichage des adresses IP qui ont été autorisées dynamiquement via HTTP ou HTTPS ou chargées par l'utilisateur. L'actualisation des adresses IP dans cet onglet peut être assurée par les évènements suivants : Extension/modification de la liste de contrôle d'accès IP Actualisation des règles de pare-feu Mode fantôme Liste noire d'adresses IP Fonctions de journalisation Journal système Extensions dynamiques, inscrites par le CP en cours de fonctionnement, périphériques PROFINET IO p. ex. Cet onglet n'affichant que les règles de pare-feu actualisées dynamiquement, il faut également tenir compte, pour l'évaluation complet de l'état actuel du pare-feu du module, des règles de pare-feu configurées hors ligne. Dialogue pour le mode fantôme du SCALANCE S602 avec informations sur l'adresse IP de l'abonné interne (identique à l'adresse IP du module de sécurité) et sur les échanges d'adresses IP chez l'abonné interne. Affiche les adresses IP inscrites dans la liste noire du parefeu. Affichage d'évènements système journalisés de même que démarrage et arrêt de l'affichage. Manuel de configuration, 09/2013, C79000-G8977-C

248 Fonctions en ligne - test, diagnostic et journalisation 9.1 Vue d'ensemble des fonctions du dialogue Online Fonction / onglet du dialogue Online Journal d'audit Journal du filtre de paquets Signification Affichage d'évènements de sécurité journalisés de même que démarrage et arrêt de l'affichage. Affichage de paquets de données journalisés de même que démarrage et arrêt de l'affichage. Pour plus d'informations sur les options de paramétrage dans les divers onglets, veuillez consulter l'aide en ligne. Conditions d'accès Pour pouvoir utiliser les fonctions en ligne sur un module de sécurité, les conditions suivantes doivent être remplies : une connexion de réseau au module sélectionné est établie le projet avec lequel le module a été configuré est ouvert le mode en ligne de Security Configuration Tool est activé et le diagnostic en ligne spécifique module a été ouvert via le menu contextuel. Remarque Condition requise pour le diagnostic en ligne en mode fantôme Le diagnostic en ligne n'est disponible en mode fantôme qu'après l'apprentissage par le module de sécurité de l'adresse IP de l'abonné interne et son application a son interface externe. Le module de sécurité est ensuite accessible via l'adresse IP de l'interface externe. Message d'avertissement en cas de configuration ou de projet non conforme Lorsque vous ouvrez le dialogue en ligne, il vérifie que la configuration actuelle du module de sécurité correspond bien à la configuration du projet chargé. Si les deux configurations diffèrent, un message d'avertissement est émis. Celui-ci signale que la configuration n'est pas (encore) à jour ou que le projet utilisé est erroné. 248 Manuel de configuration, 09/2013, C79000-G8977-C286-02

249 Fonctions en ligne - test, diagnostic et journalisation 9.2 Enregistrement d'événements (journalisation) Affichage de l'état d'enregistrement L'état d'enregistrement est déterminé par la configuration chargée ou par la reconfiguration dans le dialogue en ligne. Le tampon peut être paramétré comme mémoire cyclique ou mémoire linéaire. Pour déterminer le paramètre actif, procédez comme suit : 1. Changez de mode avec la commande de menu "Affichage" > "En ligne". 2. Sélectionnez le module de sécurité à éditer. 3. Sélectionnez la commande de menu "Edition" > "Diagnostic en ligne...". Dès que vous sélectionnez un onglet des fonctions de journalisation, la partie inférieure de l'onglet affiche le paramétrage actuel du tampon du module de sécurité sélectionné Les paramétrages en ligne ne sont pas enregistrés dans la configuration Les paramétrages que vous effectuez en ligne (paramétrage du tampon pour les fonctions de journalisation par ex.) ne sont pas enregistrés dans la configuration du module de sécurité. Après un redémarrage du module, les paramétrages actifs sont par conséquent toujours ceux de la configuration hors ligne. 9.2 Enregistrement d'événements (journalisation) Présentation Les événements survenant sur le module de sécurité peuvent être enregistrés. L'enregistrement s'effectue, selon le type d'événement, dans des zones tampons locales volatiles ou permanentes. L'enregistrement peut également s'effectuer sur un serveur du réseau. Configuration en mode standard et en mode avancé Le choix proposé par Security Configuration Tool dépend de l'affichage sélectionné : mode standard La "journalisation locale" est activée par défaut en mode standard ; les événements de filtrage de paquets peuvent être activés globalement dans l'onglet "Pare-feu". "Syslog réseau" n'est pas possible dans cet affichage. Mode avancé Toutes les fonctions de journalisation peuvent être activées ou désactivées dans l'onglet "Log settings" d'un module sélectionné ; les événements de filtrage de paquets doivent de plus être activés sélectivement dans l'onglet "Firewall Settings" (règles locales ou globales). Procédure d'enregistrement et classes d'événement Vous pouvez définir dans la configuration les données à enregistrer. Vous activez ainsi l'enregistrement dès le chargement de la configuration sur le module de sécurité. Manuel de configuration, 09/2013, C79000-G8977-C

