close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

2 Konfiguration und Projektierung - Siemens

EinbettenHerunterladen
Projektierungsbeispiel 09/2014
Einrichtung einer
gesicherten VPN-Verbindung
zwischen SCALANCE S und
einem mobilen VPN-Client
über eine statische IPAdresse
SCALANCE S, NCP VPN-Client
http://support.automation.siemens.com/WW/view/de/99680894
Gewährleistung und Haftung
Gewährleistung und Haftung
Hinweis
Die Applikationsbeispiele sind unverbindlich und erheben keinen Anspruch auf
Vollständigkeit hinsichtlich Konfiguration und Ausstattung sowie jeglicher
Eventualitäten. Die Applikationsbeispiele stellen keine kundenspezifischen
Lösungen dar, sondern sollen lediglich Hilfestellung bieten bei typischen
Aufgabenstellungen. Sie sind für den sachgemäßen Betrieb der beschriebenen
Produkte selbst verantwortlich. Diese Applikationsbeispiele entheben Sie nicht
der Verpflichtung zu sicherem Umgang bei Anwendung, Installation, Betrieb und
Wartung. Durch Nutzung dieser Applikationsbeispiele erkennen Sie an, dass wir
über die beschriebene Haftungsregelung hinaus nicht für etwaige Schäden
haftbar gemacht werden können. Wir behalten uns das Recht vor, Änderungen
an diesen Applikationsbeispielen jederzeit ohne Ankündigung durchzuführen. Bei
Abweichungen zwischen den Vorschlägen in diesem Applikationsbeispiel und
anderen Siemens Publikationen, wie z.B. Katalogen, hat der Inhalt der anderen
Dokumentation Vorrang.
Für die in diesem Dokument enthaltenen Informationen übernehmen wir keine
Gewähr.
Siemens AG 2014 All rights reserved
Unsere Haftung, gleich aus welchem Rechtsgrund, für durch die Verwendung der
in diesem Applikationsbeispiel beschriebenen Beispiele, Hinweise, Programme,
Projektierungs- und Leistungsdaten usw. verursachte Schäden ist ausgeschlossen,
soweit nicht z.B. nach dem Produkthaftungsgesetz in Fällen des Vorsatzes, der
groben Fahrlässigkeit, wegen der Verletzung des Lebens, des Körpers oder der
Gesundheit, wegen einer Übernahme der Garantie für die Beschaffenheit einer
Sache, wegen des arglistigen Verschweigens eines Mangels oder wegen
Verletzung wesentlicher Vertragspflichten zwingend gehaftet wird. Der Schadensersatz wegen Verletzung wesentlicher Vertragspflichten ist jedoch auf den
vertragstypischen, vorhersehbaren Schaden begrenzt, soweit nicht Vorsatz oder
grobe Fahrlässigkeit vorliegt oder wegen der Verletzung des Lebens, des Körpers
oder der Gesundheit zwingend gehaftet wird. Eine Änderung der Beweislast zu
Ihrem Nachteil ist hiermit nicht verbunden.
Weitergabe oder Vervielfältigung dieser Applikationsbeispiele oder Auszüge
daraus sind nicht gestattet, soweit nicht ausdrücklich von Siemens Industry Sector
zugestanden.
Securityhinweise
Siemens bietet Produkte und Lösungen mit Industrial Security-Funktionen an,
die den sicheren Betrieb von Anlagen, Lösungen, Maschinen, Geräten und/oder
Netzwerken unterstützen. Sie sind wichtige Komponenten in einem
ganzheitlichen Industrial Security-Konzept. Die Produkte und Lösungen von
Siemens werden unter diesem Gesichtspunkt ständig weiterentwickelt. Siemens
empfiehlt, sich unbedingt regelmäßig über Produkt-Updates zu informieren.
Für den sicheren Betrieb von Produkten und Lösungen von Siemens ist es
erforderlich, geeignete Schutzmaßnahmen (z. B. Zellenschutzkonzept) zu
ergreifen und jede Komponente in ein ganzheitliches Industrial Security-Konzept
zu integrieren, das dem aktuellen Stand der Technik entspricht. Dabei sind auch
eingesetzte Produkte von anderen Herstellern zu berücksichtigen.
Weitergehende Informationen über Industrial Security finden Sie unter
http://www.siemens.com/industrialsecurity.
