Herunterladen
Teilen
Diese Seite drucken
Pilz PCOM sec br2 Bedienungsanleitung
  1. Anleitungen
  2. Marken
  3. Pilz Anleitungen
  4. Sicherheitstechnik
  5. PCOM sec br2
  6. Bedienungsanleitung

Pilz PCOM sec br2 Bedienungsanleitung

Vorschau ausblenden

Werbung

Quicklinks

Diese Anleitung herunterladen
PCOM sec br2
Bedienungsanleitung-1004534-DE-06

Werbung

loading

Verwandte Anleitungen für Pilz PCOM sec br2

Inhaltszusammenfassung für Pilz PCOM sec br2

  • Seite 1 PCOM sec br2 Bedienungsanleitung-1004534-DE-06...
  • Seite 2 Vorwort Dieses Dokument ist das Originaldokument. Alle Rechte an dieser Dokumentation sind der Pilz GmbH & Co. KG vorbehalten. Kopien für den innerbetrieblichen Bedarf des Benutzers dürfen angefertigt werden. Hinweise und An- regungen zur Verbesserung dieser Dokumentation nehmen wir gerne entgegen.
  • Seite 3 Allgemeine Hinweise zur Montage ................... Abmessungen........................... Verdrahtung ........................... Allgemeine Hinweise zur Verdrahtung..................Anschluss ..........................Netzwerk-Schnittstellen ......................USB-Schnittstelle X5 ........................ Konfiguration ......................... Benutzeroberfläche........................Verbindung zur SecurityBridge herstellen ................Anwender verwalten ......................... 8.3.1 Berechtigungen......................... 8.3.2 Anwendergruppen ........................8.3.3 Anwender anlegen........................Bedienungsanleitung PCOM sec br2 1004534-DE-06...
  • Seite 4 Freigabe des Fernzugriffs mit einem Schlüsselschalter ............12.3 PSS 4000 mit einer externen Steuerung und OPC-Server............Technische Daten ........................Netzwerkdaten ........................Security-relevante Einträge aus dem Ereignisprotokoll ............ Bestelldaten ........................... 16.1 Produkt ............................. 16.2 Zubehör ............................ Bedienungsanleitung PCOM sec br2 1004534-DE-06...
  • Seite 5 Einführung Einführung Gültigkeit der Dokumentation Die Dokumentation ist gültig für das Produkt PCOM sec br2. Sie gilt, bis eine neue Doku- mentation erscheint. Diese Bedienungsanleitung erläutert die Funktionsweise und den Betrieb, beschreibt die Montage und gibt Hinweise zum Anschluss des Produkts.
  • Seite 6 Kopie des Quellcodes zu. Pilz gestattet dem Erwerber dieses Produkts die Bearbeitung von proprietären Komponen- ten von Pilz, die mit Open Source-Komponenten unter der LGPL verlinkt sind. Ferner ge- stattet Pilz zum Zwecke des Debuggings das Reverse-Engineering der bearbeiteten, pro- prietären Komponenten.
  • Seite 7 Die SecurityBridge PCOM sec br2 dient zum Schutz des PSS 4000- und PNOZmulti-Sys- tems vor netzwerkbasierten Angriffen und vor unautorisiertem Zugriff über das Netzwerk. Die SecurityBridge PCOM sec br2 darf nur an ein Kopfmodul des PSS 4000-Systems oder an ein Basisgerät des konfigurierbaren Systems PNOZmulti angeschlossen werden (an- schließbare Basisgeräte siehe Dokument "PNOZmulti Systemausbau").
  • Seite 8 Produkt nicht bestimmungsgemäß verwendet wurde, die Schäden auf Nichtbeachtung der Bedienungsanleitung zurückzuführen sind, das Betreiberpersonal nicht ordnungsgemäß ausgebildet ist, oder Veränderungen irgendeiner Art vorgenommen wurden (z. B. Austauschen von Bau- teilen auf den Leiterplatten, Lötarbeiten usw). Bedienungsanleitung PCOM sec br2 1004534-DE-06...