250 Fonctions en ligne - test, diagnostic et journalisation 9.2 Enregistrement d'événements (journalisation) Vous sélectionnez en outre dans la configuration l'une ou les deux procédures d'enregistrement : Local Logging Syslog réseau Le module de sécurité connaît, dans les deux modes d'enregistrement, les évènements suivants : Fonction Evènements de filtrage de paquets (pare-feu) Evènements d'audit Evènements système Fonctionnement Le journal du filtre de paquets enregistre certains paquets du trafic de données. Le journal enregistre les paquets de données qui sont conformes aux critères de filtrage de paquets configurés (pare-feu) ou qui ont déclenché une réaction de la protection de base (paquets corrompus ou non valides). Ceci présuppose que l'enregistrement soit activé pour la règle de filtrage de paquets. Le journal d'audit enregistre automatiquement en continu les évènements touchant à la sécurité, tels que les actions des utilisateurs ou l'activation et la désactivation de la journalisation des paquets. Le journal système enregistre automatiquement en continu les évènements système, p. ex. le démarrage d'un processus ou bien les actions d'un utilisateur qui ne s'est pas correctement identifié à l'aide d'un mot de passe. L'enregistrement est modulable par le biais des classes d'événement. Diagnostic de ligne : Vous pouvez en outre configurer un diagnostic des lignes. Le diagnostic des lignes émet des messages dès que le nombre de paquets de télégramme erronés dépasse un seuil défini. Procédures d'enregistrement des données pour la Local Logging Pour l'enregistrement des données, vous avez le choix entre deux procédures : Mémoire cyclique Lorsque le tampon est plein, l'enregistrement se poursuit au début par l'écrasement des entrées les plus anciennes. Mémoire linéaire L'enregistrement s'arrête dès que le tampon est plein. Activation et désactivation de la journalisation En mode avancé, vous pouvez activer en mode "hors ligne" la journalisation locale pour les classes d'événements et la procédure d'enregistrement au moyen des paramètres de journal des propriétés du module. Ces paramètres de journal sont chargés avec la configuration sur le module et prennent effet au démarrage du module de sécurité. Vous pouvez également activer ou désactiver en cas de besoin la journalisation locale des événements de filtrage de paquets et des événements système dans les fonctions en ligne. Les paramètres de la configuration de projet ne seront toutefois pas modifiés. 250 Manuel de configuration, 09/2013, C79000-G8977-C286-02

251 Fonctions en ligne - test, diagnostic et journalisation 9.2 Enregistrement d'événements (journalisation) Affichage de l'état d'enregistrement Les paramétrages en ligne ne sont pas enregistrés dans la configuration Journal local - Paramètres dans la configuration En mode "hors ligne", vous pouvez activer les classes d'événement et la procédure d'enregistrement au moyen des paramètres de journal. Ces paramètres de journal sont chargés avec la configuration sur le module et prennent effet au démarrage du module de sécurité. En cas de besoin, vous pouvez modifier ces paramètres de journal configurés dans les fonctions en ligne. Les paramètres de la configuration de projet ne seront toutefois pas modifiés. Paramètres de journal en mode standard Les paramètres de journal en mode standard correspondent aux paramètres par défaut du mode avancé. En mode standard vous ne pouvez toutefois pas modifier les paramètres. Paramètres de journal en mode avancé 1. Sélectionnez le module à éditer. 2. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Paramètres de journal". Le dialogue ci-après présente les paramètres par défaut du module de sécurité ; la figure présente en outre le dialogue de configuration de l'enregistrement des événements système : Manuel de configuration, 09/2013, C79000-G8977-C

252 Fonctions en ligne - test, diagnostic et journalisation 9.2 Enregistrement d'événements (journalisation) Configuration des classes d'événement Tableau 9-2 Journal local - Fonctions Fonction / onglet du dialogue Online Configuration Observations Evènements de filtrage de paquets (pare-feu) L'activation s'effectue au moyen des cases à cocher. La sélection de la procédure d'enregistrement s'obtient au moyen des cases d'option. Dans la zone de liste déroulante "Paquets enregistrés" vous pouvez définir le nombre de paquets de données enregistrés : Les données du journal de filtre de paquets ne sont pas rémanentes Ces données sont enregistrées dans une mémoire volatile du module de sécurité et sont donc perdues dès que la tension est coupée. Evénements d'audit (toujours activé) "Tous les paquets" : enregistre tous les paquets de données qui sont conformes à une règle de pare-feu configurée (mode standard ou mode avancé). Les paquets de réponse aux paquets enregistrés qui ont passé le pare-feu conformément à une règle Allow configurée, sont également enregistrés. "Paquets générateurs d'état" : enregistre tous les paquets de données qui sont conformes à une règle de pare-feu configurée (mode standard ou mode avancé). La journalisation est toujours activée. Les données sont enregistrées dans le tampon cyclique. Les données du journal d'audit sont rémanentes Ces données sont enregistrées dans une mémoire rémanente du module de sécurité et restent donc disponibles même après coupure de la tension. Note concernant les CP : Les données du journal d'audit ne sont pas rémanentes sur les CP. Pour sauvegarder les données, utilisez par conséquent un serveur Syslog. 252 Manuel de configuration, 09/2013, C79000-G8977-C286-02