Um stets über Produkt-Updates informiert zu sein, melden Sie sich für unseren
produktspezifischen Newsletter an. Weitere Informationen hierzu finden Sie
unter http://support.automation.siemens.com.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
2
Inhaltsverzeichnis
Inhaltsverzeichnis
Gewährleistung und Haftung ...................................................................................... 2
1
Aufgabenstellung und Lösung ......................................................................... 4
1.1
1.2
1.3
2
Konfiguration und Projektierung ..................................................................... 6
2.1
2.1.1
2.1.2
2.1.3
2.1.4
2.1.5
2.2
2.2.1
2.2.2
2.2.3
2.2.4
2.3
2.4
Siemens AG 2014 All rights reserved
Aufgabe ................................................................................................ 4
Lösungsmöglichkeit .............................................................................. 4
Merkmale der Lösung........................................................................... 5
Einrichten der Umgebung..................................................................... 6
Erforderliche Komponenten und IP-Adressenübersicht ....................... 6
NCP VPN_Client .................................................................................. 8
DSL-Zugang beim SCALANCE S612 .................................................. 9
SCALANCE S612 ................................................................................. 9
Aufbau der Infrastruktur...................................................................... 10
Einrichten der VPN-Kommunikation ................................................... 10
Integration des VPN-Endpunkts SCALANCE S612 ........................... 11
Integration des VPN-Endpunkts NCP VPN-Client ............................. 13
Definition der VPN-Eigenschaften ...................................................... 14
Übertragung der Konfigurationsdaten ................................................ 17
VPN-Verbindung im NCP VPN-Client herstellen ............................... 19
Abschlussarbeiten .............................................................................. 28
3
Tunnelfunktion testen ..................................................................................... 29
4
Historie.............................................................................................................. 29
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
3
1 Aufgabenstellung und Lösung
1
Aufgabenstellung und Lösung
1.1
Aufgabe
Die Aufgabe besteht darin, einem Servicemitarbeiter den sicheren Zugriff auf
Automatisierungszellen oder PCs über das Internet oder ein firmeninternes
Netzwerk zu ermöglichen.
Dabei sind folgende Kundenanforderungen zu berücksichtigen:
Absicherung gegen Spionage und Datenmanipulation.
Verhindern von unerlaubtem Zugriff.
Bereitstellung eines sicheren Fernzugriffs zum Fernwarten und –wirken.
Flexibler Zugang des Servicemitarbeiters (unabhängig vom Ort).
1.2
Lösungsmöglichkeit
Gesamtübersicht
Siemens AG 2014 All rights reserved
Die folgende Grafik zeigt eine Möglichkeit, diese Kundenanforderung umzusetzen:
Smartphone mit
IPSec Client App
Internet
Router
SCALANCE S
Automatisierungs
zelle
Statische
WAN-IP-Adresse
VPN-Client
VPN-Server
SIMATIC S7
Stationen
Der Fernzugriff eines Servicemitarbeiters auf die Automatisierungszelle
(Teilnehmer wie z.B. SIMATIC Station, Panel, Antriebe, PCs) wird durch einen
VPN-Tunnel abgesichert.
Der Clientzugriff von einem mobilen Gerät auf die Automatisierungszelle wird über
den NCP VPN-Client, eine VPN-Client-Software für das Betriebssystem Android,
hergestellt. Als Endpunkt des VPN-Tunnels dient der SCALANCE S612 (hier als
VPN-Server), der vor der Automatisierungszelle platziert ist.
Der WAN-Zugang zum SCALANCE S aus dem WAN erfolgt über eine statische,
öffentliche IP-Adresse.
Der WAN-Zugang auf Clientseite ist flexibel; die IP-Adresse des WAN-Zugangs ist
nicht relevant.
Die Rollenverteilung beim Aufbau des VPN-Tunnels ist wie folgt festgelegt:
Tabelle 1-1
Komponente
VPN-Rolle
SCALANCE S
Responder (VPN-Server); wartet auf VPNVerbindung
NCP Secure VPN Clients for Android
Initiator (VPN-Client); startet die VPN-Verbindung
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
4
1 Aufgabenstellung und Lösung
NCP Secure VPN Clients for Android
Der „NCP Secure VPN Clients for Android“ ist ein universeller VPN-Client für
Android-basierte Smartphones und Tablets (Android 4.0 „Ice Cream Sandwich“
oder höher). Sie ermöglichen den komfortablen, hochsicheren Fernzugriff auf das
Firmennetz und sind kompatibel mit IPsec Gateways unterschiedlichster Hersteller.
