Seite 1 Vorwort, Inhaltsverzeichnis Einleitung SICAM A8000 Serie SICAM RTUs Typische Anlagenkonfigurationen SICAM TOOLBOX II Maßnahmen zur Systemhärtung SICAM Device Manager Kommunikationsprotokolle Patchmanagement ADMINISTRATOR Security-Handbuch Virenschutz Verschlüsselung und Authentifizierungsverfahren Solidifizierung Backup & Restore Logging Fernwartung Benutzerverwaltung Hardware Schnittstellen Security Measure Plan for Oracle Database Lizenzvereinbarung Literaturverzeichnis, Glossar...
Seite 2 Haftungsausschluss Copyright Copyright © Siemens AG 2017 Wir haben den Inhalt der Druckschrift auf Übereinstimmung mit der beschriebenen Hard- und Software geprüft. Dennoch können Weitergabe und Vervielfältigung dieser Unterlage, Verwertung und Abweichungen nicht ausgeschlossen werden, so dass wir für die Mitteilung ihres Inhalts ist nicht gestattet, soweit nicht ausdrücklich...
Seite 3 SICAM TOOLBOX II (Engineering System für Parametrierung, Diagnose, Simulation) und / oder SICAM Device Manager und / oder SICAM WEB. Das sind im Detail: • SICAM A8000 Serie: • SICAM CP-8050 • SICAM CP-8000 • SICAM CP-8021 • SICAM CP-8022 •...
Seite 4 Vorwort • SICAM TOOLBOX II (als Applikation, umfasst weder Hardware noch Betriebssystem oder andere Standardprogramme wie z.B.: Microsoft Office oder Adobe Acrobat Reader) • SICAM Device Manager (als Applikation, umfasst weder Hardware noch Betriebssystem oder andere Standardprogramme wie z.B.: Microsoft Office oder Adobe Acrobat Reader) •...
Seite 5: Security-Handbuch
Bestimmungsgemäßer Gebrauch Das Betriebsmittel (Gerät, Baugruppe) darf nur für die im Katalog und der technischen Beschreibung vorgesehenen Einsatzfälle und nur in Verbindung mit von Siemens empfohlenen bzw. zugelassenen Fremdgeräten und -komponenten verwendet werden. Der einwandfreie und sichere Betrieb des Produktes setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung und Montage sowie Bedienung und Instandhaltung voraus.
Seite 6 Vorwort Diese Erklärung bescheinigt die Übereinstimmung mit den genannten Richtlinien, ist jedoch keine Zusicherung von Eigenschaften im Sinne des Produkthaftungsgesetzes. Das Produkt ist ausschließlich für den Einsatz in industrieller Umgebung vorgesehen. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 7: Inhaltsverzeichnis
Inhaltsverzeichnis Einleitung ..........................13 Zielsetzung ......................14 Einhaltung von Standards ..................15 Security-Anforderungen ..................16 Typische Anlagenkonfigurationen .................17 Allgemein ......................18 2.1.1 Objektschutz ....................18 2.1.2 Netzwerksegmentierung / Kommunikation zwischen den Zonen ....18 2.1.3 Kommunikation innerhalb einer Zone............19 2.1.4 Kommunikation zwischen den Zonen............19 Netzwerkkomponenten ..................20 2.2.1 Bauform und Betriebsumgebung ..............20 2.2.2 Typ .........................20...
Seite 8 Inhaltsverzeichnis 3.3.2.2 Abgesetzter Betrieb ................. 56 3.3.2.2.1 Aufbau einer HTTP(S)-Verbindung bei gesperrtem ICMP-ECHO Port58 3.3.2.3 Fernwartung..................... 59 3.3.2.3.1 Servicefunktionstelegramme .............. 60 3.3.2.4 Prozessrücksetzbefehl (Fernreset)............60 3.3.2.5 Zeitsynchronisation - Fernsynchronisation ..........60 3.3.2.6 Zeitsynchronisierung via (S)NTP ............. 61 3.3.2.7 WEB-Server ..................... 62 3.3.2.7.1 Deaktivierung unnötiger Standard-Nutzer (WEB) ......