253 Fonctions en ligne - test, diagnostic et journalisation 9.2 Enregistrement d'événements (journalisation) Fonction / onglet du dialogue Online Configuration Observations Evènements système Filtrage des évènements système Diagnostic de ligne L'activation s'effectue au moyen des cases à cocher. La sélection de la procédure d'enregistrement s'obtient au moyen des cases d'option. Le dialogue de configuration des filtres d'événement et du diagnostic des lignes s'ouvre au moyen du bouton "Configuration...". Définissez, dans ce sousdialogue des évènements système, un niveau de filtrage. Les valeurs paramétrées par défaut sont : SCALANCE S : Niveau 3 CP : Niveau 3 Le diagnostic des lignes génère un événement système spécifique. Spécifiez le pourcentage de télégrammes erronés à partir duquel un évènement système est généré. Affectez à l'évènement système une Facility et une Severity. Les données du journal système ne sont pas rémanentes Ces données sont enregistrées dans une mémoire volatile du module de sécurité et sont donc perdues dès que la tension est coupée. Sélectionnez le niveau de filtrage "Error" ou un niveau supérieur pour empêcher l'affichage d'événements généraux, non critiques. Remarque concernant le CP Ne sélectionnez pour le CP que le niveau 3 ou le niveau 6. Si vous sélectionnez le niveau 3, les messages d'erreur affichés sont ceux des niveaux 0 à 3. Si vous sélectionnez le niveau 6, les messages d'erreur affichés sont ceux des niveaux 0 à 6. La Severity permet de pondérer les événements système du diagnostic de lignes par rapport à la Severity des autres événements système. Nota N'affectez pas aux évènements système du diagnostic de ligne de Severity inférieure à celle du filtrage des évènements système. Sinon ces événements ne passeraient pas le filtre et ne seraient pas enregistrés. Manuel de configuration, 09/2013, C79000-G8977-C

254 Fonctions en ligne - test, diagnostic et journalisation 9.2 Enregistrement d'événements (journalisation) Syslog réseau - Paramètres dans la configuration Vous pouvez configurer le module de sécurité comme client de sorte qu'il fournisse des informations de journalisation à un serveur Syslog. Le serveur Syslog peut se trouver dans le sous-réseau interne local ou dans un sous-réseau externe. L'implémentation est conforme à RFC Remarque Pare-feu - Serveur Syslog inactif dans le réseau externe Si le serveur Syslog n'est pas actif sur l'ordinateur adressé, cet ordinateur retourne en règle générale des télégrammes de réponse ICMP "port not reachable". Si, du fait de la configuration du pare-feu, ces télégrammes de réponse sont enregistrés comme événements système et transmis au serveur Syslog, cette opérations peut se poursuivre à l'infini (avalanche d'événements). Remèdes : démarrer le serveur Syslog ; modifier les règles du pare-feu ; déconnecter l'ordinateur du réseau tandis que le serveur Syslog est désactivé. Définition des paramètres de journal 1. Changez de mode avec la commande de menu "Affichage" > "Mode avancé". Remarque Retour au mode standard impossible. Dès que vous avez modifié la configuration du projet actuel et que vous êtes passé au mode avancé vous ne pouvez plus l'annuler. Remède sous SCT autonome : Fermez le projet sans l'enregistrer puis rouvrez-le. 2. Sélectionnez le module de sécurité à éditer. 3. Sélectionnez la commande de menu "Edition" > "Propriétés...", onglet "Paramètres de journal". Le dialogue ci-après présente les paramètres par défaut du module de sécurité lorsque la journalisation Syslog réseau est activée : 254 Manuel de configuration, 09/2013, C79000-G8977-C286-02

255 Fonctions en ligne - test, diagnostic et journalisation 9.2 Enregistrement d'événements (journalisation) Connexion au serveur Syslog Pour SCALANCE S : Le module de sécurité utilise le nom de module configuré comme nom d'hôte vis-à-vis du serveur Syslog. Pour CP : Le module de sécurité utilise la propre adresse IP comme nom d'hôte vis-à-vis du serveur Syslog. Entrez dans le champ "Serveur Syslog" l'adresse IP / le FQDN du serveur Syslog. Vous pouvez également entrer l'adresse IP sous forme numérique ou de nom symbolique. Le serveur Syslog doit être accessible par le module de sécurité via l'adresse IP spécifiée, éventuellement aussi via la configuration du routeur dans l'onglet "Routage". Si le serveur Syslog n'est pas accessible, l'envoi d'informations Syslog est désactivé. Cet état de fonctionnement est signalé par des messages système appropriés. Pour réactiver l'envoi d'informations Syslog, vous devrez le cas échéant mettre à jour les informations de routage et redémarrer le module de sécurité. Utilisation de noms symboliques dans la journalisation Manuel de configuration, 09/2013, C79000-G8977-C