Sicherer Zugriff von Tablets und Smartphones auf komplette
Automatisierungszellen.
Sicherung der Datenübertragung vor Spionage und Manipulation mittels
zertifizierter Standards.
Einfacher Einsatz durch
–
eine grafische, intuitive Benutzeroberfläche.
–
Konfigurationsimport von Dritthersteller.
Verbindungssteuerung und -überwachung, Verbindungsstatistik, Log-Files;
Trace-Werkzeug für Fehlerdiagnose; Ampelsymbol für die Anzeige des
Verbindungsstatus.
Unterstützung der DNS-Client-Funktion.
SCALANCE S
Siemens AG 2014 All rights reserved
Die Security- Baugruppen der SCALANCE S-Familie sind speziell für den Einsatz
in der Automatisierungstechnik vorgesehen, schließen dabei aber nahtlos an die
Security-Strukturen der Office- und IT-Welt an. Sie bieten folgende Funktionen:
Hochwertige Stateful Inspection Firewall mit Filterung von IP-basiertem und
MAC-basiertem Datenverkehr.
Benutzerspezifische IP-Firewall zur Unterscheidung und Differenzierung der
Zugriffe auf bestimmte Anlagenteile.
Router-Funktionalität (PPPoE, DNS).
IPSec-VPN (Datenverschlüsselung und Authentifizierung).
Schutz aller Geräte eines Ethernet-Netzwerks.
Flexibler, rückwirkungsfreier und protokollunabhängiger Schutz.
Unterstützung von mehreren VPN-Tunneln gleichzeitig.
1.3
Merkmale der Lösung
Flexibler und weltweiter Zugang zur Automatisierungszelle für den
Servicemitarbeiter.
Standard-APN des Mobilfunkbetreibers nutzbar (keine Zusatzkosten für
spezielle SIM-Karte nötig).
Kontrollierter und verschlüsselter Datenverkehr zwischen SCALANCE S und
NCP VPN-Client.
Hohe Sicherheit für Maschinen und Anlagen durch Realisierung des
Zellenschutzkonzepts.
Problemlose Integration in vorhandene Netzwerke und Schutz von Geräten
ohne eigene Security Funktionen.
Durchgängige Netzwerkdiagnose über SNMP oder Syslog.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
5
2 Konfiguration und Projektierung
2
Konfiguration und Projektierung
2.1
Einrichten der Umgebung
2.1.1
Erforderliche Komponenten und IP-Adressenübersicht
Softwarepakete
Für diese Lösung werden folgende Software-Pakete benötigt:
PG/PC: „Security Configuration Tool V4“ (im Lieferumfang des SCALANCE S
enthalten oder unter der Beitrags-ID: 84467278 als Download verfügbar:)
Smartphone: NCP Secure VPN Clients (Premium Version) for Android (Android
4.0 „Ice Cream Sandwich“ oder höher) (als App im Google Play Store käuflich
zu erwerben)
Installieren Sie diese Software-Pakete auf den entsprechenden Geräten.
Erforderliche Geräte/Komponenten:
Für den Aufbau verwenden Sie folgende Komponenten:
Ein SCALANCE S612 (Firmware V4) (optional: eine entsprechend montierte
Hutschienen mit Montagematerial).
Siemens AG 2014 All rights reserved
Ein Smartphone/ Tablet mit Betriebssystem Android (Android 4.0 „Ice Cream
Sandwich“ oder höher) und dem „NCP Secure VPN Clients for Android“. Für
dieses Beispiel dient ein Samsung galaxy s4 mini.
Eine SIM-Karte Ihres Mobilfunkbetreibers (die entsprechenden Dienste z.B.
Internet sind freigeschaltet).
Einen DSL-Zugang mit statischer WAN-IP-Adresse und einen DSL-Router.
Eine 24V-Stromversorgung mit Kabelverbindung und Klemmenblockstecker.
Einen PC, auf dem das Projektierungswerkzeug „Security Configuration Tool"
installiert ist.
Die nötigen Netzwerkkabel, TP-Kabel (Twisted Pair) nach dem Standard IE FC
RJ45 für Industrial Ethernet.
Ein passendes Verbindungkabel für den Anschluss des Smartphones an den
PC. In der Regel ist dies ein USB-Kabel.
Hinweis
Sie können auch einen anderen SCALANCE S-Typ (außer SCALANCE S602)
oder Internet-Zugang (z.B. UMTS) verwenden.
