Beitragstyp: Produktmitteilung, Beitrags-ID: 60987772, Beitragsdatum: 29.05.2012
(0)
Bewerten

Vertriebs- und eingeschränkte Lieferfreigabe SCALANCE S602 V3 und S612 V3

  • Beitrag
  • Betrifft Produkt(e)

Die SCALANCE S602 V3 und S612 V3 werden von I IA SC CI mit Einschränkungen zur Lieferung  freigegeben und sind ab sofort ab Lager verfügbar.

 

Die SCALANCE S V3 werden mit folgenden Einschränkung freigegeben:

1. Folgende Zulassung liegt noch nicht vor:

  • FM

Die Zulassung wird bis E06/2012 erwartet.
 

1. Produktbeschreibung

Scalance S ist eine Security Appliance, die zur Absicherung von Geräten, Automatisierungszellen oder Netzsegmenten von Ethernetnetzwerken dient. Dadurch können Produktionsnetze effektiv gegen äußere und innere Gefahren geschützt werden, wie unerlaubten Zugriffen oder unnötiger Kommunikationslast. Darüberhinaus kann die Kommunikation durch Verschlüsselung vor Datenspionage und Manipulation gesichert werden, wie z.B. bei Fernzugriffen über unsichere Netze wie Internet oder WAN.

Funktionen

SCALANCE S V3 bietet die gleichen Funktionalitäten und Eigenschaften wie die bisherigen SCALANCE S Varianten:

  • VPN (Virtual Private Network bei S612): zur sicheren Authentifizierung (Identifikation) der Netzteilnehmer, sowie zur Verschlüsselung der Daten und Überprüfung der Datenintegrität. Zum Schutz des Datenverkehrs vor Spionage und Manipulation ist eine sichere Verschlüsselung erforderlich. So bleibt der Datenverkehr für jeden Abhörer im Netzwerk unverständlich. Hierzu baut das Security Module IPSec-VPN-Tunnel zu anderen VPN-fähigen Geräten auf.
  • Stateful Inspection Firewall: filtert Datenpakete und sperrt bzw. erlaubt Kommunikationsverbindungen gemäß Filterliste. Sowohl eingehende, als auch ausgehende Kommunikation kann gefiltert werden. Gefiltert werden IP- und MAC-Adressen, sowie Kommunikationsprotokolle (Ports). Die Firewall kann alternativ oder auch ergänzend zum VPN eingesetzt werden. Stateful Inspection bedeutet, dass Kommunikation auch zustandsabhängig gefiltert werden kann, so dass z.B. Antworttelegramme auf vom internen Netz aus initierte Kommunikation passieren darf, wohingegen von außen initierte Kommunikation der gleichen Art geblockt wird.
  • Logging (Syslog): Zur Überwachung des Zugangs und um Angriffsversuche erkennen zu können, werden alle Zugriffe bzw. abgewiesene Zugriffe in einem Logfile gespeichert, das vom Projektiertool ausgelesen werden kann. Zusätzlich besteht die Möglichkeit die Logdaten automatisch an einen Syslog-Server zu senden.
  • NAT/NAPT (Network Address and Port Translation): Verwendung von privaten IP-Adressen im internen Netz möglich. Somit können öffentliche IP-Adressen eingespart werden (NAPT) und Automatisierungszellen identisch mit den gleichen privaten IP-Adressen aufgebaut werden (NAT).
  • Symbolische Namen für IP-Adressen: erleichtert die Konfiguration und die Lesbarkeit der Firewallregeln.

·         Globale Firewallregeln: Einfache und schnelle Inbetriebnahme, indem Firewallregeln, die für mehrere Scalance S Geräte gelten sollen, in globalen Firewallregeln zusammengefasst werden können.

  • Robuste, industrietaugliche Ausführung und auf die Erfordernisse im industriellen Umfeld zugeschnitten.

Zusätzlich sind folgende Funktionen ab der V3 bei SCALANCE S verfügbar:

  • Userspezifische Firewallregeln und User-Authentifizierung mittels User-Login und Password: User können sich an einem SCALANCE S anmelden und nach erfolgter Identifizierung werden ihnen spezifische Firewallregeln zugeordnet, die den Zugriff auf bestimmte Geräte und ggfs. nutzbare Kommunikationsprotokolle beschränken können. So können z.B. Zugriffe von verschiedenen Maschinenherstellern auf ihre jeweiligen Maschinen beschränkt werden. Zusätzliche Sicherheit kann man dadurch gewinnen, dass die userspezifischen Firewallregeln nur VPN-Datenverkehr zulassen können und der User daher zudem eine VPN Verbindung aufbauen muss.
  • SNMP (V1 + V3): Simple Network Management Protocol zur Standard-Netzwerk-Diagnose bzw. Übertragung von Netzwerkanalyseinformationen an das Netzwerkmanagementsystem. SNMP V3 bietet zudem eine abhörsichere Übertragung und erhöhte Sicherheit gegenüber SNMP V1.
  • PPPoE: Point-to-point protocol over Ethernet zum automatischen Bezug von IP-Adressen vom Provider, so dass eine separate DSL-Router Projektierung entfallen kann
  • DynDNS: Dynamischer Domain Name Service zur Verwendung dynamischer IP-Adressen auch bei Serverbetrieb von SCALANCE S bei Fernwartung via Internet Provider
  • Erweitertes Mengengerüst bei VPN Verbindungen (128 Verbindungen gleichzeitig; max. 128 Teilnehmer im internen Netz) für S612
  • Erweiterter Temperaturbereich (-40°C bis +60°C) für alle Varianten

 

Die Projektierung erfolgt mit dem Security Configuration Tool (SCT), das im Lieferumfang enthalten ist bzw. in Step7 ab V5.5 SP2 HF1 enthalten sein wird.

