Beitragstyp: Produktmitteilung, Beitrags-ID: 60988290, Beitragsdatum: 29.05.2012
(0)
Bewerten

Eingeschränkte Vertriebs-/Lieferfreigabe SIMATIC NET PC-Baugruppe CP 1628 mit integrierter Securityfunktionalität

  • Beitrag
  • Betrifft Produkt(e)

Hiermit wird der SIMATIC NET CP1628 mit folgenden Einschränkungen für Vertrieb und Lieferung freigegeben:

a)"font:7.0pt "Times New Roman"">      Die Anzahl der gleichzeitig betreibbaren VPN-Verbindungen ist auf 16 begrenzt.

b)"font:7.0pt "Times New Roman"">      Der  CP1628 ist noch nicht für einen gemeinsamen Betrieb mit dem SOFTNET Security Client freigegeben.

c)"font:7.0pt "Times New Roman"">      Ein Betrieb von HARDNET-IE S7 REDCONNECT mit TCP-Verbindungen über VPN ist noch nicht freigegeben.

 

Der SIMATIC NET CP 1628 ist ein neuer Kommunikationsprozessor zum Anschluss von PC basierten Automatisierungsaufgaben und wird das Produktspektrum der Industrial Ethernet PC Baugruppen um ein weiteres Mitglied ergänzen.

 

Der neue Kommunikationsprozessor für den PC bietet den kompletten Funktionsumfang, welcher bereits vom CP 1623 bekannt ist. Darüber hinaus wurden nachfolgende zusätzliche Funktionen integriert:

·        integrierte Sicherheitsmechanismen (z. B. Firewall, VPN)

·        sichere Einbindung ins Netzwerkmanagement (SNMP V3)

·        sichere Übertragung der Uhrzeit (NTP V3)

·        Nachvollziehbarkeit durch Datenlogging anhand von Standard IT-Mechanismen (syslog)

 

Die integrierten Sicherheitsmechanismen des CP 1628 ermöglichen die Absicherung wichtiger Rechnersysteme einschließlich der dazugehörigen Datenkommunikation innerhalb eines Automatisierungsnetzes oder als sicherer Fernzugriff über das Internet.

 

 

1. Produktbeschreibung

 

 

Der CP 1628 ist eine Kommunikationsbaugruppe für den sicheren Anschluss von PG/PC an Industrial Ethernet. Mit einem eigenem Prozessor für Automatisierungs-/Sicherheitsaufgaben entlastet der CP 1628 den Host-PC und stellt eine konstante, stabile und sichere Datenkommunikation zur Verfügung.

 

Funktionen

 

Der CP 1628 bietet die gleichen Funktionalitäten wie der CP 1623:

·        hohes Mengengerüst, z.B. 120 S7-Verbindungen (

·        Einsatz in redundanten Umgebungen in Verbindung mit S7-REDCONNECT

·        OPC-Schnittstelle

 

Zusätzlich wird die Baugruppe erweitert um:

·        Stateful Inspection Firewall

Die Firewall filtert Datenpakete und sperrt bzw. läßt Kommunikationsverbindungen gemäß Filterliste (Paketfilter-Firewall) zu. Sowohl eingehende, als auch ausgehende Kommunikation kann auf IP- und MAC-Adressen (nur in Layer 2 Telegrammen), sowie Kommunikationsprotokolle (Ports) gefiltert werden.

Die Firewall kann alternativ oder auch ergänzend zum VPN eingesetzt werden. Stateful Inspection bedeutet, dass Kommunikation auch zustandsabhängig gefiltert werden kann, so dass z.B. Antworttelegramme auf vom internen Netz aus initierte Kommunikation passieren darf, wohingegen von außen initierte Kommunikation der gleichen Art geblockt wird.

 

·        Globale Firewallregeln

Globale Firewallregeln: Einfache und schnelle Inbetriebnahme indem Firewallregeln, die für mehrere Securityprodukte gelten sollen in globalen Firewallregeln zusammengefasst werden können.

 

·        VPN (Virtual Private Network)

Zur sicheren Authentifizierung (Identifikation) der Netzteilnehmer und Verschlüsselung der Daten und Überprüfung der Datenintegrität, mittels VPN Server und VPN Client. Zum Schutz des Datenverkehrs vor Spionage und Manipulation ist eine sichere Verschlüsselung erforderlich. So bleibt der Datenverkehr für jeden Lauscher im Netzwerk unverständlich.

 

·        SNMP V3

Simple Network Management Protocol zur Standard-Netzwerk-Diagnose bzw. Übertragung von Netzwerkanalyseinformationen an das Netzwerkmanagementsystem, z. B. zur Anbindung an die PCS7 Maintenance Station. SNMP V3 bietet zudem eine abhörsichere Übertragung und erhöhte Sicherheit gegenüber SNMP V1.

 

·        Logging (syslog)

Zur Überwachung des Zuganges und um Angriffsversuche erkennen zu können, lassen sich Firewall-, System- und Konfigurationsereignisse in einem Logfile speichern, das vom Projektiertool ausgelesen werden kann. Zusätzlich besteht die Möglichkeit die Logdaten automatisch an Syslog-Server zu senden.