Die nachfolgend beschriebene Projektierung bezieht sich explizit auf die im
Abschnitt „Erforderliche Geräte/Komponenten“ erwähnten Komponenten.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
6
2 Konfiguration und Projektierung
IP-Adressen
Die Zuordnung der IP-Adressen ist für dieses Beispiel wie folgt festgelegt:
Smartphone mit
NCP Client
S612
DSL-Router
Dynamische
WAN-IP
Statische
WAN-IP
172.16.0.1
172.16.47.1
172.22.80.2
Tabelle 2-1
Siemens AG 2014 All rights reserved
Komponente
Port
IP-Adresse
Router
Subnetzmaske
Smartphone
WAN-Port
Dynamische IPAdresse vom Provider
-
Vom Provider
zugewiesen
DSL-Router
WAN-Port
Statische IP-Adresse
vom Provider
-
Vom Provider
zugewiesen
DSL-Router
LAN-Port
172.16.0.1
-
255.255.0.0
S612
Externer
Port
172.16.47.1
172.16.0.1
255.255.0.0
S612
Interner
Port
172.12.80.2
-
255.255.255.0
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
7
2 Konfiguration und Projektierung
2.1.2
NCP VPN_Client
Physikalische Verbindung zwischen PC und Smartphone
Der schnellste Weg zum Datenabgleich führt über den Windows-Explorer und einer
USB-Verbindung zwischen PC und Smartphone.
Voraussetzung hierbei sind folgende Punkte:
Der Smartphone-Gerätetreiber ist auf dem PC installiert. In der Regel erfolgt
dies automatisch.
Das Smartphone muss sich im Betrieb „USB-Verbindungsmodus“ befinden.
Ist alles richtig konfiguriert, wird der Telefonspeicher von Windows als Laufwerk
bereitgestellt.
Ordner „NCP“ anlegen
Die Zertifikate und die Konfigurationsdatei werden im Ordner „NCP >
Import“ abgelegt.
Siemens AG 2014 All rights reserved
Existiert der Ordner „NCP“ noch nicht, müssen Sie ihn wie folgt anlegen:
1. Öffnen Sie im Windows-Explorer den Eintrag „Computer“ >
„Wechseldatenträger“. Im rechten Fensterbereich wird die Verzeichnisstruktur
des Smartphones angezeigt.
2. Legen Sie einen neuen Ordner „NCP“ an. Die Unterordner „Import“ und
„Export“ werden automatisch zugefügt.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
8
2 Konfiguration und Projektierung
2.1.3
DSL-Zugang beim SCALANCE S612
Statische IP-Adresse
Der WAN-Zugriff des NCP VPN-Clients auf den SCALANCE S612 erfolgt über eine
fest zugewiesene, öffentliche IP-Adresse. Diese muss beim Provider beantragt und
anschließend im DSL-Router hinterlegt werden.
Portforwarding am DSL-Router
Durch die Nutzung eines DSL-Routers als Internet-Gateway müssen Sie die
folgenden Ports am DSL-Router freischalten und die Datenpakete an den S612
(VPN-Server; externe IP-Adresse) weiterleiten:
UDP Port 500 (ISAKMP)
UDP Port 4500 (NAT-T)
VPN-Funktion
Wenn Ihr DSL-Router selbst VPN-fähig ist, stellen Sie sicher, dass diese Funktion
deaktiviert ist.
Siemens AG 2014 All rights reserved
2.1.4
SCALANCE S612
Um sicherzugehen, dass keine alten Konfigurationen und Zertifikate im
SCALANCE S gespeichert sind, setzen Sie die Baugruppe auf Werkseinstellung
zurück.
Das entsprechende Kapitel im Handbuch des SCALANCE S finden Sie unter
diesem Link:
https://www.automation.siemens.com/mdm/default.aspx?DocVersionId=58712435
339&Language=de-DE&TopicId=57280996235.
Der konfigurierte Zustand ist daran zu erkennen, dass die Fault-Anzeige orange
leuchtet.
Sollten Probleme beim Zugriff auf den SCALANCE S oder beim Reboot auftreten,
beachten Sie bitte das entsprechende Kapitel zur Fehlerfindung:
https://www.automation.siemens.com/mdm/default.aspx?DocVersionId=58712435
339&Language=de-DE&TopicId=57279890699
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
9
2 Konfiguration und Projektierung
2.1.5
Aufbau der Infrastruktur
Verbinden Sie alle teilnehmenden Komponenten dieser Lösung miteinander.