256 Fonctions en ligne - test, diagnostic et journalisation 9.2 Enregistrement d'événements (journalisation) Si vous cochez la case "Utiliser des noms symboliques dans la journalisation", les informations d'adresse des télégrammes de journal, transmises au serveur Syslog, sont remplacées par des noms symboliques. Le module de sécurité vérifie que des noms symboliques ont bien été configurés et les intègre aux télégrammes de journal. Remarque Temps de traitement plus long en présence de noms symboliques Si la case "Utiliser des noms symboliques dans la journalisation" est cochée, le temps de traitement des modules de sécurité augmente. Pour les adresses IP des modules de sécurité, les noms de module sont automatiquement utilisés comme noms symboliques. En mode routage, ces noms sont complétés par une désignation de port comme suit : "Nom de module P1", "Nom de module P2" etc. Configuration des classes d'événement Tableau 9-3 Syslog réseau - Fonctions Fonction / onglet du dialogue Online Configuration Observations Evènements de filtrage de paquets (pare-feu) Evènements d'audit Evènements système L'activation s'effectue au moyen de la case à cocher. Le paramétrage de Facility et Severity permet de classer les messages Syslog en fonction de leur origine et de leur gravité. L'affectation s'effectue dans des zones de liste déroulante. Chaque événement obtient la Severity et Facility que vous avez paramétré ici. L'activation s'effectue au moyen de la case à cocher. L'affectation de Severity et de Facility s'effectue dans des zones de liste déroulante. Chaque événement obtient la Severity et Facility que vous avez paramétré ici. L'activation s'effectue au moyen de la case à cocher. La valeur choisie ici pour la priorité et la signification (Facility) dépend de l'exploitation sur le serveur Syslog. Vous pouvez procéder ainsi à une adaptation en fonction des besoins sur le serveur Syslog. Si vous laissez la valeur par défaut "default" inchangée, le module de sécurité spécifie la combinaison de Facility et de Severity à afficher pour l'évènement. La valeur choisie ici pour Severity et Facility dépend de l'exploitation sur le serveur Syslog. Vous pouvez procéder ainsi à une adaptation en fonction des besoins sur le serveur Syslog. Si vous laissez la valeur par défaut "default" inchangée, le module de sécurité spécifie la combinaison de Facility et de Severity à afficher pour l'évènement. Le dialogue de configuration des filtres d'événement et du diagnostic des lignes s'ouvre au moyen du bouton "Configuration...". 256 Manuel de configuration, 09/2013, C79000-G8977-C286-02

257 Fonctions en ligne - test, diagnostic et journalisation 9.2 Enregistrement d'événements (journalisation) Fonction / onglet du dialogue Online Configuration Observations Filtrage des évènements système Diagnostic de ligne Définissez, dans ce sous-dialogue des événements système, un niveau de filtrage. Les valeurs paramétrées par défaut sont : SCALANCE S : Niveau 3 CP : Niveau 3 Le diagnostic des lignes génère un événement système spécifique. Spécifiez le pourcentage de télégrammes erronés à partir duquel un évènement système est généré. Affectez à l'évènement système une Facility et une Severity. Sélectionnez le niveau de filtrage "Error" ou un niveau supérieur pour empêcher l'affichage d'événements généraux, non critiques. Remarque concernant le CP Ne sélectionnez pour le CP que le niveau 3 ou le niveau 6. Si vous sélectionnez le niveau 3, les messages d'erreur affichés sont ceux des niveaux 0 à 3. Si vous sélectionnez le niveau 6, les messages d'erreur affichés sont ceux des niveaux 0 à 6. La Severity permet de pondérer les événements système du diagnostic de lignes par rapport à la Severity des autres événements système. Nota N'affectez pas aux évènements système du diagnostic de ligne de Severity inférieure à celle du filtrage des évènements système. Sinon ces événements ne passeraient pas le filtre et ne seraient pas enregistrés par le serveur Syslog Configuration de la journalisation de paquets Configuration de la journalisation en mode standard Vous trouverez des informations sur la journalisation de jeux de règles IP et MAC dans les chapitres suivants : SCALANCE S en mode Standard (Page 128) CP en mode standard (Page 117) Manuel de configuration, 09/2013, C79000-G8977-C

258 Fonctions en ligne - test, diagnostic et journalisation 9.2 Enregistrement d'événements (journalisation) Remarque Relation entre paramètres de journal en mode standard et règles de pare-feu Les paramètres de journal en mode standard ne s'appliquent pas aux règles de pare-feu qui sont générées automatiquement par une configuration de liaison. Vous ne pouvez pas journaliser par exemple les télégrammes tunnelisés d'une liaison configurée. En mode avancé, la journalisation peut être étendue aux règles de pare-feu générées automatiquement par des liaisons. Configuration de la journalisation en mode avancé L'activation de la journalisation est identique pour les deux types de règles (IP et MAC) et pour toutes les règles. Pour enregistrer des paquets de données conformes à des règles de filtrage de paquets définies, cochez la case dans le colonne "Journal" de l'onglet "Pare-feu". 258 Manuel de configuration, 09/2013, C79000-G8977-C286-02

