Notions de base et application SIMATIC NET. Industrial Ethernet Security Notions de base et application. Avant-propos

Transcription

1 Avant-propos Introduction et notions élémentaires 1 SIMATIC NET Industrial Ethernet Security Manuel de configuration Configuration sous Security Configuration Tool 2 Création de modules et définition des paramètres de 3 réseau Configuration du pare-feu 4 Configuration d'autres propriétés de module 5 Communication sécurisée sur le VPN par tunnel IPsec 6 Redondance de routeur et de pare-feu 7 SOFTNET Security Client 8 Fonctions en ligne - test, diagnostic et journalisation 9 A Annexe B Bibliographie 09/2013 C79000-G8977-C286-02

2 Mentions légales Signalétique d'avertissement Ce manuel donne des consignes que vous devez respecter pour votre propre sécurité et pour éviter des dommages matériels. Les avertissements servant à votre sécurité personnelle sont accompagnés d'un triangle de danger, les avertissements concernant uniquement des dommages matériels sont dépourvus de ce triangle. Les avertissements sont représentés ci-après par ordre décroissant de niveau de risque. DANGER signifie que la non-application des mesures de sécurité appropriées entraîne la mort ou des blessures graves. ATTENTION signifie que la non-application des mesures de sécurité appropriées peut entraîner la mort ou des blessures graves. PRUDENCE signifie que la non-application des mesures de sécurité appropriées peut entraîner des blessures légères. IMPORTANT signifie que la non-application des mesures de sécurité appropriées peut entraîner un dommage matériel. En présence de plusieurs niveaux de risque, c'est toujours l'avertissement correspondant au niveau le plus élevé qui est reproduit. Si un avertissement avec triangle de danger prévient des risques de dommages corporels, le même avertissement peut aussi contenir un avis de mise en garde contre des dommages matériels. Personnes qualifiées L appareil/le système décrit dans cette documentation ne doit être manipulé que par du personnel qualifié pour chaque tâche spécifique. La documentation relative à cette tâche doit être observée, en particulier les consignes de sécurité et avertissements. Les personnes qualifiées sont, en raison de leur formation et de leur expérience, en mesure de reconnaître les risques liés au maniement de ce produit / système et de les éviter. Utilisation des produits Siemens conforme à leur destination Tenez compte des points suivants: ATTENTION Les produits Siemens ne doivent être utilisés que pour les cas d'application prévus dans le catalogue et dans la documentation technique correspondante. S'ils sont utilisés en liaison avec des produits et composants d'autres marques, ceux-ci doivent être recommandés ou agréés par Siemens. Le fonctionnement correct et sûr des produits suppose un transport, un entreposage, une mise en place, un montage, une mise en service, une utilisation et une maintenance dans les règles de l'art. Il faut respecter les conditions d'environnement admissibles ainsi que les indications dans les documentations afférentes. Marques de fabrique Toutes les désignations repérées par sont des marques déposées de Siemens AG. Les autres désignations dans ce document peuvent être des marques dont l'utilisation par des tiers à leurs propres fins peut enfreindre les droits de leurs propriétaires respectifs. Exclusion de responsabilité Nous avons vérifié la conformité du contenu du présent document avec le matériel et le logiciel qui y sont décrits. Ne pouvant toutefois exclure toute divergence, nous ne pouvons pas nous porter garants de la conformité intégrale. Si l'usage de ce manuel devait révéler des erreurs, nous en tiendrons compte et apporterons les corrections nécessaires dès la prochaine édition. Siemens AG Industry Sector Postfach NÜRNBERG ALLEMAGNE Numéro de référence du document: C79000-G8977-C P 09/2013 Sous réserve de modifications techniques Copyright Siemens AG Tous droits réservés

3 Avant-propos Avant-propos Ce manuel... vous aide à configurer les fonctions de sécurité des produits "Security Integrated" suivants : SCALANCE S : S602 / S612 / S623 / S627-2M SOFTNET Security Client CP S7 : CP Advanced, CP Advanced CP PC : CP 1628 Routeur GSM : SCALANCE M875 ainsi que SCALANCE M874-x Dénomination générale "module de sécurité" Dans la présente documentation, les produits ci-après sont regroupés sous la désignation "module de sécurité" : SCALANCE S602 / SCALANCE S612 / SCALANCE S623 / SCALANCE S627-2M, CP Advanced, CP Advanced, CP Les différences fonctionnelles sont repérées par des symboles (voir section "Légende des symboles"). Les descriptions de matériel et les instructions d'installation figurent dans les documents des divers modules. Utilisation des désignations "interface" et "port" Dans la présente documentation, les désignations ci-après sont utilisées pour les ports de modules SCALANCE S : "Interface externe" : le port externe du SCALANCE S602 / S612 / S623 ou un port externe du SCALANCE S627-2M (marquage rouge) "Interface interne" : le port interne du SCALANCE S602 / S612 / S623 ou un port interne du SCALANCE S627-2M (marquage vert) "Interface de DMZ" : Le port de DMZ du SCALANCE S623 / S627-2M (marquage jaune) La désignation "port" proprement dite est utilisée lorsqu'il est question d'un port particulier d'une interface. Manuel de configuration, 09/2013, C79000-G8977-C