Aufbau

SCALANCE S V3 weist alle Vorteile der SCALANCE-Aufbautechnik auf:

  • Robustes Metallgehäuse für den platzsparenden Schaltschrankeinbau auf Standardhutschiene, S7-300 Profilschiene oder für Wandmontage
  • Robuste, industriegerechte Teilnehmeranschlüsse mit PROFINET-konformen RJ45 Steckverbindern, die durch Verrastung am Gehäuse eine zusätzliche Zug- und Biegeentlastung bieten
  • Redundante Spannungseinspeisung
  • Fehlermeldekontakt
  • Diagnose am Gerät über LED (Power, Linkstatus, Datenverkehr)
  • C-PLUG (Configuration Plug) kann als Wechselmedium gesteckt werden und ermöglicht so den schnellen Baugruppentausch im Fehlerfall ohne PG

SCALANCE S602 und S612: 2 RJ45 Ports (rot/grün)

Am grün gekennzeichneten Port werden die zu schützenden Geräte angeschlossen und der rot gekennzeichnete Port ist die Schnittstelle zum externen Netz.

2. Bestelldaten

Produktname Bestellnummer
SCALANCE S602
SCALANCE S612
6GK5 602-0BA10-2AA3
6GK5 612-0BA10-2AA3

3. Anwendungsziel

SCALANCE S dient der Zugriffskontrolle auf Automatisierungsgeräte und Schutz der Datenübertragung im industriellen Umfeld. Dabei erfolgt die Sicherung völlig protokollunabhängig, d.h. sämtliche IP-basierende (Layer 3) und MAC-basierende (Layer 2) Kommunikation kann geschützt werden. Unterlagerte Netzwerke werden dabei entsprechend dem Zellenschutzkonzept abgesichert. Sicherheit beim Datenaustausch zwischen Automatisierungssystemen und Schutz vor Spionage und Manipulation wird durch Verschlüsselung der Daten gewährleistet. SCALANCE S ist für den Einsatz im Schaltschrank ausgelegt.

Kundennutzen:

  • Zugriffschutz für beliebige Geräte in Ethernet-Netzwerken.
  • Sichere Fernzugriffe über Internet (z.B. mit DSL-Modem) realisierbar
  • Einbindung in Netzwerkmanagementsysteme mit SNMP (V1 + V3) möglich und damit eine durchgängige Netzwerkdiagnose
  • Durch Bridge-Mode problemlose Integration in vorhandene Netzwerke, da keine Endteilnehmer umkonfiguriert oder neue IP-Subnetze eingeführt werden müssen.
  • Verwendung von privaten IP-Adressen im internen Netz möglich durch NAT bzw. NAPT (Network Address and Port Translation) Funktionalität
  • Einsatz in industrieller Umgebung durch robuste, industrietaugliche Auslegung

Im Rahmen des Siemens Industrial Security Konzepts bietet Siemens folgende Produkte mit den integrierten Sicherheitsmechanismen VPN und Firewall an:

  • SCALANCE S; Security Appliance zum Schutz beliebiger Geräte und der Datenübertragung
  • CP 343-1 Advanced; Security CP zum Schutz von SIMATIC S7-300 und der Datenübertragung
  • CP 443-1 Advanced; Security CP zum Schutz von SIMATIC S7-400 und der Datenübertragung
  • CP 1628; Security CP zum Schutz von PCs und der Datenübertragung

Ergänzt wird dieses Portfolio durch den Softnet Security Client, der als VPN-Client Software zum Aufbau gesicherter VPN Verbindungen von PCs oder Laptops mit o.g. SIMATIC NET Baugruppen dient.

 

Diese Produkte werden mit dem gleichen Konfigurationstool projektiert (SCT bzw. SCT in STEP7 integriert) und können miteinander gesicherte VPN-Verbindungen aufbauen. Globale Firewallregelsätze können in allen o.g. Produkten (außer Softnet Security Client) verwendet werden und müssen nicht produktspezifisch erstellt werden.

 

4. Technische Daten


Die technischen Daten von SCALANCE S V3 entsprechen im allgemeinen denen von SCALANCE S bisher.

Securityfunktionen SCALANCE S602:

  • Stateful Inspection Firewall

+Globale Firewallregeln

+Userspezifische Firewallregeln

 

Securityfunktionen SCALANCE S612

  • Stateful Inspection Firewall

+Globale Firewallregeln

+Userspezifische Firewallregeln

  • IPSec-VPN

max. Anzahl VPN Verbindungen:    128

max. Geräte im internen Netz:          128

 

Bild: SCALANCE S612