×
Siemens Industry Online Support
Siemens AG
Beitragstyp: Produktmitteilung Beitrags-ID: 77907784, Beitragsdatum: 02.08.2013
(0)
Bewerten

Einschränkung bei der VPN-Projektierung der Industrial Ethernet CPs mit Security im TIA Portal Step7 V12 SP1 Update 2 bei einseitigen S7-Verbindungen

  • Beitrag
  • Betrifft Produkt(e)

 

Bei der Verwendung von VPN-Gruppen im TIA Portal Step7 V12 SP1 Update 2 ergeben sich für CP 343-1 Advanced (6GK7343-1GX31-0XE0), CP 443-1 Advanced (6GK7443-1GX30-0XE0), CP 1543-1 (6GK7543-1AX00-0XE0) und CP 1628 (6GK1162-8AA00) Einschränkungen, die anhand der unten beschriebenen Workarounds umgangen werden können.

 

   

 

Beachten Sie bei der Verwendung von VPN-Gruppen im TIA Portal Step7 V12 SP1 Update 2  folgende Einschränkung:

 

Bei folgenden Verbindungstypen zwischen zwei VPN-Gruppen-Teilnehmern wird in den automatisch generierten Firewall-Regeln statt der Kommunikationsrichtung „Tunnel“ die Kommunikationsrichtung „Extern“ verwendet:

·         Einseitig projektierte S7-Verbindungen

·         Unspezifiziertprojektierte Verbindungen

Dadurch ist die Sicherheit der VPN-Teilnehmer reduziert, da die Kommunikation der Teilnehmer in bestimmten Fällen unverschlüsselt über die Externe Schnittstelle in das Netzwerk erfolgen kann.

 

Diese Einschränkung gilt bei Verwendung des Standard-Modus sowie des erweiterten Modus der Firewall und betrifft IP-basierte und ISO-basierte Kommunikation. Folgende Produkte sind betroffen:

·         CP 343-1 Advanced (6GK7 343-1GX31-0XE0)

·         CP 443-1 Advanced (6GK7 443-1GX30-0XE0)

·         CP 1543-1 (6GK7 543-1AX00-0XE0)

·         CP 1628 (6GK1 162-8AA00)

An einer Lösung durch ein TIA-Update wird mit hoher Priorität gearbeitet, sobald diese vorliegt erfolgt eine gesonderte Information.

 

Bis dahin können Sie die Einschränkung wie folgt beheben:

 

·         Möglichkeit 1: Legen Sie zunächst eine Sicherungskopie Ihres Projekts an. Aktivieren Sie dann für beide VPN-Teilnehmer den erweiterten Firewall-Modus und stellen Sie die Kommunikationsrichtung der Firewall-Regeln zum entsprechenden VPN-Partner jeweils von „Extern“ auf „Tunnel“ sowie die Aktion von „Allow“ auf „Allow*“ bzw. „Drop“ auf „Drop*“ um.

·         Möglichkeit 2: Verwenden Sie statt der o.g. Verbindungstypen zweiseitige, spezifizierte Verbindungen.

·         Möglichkeit 3: Aktivieren Sie für die VPN-Teilnehmer im Standard-Modus der Firewall das Kontrollkästchen “Ausschließlich getunnelte Kommunikation”, falls in Ihrer Konfiguration nur getunnelte Kommunikation notwendig ist.  

 

Beitrag bewerten
keine Bewertung
Anfragen und Feedback
Was möchten Sie tun?
Hinweis: Das Feedback bezieht sich immer auf den vorliegenden Beitrag / das vorliegende Produkt. Ihre Nachricht wird an die Redakteure im Online Support gesendet. In einigen Tagen erhalten Sie von uns eine Antwort, wenn Ihr Feedback das erfordert. Ist für uns alles klar, werden wir Ihnen nicht mehr antworten.