4 Avant-propos Désignation générale "STEP 7" Les fonctions de sécurité des CP sont configurables à partir de STEP 7 V5.5 SP2 HF1. C'est pourquoi la désignation "STEP 7" est utilisée dans la présente documentation pour toutes les versions de STEP 7 à partir de V5.5. SP2 HF1 jusqu'à STEP 7 V10 non comprise. Pour savoir comment configurer les fonctions de sécurité de tous les modules de sécurité sous STEP 7 à partir de V12, consultez le système d'information de STEP 7 à partir de V12, rubrique "Industrial Ethernet Security". Désignation générale "CP x43-1 Adv." Dans la présente documentation, les produits ci-après sont regroupés sous la désignation "CP x43-1 Adv." : CP Advanced / CP Advanced. Security Configuration Tool V4.0 - Nouvelles fonctions Security Configuration Tool V4.0 intègre les nouvelles fonctions suivantes : SCALANCE S627-2M à deux emplacements pour module de connexion Le SCALANCE S627-2M est équipé, en plus des ports intégrés, de deux emplacements conçus pour recevoir chacun un module de connexion électrique ou optique à 2 ports. Les interfaces externe et interne du SCALANCE S627-2M sont ainsi complétées par deux ports chacune. Les ports des modules de connexion sont utilisables pour intégrer les SCALANCES S627-2M dans des topologies en anneau. Prise en charge de la redondance de supports par SCALANCE S627-2M Le SCALANCE S627-2M prend en charge les procédures de redondance de supports MRP et HRP, à savoir dans les deux cas comme client. En tant qu'abonné d'un anneau MRP/HRP, le SCALANCE S627-2M peut protéger une cellule d'automatisation ou un anneau subordonné. Cette sécurisation peut également être redondante. Toute défaillance de ligne est détectée par un gestionnaire d'anneau distinct, un SCALANCE X308 p. ex., et compensée par redirection des chemins de communications. Prise en charge de la détection de topologie avec LLDP par les modules SCALANCE S V4 Les modules de sécurité SCALANCE S602 V4 / S612 V4 / S623 V4 / S627-2M V4 prennent en charge le protocole de détection de topologie LLDP. Les systèmes de gestion de réseau peuvent ainsi intégrer les modules de sécurité cités dans la représentation de topologies de réseau. Redondance de routeur et de pare-feu avec SCALANCE S623 V4 / SCALANCE S627-2M V4 La redondance de routeur et de pare-feu permet de compenser automatiquement en fonctionnement une défaillance des modules de sécurité SCALANCE S623 V4 et SCALANCE S627-2M V4. L'un des deux modules de sécurité est pour ce faire défini comme module primaire, actif en fonctionnement normal. En cas de défaillance du module de sécurité ses fonctions de pare-feu et de routeur (NAT/NATP) sont automatiquement relayées par le module de sécurité passif. Pour assurer la configuration identique des deux modules de sécurité, ceux-ci sont interconnectés par leurs interfaces de DMZ, leurs configurations étant synchronisées durant le fonctionnement. 4 Manuel de configuration, 09/2013, C79000-G8977-C286-02

5 Avant-propos Translation d'adresse avec NAT/NAPT dans des tunnels VPN Des translations d'adresse NAT/NAPT peuvent être réalisées pour des relations de communication établies via tunnel VPN. Ceci est pris en charge sur SCALANCE S612 V4 / S623 V4 / S627-2M V4. Identification d'utilisateur via serveur Radius Des utilisateurs peuvent être authentifiés par un serveur RADIUS sur lequel vous pouvez centraliser les données de tous les utilisateurs. L'authentification par un serveur RADIUS est possible en cas d'activation d'un jeu de règles IP personnalisé. Synchronisation d'horloge "NTP (sécurisé)" pour modules SCALANCE S V4 La synchronisation d'horloge "NTP (sécurisé)" est utilisable pour les modules SCALANCE S V4. Extension de la fonctionnalité DNS L'établissement actif d'une liaison VPN par un SCALANCE S V4 (S612 / S623 / S627-2M) à une module de sécurité via son FQDN est pris en charge. Lors de la configuration de routeurs, serveurs Syslog, adresses IP WAN, serveurs NTP et serveurs RADIUS, il est désormais possible d'utiliser des adresses IP mais aussi des FQDN pour les modules SCALANCE S V4. Domaine de validité du manuel Ce manuel est valable pour les modules SIMATIC NET suivants : Module Référence Version de firmware SCALANCE S602 6GK BA10-2AA3 A partir de V4 SCALANCE S612 6GK BA10-2AA3 A partir de V4 SCALANCE S623 6GK BA10-2AA3 A partir de V4 SCALANCE S627-2M 6GK BA10-2AA3 A partir de V4 CP Advanced 6GK GX31-0XE0 A partir de V3 CP Advanced 6GK GX30-0XE0 A partir de V3 CP GK1162-8AA00 A partir de V8.2.2 Ce manuel est valable pour les outils de configuration SIMATIC NET suivants : Outil de configuration Référence Version SOFTNET Security Client 6GK VW04-0AA0 V4.0 Hotfix 1 Security Configuration Tool (SCT) - V4.0 A qui s'adresse ce manuel? Ce manuel s'adresse aux personnes chargées de mettre en place dans un réseau les fonctions de sécurité Industrial Ethernet. Manuel de configuration, 09/2013, C79000-G8977-C

6 Avant-propos SIMATIC NET Manual Collection (référence A5E ) Les modules SCALANCE S, les CP S7 ainsi que le PC-CP 1628 sont fournis avec la documentation SIMATIC NET Manual Collection. Cette documentation qui est mise à jour régulièrement, contient les manuels et descriptions à jour au moment de la publication. Symboles utilisés dans ces instructions de service Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S à partir de V3.0. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S à partir de V4.0. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S. Le chapitre / la section / la ligne en question concerne tous les modules de sécurité sauf SCALANCE S602. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S602 à partir de V3.1. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S623. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S627-2M. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S623 et SCALANCE S627-2M. Le chapitre / la section / la ligne en question concerne uniquement SCALANCE S623 à partir de V4.0 et SCALANCE S627-2M à partir de V4.0. Le chapitre / la section / la ligne en question concerne uniquement les CP S7. 6 Manuel de configuration, 09/2013, C79000-G8977-C286-02

7 Avant-propos Le chapitre / la section / la ligne en question concerne tous les modules de sécurité sauf les CP S7. Le chapitre / la section / la ligne en question concerne uniquement les CP PC. Le chapitre / la section / la ligne en question concerne tous les modules de sécurité sauf les CP PC. Le chapitre / la section / la ligne en question concerne tous les CP S7 et CP PC. Le chapitre / la section / la ligne en question concerne tous les modules de sécurité sauf les CP. Ce symbole attire votre attention sur des conseils particuliers. Ce symbole renvoie à des ouvrages de référence. Ce symbole signale l'existence d'informations détaillées dans l'aide contextuelle. Vous y accédez en appuyant sur la touche F1 ou en cliquant sur le bouton "Aide" de la boîte de dialogue en question. Références bibliographiques /.../ Les renvois à d'autres documents sont repérés par un numéro entre deux barres obliques /.../. Ce numéro vous permettra de retrouver le titre du document en question dans la bibliographie qui se trouve à la fin du présent manuel. Manuel de configuration, 09/2013, C79000-G8977-C