259 Annexe A A.1 Conformité DNS La conformité DNS selon RFC1035 comprend les règles suivantes : limitation à 255 caractères (lettres, chiffres, trait d'union ou point) ; le nom doit débuter par une lettre ; le nom ne peut se terminer que par une lettre ou un chiffre ; un élément au sein du nom, c.-à-d. une chaîne de caractères entre deux points, ne doit pas dépasser 63 caractères ; pas de caractères spéciaux tels qu'accents, parenthèses, traits de soulignement, barres obliques, espace, etc. A.2 Plages de valeurs de l'adresse IP, du masque de sous-réseau et de l'adresse de la passerelle de réseau Plage de valeur de l'adresse IP L'adresse IP se compose de 4 nombres décimaux compris dans la plage de 0 à 255 et séparés par un point ; p. ex Plage de valeurs pour le masque de sous-réseau Le masque de sous-réseau se compose de 4 nombres en notation décimale situés dans la plage de 0 à 255 et séparés par un point ; p. ex Les 4 nombre décimaux du masque de sous réseau doivent constituer, en notation binaire, une série ininterrompue de "1" en partant de la gauche et une série ininterrompue de "0" en partant de la droite. Les valeurs "1" déterminent le numéro du réseau au sein de l'adresse IP. Les valeurs "0" déterminent l'adresse d'hôte au sein de l'adresse IP. Exemple : valeurs correctes : décimal = binaire décimal = binaire décimal = binaire valeur incorrecte : Manuel de configuration, 09/2013, C79000-G8977-C

260 Annexe A.3 Adresse MAC décimal = binaire Corrélation entre adresse IP et masque de sous-réseau Le premier nombre décimal de l'adresse IP (en partant de la gauche) détermine le nombre de valeur "1" (binaire) du masque de sous-réseau comme suit ("x" représente l'adresse de l'hôte) : Premier nombre décimal de l'adresse IP 0 à x.x.x 128 à x.x Masque de sous-réseau 192 à x Nota : Pour le premier nombre décimal de l'adresse IP vous pouvez également entrer une valeur comprise entre 224 et 255. Ceci est cependant déconseillé car cette plage d'adresses est réservée pour d'autres fonction et parce que, dans certains outils de configuration (STEP 7 p. ex.) ces valeurs ne sont pas contrôlées. Plage de valeurs de l'adresse de passerelle L'adresse se compose de 4 nombres décimaux compris dans la plage de 0 à 255 et séparés par un point ; p. ex Corrélation entre l'adresse IP et l'adresse de passerelle L'adresse IP et l'adresse de passerelle ne doivent différer qu'aux endroits où le masque de sous-réseau comporte un "0". Exemple : Vous avez entré : pour le masque de sous-réseau ; pour l'adresse IP et pour l'adresse de la passerelle de réseau L'adresse IP et l'adresse de passerelle ne devraient donc se distinguer que par leur 4e nombre décimal. Dans notre exemple, elles se distinguent cependant dès le 3e nombre. Dans l'exemple, vous devrez donc modifier : l'adresse de masque de sous-réseau en : ou l'adresse IP en : ou l'adresse de la passerelle en : Manuel de configuration, 09/2013, C79000-G8977-C286-02

261 Annexe A.3 Adresse MAC A.3 Adresse MAC Note concernant la structure de l'adresse MAC : Les adresses MAC sont des adresses du matériel permettant d'identifier des abonnées du réseau. Une adresse MAC est constituée de six octets en notation hexadécimale séparés par des traits d'union. L'adresse MAC se compose d'une partie fixe et d'une partie variable. La partie fixe ("Adresse MAC de base") désigne le fabricant (Siemens, 3COM,...). La partie variable de l'adresse MAC permet de distinguer les différentes stations Ethernet. Manuel de configuration, 09/2013, C79000-G8977-C

262 Annexe A.3 Adresse MAC 262 Manuel de configuration, 09/2013, C79000-G8977-C286-02

263 Bibliographie B B.1 Introduction - sans CD/DVD Trouver la documentation SIMATIC NET Catalogues Les références des produits Siemens en question ici figurent dans les catalogues suivants : SIMATIC NET Communication industrielle / identification Industrielle, catalogue IK PI SIMATIC Produits pour Totally Integrated Automation et Micro Automation, catalogue ST 70 Vous pouvez vous procurer ces catalogues ainsi que des informations complémentaires auprès des agences Siemens. L'Industry Mall est accessible sur Internet à l'adresse suivante : Lien vers Siemens Industry Mall ( Documentation sur Internet Les manuels SIMATIC NET se trouvent également sur les pages du site Internet Siemens Customer Support : Lien vers le Customer Support ( Naviguez jusqu'au groupe de produits voulu et procédez au paramétrage suivant : Onglet "Liste des articles", Type d'article "Manuels / Instructions de service" Documentation dans l'installation STEP 7 Vous trouverez les manuels qui sont enregistrés sur votre PG/PC sous la documentation en ligne de l'installation STEP 7, dans le menu Démarrer ("Démarrer" > "Tous les programmes" > "Siemens Automation" > "Documentation"). Voir aussi Lien vers la documentation : ( Manuel de configuration, 09/2013, C79000-G8977-C

264 Bibliographie B.2 CP S7 / Concernant la configuration, la mise en service et l'utilisation du CP B.2 CP S7 / Concernant la configuration, la mise en service et l'utilisation du CP B.2.1 /1/ SIMATIC NET CP S7 pour Industrial Ethernet Configuration et mise en service Manuel partie A - Applications générales Manuel de configuration Siemens AG (SIMATIC NET Manual Collection) Sur Internet sous le numéro d'article : ( B.2.2 /2/ SIMATIC NET CP S7 pour Industrial Ethernet Manuel partie B Manuel Siemens AG (SIMATIC NET Manual Collection) Vous trouverez les manuels des divers CP sur Internet sous le numéro d'article suivant : CP Advanced (GX31) : ( CP Advanced (GX30) : ( B.3 Concernant la configuration sous STEP 7 / NCM S7 B.3.1 /3/ SIMATIC NET NCM S7 pour Industrial Ethernet Mise en route Siemens AG (Fait partie de la documentation en ligne de STEP 7) 264 Manuel de configuration, 09/2013, C79000-G8977-C286-02