  • Seite 9 Production Network Firewall SecurityBridge Abb.: DefenseInDepth Das Produkt PCOM sec br2 sichert die Geräte im geschützten Netzwerk vor netzwerkba- sierten Angriffen bzw. vor unbefugtem Zugriff über das Netzwerk. Hierbei stellt das Produkt die letzte Schicht im Defense-In-Depth-Konzept dar. Zur wirkungsvollen Implementierung des Konzepts müssen die im Kapitel...
  • Seite 10 Schützen Sie den Rechner vor unbefugter Benutzung durch die Vergabe von Kennwörtern und ggf. weitere Maßnahmen. Es wird zusätzlich empfohlen, dass der an diesem Rechner angemeldete Anwender nicht die Administrator-Rechte besitzt. Bedienungsanleitung PCOM sec br2 | 10 1004534-DE-06...
  • Seite 11 Die Rechner, mit denen das System verwaltet wird, sind nach den gängigen Best-Practi- ce-Regeln für Security zu sichern. Installieren Sie zeitnah Firmware-Updates, die von Pilz für das Gerät zur Verfügung ge- stellt werden. Prüfen Sie regelmäßig das Ereignisprotokoll des Produkts auf security-relevante Einträ- ge.
  • Seite 12 Stellen Sie vor der Entsorgung des Geräts sicher, dass die SecurityBridge sicher außer Betrieb gesetzt wurde (siehe Kapitel SecurityBridge sicher außer Betrieb setzen [ 44]). Führen Sie nach Möglichkeit diese Schritte auch dann durch, wenn Sie das Gerät im Ser- vicefall zu Pilz senden. Bedienungsanleitung PCOM sec br2 | 12 1004534-DE-06...
  • Seite 13 Übersicht Übersicht Gerätemerkmale Verwendung des Produkts PCOM sec br2: SecurityBridge zur sicheren Authentifizierung und Kommunikation mit einem PSS 4000- oder PNOZmulti-System. Das Produkt hat die folgenden Merkmale: konfigurierbar über eine Web-basierte Benutzeroberfläche VPN-Server zum Aufbau eines VPN-Tunnels zur sicheren Datenübertragung Weiterleitungsregeln für IP-Verbindungen und Feldbusse Bypass-Modus (vorübergehende Deaktivierung der Security-Funktionen für Diagnose-...
  • Seite 14 XXXXXX XXXXXX XXXXXX Seriennummer Hardware-Version (HW) Firmware Firmware-Version (FW) XXXX Abb.: PCOM sec br2 Legende X1 Network Ethernet-Port zum Anschluss an den Konfigurations-PC X2 Device Ethernet-Port zum Anschluss an das geschützte System 24 V, 0 V: Periphery Supply I0: Eingang...
  • Seite 15 Tunnels möglich. Zum Aufbau des VPN-Tunnels wird ein VPN-Client verwendet. Im Nor- malfall befindet sich der VPN-Client innerhalb des Firmennetzwerks. Konfigurationsänderungen an einem Projekt können nur Anwender durchführen, die eine entsprechende Berechtigung besitzen. Bedienungsanleitung PCOM sec br2 | 15 1004534-DE-06...
  • Seite 16 Client-PCs (Konfigurations-PC) aufgebaut werden kann. Dies ermög- licht die abhör- und manipulationssichere Datenübertragung zwischen dem Client-PC und der SecurityBridge. Es wird nur der VPN-Client von Pilz unterstützt. Es können bis zu 5 Client-Verbindungen gleichzeitig bestehen. Ein VPN-Tunnel kann nur durch authentifizierte und autorisierte Benutzer aufgebaut wer- den.
  • Seite 17 1-Signal, dann kann mindestens ein Gerät, das für die Überwachung konfi- guriert wurde, nicht mehr erreicht werden. Liegt am Ausgang ein 0-Signal, dann sind alle Geräte erreichbar. Bitte beachten Sie, dass dazu im Menü Security Funktionen die Option Geräteüber- wachung konfiguriert sein muss. Bedienungsanleitung PCOM sec br2 | 17 1004534-DE-06...