Seite 9 Inhaltsverzeichnis 3.6.4 Deaktivierung unnötiger Standard-User ............85 3.6.5 Einschränkung der Rechte von Nutzern und Programmen......85 Security Penetration Testing ................86 Kommunikationsprotokolle ....................87 Serielle Kommunikationsprotokolle ..............88 4.1.1 End-End-/Gemeinschaftsverkehr ..............88 4.1.2 Wählverkehr ....................88 Ethernet basierte Kommunikationsprotokolle .............89 4.2.1 Ethernet based IO Bus (EbIO) ..............89 4.2.2 IP-basierte Protokolle SICAM A8000 CP-8050 ..........89 4.2.2.1...
Seite 10 Inhaltsverzeichnis Verschlüsselung und Authentifizierungsverfahren ........... 133 SICAM A8000 Serie / SICAM RTUs ..............134 7.1.1 Diagnose von SICAM A8000 CP-8050 mit SICAM WEB ......134 7.1.2 Engineering von SICAM A8000 CP-8000 / CP-802x mit SICAM WEB ..135 7.1.3 Diagnose der SICAM RTUs Protokolle mit WEB-Browser ......135 7.1.4 Engineering mit SICAM TOOLBOX II ............
Seite 11 Inhaltsverzeichnis Fernwartung ........................177 11.1 Fernwartung über SICAM TOOLBOX II ............178 11.1.1 Konfiguration von Server und Clients ............179 11.2 Fernwartung über SICAM Device Manager ............180 Benutzerverwaltung .......................181 12.1 Einleitung ......................182 12.2 SICAM A8000 Serie / SICAM RTUs ..............184 12.2.1 SICAM A8000 CP-8050 ................184 12.2.1.1 Rollen .....................184 12.2.2...
Seite 12 Inhaltsverzeichnis SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 13: Einleitung
Einleitung Inhalt Zielsetzung ......................14 Einhaltung von Standards ..................15 Security-Anforderungen ..................16 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 14: Zielsetzung
Sicherheitskomponenten wie Firewall-Regeln) • Kunde: Präsentation einer "Sicherheits-Best-Practice"-Konfiguration als Referenz, zur Dokumentation des Sicherheitsbewusstseins bei SIEMENS. • Stellen, die Konformität mit Standards überprüfen (z.B. BDEW, NERC CIP) Security muss ein integraler Bestandteil des Entwicklungsprozesses werden. Security- Funktionen müssen ein integraler Teil des Systemdesigns sein. Die Planung der Sicherheit im Vorfeld des Einsatzes bietet eine vollständigere und kostengünstigere Lösung.
Seite 15: Einhaltung Von Standards
Einleitung Einhaltung von Standards Siemens bietet Produkte und Technologien, welche führende Internet-Sicherheit-Standards berücksichtigen. Wesentliche Treiber für geprüfte und sichere Infrastrukturen sind die Standards BDEW White Paper und NERC CIP (Critical Infrastructure Protection). SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 16: Security-Anforderungen
Einleitung Security-Anforderungen Was sind die wichtigsten Security-Anforderungen in Ihrer Umgebung? • Authentifizierung und Autorisierung der Benutzer. • Gewährleistung der Integrität der übertragenen Daten. • Jeder Nutzer erhält nur solche Rechte die er für die Erfüllung seiner Arbeit braucht. • Schutz gegen Virusinfektion und Trojanern. •...
Seite 17: Typische Anlagenkonfigurationen
Typische Anlagenkonfigurationen Inhalt Allgemein ......................18 Netzwerkkomponenten ..................20 Typische Netzwerkkonfigurationen..............23 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 18: Allgemein
Typische Anlagenkonfigurationen Allgemein In diesem Abschnitt erhalten Sie einen Überblick über sichere Netzwerkkonfiguration. Die meisten Systeme sind nicht alleinstehend sondern werden über mehrere Netzwerk-Zonen mit unterschiedlichen Sicherheitsanforderungen miteinander verbunden. Folgende grundlegende Überlegungen zu einer sicheren Netzwerk- und Kommunikationsstruktur sind in die angeführten Anlagenkonfigurationen eingeflossen und sollten bei der Erstellung einer sicheren Netzwerk- und Kommunikationsstruktur berücksichtigt werden: •...