265 Bibliographie B.4 CP S7 Pour le montage et la mise en service du CP B.3.2 /4/ SIMATIC NET Mise en service de stations PC - Instructions et familiarisation rapide Manuel de configuration Siemens AG (SIMATIC NET Manual Collection) Sur Internet sous le numéro d'article suivant : ( B.3.3 /5/ SIMATIC Configuration matérielle et communication dans STEP 7 Siemens AG (Partie de la documentation "Informations basiques STEP 7") (Fait partie de la documentation en ligne de STEP 7) B.4 CP S7 Pour le montage et la mise en service du CP B.4.1 /6/ SIMATIC S7 Automate programmable S7-300 Installation de la CPU 31xC et 31x : Instructions de service Numéro d'article : ( Données du module : Manuel de référence Réf. d'article : ( Siemens AG et SIMATIC S7 Automate programmable S7-400, M7-400 Installation : Manuel de mise en œuvre Numéro d'article : ( Données du module : Manuel de référence Réf. d'article : ( Siemens AG Manuel de configuration, 09/2013, C79000-G8977-C

266 Bibliographie B.5 Concernant l'installation et la mise en service d'un réseau Industrial Ethernet B.5 Concernant l'installation et la mise en service d'un réseau Industrial Ethernet B.5.1 /7/ SIMATIC NET Manuel Réseaux Twisted Pair et Fiber Optic Siemens AG (SIMATIC NET Manual Collection) B.6 Notions de base SIMATIC et STEP 7 B.6.1 /8/ SIMATIC Communication avec SIMATIC Manuel système Siemens AG Numéro d'article : ( B.6.2 /9/ Documentation "Informations basiques STEP 7" Mise en route STEP 7 (ID : ( Programmer avec STEP 7 (ID : ( Configuration matérielle et communication dans STEP 7 (ID : ( Pour une transition facile de S5 à S7... Manuel (ID : ( Siemens AG N de référence 6ES CA08-8AW0 (Fait partie de la documentation en ligne de STEP 7) 266 Manuel de configuration, 09/2013, C79000-G8977-C286-02

267 Bibliographie B.7 Communication industrielle Volume 2 B.7 Communication industrielle Volume 2 B.7.1 /10/ SIMATIC NET Manuel Réseaux Industrial Ethernet Siemens AG (SIMATIC NET Manual Collection) Sur Internet sous le numéro d'article : ( B.8 Concernant la configuration de stations PC / PG B.8.1 /11/ SIMATIC NET Mise en service de stations PC - Instructions et familiarisation rapide Manuel de configuration Siemens AG Numéro d'article : ( B.9 Concernant la configuration de CP PC B.9.1 /12/ SIMATIC NET Industrial Ethernet CP 1628 Notice d'utilisation Siemens AG (SIMATIC NET Manual Collection) Sur Internet sous le numéro d'article : ( Manuel de configuration, 09/2013, C79000-G8977-C

268 Bibliographie B.10 SIMATIC NET Industrial Ethernet Security B.10 SIMATIC NET Industrial Ethernet Security B.10.1 /13/ SIMATIC NET Industrial Ethernet Security SCALANCE S à partir de V3.0 Manuel de mise en service et de montage Siemens AG (SIMATIC NET Manual Collection) Sur Internet sous le numéro d'article : ( B.10.2 /14/ SIMATIC NET Industrial Remote Communication SCALANCE M874 Manuel de configuration Siemens AG (SIMATIC NET Manual Collection) Sur Internet sous le numéro d'article : Voir aussi ( B.10.3 /15/ SIMATIC NET Telecontrol SCALANCE M875 Instructions de service Siemens AG (SIMATIC NET Manual Collection) Sur Internet sous le numéro d'article : ( 268 Manuel de configuration, 09/2013, C79000-G8977-C286-02