  • Seite 18 USB-Speicher gespeichert, wenn die aktive Konfiguration in die Startkonfiguration übertra- gen wird. ACHTUNG! Stellen Sie bei Verwendung der USB-Sicherung sicher, dass die SecurityBridge mit dem USB-Speicher vor unbefugtem Zugang geschützt ist (zum Beispiel durch Unterbringung der SecurityBridge in einem verschlos- senen Schaltschrank). Bedienungsanleitung PCOM sec br2 | 18 1004534-DE-06...
  • Seite 19 Beschädigung durch elektrostatische Entladung! Durch elektrostatische Entladung können Bauteile beschädigt werden. Sor- gen Sie für Entladung, bevor Sie das Produkt berühren, z. B. durch Berüh- ren einer geerdeten, leitfähigen Fläche oder durch Tragen eines geerdeten Armbands. Abmessungen Bedienungsanleitung PCOM sec br2 | 19 1004534-DE-06...
  • Seite 20 PELV (Class III) circuit of UL/CSA/IEC 61010-1, 2-201. The modules have to be build-in the final safety enclosure, which has adequate rigidity according to UL 61010-1, 61010-2-201 and meets the requirements with respect to spread of fire. Bedienungsanleitung PCOM sec br2 | 20 1004534-DE-06...
  • Seite 21 Unterstützte Funktionen: Autonegotiation – Wenn Autonegotiation verwendet wird, dann muss auch bei der Gegenstelle Autone- gotiation aktiviert sein. bei deaktivierter Autonegotiation: – Übertragungsgeschwindigkeit: 10 Mbits/s oder 100 Mbits/s – Duplex: Halb-Duplex oder Voll-Duplex Bedienungsanleitung PCOM sec br2 | 21 1004534-DE-06...
  • Seite 22 USB-Speicher eine Oberflächentemperatur von über 70 °C auftreten! Treffen Sie Schutzmaßnahmen gegen unbeabsichtigtes und beabsichtigtes Berühren eines gesteckten USB-Speichers (z. B. USB-Speicher nur kurz- zeitig gesteckt lassen, USB-Speicher niemals während des Produktivbe- triebs gesteckt lassen). Bedienungsanleitung PCOM sec br2 | 22 1004534-DE-06...
  • Seite 23 1. Ethernet-Verbindung herstellen a Verbinden Sie den Konfigurations-PC direkt mit der Ethernet-Schnittstelle X1 der SecurityBridge PCOM sec br2. Alternativ können Sie einen Switch verwenden, an dem nur der Konfigurations-PC und die SecurityBridge angeschlossen werden. Dadurch vermeiden Sie, dass während der Inbetriebnahme ein Angriff erfolgen kann.
  • Seite 24 Kennworts siehe Security [ 9]). 6. Netzwerkeinstellungen ändern Um vom Firmennetzwerk auf die SecurityBridge PCOM sec br2 zugreifen zu können, ändern Sie die Netzwerkeinstellungen der SecurityBridge. Die Einstellungen werden im Web-Interface unter System → Einstellungen → Netzwerk angepasst (siehe auch Online-Hilfe).
  • Seite 25 Für die Anwender können unterschiedliche Zugriffsberechtigungen festgelegt werden. Dazu werden Anwendergruppen erstellt, denen bestimmte, vordefinierte Berechtigungen [ zugewiesen werden. Der Anmeldevorgang ist im Kapitel Client anmelden [ beschrieben. Zur Konfiguration der Anwenderverwaltung siehe Online-Hilfe der Benutzeroberfläche. Bedienungsanleitung PCOM sec br2 | 25 1004534-DE-06...
  • Seite 26 System PNOZmulti zugreifen. Generic Device Be- rechtigungen AccessGroup-1 Anwender darf auf das Generic Device zugreifen, das zu einer dieser drei Gruppen gehört, wenn er zu AccessGroup-2 einer Anwendergruppe mit derselben Berechtigung gehört. AccessGroup-3 Bedienungsanleitung PCOM sec br2 | 26 1004534-DE-06...
  • Seite 27 Zur Konfiguration des RADIUS-Server muss ein sicheres Server Shared Secret eingege- ben werden. Das gleiche Server Shared Secret muss auf dem RADIUS-Server konfigu- riert sein. Verwenden Sie für jede SecurityBridge, die über den RADIUS-Server konfiguriert ist, ein eigenes Server Shared Secret. Bedienungsanleitung PCOM sec br2 | 27 1004534-DE-06...