Seite 19: Kommunikation Innerhalb Einer Zone
Typische Anlagenkonfigurationen 2.1.3 Kommunikation innerhalb einer Zone Sicherheitsgerichtete Kommunikation im Sinne der funktionalen bzw. Anlagensicherheit sollte nur innerhalb abgeschlossener, aus dedizierten Hardwarekomponenten aufgebauten Netzwerksegmenten erfolgen. Möglichkeiten zur Konfiguration der Parameter der funktionalen bzw. Anlagensicherheit über Netzwerkzugriffe sollten generell vermieden werden. Werden diese zwingend benötigt, sollten sie nur über die o.g.
Seite 20: Netzwerkkomponenten
Typische Anlagenkonfigurationen Netzwerkkomponenten Netzwerkkomponenten lassen sich anhand von drei Merkmalen grob unterteilen: • Bauform und Betriebsumgebung • • Management Exemplarisch sollen hier diese Merkmale aufgelistet und kurz beschrieben werden. 2.2.1 Bauform und Betriebsumgebung Zusätzlich zu den aus der „Office-Welt“ bekannten Netzwerkkomponenten gibt es Netzwerkkomponenten verschiedenster Hersteller für den Einsatz in industriellen Umgebungen.
Seite 21 Typische Anlagenkonfigurationen Hinweis Zur Vereinfachung wird in den folgenden Betrachtungen und den typischen Anlagenkonfigurationen die in der Automatisierungstechnik standardmäßig zum Einsatz kommende Protokollfamilie „Ethernet - IP - TCP/UDP“ angenommen, erweitert um das in der Stationsautomatisierung übliche IEC 61850-8-1 Protokoll zur Übertragung von IEC 61850 - GOOSE Nachrichten. Alle Ausnahmen (GPRS/UMTS, WLAN, ISDN, xDSL, …) sind explizit angeführt.
Seite 22: Management
Typische Anlagenkonfigurationen • Router ─ OSI-Schicht 3 ─ Routing verschiedenster Protokolle und Medien (Seriell, Analog, ISDN) ─ Redundanzkonfigurationen möglich ─ Datenpakete werden anhand ihrer IP-Adresse zwischen IP Netzen übertragen ─ Oft auch mit integriertem oder integrierbarem Layer-2 Switch Modul • Firewall –...
Seite 23: Typische Netzwerkkonfigurationen
Typische Anlagenkonfigurationen Typische Netzwerkkonfigurationen Folgende Beispiele zeigen verschiedene Netzwerk-Installationen von SICAM RTUs Systemen. Unterstationen können weit im Gelände verteilt sein, werden aber von einer zentralen Leitstelle gesteuert. Die Kommunikation zwischen Leitstelle und Unterstation erfolgt oft über Wide Area Networks. Die Netzwerke der Unterstation können in verschiedene Zonen (z. B. Prozesszone, Automatisierungszone) aufgeteilt werden, es ist aber auch nur eine einzelne Zone möglich.
Seite 24: Control Center Zone Und Substation Zone Ohne Vpn
Typische Anlagenkonfigurationen Legende der verwendeten Netzwerkkomponenten Router Router mit Firewall Layer-2 Switch Layer-3 Switch SWITCH SWITCH Firewall 2.3.1 Control Center Zone und Substation Zone ohne VPN In dieser Konfiguration ist das Prozessnetz (Control Center Zone und Substation Zone) nur durch Router vom Gesamtnetz getrennt, das Weitverkehrsnetz (WAN) wird als „sicher“...
Seite 25 Typische Anlagenkonfigurationen Internet Office Zone Office Zone SICAM PC mit Windows mit TOOLBOX II Browser Remote Control Office Zone Control Center Zone NTP Server Leitsystem SICAM TOOLBOX II Substation Zone SICAM SICAM A8000 SICAM AK 3 SICAM 230, SCC NTP Server TOOLBOX II (optional) RS-232...
Seite 26: Control Center Zone Und Substation Zone Mit Vpn
Typische Anlagenkonfigurationen 2.3.2 Control Center Zone und Substation Zone mit VPN In dieser Konfiguration sind die Prozessnetze der Control Center Zone und der Substation Zone durch einen sicheren Kommunikationstunnel (VPN) verbunden, Sicherheitsbedrohungen über das Weitverkehrsnetz (WAN) werden bei den Übergängen in die Control Center Zone bzw. in die Substation Zone von einer Firewall abgeblockt.