8 Avant-propos Voir aussi Pages du Customer Support ( Glossaire SIMATIC NET Vous trouverez une explication des termes techniques figurant dans cette documentation dans le glossaire SIMATIC NET. Le glossaire SIMATIC NET se trouve ici : SIMATIC NET Manual Collection Le DVD est joint à certains produits SIMATIC NET. Sur Internet sous le numéro d'article : ( 8 Manuel de configuration, 09/2013, C79000-G8977-C286-02

9 Sommaire Avant-propos Introduction et notions élémentaires Notes importantes Introduction et notions élémentaires Caractéristiques du produit Fonctions Capacités fonctionnelles Echange de modules Mise en œuvre du SOFTNET Security Client Mise en oeuvre de SCALANCE S Mise en œuvre de SCALANCE S612, S623 et S627-2M Mise en œuvre de l'interface de DMZ de SCALANCE S623 et de SCALANCE S627-2M Utilisation des ports de module de connexion du SCALANCE S627-2M Mise en œuvre de CP Advanced et CP Advanced Mise en œuvre du CP Configuration et administration Configuration sous Security Configuration Tool Généralités - Fonctions et mode de fonctionnement Installation de Security Configuration Tool Systèmes d exploitation pris en charge Interface utilisateur et commandes de menu Création et gestion de projets Security Configuration Tool (variante autonome) Security Configuration Tool dans STEP Migration de données STEP Présentation Définition des valeurs d'initialisation par défaut d'un projet Contrôle de cohérence Attribution de mnémoniques aux adresses IP/MAC Données de configuration pour modules SCALANCE M Données de configuration pour appareils VPN Données de configuration pour clients VPN NCP (Android) Gestion des utilisateurs Présentation de la gestion des utilisateurs Création d'utilisateurs Création de rôles Manuel de configuration, 09/2013, C79000-G8977-C

10 Sommaire Gestion des droits Configuration des stratégies de mot de passe Authentification par serveur RADIUS Présentation Définition d'un serveur RADIUS Affectation d'un serveur RADIUS à un module de sécurité Gestion des certificats Présentation Renouvellement de certificats Remplacement de certificats Création de modules et définition des paramètres de réseau Paramètres dans le volet de contenu Configuration d'interfaces (SCALANCE S) Récapitulatif des possibilités de connexion Interfaces Connexion Internet DNS dynamique (DDNS) LLDP Redondance des supports dans les topologies en anneau Redondance de supports avec MRP/HRP Configuration de MRP/HRP pour le module de sécurité Particularités du mode fantôme Configuration du pare-feu CP en mode standard CP x43-1-adv Paramétrage par défaut du pare-feu Configuration du pare-feu Configuration de la liste d'accès Ajout d'une entrée à la liste d'accès CP Paramétrage par défaut du pare-feu Configuration du pare-feu SCALANCE S en mode Standard Paramétrage par défaut du pare-feu Configuration du pare-feu pour SCALANCE S V Configuration du pare-feu pour SCALANCE S < V Pare-feu en mode avancé Configuration du pare-feu en mode avancé Jeux de règles de pare-feu globaux Jeux de règles globales du pare-feu - Conventions Création et affectation de jeux de règles de pare-feu globaux Jeux de règles IP personnalisés Création et affectation de jeux de règles IP personnalisés Règles de pare-feu en rapport avec les liaisons, créées automatiquement Spécification des règles de filtrage de paquets IP locales Règles de filtrage de paquets IP Définition des services IP Définition des services ICMP Manuel de configuration, 09/2013, C79000-G8977-C286-02

11 Sommaire Paramétrage des règles de filtrage de paquets MAC Règles de filtrage de paquets MAC Définition des services MAC Création de groupes de services Adapter des règles par défaut pour services IP Configuration d'autres propriétés de module Module de sécurité comme routeur Présentation Définition du routeur par défaut et des routes Routage NAT/NAPT Translation d'adresses avec NAT/NAPT Translation d'adresse avec NAT/NAPT dans des tunnels VPN Corrélation entre routeur NAT/NAPT et pare-feu Corrélation entre routeur NAT/NAPT et pare-feu personnalisé Module de sécurité comme serveur DHCP Présentation Configuration d'un serveur DHCP Synchronisation d'horloge Présentation Configuration de l'horloge maître Définition d'un serveur NTP SNMP Présentation Activation de SNMP Proxy-ARP Communication sécurisée sur le VPN par tunnel IPsec VPN avec modules de sécurité Méthodes d'authentification Groupes VPN Règles de formation de groupes VPN Relations de communication par tunnel supportées Création de groupes VPN et affectation à des modules Configuration de tunnel en mode standard Configuration de tunnel en mode avancé Configuration des propriétés du groupe VPN Ajout d'un module de sécurité à un groupe VPN configuré Configuration des propriétés VPN spécifiques module Configuration des propriétés VPN spécifiques liaison Configuration de noeuds de réseau interne Configuration d'autres abonnés et sous-réseaux pour le tunnel VPN Fonctionnement du mode apprentissage Affichage des noeuds de réseau interne détectés Redondance de routeur et de pare-feu Présentation Manuel de configuration, 09/2013, C79000-G8977-C

12 Sommaire 7.2 Création d'une relation de redondance et affectation de modules de sécurité Configuration de relations de redondance SOFTNET Security Client Mise en oeuvre du SOFTNET Security Client Installation et mise en service du SOFTNET Security Client Installation et démarrage du SOFTNET Security Client Désinstallation du SOFTNET Security Client Création du fichier de configuration avec l'outil de configuration Security Configuration Tool Utilisation du SOFTNET Security Client Configuration et édition de tunnels Fonctions en ligne - test, diagnostic et journalisation Vue d'ensemble des fonctions du dialogue Online Enregistrement d'événements (journalisation) Journal local - Paramètres dans la configuration Syslog réseau - Paramètres dans la configuration Configuration de la journalisation de paquets A Annexe A.1 Conformité DNS A.2 Plages de valeurs de l'adresse IP, du masque de sous-réseau et de l'adresse de la passerelle de réseau A.3 Adresse MAC B Bibliographie B.1 Introduction - sans CD/DVD B.2 CP S7 / Concernant la configuration, la mise en service et l'utilisation du CP B.3 Concernant la configuration sous STEP 7 / NCM S B.4 CP S7 Pour le montage et la mise en service du CP B.5 Concernant l'installation et la mise en service d'un réseau Industrial Ethernet B.6 Notions de base SIMATIC et STEP B.7 Communication industrielle Volume B.8 Concernant la configuration de stations PC / PG B.9 Concernant la configuration de CP PC B.10 SIMATIC NET Industrial Ethernet Security Index Manuel de configuration, 09/2013, C79000-G8977-C286-02