  • Seite 28 Pilzspezifischer Wert: 43236 Vendor type (1 Byte) 0 = Gruppenname in den übertragenen Da- ten enthalten 1 = Berechtigungen als kommagetrennte Werte in den übertragenen Daten enthalten Vendor length (1 Byte) 2 + Datenlänge Bedienungsanleitung PCOM sec br2 | 28 1004534-DE-06...
  • Seite 29 Die Einstellung von unbekannten IP-Adressen oder Port-Nummern führt dazu, dass das PSS 4000-Gerät im geschützten Netzwerk von mehreren Geräten aus einem unge- schützten Netzwerk erreicht werden kann. Erstellen Sie genau eine Regel für eine Verbindung, die für ein PSS 4000-Gerät konfigu- riert wurde. Bedienungsanleitung PCOM sec br2 | 29 1004534-DE-06...
  • Seite 30 Weiterleitungsregeln Die Regeln überwachen den Datenverkehr zwischen einem Gerät in einem ungeschützten Netzwerk und einem Generic Device in einem geschützten Netzwerk. Folgende Protokolle werden für die Weiterleitungsregeln unterstützt: Ethernet Weitere Informationen siehe Online-Hilfe. Bedienungsanleitung PCOM sec br2 | 30 1004534-DE-06...
  • Seite 31 Web-Browser ein Zertifikatsfehler angezeigt. CA-Zertifikat installieren am Beispiel von Microsoft Windows 7 mit dem Internet Explorer. 1. Laden Sie das CA-Zertifikat von der Benutzeroberfläche herunter und speichern Sie es auf Ihrem PC. Bedienungsanleitung PCOM sec br2 | 31 1004534-DE-06...
  • Seite 32 Sie generieren, wenn Sie das Server-Zertifikat erneuern wollen ohne die CA-Zertifikate an alle Clients neu verteilen zu müssen. Sie können das Server-Zertifikat aber nicht generie- ren, wenn Sie zuvor ein eigenes CA-Zertifikat auf die SecurityBridge hochgeladen haben. Bedienungsanleitung PCOM sec br2 | 32 1004534-DE-06...
  • Seite 33 Der Bypass-Modus kann für Diagnosezwecke verwendet werden. Im Bypass-Modus wer- den alle Netzwerkdaten zwischen dem ungeschützten und dem geschützten Netzwerk un- gefiltert übertragen. Der Status wird auf der Benutzeroberfläche und auf dem Gerät über eine konfigurierbare LED angezeigt. Bedienungsanleitung PCOM sec br2 | 33 1004534-DE-06...
  • Seite 34 Konfiguration wiederherstellen, indem Sie auf der Benutzeroberfläche die Sicherungsda- tei hochladen. Falls Sie keine Sicherungsdatei erstellt haben, oder die Sicherungsdatei nicht wiederher- gestellt werden konnte, dann können Sie das Gerät auf Werkseinstellungen zurücksetzen (siehe Recovery [ 43]). Bedienungsanleitung PCOM sec br2 | 34 1004534-DE-06...
  • Seite 35 Projekt-Prüfsumme des verbundenen Gerätes vergleichen. Die Prüfsumme wird alle 5 Minuten überprüft. Wird die Prüfsumme im verbundenen Gerät geändert, dann wird eine Meldung generiert. Für PNOZmulti-Geräte wird die Gesamtprüfsumme des Projekts verwendet. Für PSS 4000-Geräte wird die Prüfsumme des FS-Projekts verwendet. Bedienungsanleitung PCOM sec br2 | 35 1004534-DE-06...
  • Seite 36 Um erstmals eine Verbindung zur SecurityBridge herzustellen, muss eine neue Client-Ver- bindung erstellt werden. Gehen Sie dazu wie folgt vor: 1. Starten Sie den VPN-Client durch Klicken auf Alle Programme > Pilz > SecurityBridge VPN Client. 2. Doppelklicken Sie auf das Symbol des VPN-Clients in der Taskleiste, um den VPN-Cli- ent zu öffnen.