Seite 27 Typische Anlagenkonfigurationen Internet Office Zone Office Zone SICAM PC with Windows mit TOOLBOX II Browser remote control Office Zone Control Center Zone NTP Server Leitsystem SICAM TOOLBOX II Substation Zone SICAM SICAM A8000 SICAM 230, SCC NTP Server SICAM AK 3 TOOLBOX II (optional) RS-232...
Seite 28: Substation Zone Ohne Segmentierung Mit Externen Firewall-Regeln
Typische Anlagenkonfigurationen 2.3.3 Substation Zone ohne Segmentierung mit externen Firewall-Regeln Als Verbesserung zur vorhergehenden Konfiguration kann der Datenverkehr zwischen Control Center Zone und Substation Zone mittels Geräte- oder Netzwerkbasierter Firewall-Regeln eingeschränkt werden. Vorteile: • nicht jedes Gerät der Control Center Zone kann mit jedem Gerät der Substation Zone kommunizieren Nachteile: •...
Seite 29: Substation Zone Mit Segmentierung Ohne Interne Firewall-Regeln
Typische Anlagenkonfigurationen Office Zone Control Center Zone Router + Firewall Geräte- oder Router + Firewall + VPN Netzwerkbasierte Firewall-Regeln Substation Zone SICAM SICAM A8000 SICAM AK 3 SICAM 230, SCC NTP Server TOOLBOX II (optional) RS-232 RS-485 SIPROTEC SIPROTEC SICAM BC SICAM TM SWITCH 2.3.4...
Seite 30: Substation Zone Mit Segmentierung Mit Internen Firewall-Regeln
Typische Anlagenkonfigurationen Nachteile: • Kosten der Layer 3 Geräte / Layer 3 Funktionalität Office Zone Control Center Zone Router + Firewall Router + Firewall Substation Zone SICAM SICAM A8000 SICAM 230, SCC NTP Server SICAM AK 3 TOOLBOX II (optional) RS-232 RS-485 SIPROTEC...
Seite 31 Typische Anlagenkonfigurationen Nachteile: • Kosten der Firewallfunktionalität • Erstellung, Implementierung und Wartung einer „Traffic-Matrix“ innerhalb der Substation Zone • mehr Aufwände bei Einrichtung und Änderungen Office Zone Control Center Zone Substation Zone Automation Zone SICAM 230, SCC SICAM AK 3 SICAM A8000 RS-232 RS-485...
Seite 32: Substation Zone Mit Segmentierung Durch „Hardware-Based Application-Layer-Firewall
Typische Anlagenkonfigurationen 2.3.6 Substation Zone mit Segmentierung durch „Hardware-Based Application-Layer-Firewall“ Soll die Vorgabe „Zur Netzwerktrennung sollte die Nutzung von Gateways, die eine Protokollwandlung durchführen und keinen direkten IP-Verkehr zulassen, geprüft werden.“ (BDEW Whitepaper) umgesetzt werden können keine herkömmlichen Netzwerkfirewalls (Layer 3+4) verwendet werden.
Seite 33 Typische Anlagenkonfigurationen Office Zone Control Center Zone Substation Zone Automation Zone mobile SICAM TOOLBOX II SICAM 230, SCC NTP Server TB II Service-Cable (serial/USB) SICAM AK 3, AK, TM Protection Zone SIPROTEC SIPROTEC SICAM BC SICAM AK Private messages (no IP) OSI-Stack OSI-Stack NIP1...
Seite 34 Typische Anlagenkonfigurationen Beispiele für „Hardware-Based Application-Layer-Firewall“ bei SICAM RTUs, (siehe auch IP- Kommunikationsmatrix, 4.2.3.6): “Hardware-Based Application-Layer-Firewall” AK3 mit 1* M-CPU & 1* C-CPU/SM-2558 “Hardware-Based Application-Layer-Firewall” AK mit 2* SM-2558 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 35: Substation Zone Mit Engineering Zone
Typische Anlagenkonfigurationen 2.3.7 Substation Zone mit Engineering Zone Diese Konfiguration führt eine eigene Zone für Engineeringgeräte ein. So kann geregelt werden welche Geräte ein in der Substation Zone verwendetes Engineeringgerät erreichen kann. Der Layer 2 Switch in der Engineering Zone könnte zusätzlich mittels Schlüsselschalter ein/ausgeschalten werden, ein Meldekontakt könnte dem Betriebspersonal (und dem Betriebsprotokoll) lokales Engineering melden.