Smartphone mit
NCP Client
DSL-Router
WAN-Port
LAN-Port
S612
Externer
Port
Interner
Port
Tabelle 2-2
Siemens AG 2014 All rights reserved
Komponente
Hinweis
2.2
Lokaler Port
Partner
Partner
Port
SCALANCE S612
Externer (ungeschützter) Port
DSL-Router
LAN-Port
SCALANCE S612
Interner (geschützter) Port
z.B. ein Automatisierungsnetzwerk
(in dieser Lösung nicht vorhanden)
Beachten Sie, dass Sie in allen Geräten, die sich im internen Netzwerk des S612
befinden (z.B. Steuerungen, Panels etc.), die IP-Adresse des internen Ports als
Standard-Gateway eingetragen werden muss.
Einrichten der VPN-Kommunikation
SCT-Projekt
Die Projektierung des VPN-Tunnels erfolgt über das Security Configuration Tool
V4. Öffnen Sie das Tool und legen Sie über „Projekt“ > “Neu…“
(„Project“ > “New…“) ein neues Projekt an. Bestimmen Sie einen Benutzername
und ein Passwort.
Komponentenübersicht
Für diese Lösung werden folgende Security-Komponenten verwendet:
SCALANCE S612 (Firmware V4)
NCP Secure VPN Clients for Android
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
10
2 Konfiguration und Projektierung
2.2.1
Integration des VPN-Endpunkts SCALANCE S612
Zur Einbindung der Komponente SCALANCE S612 in das Security Configuration
Tool gehen Sie wie folgt vor:
1. Öffnen Sie über „Einfügen“ > „Baugruppe“ („Insert“ > „Module“) oder das
entsprechende Menüsymbol den Dialog zur Baugruppenwahl.
Hinweis: Dieser Dialog öffnet sich automatisch, wenn Sie das Projekt neu
angelegt haben.
Definieren Sie folgende Baugruppe:
Produkttyp: SCALANCE S
Baugruppe: S612
Firmwarerelease: V4
Siemens AG 2014 All rights reserved
2. Vergeben Sie der Baugruppe einen Namen und übernehmen Sie die MACAdresse vom Gehäuse des S612 in das entsprechende Eingabefeld.
Tragen Sie die externe IP-Adresse und die Subnetzmaske nach
Tabelle 2-1 ein.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
11
2 Konfiguration und Projektierung
Siemens AG 2014 All rights reserved
3. Ändern Sie den Betriebsmodus des SCALANCE S auf Routing. Tragen Sie
die interne IP-Adresse und die Subnetzmaske nach
Tabelle 2-1 ein. Schließen Sie dien Dialog mit „OK“.
Ergebnis
Der SCALANCE S612 erscheint jetzt als neue Baugruppe.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
12
2 Konfiguration und Projektierung
2.2.2
Integration des VPN-Endpunkts NCP VPN-Client
Zur Einbindung der Komponente NCP VPN-Client in das Security Configuration
Tool gehen Sie wie folgt vor:
1. Öffnen Sie über „Einfügen“ > „Baugruppe“ („Insert“ > „Module“) oder das
entsprechende Menüsymbol den Dialog zur Baugruppenwahl.
Definieren Sie folgende Baugruppe:
Produkttyp: SOFTNET Konfiguration (SOFTNET configuration)
Baugruppe: NCP VPN client for Android
Firmwarerelease: V2.1
Siemens AG 2014 All rights reserved
2. Vergeben Sie der Baugruppe einen Namen.
Schließen Sie dien Dialog mit „OK“.
Ergebnis
Der NCP VPN-Clienterscheint jetzt als zusätzlich neue Baugruppe.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
13
2 Konfiguration und Projektierung
2.2.3
Definition der VPN-Eigenschaften
VPN-Gruppe anlegen
Alle Mitglieder einer VPN-Gruppe sind berechtigt, über einen VPN-Tunnel
miteinander zu kommunizieren.
Gehen Sie zum Anlegen einer VPN-Gruppe wie folgt vor:
Siemens AG 2014 All rights reserved
3. Markieren Sie im Projektbaum den Eintrag „VPN Gruppe“ („VPN groups“).
Legen Sie über „Einfügen“ > „Gruppe“ („Insert“ > „Group“) oder das
entsprechende Menüsymbol eine neue VPN-Gruppe an.
4. Markieren Sie nacheinander den SCALANCE S612 und den NCP VPN-Client
aus der Liste „Alle Baugruppen“ („All modules“) und fügen Sie diese über
Drag&Drop in die VPN-Gruppe ein.