  • Seite 37 Benutzeroberfläche der SecurityBridge gesucht. Kann der Anwenderna- me in der internen Anwenderverwaltung nicht gefunden werden und es ist ein RADIUS-Ser- ver konfiguriert, dann wird eine Anfrage an den RADIUS-Server gesendet. Bedienungsanleitung PCOM sec br2 | 37 1004534-DE-06...
  • Seite 38 RADIUS-Server Gefunden? nein konfiguriert? Setup-Modus prüfen nein Anwender nein erlaubt? Erfolgreich? Kennwörter prüfen Erfolgreich? nein nein Anwendergruppe prüfen nein Zugeordnet? Gruppen- berechtigung abrufen Authentifizierung Authentifizierung erfolgreich fehlgeschlagen Abb.: Authentifizierung über die interne Anwenderverwaltung Bedienungsanleitung PCOM sec br2 | 38 1004534-DE-06...
  • Seite 39 Server Anfrage an den sekundären Radius- Antwort? nein Server Antwort? nein Anwender nein erlaubt? Gruppe oder Berechtigungen aus der Antwort prüfen Wert OK? nein Authentifizierung Authentifizierung erfolgreich fehlgeschlagen Abb.: Authentifizierung über den RADIUS-Server Bedienungsanleitung PCOM sec br2 | 39 1004534-DE-06...
  • Seite 40 Administration verfügen. Das Update-Paket ist digital signiert, um Manipulation zu verhindern. Ein Update-Paket kann im Download-Bereich zum Gerät auf der Pilz Internetseite (Dateien- dung .fw) oder über das Software-Tool PASupdate heruntergeladen werden. PASupdate informiert Sie auch, wenn ein neues Update zur Verfügung steht.
  • Seite 41 SecurityBridge (nähere Informationen siehe Ereig- nisprotokoll). Es wird eine nicht freigegebene Firmware verwen- det. Bypass Die Farbe der Bypass-LED kann konfiguriert werden. Farbe Zustand Bedeutung - - - Bypass-Modus ist deaktiviert grün oder rot Bypass-Modus ist aktiviert Bedienungsanleitung PCOM sec br2 | 41 1004534-DE-06...
  • Seite 42 - - - Kein Signal am Ausgang grün Am Ausgang liegt ein 1-Signal Farbe Zustand Bedeutung - - - Kein Datenverkehr gelb Datenverkehr vorhanden Farbe Zustand Bedeutung - - - Keine Netzwerkverbindung grün Netzwerkverbindung besteht Bedienungsanleitung PCOM sec br2 | 42 1004534-DE-06...
  • Seite 43 Alle Ereignismeldungen werden gelöscht. Klicken Sie dazu auf Configuration Recovery. Das System wird im Betriebsmodus neu gestartet. – Reboot Der Recovery-Modus wird verlassen und das System wird im Betriebsmodus neu gestartet. Bedienungsanleitung PCOM sec br2 | 43 1004534-DE-06...
  • Seite 44 Falls Sie einen USB-Speicher verwendet haben, dann entfernen Sie den USB-Speicher von der SecurityBridge und formatieren Sie ihn am Konfigurations-PC. Führen Sie keine Schnellformatierung durch. Alternativ können Sie auch ein Programm zum sicheren Lö- schen von Daten verwenden oder den Speicher mechanisch zerstören. Bedienungsanleitung PCOM sec br2 | 44 1004534-DE-06...
  • Seite 45 Steuerung ausgetauscht. Dieses Modul befindet sich in einem unabhängigen Netzwerk. Die Verbindung zur Steuerung ist nicht geschützt. Das Feldbusmodul befindet sich im ungeschützten Netzwerk. SecurityBridge Feldbusmodul Basisgerät + Ein-Ausgangsmodul oder geschütztes Netzwerk PNOZmulti Configurator Steuerung geschützte Verbindung ungeschützte Verbindung Bedienungsanleitung PCOM sec br2 | 45 1004534-DE-06...