Seite 36 Typische Anlagenkonfigurationen Office Zone Control Center Zone Substation Zone Engineering Zone Automation Zone SICAM 230, SCC SICAM AK 3 SICAM TOOLBOX II SICAM A8000 RS-232 RS-485 SWITCH SWITCH SWITCH NTP Server Protection Zone SIPROTEC SIPROTEC SIPROTEC SICAM BC SICAM TM SWITCH SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch...
Seite 37: Substation Zone Mit Out Of Band Fernwartung
Typische Anlagenkonfigurationen 2.3.8 Substation Zone mit Out Of Band Fernwartung Mit dem Konzept der „Out Of Band Fernwartung“ soll eine klare Trennung zwischen dem „Prozess-Datenstrom“ und dem „Engineering-Datenstrom“ erreicht werden. Mit der Unterbrechung aller „Engineering-Datenströme“, die in der angegebenen Konfiguration mittels Hardware (Switch wird ausgeschalten, Meldekontakt zeigt eingeschaltenen Engineering- Datenstrom an) realisiert ist, kann nahezu ausgeschlossen werden, dass ein Angreifer sich ohne bemerkt zu werden in ein Gerät der Substation Zone einwählt.
Seite 38 Typische Anlagenkonfigurationen Office Zone Control Center Zone Engineering Zone Control Zone Leitsystem SICAM TOOLBOX II SWITCH Engineering VPN Process Data VPN Substation Zone Engineering Zone Automation Zone SICAM 230, SCC SICAM CP-8000 Power SWITCH SWITCH SWITCH SICAM NTP Server TOOLBOX II Protection Zone SIPROTEC SIPROTEC SIPROTEC...
Seite 39: Control Center Zone Ohne Segmentierung Mit Externen Firewall-Regeln
Typische Anlagenkonfigurationen 2.3.9 Control Center Zone ohne Segmentierung mit externen Firewall- Regeln Vergleichbar mit der Lösung für die Substation Zone. Office Zone Control Center Zone NTP Server Leitsystem SICAM TOOLBOX II SWITCH Geräte- oder Netzwerkbasierte Firewall-Regeln Substation Zone SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 40: Control Center Zone Mit Segmentierung / Engineering Zone
Typische Anlagenkonfigurationen 2.3.10 Control Center Zone mit Segmentierung / Engineering Zone Vergleichbar mit der Lösung für die Substation Zone. Office Zone Control Center Zone Engineering Zone Control Zone NTP Server Power SICAM CP-8000 SWITCH SWITCH SWITCH SICAM Leitsystem TOOLBOX II Substation Zone SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch...
Seite 41: Control Center Zone Mit Office Firewall
Typische Anlagenkonfigurationen 2.3.11 Control Center Zone mit Office Firewall Die Verbindung zwischen Prozessnetz und anderen “unsicheren” Netzen ist in jedem Fall mit einer Firewall zu sichern. Somit kann der Datenverkehr zwischen Office Zone und Prozessnetz (Control Center Zone) mittels Geräte- oder Netzwerkbasierter Firewall-Regeln eingeschränkt werden. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 42: Control Center Zone Mit Dmz
Typische Anlagenkonfigurationen 2.3.12 Control Center Zone mit DMZ Als zusätzliche Sicherheitsmaßnahme kann eine Demilitarisierte Zone (DMZ) zwischen Office Zone und Control Center Zone eingefügt werden. Der Verbindungsaufbau muss, wenn technisch möglich, immer aus der sicheren Zone in die DMZ erfolgen. Beispiele: Datentransfer zwischen Control Center Zone und Office Zone via FTP: •...
Seite 43 Typische Anlagenkonfigurationen Office Zone Office Zone SICAM PC mit Windows mit TOOLBOX II Browser Remote Control DMZ Control Center - Office TB II FTP Server Peer-Server SWITCH Control Center Zone Engineering Zone Control Zone SICAM Leitsystem NTP Server TOOLBOX II SWITCH SWITCH SWITCH...