269 Index * *.cer, 66, 232 *.dat, 232 *.p12, 65, 90, DES, 208 A Abonnés à adresse IP inconnue, 211 Abonnés actifs, 210 Absence de rétroaction, 29 Activation de la communication tunnelisée CP x43-1 Adv., 117 SCALANCE S < V3.0, 136 SCALANCE S V3, 133 Activer pare-feu CP 1628, 117 CP x43-1 Adv., 117 SCALANCE S < V3.0, 136 SCALANCE S V3, 133 Administrator, 73 Adresse de passerelle de réseau, 260 Adresse Gigabit, 89 Adresse IP, 154, 259 Adresse IP de routeur, 171 Adresse IP WAN Définir, 214 Adresse MAC, 261 Adresse PROFINET, 89 Advanced Encryption Standard (AES), 208 AES, 195, 208 Affectations à un groupe, 57 Affichage de configuration hors ligne, 42 Affichage de diagnostic en ligne, 42 Aggressive Mode, 208 Appareil VPN, 92 Certificat de module, 67 Applet, 77 ARP, 199 Authentification, 71 Autocroisement, 103 Autonégociation, 103 Autorité de certification, 87 Autorités de certification racine, 88 B Bande passante, 151, 160 Barre de menu, 48 Barre d'état, 46 Broadcast, 173 C Capacités fonctionnelles, 21 Certificat, 87, 200 auto-signé, 89 exporter, 86 importer, 86 remplacer, 90 Remplacer, 90 renouvellement, 88 signé par une autorité de certification, 89 Certificat CA, 86, 89, 90 Certificat de groupe CA, 90 Certificat SSL, 89 Certificate Authority, 86 Certificats FTPS, 86 CHAP, 105 Clés partagées, 200 Client VPN NCP, 92 Certificat de groupe, 69 Certificat de groupe CA, 69 Création d'un fichier de configuration, 66, 69 Commandes de menu, 48 Communication IP avec protocole S7, 137 du réseau interne au réseau externe, 136 Compte auprès du FAI, 104 Configuration de l'horloge maître, 192 Configuration d'une route, 170 Conformité DNS, 259 Contrôle de cohérence, 64, 111, 189 local, 61 projet, 62 Convention de clé Diffie-Hellman, 208 Corrélations des droits, 77 Couche 2, 115, 139, 199 Couche 3, 115, 139 Manuel de configuration, 09/2013, C79000-G8977-C

270 Index Couche 4, 115 CP 1628 Fonction, 37 CP PC, 3 CP S7, 3 CP x43-1 Adv. Fonction, 34 C-PLUG, 39, 61 Cryptage, 43, 61 D Data Encryption Standard (DES), 209 DCP, 137 DCP (Primary Setup Tool), 164 Dead-Peer-Detection (DPD), 213 DES, 195, 209 DHCP Configuration de serveur, 186 Noms symboliques, 62 Serveur, 137 Diagnostic, 245 Diagnostic de ligne, 250, 253, 257 Diagnostic en ligne, 249 DNS Serveur, 137 Droits de configuration, 76 Droits d'utilisateur, 76 Droits relatifs à l'appareil, 76 Duplex intégral, 99 Durée de vie des certificats, 205 Durée de vie SA, 209 Durée maximale de la session, 72, 75 DVD de produit SCALANCE S, 44 E Etiquette de VLAN, 200 Evènements d'audit, 250 Evènements de filtrage de paquets, 250 Evènements système, 250 Exportation d'un serveur NTP, 194 F Facility, 256 Fenêtre de détails, 46 Filtre de paquets IP local, Fonctionnalité de tunnel, 197 Fonctions Types de module, 18 FTP, 77 FTP/FTPS, 54 G Gestion des utilisateurs, 57, 70 Gestionnaire de certificats, 87 Glossaire, 8 Groupe de services, 165 Groupe VPN, 204 H HTTP, 156 I ICMP, 148 ID de réseau, 170 IEEE 802.3, 28, 115 IKE, 118, 124 Installation SCALANCE S, 43 Interfaces, 169 Internet Key Exchange (IKE), 207 ISAKMP, 214 J Jeux de règles de pare-feau globaux, 57 Jeux de règles de pare-feu personnalisés, 142 Jeux de règles de pare-feu globaux, 159 Jeux de règles IP, 140 personnalisés, 142 Jeux de règles IP personnalisés, 143 Jeux de règles MAC, 140 Journalisation, 116, 245 Classes d'événement, 256 CP x43-1 Adv., 117 SCALANCE S < V3.0, 136 SCALANCE S V3, 133 L l'espionnage de données, 27 Liaisons non spécifiées, 53 Liaisons spécifiées, 53, Manuel de configuration, 09/2013, C79000-G8977-C286-02

271 Index Liste IP Access Control, 77 Liste noire d'adresses IP, 247 LLDP, 77 Local logging, 245 Local Logging, 250, 252 Evènements d'audit, 252 Evènements de filtrage de paquets, 252 Evènements système, 253 M M874-x, 3, 66 Main Mode, 208 Masque de sous-réseau, 94, 259 MD5, 195, 209 Mémoire cyclique, 250 Mémoire linéaire, 250 Méthodes d'authentification, 200, 206 MIB, 77 Mise à jour du firmware, 78 Mode apprentissage, 219 Mode avancé, 42 Journalisation, 258 Local Logging, 249, 251 Règles de pare-feu, 138 Règles de pare-feu globales, 139 Règles de pare-feu personnalisées, 142 Serveur DHCP, 187 Syslog réseau, 249 Mode fantôme, 100 Mode pont, 100 Mode routage, 100, 169 activer, 169 Mode standard, 42 Journalisation, 257 Local logging, 249 Pare-feu, 116 Mode VLAN, 200 Module de sécurité, 3 Multicast, 173 N NAT/NAPT Routage, 171 Nœuds de réseau externes CP x43-1 Adv., 36 SCALANCE 602, 26 SCALANCE S612 / S623 / S627-2M, 29 Nœuds de réseau internes configurer, 216 CP x43-1 Adv., 36 SCALANCE 602, 26 SCALANCE S612 / S623 / S627-2M, 29 Nom de groupe, 156, 162 Nom de rôle, 75 Nom d'utilisateur, 72 Noms symboliques, 62, 255 NTP Noms symboliques, 62 NTP (secure), 192 P PAP, 105 Paramétrage par défaut du pare-feu CP 1628, 123 CP x43 Adv., 118 SCALANCE S < V3.0, 128 Paramètres sur l'ensemble du projet, 57 Paramètres d'adresse, 95 Paramètres de sécurité, 229 Paramètres IKE, 206 Paramètres IPsec, 206 Pare-feu, 28 Mode avancé, 138 Noms symboliques, 62 Règles de pare-feu, 115 Perfect Forward Secrecy, 209 Plage d'adresses, 155 Plage de valeur de l'adresse IP, 259 Port 102 (Protocole S7 - TCP), (NTP), /21 (FTP), (HTTPS), (IPsec), (IPsec), (ISAKMP), (Syslog), (HTTP), 156 Produit d'un autre constructeur, 92 PROFINET, 219 Projet Valeurs d'initialisation, 61 Propriétés de groupe, 206 Propriétés de module, 91 Propriétés du groupe VPN, 206 Protection d'accès, 39 Protection d'accès IP, 54 Protocole, 156 Protocole ESP, 118, 124, 208 Manuel de configuration, 09/2013, C79000-G8977-C