 

Die Projektierung erfolgt über bekannte Projektierungstools. Für die Sicherheitskonfiguration ist dies das SCT (Security Configuration Tool) V3.0, welches in die bekannte Automatisierungswelt (STEP 7, NCM PC) eingebettet ist. Dabei müssen lediglich die Securitybaugruppen, die miteinander sicher kommunizieren sollen, angelegt und projektiert werden.

 

Die bestehenden Baugruppen CP 1613 A2 / CP 1623 werden weiterhin vermarktet.

Applikationen, die bisher mit dem CP 1613 A2/CP 1623 genutzt wurden, können auch mit dem CP 1628 genutzt werden. Dies wird ohne Änderung der Projektierung bzw. Anwendersoftware möglich sein. Voraussetzung ist SIMATIC NET PC Software V8.1.2 oder STEP7 V5.5.1 (einschließlich HSP) und höher.

 

Aufbau

 

Industrial Ethernet:

·        2 x RJ45-Anschluss

·        integrierte 2-Port-Switch für 10/100/1000 Mbit/s (Halb/Voll-Duplex)

·        Autosensing/Autocrossover/Autonegotiation

 

PG/PC-Steckplatz:

·        PCI Express x1 Karte

·        auch in PCIe x4-, x8- oder x16-Slots betreibbar

 

 

 

2. Bestelldaten

 

Produktname

Bestellnummer

CP 1628

6GK1162-8AA00

 

 

3. Anwendungsziel

 

Ein Anwendungsgebiet des CP 1628 sind Kundenapplikationen (z.B. HMI, SCADA, PC-basierte Steuerung, etc.), welche hohe Anforderungen an die Ressourcen des Rechnersystems stellen. Mit einem eigenen Prozessor auf dem CP findet die Protokollabarbeitung bereits auf der Baugruppe und nicht erst im Host statt. Damit ist eine stabile und konstante Datenkommunikation sichergestellt. Zusätzlich wird die Rechner CPU noch entlastet, die dann mehr Ressourcen für die eigentliche Anwendung zur Verfügung hat. 

 

Ein weiteres wichtiges Einsatzgebiet sind redundante hochverfügbare Kommunikationssysteme, bei welchen der CP 1628 im Zusammenspiel mit S7-REDCONNECT zum Einsatz kommt.

 

Über die integrierten Sicherheitsmechanismen des CP 1628 wird zusätzlich zu allen genannten Anwendungsszenarien noch die Absicherung des Rechnersysteme einschließlich der dazugehörigen Datenkommunikation innerhalb eines Automatisierungsnetzes oder als sicherer Fernzugriff über das Internet ermöglicht.

 

Ferner erlaubt der integrierte 2-Port-Switch mit unterstützten Übertragungsgeschwindigkeiten von bis zu 1GBit/s unseren Kunden beim Aufbau von industriellen Ethernetnetzwerken Kosten einzusparen. Mit dieser Funktionalität ist es einfach möglich, das industrielle Netzwerk um weitere PCs oder Netzwerkkomponenten zu erweitern. Die zusätzliche externe Spannungsversorgung stellt zudem sicher, dass der Switch auch bei ausgeschaltetem PC arbeitet - Ausfallsicherheit.

 

Alle Applikationen die bisher mit dem CP 1613 A2/CP 1623 genutzt wurden, können auch mit dem CP 1628 genutzt werden. Dies wird ohne Änderung der Projektierung bzw. Anwendersoftware möglich sein. Voraussetzung ist die SIMATIC NET PC Software V8.1.2 oder STEP7 V5.5.1 (einschließlich HSP) und höher.

 

Im Rahmen des Siemens Industrial Security Konzepts bietet Siemens zusätzlich folgende Produkte mit integrierten Sicherheitsmechanismen VPN und Firewall an:

  • SCALANCE S; Security Appliance zum Schutz beliebiger Geräte und der Datenübertragung
  • CP 343-1 Advanced; Security CP zum Schutz von SIMATIC S7-300 und der Datenübertragung
  • CP 443-1 Advanced; Security CP zum Schutz von SIMATIC S7-400 und der Datenübertragung

 

Ergänzt wird dieses Portfolio durch den Softnet Security Client, als VPN-Client Software zum Aufbau gesicherter VPN Verbindungen von PCs oder Laptops mit o.g. SIMATIC NET Baugruppen.

 

Diese Produkte werden mit dem gleichen Konfigurationstool projektiert (SCT bzw. SCT in STEP7 integriert) und können miteinander gesicherte VPN-Verbindungen aufbauen. Globale Firewallregelsätze können in allen o.g. Produkten (außer Softnet Security Client) verwendet werden und müssen nicht produktspezifisch erstellt werden.

 

4. Technische Daten

 

Der CP 1628 hat die gleichen technischen Daten wie der CP 1613 A2/CP 1623, erweitert um folgende Securityfunktionen:

 

  • Stateful Inspection Firewall

+Globale Firewallregeln

 

  • IPSec-VPN

max. Anzahl VPN Verbindungen:    derzeit 16