Ergebnis
Der SCALANCE S612 und der NCP VPN-Client wurden der VPN-Gruppe Group1
zugewiesen. Zur Authentifizierungsmethode werden Zertifikate verwendet.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
14
2 Konfiguration und Projektierung
VPN-Parameter im S612 definieren
Zum Aufbau des VPN-Tunnels werden noch folgende Informationen benötigt:
Eintrag für den Standard-Router
WAN-IP-Adresse des DSL-Routers
VPN-Rolle
Parametrieren Sie diese wie folgt:
1. Markieren Sie im Projektbaum „Alle Baugruppen“ („All modules“) den S612 V4
und öffnen Sie über einen Doppelklick dessen Eigenschaftsdialog.
Siemens AG 2014 All rights reserved
2. Im Register „Routing“ tragen Sie den Standard Router nach
Tabelle 2-1 ein.
3. Im Register „VPN“ wählen Sie für den S612 als VPN-Rolle „Responder“.
Tragen Sie die WAN-IP-Adresse Ihres DSL-Zugangs im Feld WAN IP
Adresse/ FQDN (WAN IP address/ FQDN) ein.
Schließen Sie den Dialog mit „OK“.
4. Bestätigen Sie die Meldung mit „OK“.
5. Speichern Sie das Projekt ab.
Ergebnis
Die VPN-Konfiguration ist abgeschlossen.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
15
2 Konfiguration und Projektierung
VPN-Parameter im NCP VPN-Client definieren
Für den Aufbau der VPN-Verbindung benötigt der NCP VPN-Client den
Ablagepfad der Konfigurationsdatei in seiner Verzeichnisstruktur.
Parametrieren Sie diesen wie folgt:
1. Markieren Sie im Projektbaum „Alle Module“ („All modules“) den NCP VPNClient und öffnen Sie über einen Doppelklick dessen Eigenschaften.
2. Tragen Sie im Register „VPN“ den Ablagepfad
„/storage/emulated/0/NCP/Import“ ein.
Hinweis:
Der Ablagepfad muss mit dem im NCP VPN-Client hinterlegten Eintrag
übereinstimmen.
Siemens AG 2014 All rights reserved
Schließen Sie den Dialog mit „OK“.
Ergebnis
Die VPN-Konfiguration ist abgeschlossen.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
16
2 Konfiguration und Projektierung
2.2.4
Übertragung der Konfigurationsdaten
Die Übertragung der Konfigurationsdaten in die Security-Komponenten
SCALANCE S und NCP VPN-Client erfolgt unterschiedlich:
SCALANCE S:
Das Laden geschieht direkt aus dem Security Configuration Tool heraus.
NCP VPN-Client:
Das Security Configuration Tool erstellt eine Konfigurationsdatei für den Import in
die Client-Software.
Vorbereitung
Da als externes öffentliches Netzwerk ein WAN verwendet wird, kann der S612 mit
Werkseinstellung nicht über dieses WAN konfiguriert werden. Konfigurieren Sie in
diesem Fall die Security-Baugruppe aus dem internen Netz heraus.
Verbinden Sie dafür den PC mit dem internen Port des SCALANCE S und ändern
Sie die Netzweinstellung am PC wie folgt:
IP-Adresse: 172.22.80.100
Subnetzmaske: 255.255.255.0
Siemens AG 2014 All rights reserved
SCALANCE S
1. Selektieren Sie den S612 und wählen Sie den Menübefehl „Übertragen" > „An
Baugruppe(n)..." („Transfer“ > „To module(s)…“).
2. Beim ersten Laden einer Konfiguration nach der Installation des Security
Configuration Tools erscheint ein Dialog zur Wahl des Netzwerkadapters. Hier
wählen Sie explizit Ihren Netzwerkadapter aus, über welchen Sie tatsächlich
mit der Baugruppe verbunden sind.
3. Durch Klicken auf die Schaltfläche „Start" im Dialog „Konfigurationsdaten auf
Security-Baugruppe laden" („Download configuration data to security module“)
übertragen Sie die Konfiguration auf die SCALANCE S-Baugruppe.
Ergebnis
Der S612 ist jetzt konfiguriert und kann auf IP-Ebene kommunizieren. Dieser
Betriebszustand wird von der Fault-Anzeige durch grünes Licht signalisiert.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
17
2 Konfiguration und Projektierung
NCP VPN-Client
1. Selektieren Sie den NCP VPN-Client und wählen Sie den Menübefehl
„Übertragen" > „An Baugruppe(n)..." („Transfer“ > „To module(s)…“).