  • Seite 46 Bauen Sie eine Verbindung wie unter Verbindung zur SecurityBridge herstellen [ beschrieben auf. Die Freigabe der Verbindung erfolgt durch ein "1"-Signal am Eingang I0. Erfolgt keine Frei- gabe, werden alle Verbindungsversuche über den VPN-Client unterbunden. Bedienungsanleitung PCOM sec br2 | 46 1004534-DE-06...
  • Seite 47 Netzwerk mit der externen Steuerung konfigurieren. Zugriff auf das System im geschützten Netzwerk [ PSS 4000 SecurityBridge PSS 4000 Steuerung VPN-Tunnel PAS4000 OPC-Server geschützte Verbindung ungeschützte Verbindung Abb.: Applikationsbeispiel PSS 4000 mit externer Steuerung Bedienungsanleitung PCOM sec br2 | 47 1004534-DE-06...
  • Seite 48 USB-Schnittstelle Anzahl USB-Host Max. Spannung Max. Strom 500 mA Ethernet-Schnittstelle Anzahl IP-Adresse Werkseinstellung 192.168.222.1 Anschlussart RJ45 Übertragungsrate 10 MBit/s, 100 MBit/s Umweltdaten Klimabeanspruchung EN 60068-2-1, EN 60068-2-14, EN 60068-2-2, EN 60068-2-30, EN 60068-2-78 Bedienungsanleitung PCOM sec br2 | 48 1004534-DE-06...
  • Seite 49 IP54 Potenzialtrennung Potenzialtrennung zwischen Periphery Supply und Module Supply Art der Potenzialtrennung Basisisolierung Bemessungsstoßspannung 500 V Mechanische Daten Einbaulage vertikal Normschiene Hutschiene 35 x 7,5 EN 50022 Durchzugsbreite 27 mm Material Unterseite Front Bedienungsanleitung PCOM sec br2 | 49 1004534-DE-06...
  • Seite 50 0,2 - 2,5 mm², 24 - 12 AWG Federkraftklemmen: Klemmstellen pro Anschluss Abisolierlänge bei Federkraftklemmen 9 mm Abmessungen Höhe 96 mm Breite 45 mm Tiefe 111,5 mm Gewicht 170 g Bei Normenangaben ohne Datum gelten die 2017-06 neuesten Ausgabestände. Bedienungsanleitung PCOM sec br2 | 50 1004534-DE-06...
  • Seite 51 Def.: 514 Def: inaktiv RADIUS-Client RADIUS 0 … 65535 Geschützt durch Server Def.: 1812 Def: inaktiv Shared Secret Switching-Loop- proprietär in/out Layer2 0x88b5 Nein Frames werden nur über Erkennung Geräte-Port X2 empfan- Bedienungsanleitung PCOM sec br2 | 51 1004534-DE-06...
  • Seite 52 Die IP-Adresse {{ip}} wird gesperrt, weil zu viele Anmeldeversuche fehlge- schlagen sind. 1108 Zugriff auf Webdienst wurde verweigert für IP-Adresse {{ip}}. 1109 Anwender "{{username}}", IP-Adresse {{ip}}: Die IP-Adresse wird gesperrt. Es wurde zu oft versucht, das Kennwort zu ändern. Bedienungsanleitung PCOM sec br2 | 52 1004534-DE-06...
  • Seite 53 PCOM sec br2 Modul zur sicheren Authentifizierung und Kommunikation 311502 mit PNOZmulti 2 und PSS 4000 16.2 Zubehör Anschlussklemmen Produkttyp Merkmale Bestell-Nr. Set4 Spring Terminals 1 Satz Federkraftklemmen 751016 Set4 Screw Terminals 1 Satz Schraubklemmen 750016 Bedienungsanleitung PCOM sec br2 | 53 1004534-DE-06...
  • Seite 54 Wir sind international vertreten. Nähere Informationen entnehmen Sie bitte unserer Homepage www.pilz.com oder nehmen Sie Kontakt mit unserem Stammhaus auf. Stammhaus: Pilz GmbH & Co. KG, Felix-Wankel-Straße 2, 73760 Ostfildern, Deutschland Telefon: +49 711 3409-0, Telefax: +49 711 3409-133, E-Mail: info@pilz.de, Internet: www.pilz.com...