272 Index Protocole IP, 139 Protocole ISO, 219 Protocole MAC, 139 Proxy-ARP, 196 R Règles de filtrage de paquets globales, 141 Règles de filtrage de paquets IP, 149 CP 1628, CP x43-1 Adv., SCALANCE S, Règles de filtrage de paquets MAC, 158 Règles de liaison, 146 Règles de pare-feu automatiques, 145 Règles de pare-feu globales, 139 affecter, 141 Règles de pare-feu locales, 116, 139 Règles de pare-feu personnalisées, 142 Paramètre timeout, 145 Utilisateur d'accès à distance, 73 Règles de pare-feu prédéfinies CP x43-1 Adv., 117 SCALANCE S < V3.0, 136 SCALANCE S V3, 133 Renouvellement de certificat de groupe CA, 210 Réseau plat, 100 Rôle défini par le système administrator, 73 diagnostics, 73 remote access, 73 standard, 73 Rôles, 73 définis par le système, 73 personnalisés, 74 Rôles personnalisés, 74 Routage d'interface, 100 Routage d'interface :, 92 Routeur NAT/NAPT Noms symboliques, 62 Routeur par défaut, 94, 170 S SCALANCE M, 3 Autorité de certification, 65 Certificat de groupe, 65 Création d'un fichier de configuration, 64 SCALANCE M875, 3 SCALANCE M87x, 66 SCALANCE S, 3 Création de modules, 91 systèmes d'exploitations pris en charge, 43 SCALANCE S602 Fonction, 24 SCALANCE S612 Fonction, 27 SCALANCE S623 Fonction, 27 SCALANCE S627-2M Fonction, 27 Security Configuration Tool, 39, 41, 42 Autonome, 42, 51 Barre de menu, 48 dans STEP 7, 42 Installation, 44 Installation CP 1628, 44 Installation CP x34-1 Adv., 44 Modes de commande, 42 Semi-duplex, 99 Serveur DHCP, 188 Serveur NTP, 137 Serveurs NTP, 192 Services ICMP, 157 Services IP, 156 Services MAC, 162 Severity, 256 SHA1, 195, 209 SiClock, 164 Signification des symboles, 6 SIMATIC NET - Glossaire, 8 SNMP, 77 SNMPv1, 195 SNMPv3, 195 SOFTNET Security Client, 3 Apprentissage des nœuds internes, 241 Base de données, 232 Comportement au démarrage, 231 Configuration dans le projet, 231 Création d'un fichier de configuration, 231 Désinstallation, 231 Fonction, 24 systèmes d'exploitations pris en charge, 229 Stateful Packet Inspection, 115 STEP 7, 51 données migrées, 52 Migration d'utilisateurs, 70 Propriétés de l'objet, 52 Symboles, 6 Synchronisation d'horloge, 192 Syslog Evènements d'audit, 256 Evènements de filtrage de paquets, Manuel de configuration, 09/2013, C79000-G8977-C286-02

273 Index Evènements système, 256 Noms symboliques, 62 serveur Syslog, 60, 245, 254 Syslog réseau, 245, 250 Systèmes d exploitation pris en charge SCALANCE S, 43 SOFTNET Security Client, 229 T Tampon, 250 TCP, 148, 156 Télégrammes d'horodatage SiClock, 137 Télégrammes Ethernet non IP, 115 Télégrammes non IP, 199 Tunnel, 197 Tunnel IPsec, 197 U UDP, 148, 156 Unknown Peers, 211 Utilisateur Affectation d'un rôle, 76 Création, 72 Création de rôles, 73 Utilisateur d'accès à distance, 73 Utilisateur de diagnostic, 73 Utilisateur standard, 73 V Valeurs d'initialisation par défaut, 61 Version du firmware, 5 Volet de contenu, 45, 94 Volet de navigation, 45 VPN, 24, 197 Propriétés spécifiques module, 212 SOFTNET Security Client, 227 Manuel de configuration, 09/2013, C79000-G8977-C

274 Index 274 Manuel de configuration, 09/2013, C79000-G8977-C286-02