13 Sommaire Manuel de configuration, 09/2013, C79000-G8977-C

14

15 Introduction et notions élémentaires 1 Notes relatives à la sécurité des données Remarque Siemens offre pour son portefeuille de produits d automatisation et entraînements des mécanismes de sécurité garantissant une exploitation sécurisée de l'installation ou de la machine. Nous adaptons constamment nos produits aux progrès en matière de sécurité industrielle. Nous vous recommandons par conséquent de vous informer régulièrement des dernières actualisations et mises à jour de nos produit et de n'utiliser que les dernières versions en date. Vous trouverez des informations à ce sujet sous : ( fr) Vous pouvez vous abonner ici à la newsletter correspondant à votre produit. Pour assurer un fonctionnement en toute sécurité d'une installation/machine, il est en outre nécessaire d'intégrer les composants d'automatisation dans un concept de sécurité industrielle des données global, conforme à l'état actuel des TIC et couvrant l'installation/machine complète. Vous trouverez des informations à ce sujet sous : ( Tenez également compte des produits mis en œuvre, issus d'autres constructeurs. 1.1 Notes importantes Général Remarque Protection contre les accès illicites Veillez à ce que l'ordinateur de configuration (PC/PG) et le projet soient protégés contre les accès illicites. Remarque Désactivation du compte Invité Veillez à ce que le compte Invité soit désactivé sur l'ordinateur de configuration Manuel de configuration, 09/2013, C79000-G8977-C

16 Introduction et notions élémentaires 1.1 Notes importantes Remarque Date et heure à jour sur les modules de sécurité Veillez, lors de l'utilisation de la communication sécurisée (via HTTPS, VPN,... par ex.), à ce que les modules de sécurité concernés possèdent bien la date et l'heure actuelles. Les certificats utilisés sont sinon considérés non valides et la communication sécurisée ne fonctionnera pas. Remarque Logiciel antivirus à jour Nous vous conseillons de toujours installer un logiciel antivirus à jour sur tous les ordinateurs de configuration et de l'activer. Remarque FTPS Lorsque la désignation "FTPS" est utilisée dans la présente documentation, il est question de FTPS en mode explicite (FTPES). Remarque Retour au mode standard impossible. Après être passé au mode avancé dans le projet actuel, vous ne pourrez plus retourner au mode standard. Remède sous SCT autonome : Fermez le projet sans l'enregistrer puis rouvrez-le. Remarque Mesures de sécurité supplémentaires pour SOFTNET Security Client SOFTNET Security Client offre une solution de communication sûre avec des cellules d'automatisation via VPN. Pour une auto-protection des PC/PG et de la cellule d'automatisation qui leur est associée, des mesures supplémentaires telles que scanner anti-virus et pare-feu Windows sont recommandées. Sous Windows 7, il faut activer le pare-feu du système d'exploitation pour pouvoir établir des tunnels VPN. 16 Manuel de configuration, 09/2013, C79000-G8977-C286-02

17 Introduction et notions élémentaires 1.1 Notes importantes CP x43-1 Adv. Remarque Paramètres de sécurité complémentaires Pour éviter que des données de configuration illicites ne soient chargées sur le CP, vous devez définir des paramètres de sécurité complémentaires sur le pare-feu du CP (blocage de la communication S7 ou autoriser exclusivement la communication tunnelisée p. ex.) ou prendre des mesures de sécurité externe. STEP 7 Remarque "Enregistrer et compiler" après modifications Pour que les paramètres de sécurité des données soient repris dans les blocs de données système (hors ligne) appropriés, sélectionnez, après avoir effectué des modifications, le menu "Station" > "Enregistrer et compiler" dans HW Config ou "Réseau" > "Enregistrer et compiler" dans NetPro. Remarque Ouverture d'une station alors que Security Configuration Tool est ouvert Fermez le Security Configuration Tool avant d'ouvrir une nouvelle station à l'aide du SIMATIC Manager ou de NetPro. Remarque Aucun multiprojet STEP 7 associé à Security Une configuration de sécurité particulière est créée pour chaque projet STEP 7 lors de l'activation de la sécurité des données. Les multiprojets STEP 7 en rapport avec Security ne sont donc pas pris en charge. Manuel de configuration, 09/2013, C79000-G8977-C

18 Introduction et notions élémentaires 1.2 Introduction et notions élémentaires 1.2 Introduction et notions élémentaires En acquérant les modules de sécurité SIMATIC NET et le SIMATIC NET SOFTNET Security Client vous avez opté pour le concept de sécurité SIEMENS, un concept qui répond aux sévères exigences de la communication sécurisée en automatique industrielle. Remarque Logiciel antivirus à jour Nous vous conseillons de toujours installer un logiciel antivirus à jour sur tous les ordinateurs de configuration. Ce chapitre vous donne un aperçu des fonctions de sécurité dont sont dotés les appareils et composants : SCALANCE S CP x43-1 Adv. CP 1628 SOFTNET Security Client Conseil : Une prise en main rapide des modules de sécurité est fournie dans le documents "SIMATIC NET Security - Mise en route" 1.3 Caractéristiques du produit Fonctions Fonctions des types de module Le tableau ci-après récapitule les fonctions prises en charge par les modules de sécurité. Remarque Vous trouverez dans ce manuel une description de toutes les fonctions. Consultez le tableau ci-après pour savoir quelles sont les fonctions prises en charge par le module de sécurité que vous utilisez. Tenez également compte des informations complémentaires fournies par les titres de chapitre. 18 Manuel de configuration, 09/2013, C79000-G8977-C286-02

