×
Siemens Industry Online Support
Siemens AG
Beitragstyp: Produktmitteilung Beitrags-ID: 77907784, Beitragsdatum: 02.08.2013
(0)
Bewerten

Einschränkung bei der VPN-Projektierung der Industrial Ethernet CPs mit Security im TIA Portal Step7 V12 SP1 Update 2 bei einseitigen S7-Verbindungen

  • Beitrag
  • Betrifft Produkt(e)

 

Bei der Verwendung von VPN-Gruppen im TIA Portal Step7 V12 SP1 Update 2 ergeben sich für CP 343-1 Advanced (6GK7343-1GX31-0XE0), CP 443-1 Advanced (6GK7443-1GX30-0XE0), CP 1543-1 (6GK7543-1AX00-0XE0) und CP 1628 (6GK1162-8AA00) Einschränkungen, die anhand der unten beschriebenen Workarounds umgangen werden können.

 

   

 

Beachten Sie bei der Verwendung von VPN-Gruppen im TIA Portal Step7 V12 SP1 Update 2  folgende Einschränkung:

 

Bei folgenden Verbindungstypen zwischen zwei VPN-Gruppen-Teilnehmern wird in den automatisch generierten Firewall-Regeln statt der Kommunikationsrichtung „Tunnel“ die Kommunikationsrichtung „Extern“ verwendet:

·         Einseitig projektierte S7-Verbindungen

·         Unspezifiziertprojektierte Verbindungen

Dadurch ist die Sicherheit der VPN-Teilnehmer reduziert, da die Kommunikation der Teilnehmer in bestimmten Fällen unverschlüsselt über die Externe Schnittstelle in das Netzwerk erfolgen kann.

 

Diese Einschränkung gilt bei Verwendung des Standard-Modus sowie des erweiterten Modus der Firewall und betrifft IP-basierte und ISO-basierte Kommunikation. Folgende Produkte sind betroffen:

·         CP 343-1 Advanced (6GK7 343-1GX31-0XE0)

·         CP 443-1 Advanced (6GK7 443-1GX30-0XE0)

·         CP 1543-1 (6GK7 543-1AX00-0XE0)

·         CP 1628 (6GK1 162-8AA00)

An einer Lösung durch ein TIA-Update wird mit hoher Priorität gearbeitet, sobald diese vorliegt erfolgt eine gesonderte Information.

 

Bis dahin können Sie die Einschränkung wie folgt beheben:

 

·         Möglichkeit 1: Legen Sie zunächst eine Sicherungskopie Ihres Projekts an. Aktivieren Sie dann für beide VPN-Teilnehmer den erweiterten Firewall-Modus und stellen Sie die Kommunikationsrichtung der Firewall-Regeln zum entsprechenden VPN-Partner jeweils von „Extern“ auf „Tunnel“ sowie die Aktion von „Allow“ auf „Allow*“ bzw. „Drop“ auf „Drop*“ um.

·         Möglichkeit 2: Verwenden Sie statt der o.g. Verbindungstypen zweiseitige, spezifizierte Verbindungen.

·         Möglichkeit 3: Aktivieren Sie für die VPN-Teilnehmer im Standard-Modus der Firewall das Kontrollkästchen “Ausschließlich getunnelte Kommunikation”, falls in Ihrer Konfiguration nur getunnelte Kommunikation notwendig ist.