2. Speichern Sie die Konfigurationsdatei "<Projektname>.NCP.ini" inklusiv der
Zertifikate in Ihr Projektverzeichnis.
3. Bestätigen Sie die kommende Meldung (Anpassung des Zeitlimits) mit „OK“.
4. Geben Sie ein Passwort für das Zertifikat der VPN-Konfiguration an. Vergeben
Sie kein Passwort, wird der Projektname (nicht das Passwort des eingeloggten
Benutzers) als Passwort übernommen.
Ergebnis
In das Projektverzeichnis werden folgende Dateien abgespeichert:
Konfigurationsdatei: „<Projektname>.NCP.ini“
Zertifikat: „<Projektname>.<Zeichenfolge>.NCP.p12"
Siemens AG 2014 All rights reserved
Gruppenzertifikat: „<Projektname>.Group1.cer“
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
18
2 Konfiguration und Projektierung
2.3
VPN-Verbindung im NCP VPN-Client herstellen
Übertragung der Konfigurationsdaten
In der vom Security Configuration Tool erstellen Konfigurationsdatei
„<Projektname>.NCP" sind alle Einstellungen hinterlegt, die der NCP VPN-Client
zum Aufbau der VPN-Verbindung benötigt.
Kopieren Sie diese Datei sowie die Zertifikate wie folgt in den Telefonspeicher:
1. Stellen Sie eine Verbindung zwischen Smartphone und PC her.
2. Öffnen Sie im Windows-Explorer den Eintrag „Computer“ >
„Wechseldatenträger“. Im rechten Fensterbereich wird die Verzeichnisstruktur
des Smartphones angezeigt. Öffnen Sie den Ordner „NCP“ > „Import“.
3. Löschen Sie mit den üblichen Windows-Funktionen – falls nötig – bereits
vorhanden Konfigurationsdateien und Zertifikate.
Siemens AG 2014 All rights reserved
4. Öffnen Sie einen weiteren Windows-Explorer und navigieren Sie in Ihr
Projektverzeichnis.
5. Markieren Sie alle zum NCP VPN-Client gehörenden Dateien und kopieren Sie
diese mit den üblichen Windows-Funktionen auf den Smartphone-Speicher in
den Ordner „NCP“ > „Import“.
Konkret sind das die Dateien:
Konfigurationsdatei: „<Projektname>.NCP.ini“
Zertifikat: „<Projektname>.<Zeichenfolge>.NCP.p12"
Gruppenzertifikat: „<Projektname>.Group1.cer“
Ergebnis
Die Konfigurationsdatei und die Zertifikate befinden sich nun auf dem Smartphone.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
19
2 Konfiguration und Projektierung
NCP VPN-Client öffnen
Der NCP VPN-Client besitzt neben einer grafischen Benutzeroberfläche auch
diverse Menübefehle für die manuelle Konfiguration, Anzeige von Log-Files und
dem Import /Export von Konfigurationsdaten Dritthersteller.
Siemens AG 2014 All rights reserved
1. Öffnen Sie die App „NCP Secure VPN Clients for Android“ auf Ihrem
Smartphone.
2. Drücken Sie die „Menü“-Taste am Smartphone und öffnen Sie „Import /
Export“.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
20
2 Konfiguration und Projektierung
Siemens AG 2014 All rights reserved
Ergebnis
Durch die Ablage der Konfigurationsdatei und der Zertifikate unter dem bei „Import
Path“ angegebenen Pfad („NCP“ > „Import“) werden diese automatisch von NCP
VPN-Client erkannt und angezeigt.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
21
2 Konfiguration und Projektierung
Zertifikate bestätigen
Als Authentifizierungsmethode werden Zertifikate eingesetzt.
Diese befinden sich bereits im Ordner „NCP“ > „Import“ auf dem Smartphone und
werden vom NCP VPN-Client erkannt.
Bestätigen Sie die Zertifikate wie folgt:
1. Selektieren Sie den Eintrag „<Projektname>.<Zeichenfolge>.NCP.p12".
Das Optionskästchen wird gesetzt.
Siemens AG 2014 All rights reserved
2. Selektieren Sie den Eintrag „<Projektname>.Group1.cer“.
Das Optionskästchen wird gesetzt.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
22
2 Konfiguration und Projektierung
Siemens AG 2014 All rights reserved
3. Drücken Sie am Smartphone die „Zurück“-Taste, um die Zertifikate zu
übernehmen.