19 Introduction et notions élémentaires 1.3 Caractéristiques du produit Tableau 1-1 Fonctions Fonction CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Configuration via Security Configuration Tool - - x Security Configuration Tool intégré dans STEP 7 Compatibilité avec les listes de contrôles d'accès IP (ACL) x x x x - - Général Routeur NAT/NAPT x - x Routage NAT/NAPT dans des liaisons VPN - - x Serveur DHCP - - x Pare-feu Règles de pare-feu locales x x x Jeux de règles de pare-feu globaux x x x Jeux de règles IP personnalisés - - x IPsec Etablissement de tunnels IPsec x x x Gestion des utilisateurs Gestion des utilisateurs x x x Migration du gestionnaire des utilisateurs actuel Identification d'utilisateur via serveur Radius x - x - - x Protocoles pris en charge SNMPv3 x x x Serveur HTTPS x - x Serveur FTPS x - - Client FTPS x - - Client NTP x x x Client NTP (sécurisé) x x x Client PPPoE - - x Client DDNS / client DNS - - x LLDP x - x Client MRP/HRP - - x Journalisation Enregistrement d'évènements système x x x Enregistrement d'évènements d'audit x x x Enregistrement d'évènements de filtre de paquets x x x Manuel de configuration, 09/2013, C79000-G8977-C

20 Introduction et notions élémentaires 1.3 Caractéristiques du produit Fonction CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Messages d'audit dans les tampons de diagnostic du module de sécurité Accès via Security Configuration Tool aux tampons de journal du module de sécurité Diagnostic via Security Configuration Tool Envoi des messages au serveur Syslog x x - x x x x x x x x x Diagnostic web x - - Mode fantôme Recherche de l'adresse IP de l'abonné interne en cours de fonctionnement et adoption de l'adresse IP pour le port externe du module de sécurité. - - x Zone démilitarisée (DMZ) Configuration d'une DMZ pour découpler le réseau sécurisé du réseau non sécurisé - - x Redondance de routeur et de pare-feu Redondance des modules de sécurité pour relayer la fonctionnalité de routeur et de pare-feu en cas de défaillance d'un module de sécurité - - x x La fonction est prise en charge - La fonction n'est pas prise en charge Capacités fonctionnelles Remarque Vous trouverez un récapitulatif complet des capacités fonctionnelles admissibles sur Internet à l'adresse suivante : ( 20 Manuel de configuration, 09/2013, C79000-G8977-C286-02

21 Introduction et notions élémentaires 1.3 Caractéristiques du produit Capacités fonctionnelles Fonction CP x43-1 Adv. CP 1628 SCALANCE S V4.0 Tunnels VPN par module de sécurité 32 max. 64 max. 128 max. Règles de pare-feu par module de sécurité Serveurs NTP à l'échelle du projet (serveurs NTP affectables par module de sécurité) 256 max. 32 (4) Quelles sont les règles applicables aux noms d'utilisateur, noms de rôle et mots de passe? Tenez compte des règles suivantes lors de la création et de la modification d'un utilisateur, d'un rôle ou d'un mot de passe : Caractères admissibles Les caractères ASCII US suivants sont autorisés : A...Z a...z!#$%&()*+,-./:;<=>?@ [\]_{ }~ ^` Caractères interdits " ' Longueur du nom d'utilisateur (méthode d'authentification caractères "mot de passe") Longueur du nom d'utilisateur (méthode d'authentification caractères "RADIUS") Longueur du mot de passe caractères Longueur du nom de rôle caractères Nombre maximal d'utilisateurs par projet 128 Nombre maximal d'utilisateurs par module de sécurité administrateur lors de la création du projet Nombre maximal de rôles par projet 128 (122 personnalisés + 6 définis par le système) Nombre maximal de rôles par module de sécurité 37 (31 personnalisés + 6 définis par le système) Remarque Noms d'utilisateur et mots de passe Une mesure importante d'amélioration de la sécurité consiste à toujours veiller à ce que les noms d'utilisateur et les mots de passe soient le plus longs possibles et contiennent des caractères spéciaux, des minuscules/majuscule ainsi que des chiffres. Les stratégies de mot de passe permettent d'accroître encore la sévérité des restrictions pour mot de passe mentionnées ci-dessus. Pour savoir comment définir des stratégies de mot de passe, veuillez vous référer au chapitre suivant Configuration des stratégies de mot de passe (Page 79) Manuel de configuration, 09/2013, C79000-G8977-C

22 Introduction et notions élémentaires 1.3 Caractéristiques du produit Force du mot de passe Lors de la saisie d'un nouveau mot de passe, sa "force" est vérifiée. On distingue les niveaux de force de mot de passe suivants : très faible faible moyen bon fort très fort Remarque Contrôle de la force du mot de passe d'utilisateurs existants Contrôlez la force du mot de passe. des utilisateurs existant déjà dans le projet, du premier utilisateur créé sous STEP 7 des utilisateurs migrés, en sélectionnant l'utilisateur en question dans l'onglet "Utilisateurs" de la gestion des utilisateurs puis en cliquant sur le bouton "Editer..." Echange de modules Pour accéder à cette fonction 1. Sélectionnez le module de sécurité ou le SOFTNET Security Client à éditer. 2. Sélectionnez la commande de menu "Edition" > "Echanger module...". 3. Selon le type de produit et la version de firmware du module sélectionné, vous pouvez adapter dans la boîte de dialogue le type de module et/ou la version de firmware. Le tableau ci-après indique les modules que vous pouvez échanger sans perte de données et ceux avec perte éventuelle de données. Remarque Remplacement de CP Vous trouverez dans le manuel des informations sur le remplacement de CP. 22 Manuel de configuration, 09/2013, C79000-G8977-C286-02