Ergebnis
Die zum Aufbau der VPN-Verbindung benötigten Zertifikate können nun verwendet
werden.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
23
2 Konfiguration und Projektierung
Konfigurationsdatei bestätigen
Alle Einstellungen, die der NCP VPN-Client für den Aufbau der VPN-Verbindung
zum SCALANCE S612 benötigt, sind in der Konfigurationsdatei
„<Projektname>.NCP.ini“ hinterlegt. Diese befindet sich bereits im Ordner „NCP“ >
„Import“ auf dem Smartphone und wird vom NCP VPN-Client erkannt.
Bestätigen Sie diese Datei wie folgt:
1. Drücken Sie erneut die „Menü“-Taste am Smartphone und öffnen Sie „Import /
Export“.
2. Selektieren Sie den Eintrag „<Projektname>.NCP.ini“.
Siemens AG 2014 All rights reserved
3. Die neue Konfigurationsdatei wird als Profil gespeichert. Klicken Sie zum
Import auf „Next“.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
24
2 Konfiguration und Projektierung
Siemens AG 2014 All rights reserved
4. Der Inhalt der Konfigurationsdatei wird angezeigt. Bestätigen Sie dieses Profil
durch „Finish“.
5. Drücken Sie am Smartphone die „Zurück“-Taste.
Ergebnis
Die zum Aufbau der VPN-Verbindung benötigten Einstellungen sind nun im NCP
VPN-Client als eigenes Profil hinterlegt.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
25
2 Konfiguration und Projektierung
VPN-Verbindung aufbauen
Der NCP VPN-Client besitzt nun alle nötigen Informationen für die gesicherte VPNVerbindung. Aktivieren Sie den Tunnel-Aufbau wie folgt:
Siemens AG 2014 All rights reserved
1. Selektieren Sie in der Profil-Liste das Profil „Group1-S612-1“.
2. Ändern Sie die Schalterstellung von „0“ auf „1“.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
26
2 Konfiguration und Projektierung
Siemens AG 2014 All rights reserved
3. Geben Sie das Passwort für den privaten Schlüssel des Zertifikats ein.
Bestätigen Sie dies mit „Ok“.
4. Der NCP VPN-Client initiiert den VPN-Tunnel zum SCALANCE S612. Dieser
Vorgang wird durch eine gelbe Ampel bzw. eine gelbe Verbindung verdeutlicht.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
27
2 Konfiguration und Projektierung
Ergebnis
Der VPN-Tunnel wurde aufgebaut. Der Status wird über eine grüne Ampel bzw.
eine grüne Verbindung verdeutlicht.
Siemens AG 2014 All rights reserved
2.4
Abschlussarbeiten
Verbinden Sie den internen Port des SCALANCE S612 mit Ihrem Netzwerk (z. B.
Automatisierungsnetzwerk).
Stellen Sie bei allen Geräten, die sich am internen Port der Geräte befinden, den
entsprechenden Standard-Router (IP-Adresse des internen Ports) ein.
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
28
3 Tunnelfunktion testen
3
Tunnelfunktion testen
Nach Kapitel 2 ist die Inbetriebsetzung der Konfiguration abgeschlossen und der
SCALANCE S612 und der NCP VPN-Client haben einen VPN-Tunnel zur sicheren
Kommunikation aufgebaut.
Die aufgebaute Tunnelverbindung können Sie - wie nachfolgend beschrieben - mit
einem Ping-Kommando an einen internen Teilnehmer durchführen.
Alternativ können Sie auch andere Methoden für den Test der Konfiguration
verwenden (z.B. durch Öffnen der internen Webseite bei Verwendung eines
SCALANCE X oder eines CPs).
1. Öffnen Sie am Smartphone eine App, die einen „ping“-Befehl ermöglicht.
2. Geben Sie die IP-Adresse des internen Teilnehmers ein.
Siemens AG 2014 All rights reserved
Ergebnis
Sie erhalten eine positive Antwort des internen Teilnehmers.
4
Historie
Tabelle 4-1
Version
Datum
V1.0
09/2014
Security: NCP_S6xx_Static
Beitrags-ID: 99680894, V1.0,
09/2014
Änderung
Erste Ausgabe
29
Document
Kategorie
Technik
Seitenansichten
34
Dateigröße
1 650 KB
Tags
1/--Seiten
melden