23 Introduction et notions élémentaires 1.3 Caractéristiques du produit Module initial Echange de module possible S602 V2 S602 V3 S602 V4 S612 V1 S612 V2 S602 V2 - x x! x x x! x x x x S602 V3! - x!!!!!!!!! S602 V4!! -!!!!!!!!! S612 V1!!! - x x x x x x x x S612 V2!!!! - x x! x x x x S612 V3!!!!! - x!! x x x S612 V4!!!!!! -!! x x x S613 V1!!!!! x x - x x x x S613 V2!!!!! x x! - x x x S623 V3!!!!!!!!! - x x S623 V4!!!!!!!!!! - x S627-2M V4!!!!!!!!!!! - x sans pertes! avec pertes éventuelles - le port source n'est pas modifié S612 V3 S612 V4 S613 V1 S613 V2 S623 V3 S623 V4 S627-2M V4 Configuration initiale SOFTNET Security Client 2005 SOFTNET Security Client 2008 SOFTNET Security Client V3.0 SOFTNET Security Client V4.0 SOFTNET Security Client 2005 SOFTNET Security Client 2008 Echange possible SOFTNET Security Client V3.0 SOFTNET Security Client V4.0 - x x x x* - x x x* ** x** - x x* ** x** x - * Si le SOFTNET Security Client ne se trouve pas dans un groupe de routage. ** Si le SOFTNET Security Client ne se trouve pas avec un module SCALANCE M dans un groupe VPN. Voir aussi Interface utilisateur et commandes de menu (Page 45) /2/ (Page 264) Manuel de configuration, 09/2013, C79000-G8977-C

24 Introduction et notions élémentaires 1.4 Mise en œuvre du SOFTNET Security Client 1.4 Mise en œuvre du SOFTNET Security Client La communication PG/PC au sein du VPN - Fonction du SOFTNET Security Client Le logiciel SOFTNET Security Client, fonctionnant sur PC, permet à la PG/au PC d'accéder en toute sécurité via les réseaux publics à des automates programmables protégés par des modules de sécurité. SOFTNET Security Client configure automatiquement une PG/un PC de sorte qu'il puisse établir, via tunnel IPsec, une connexion sécurisée à un ou plusieurs modules de sécurité du VPN (Virtual Private Network). Ceci permet à des applications de PG/PC telles que Diagnostic NCM ou STEP 7, d'accéder par tunnelage sécurisé à des appareils ou réseaux se trouvant dans un réseau interne protégé par des modules de sécurité. Le logiciel de PC SOFTNET Security Client se configure également avec Security Configuration Tool, ce qui assure une configuration cohérente. 1.5 Mise en oeuvre de SCALANCE S602 Pare-feu et routeur - Fonction de SCALANCE S602 En combinant diverses fonctions de sécurité telles que pare-feu et routeur NAT/NAPT, le module de sécurité SCALANCE S602 protège les différents appareils, voire des cellules d'automatisation complètes, contre : l'espionnage de données les accès indésirables SCALANCE S602 permet d'assurer cette protection tout en profitant d'une grande souplesse et simplicité d'utilisation. SCALANCE S602 se configure à l'aide de l'outil de configuration Security Configuration Tool. 24 Manuel de configuration, 09/2013, C79000-G8977-C286-02

25 Introduction et notions élémentaires 1.5 Mise en oeuvre de SCALANCE S602 Figure 1-1 Configuration de réseau avec SCALANCE S602 Fonctions de sécurité Pare-feu Pare-feu IP avec Stateful Packet Inspection (couches 3 et 4) Pare-feu également pour télégrammes Ethernet "non IP" selon IEEE (télégrammes de couche 2 ; ne s'applique pas à S602 en cas d'utilisation du mode routeur) ; Limitation de bande passante Jeux de règles de pare-feu globaux Jeux de règles IP personnalisés Tous les nœuds de réseau, connectés à un segment de réseau interne du SCALANCE S, sont protégés par son pare-feu. Mode routeur Si vous utilisez SCALANCE S comme routeur, vous déconnectez le réseau interne du réseau externe. Le réseau interne connecté par le SCALANCE S devient ainsi un sousréseau distinct ; le SCALANCE S doit être adressé explicitement au moyen de son adresse IP. Protection des appareils et segments de réseau La fonction de sécurité du pare-feu peut s'étendre au fonctionnement d'un appareil, de plusieurs appareils ou de segments de réseau complets. Absence de rétroaction en cas d'intégration dans des réseaux plats (mode pont) Lors de l'intégration d'un SCALANCE S602 dans une infrastructure de réseau existante, il n'est pas nécessaire de reparamétrer les équipements terminaux. Manuel de configuration, 09/2013, C79000-G8977-C

26 Introduction et notions élémentaires 1.5 Mise en oeuvre de SCALANCE S602 Module de sécurité et abonné interne comme une seule unité (mode fantôme) Le module de sécurité se présente vers l'extérieur avec l'adresse IP de l'abonné interne et l'adresse MAC du module de sécurité. NTP (sécurisé) Pour la synchronisation d'horloge et la transmission de l'heure. Nœuds de réseau internes et externes SCALANCE S602 divise les réseaux en deux zones : en réseau interne : il s'agit de zones protégées équipées de "nœuds internes" Les nœuds internes sont tous les nœuds qui sont protégés par un SCALANCE S. en réseau externe : il s'agit de zones non protégées équipées de "nœuds externes" Les nœuds externes sont tous les nœuds qui se trouvent hors des zones protégées. Remarque Les réseaux internes sont considérés comme étant sûrs (dignes de confiance). Connectez un segment de réseau interne aux segments de réseau externes uniquement via SCALANCE S. Il ne doit pas exister d'autres liaisons entre le réseau interne et le réseau externe! 26 Manuel de configuration, 09/2013, C79000-G8977-C286-02

27 Introduction et notions élémentaires 1.6 Mise en œuvre de SCALANCE S612, S623 et S627-2M 1.6 Mise en œuvre de SCALANCE S612, S623 et S627-2M Protection sans faille - Fonction du SCALANCE S612, SCALANCE S623 et SCALANCE S627-2M En combinant diverses fonctions de sécurité telles que pare-feu, routeur NAT/NAPT et VPN (Virtual Private Network) via tunnel IPsec, les modules de sécurité SCALANCE S612, SCALANCE S623 et SCALANCE S627-2M protègent des appareils, voire des cellules d'automatisation complètes, contre : l'espionnage de données la manipulation de données les accès indésirables SCALANCE S offre toutes les facilités de réalisation d'une telle protection, sans répercussion sur le système et indépendamment du protocole utilisé (à partir de la couche 2 selon IEEE 802.3). SCALANCE S et SOFTNET Security Client sont configurés avec l'outil de configuration Security Configuration Tool. Figure 1-2 Configuration de réseau avec SCALANCE S612, SCALANCE S623 et SCALANCE S627-2M Manuel de configuration, 09/2013, C79000-G8977-C

28 Introduction et notions élémentaires 1.6 Mise en œuvre de SCALANCE S612, S623 et S627-2M Fonctions de sécurité Pare-feu Pare-feu IP avec Stateful Packet Inspection (couches 3 et 4) Pare-feu également pour télégrammes Ethernet "non IP" selon IEEE (télégrammes de couche 2 ; n'est pas disponible en cas d'utilisation du mode routeur) Limitation de bande passante Jeux de règles de pare-feu globaux Jeux de règles IP personnalisés Tous les nœuds de réseau, connectés à un segment de réseau interne du SCALANCE S, sont protégés par son pare-feu. Communication sécurisée par tunnel IPsec SCALANCE S et d'autres modules de sécurité peuvent être configurés en groupes. Des tunnels IPsec (VPN, Virtual Private Network) sont alors établis entre tous les modules de sécurité d'un groupe VPN. La communication entre tous les nœuds internes de ces modules de sécurité est sécurisée par ces tunnels. Sécurité non liée au protocole La tunnelisation s'applique également aux télégrammes Ethernet "non IP" selon IEEE (télégrammes de couche 2 ; n'est pas valable en cas d'utilisation de mode routage) Le tunnel IPsec assure le transit aussi bien des télégrammes IP que des télégrammes non IP. PPPoE Point to Point Protocol over Ethernet (RFC 2516) pour l'obtention automatique d'adresses IP du fournisseur d'accès de sorte à pouvoir se passer d'un routeur DSL distinct. Client pour DNS dynamique (client DDNS) Dynamic Domain Name Service pour l'utilisation d'adresses IP dynamiques si un SCALANCE S est utilisé comme serveur VPN en relation avec un SOFTNET Security Client, des modules SCALANCE M, des modules SCALANCE S ou d'autres clients VPN dans un scénario de télémaintenance. SNMPv3 Pour la transmission à l'abri des écoutes d'informations d'analyse de réseau. Mode routeur Si vous utilisez SCALANCE S comme routeur, vous connectez le réseau interne au réseau externe. Le réseau interne connecté via SCALANCE S devient par conséquent un sous-réseau distinct. Protection des appareils et segments de réseau La fonction de sécurité du pare-feu et du VPN peut s'étendre au fonctionnement d'un appareil, de plusieurs appareils ou de segments de réseau complets. 28 Manuel de configuration, 09/2013, C79000-G8977-C286-02

29 Introduction et notions élémentaires 1.6 Mise en œuvre de SCALANCE S612, S623 et S627-2M Interface de DMZ additionnelle Il est possible de placer, dans une zone démilitarisée (DMZ), des serveurs dont l'accès à partir d'autres réseaux (réseau externe non sécurisé, réseau interne sécurisé) est contrôlé et limité. Vous pouvez ainsi mettre à la disposition de ces deux réseaux, de manière sécurisée, des services et données sans permettre à ces deux réseaux de communiquer directement. Absence de rétroaction en cas d'intégration dans des réseaux plats (mode pont) Les nœuds de réseau internes peuvent être trouvés sans configuration. Lors de l'intégration d'un SCALANCE S dans une infrastructure de réseau existante, il n'est par conséquent pas nécessaire de reconfigurer les équipements terminaux. Le module de sécurité tente de trouver des correspondants interne ; les correspondants internes qui n'ont pas été trouvés de cette façon, doivent tout de même être configurés. Identification d'utilisateur via serveur Radius Vous pouvez centraliser sur le serveur RADIUS les noms d'utilisateur, mots de passe et rôles d'utilisateur. L'authentification de ces utilisateurs sera alors assurée par le serveur RADIUS. NTP (sécurisé) Pour la synchronisation d'horloge et la transmission de l'heure. Nœuds internes, nœuds externes, nœuds de DMZ SCALANCE S divise les réseaux en plusieurs zones : Réseau interne : il s'agit de zones protégées équipées de "nœuds internes" Les nœuds internes sont tous des nœuds qui sont protégés par un SCALANCE S. Réseau externe : il s'agit de zones non protégées équipées de "nœuds externes" Les nœuds externes sont tous les nœuds qui se trouvent hors des zones protégées. Réseau DMZ : il s'agit de zones protégées équipées de "nœuds de DMZ" Les nœuds de DMZ sont tous des nœuds qui se trouvent dans la DMZ et sont sécurisés par un SCALANCE S. Remarque Les réseaux connectés à l'interface interne sont considérés comme étant sûrs (dignes de confiance). Connectez un segment de réseau interne à des segments de réseau d'un autre niveau de sécurité (réseau externe, réseau de DMZ) uniquement via SCALANCE S. Il ne doit pas exister d'autres liaisons entre le réseau interne et un réseau possédant un autre niveau de sécurité. Manuel de configuration, 09/2013, C79000-G8977-C

30 Introduction et notions élémentaires 1.7 Mise en œuvre de l'interface de DMZ de SCALANCE S623 et de SCALANCE S627-2M 1.7 Mise en œuvre de l'interface de DMZ de SCALANCE S623 et de SCALANCE S627-2M Scénarios de mise en œuvre de l'interface de DMZ En plus des fonctions du SCALANCE S612, le SCALANCE S623 et le SCALANCE S627-2M possèdent une troisième interface (DMZ) qui permet de connecter un réseau additionnel.cette interface peut, selon le scénario de mise en œuvre, exercer différentes fonctions (pas simultanément) : Création d'une DMZ Terminaison de liaison par tunnel VPN Interface de synchronisation de routeur et de pare-feu... Création d'une DMZ SCALANCE S623 et SCALANCE S627-2M permettent de créer une DMZ (zone démilitarisée) à l'interface additionnelle. Une DMZ est souvent utilisée lorsque des services pour un réseau non sûr doivent être mis à disposition et lorsque le réseau sûr qui fournit les données pour ces services doit être découplé du réseau non sûr. Dans la DMZ peuvent se trouver par exemple des serveurs terminaux avec logiciel de maintenance et diagnostic, que des utilisateurs autorisés peuvent utiliser depuis le réseau externe. Dans les applications DMZ typiques, il faut que l'utilisateur configure les règles de pare-feu de sorte à autoriser les accès (externes) aux serveurs de la DMZ à partir d'internet (en les sécurisant éventuellement en plus par un tunnel VPN), mais pas aux appareils de la zone sécurisée (interne). Figure 1-3 Création d'une DMZ 30 Manuel de configuration, 09/2013, C79000-G8977-C286-02

31 Introduction et notions élémentaires 1.7 Mise en œuvre de l'interface de DMZ de SCALANCE S623 et de SCALANCE S627-2M Un exemple de configuration dans lequel l'interface de DMZ est utilisée pour créer une DMZ est présenté au chapitre "4.2 SCALANCE S comme pare-feu entre réseau externe et DMZ" du manuel "SIMATIC NET Industrial Ethernet Security - Configuration de la sécurité des données". Terminaison de liaison par tunnel VPN L'interface de DMZ peut être utilisée comme terminaison de tunnel VPN. Dans ce scénario, l'interface de DMZ est connectée à Internet via un modem DSL et exploité via PPPoE. Le tunnel VNP permet une communication sécurisée avec par exemple un automate raccordé à l'interface interne d'un autre module de sécurité. Figure 1-4 Terminaison de liaison par tunnel VPN Un exemple de configuration dans lequel l'interface de DMZ est utilisée comme terminaison d'un tunnel VPN est présenté au chapitre "5.2 Tunnel VPN entre SCALANCE S623 et SCALANCE S612" du manuel "SIMATIC NET Industrial Ethernet Security - Configuration de la sécurité des données". Manuel de configuration, 09/2013, C79000-G8977-C

32 Introduction et notions élémentaires 1.7 Mise en œuvre de l'interface de DMZ de SCALANCE S623 et de SCALANCE S627-2M Interface de synchronisation pour la redondance de routeur et de pare-feu L'utilisation de deux modules de sécurité de type SCALANCE S623 ou SCALANCE S627-2M permet de compenser la défaillance d'un module par la redondance de routeur et de pare-feu. Les deux modules de sécurité sont alors utilisés en mode routage et connectés chacun au réseau interne et au réseau externe, un seul module de sécurité étant actif à la fois. En cas de défaillance du module de sécurité ses fonctions de pare-feu et de routeur sont relayées par le modules de sécurité passif. Pour assurer un comportement fonctionnellement identique des deux modules de sécurité, ceux-ci sont interconnectés par leurs interfaces de DMZ, leurs configurations étant synchronisées durant le fonctionnement. Figure 1-5 Redondance de routeur et de pare-feu 32 Manuel de configuration, 09/2013, C79000-G8977-C286-02

33 Introduction et notions élémentaires 1.8 Utilisation des ports de module de connexion du SCALANCE S627-2M 1.8 Utilisation des ports de module de connexion du SCALANCE S627-2M Intégration dans des topologies en anneau En plus des fonctions du SCALANCE S623, le SCALANCE S627-2M possède deux emplacements de module de connexion prévus pour recevoir chacun un module de connexion électrique ou optique à deux ports. Les interfaces externe et interne sont ainsi complétées par deux ports. En mode routage, les ports additionnels du module de sécurité peuvent servir à intégrer les interfaces externe et interne dans des topologies en anneau. Redondance en anneau avec MRP ou HRP Le SCALANCE S627-2M prend en charge en tant que client les protocoles MRP et HRP sur les ports des modules de connexion des interfaces externe et interne. En tant qu'abonné d'un anneau MRP/HRP, le SCALANCE S627-2M peut protéger une cellule d'automatisation ou un anneau subordonné. Cette sécurisation peut également être redondante. Toute défaillance de ligne est détectée par un gestionnaire d'anneau distinct, un SCALANCE X308 p. ex., et compensée par redirection des chemins de communications. Manuel de configuration, 09/2013, C79000-G8977-C

34 Introduction et notions élémentaires 1.9 Mise en œuvre de CP Advanced et CP Advanced 1.9 Mise en œuvre de CP Advanced et CP Advanced Concept de protection de cellule - Fonction du CP x43-1 Adv. Industrial Ethernet Security permet de sécuriser des appareils, des cellules d'automatisation ou des segments d'un réseau Ethernet. Il est également possible de protéger le transfert de données en combinant diverses mesures de sécurité telles que pare-feu, routeur NAT/NAPT et VPN (Virtual Private Network) via tunnel IPsec contre : l'espionnage de données la manipulation de données les accès indésirables Les fonctions de sécurité du CP x43-1 Adv. se configurent à l'aide de l'outil Security Configuration Tool qui est intégré à STEP 7. Figure 1-6 Configuration de réseau avec CP x43-1 Adv. 34 Manuel de configuration, 09/2013, C79000-G8977-C286-02

35 Introduction et notions élémentaires 1.9 Mise en œuvre de CP Advanced et CP Advanced Fonctions de sécurité Pare-feu Pare-feu IP avec Stateful Packet Inspection (couches 3 et 4) Pare-feu également pour télégrammes Ethernet "non IP" selon IEEE (couche 2) Limitation de bande passante Jeux de règles de pare-feu globaux Tous les nœuds de réseau, connectés à un segment de réseau interne du CP x43-1 Adv., sont protégés par son pare-feu. Communication sécurisée par tunnel IPsec Le CP x43-1 Adv. et d'autres modules de sécurité peuvent être configurés en groupes. Des tunnels IPsec (VPN) sont alors établis entre tous les modules de sécurité. La communication entre tous les nœuds internes de ces modules de sécurité est sécurisée par ces tunnels. Journalisation Des évènements peuvent être enregistrés, à des fins de surveillance, dans des fichiers journal que l'outil de configuration permet de lire ou d'envoyer automatiquement à un serveur Syslog. HTTPS Pour la transmission cryptée, lors du contrôle de process p. ex. FTPS Pour la transmission cryptée de fichiers. NTP (sécurisé) Pour la synchronisation d'horloge et la transmission de l'heure. SNMPv3 Pour la transmission à l'abri des écoutes d'informations d'analyse de réseau. Protection des appareils et segments de réseau La fonction de sécurité du pare-feu et du VPN peut s'étendre au fonctionnement d'un appareil, de plusieurs appareils ou de segments de réseau complets. Manuel de configuration, 09/2013, C79000-G8977-C