Seite 44: Control Center Zone Mit Internet Und Update Dmz
Typische Anlagenkonfigurationen 2.3.13 Control Center Zone mit Internet und Update DMZ In dieser Konfiguration wird die DMZ zwischen Office Zone und Control Center Zone auch für die „Verteilserver“ für den prozessnetzinternen Virenschutz/Patchmanagement verwendet. Patches und Virensignaturen werden von Geräten des Prozessnetzes immer von diesen Servern bezogen, nie direkt aus dem Internet (auch nicht über Proxies).
Seite 45 Typische Anlagenkonfigurationen Internet Office Zone Office Zone Windows mit PC mit SICAM Remote Control Browser TOOLBOX II DMZ Control Center - Office Update-Server FTP Server - Virenschutz - Patches TB II Peer-Server SWITCH mit LiveUpdate Control Center Zone Engineering Zone Control Zone Leitsystem SICAM...
Seite 46 Typische Anlagenkonfigurationen SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 47: Maßnahmen Zur Systemhärtung
Maßnahmen zur Systemhärtung Inhalt Allgemeines ......................48 Unterstützte LAN-Dienste ...................49 SICAM A8000 Serie / SICAM RTUs ..............51 SICAM PTS Protokoll Test System ..............82 SICAM Device Manager ..................83 SICAM TOOLBOX II ...................84 Security Penetration Testing ................86 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 48: Allgemeines
Maßnahmen zur Systemhärtung Allgemeines Begriffsdefinition [Quelle: Wikipedia] Unter Härten versteht man in der Computertechnik, die Sicherheit eines Systems zu erhöhen, indem nur dedizierte Software eingesetzt wird, die für den Betrieb des Systems notwendig ist und deren unter Sicherheitsaspekten korrekter Ablauf garantiert werden kann. Das System soll dadurch besser vor externen Angriffen geschützt sein.
Seite 49: Unterstützte Lan-Dienste
Maßnahmen zur Systemhärtung Unterstützte LAN-Dienste 3.2.1 Am Basisystemelement integrierte Dienste System Protocols Services DHCP DHCP (S)NTP SICAM WEB/SWEB00 HTTP(S) SICAM Device Manager HTTP(S) SICAM A8000 CP-8050/CPCi85 SICAM TOOLBOX II Abgesetzter Betrieb HTTP(S) SNMP: from CPCI85 V1.10 SNMP IPsec VPN: from CPCI85 V1.10 IPSec VPN Syslog Syslog-Client...
Seite 50: Am Protokollelement Integrierte Dienste
Maßnahmen zur Systemhärtung 3.2.2 Am Protokollelement integrierte Dienste Protocols Services ET24 IEC 60870-104 IEC 60870-104 IEC 61850 Ed.2 IEC 61850 Ed.2 ET25 Web-Server (WEB-page) *) HTTP(S) (S)NTP SICAM TOOLBOX II HTTP(S) Abgesetzter Betrieb SM-2558/ETA3 Web-Server (WEB-page) *) HTTP(S) IEC 61850 Ed.1 IEC 61850 Ed.1 (S)NTP SICAM TOOLBOX II...
Seite 51: Sicam A8000 Serie / Sicam Rtus
Maßnahmen zur Systemhärtung SICAM A8000 Serie / SICAM RTUs Zu den anzuwendenden Härtungsmaßnahmen zählen bei SICAM A8000 Series / SICAM RTUs: • Deaktivierung unnötiger System- und Kommunikationsdienste (abgesetzter Betrieb, Fernwartung, NTP, WEB, ….) • Deaktivierung unnötiger Standard-Nutzer (WEB) • Aktivierung sicherheitserhöhender Konfigurationsoptionen •...
Seite 52 Maßnahmen zur Systemhärtung Digital signierte Revisionen Firmware der SICAM A8000 Serie CP-8000 / CP-802x 103MT0 05.01 AGPMT0 01.01 BMCUT0 02.01 BPPT0 03.02 COUMT0 DIAST0 03.01 DNPiT1 01.01 DNPMT0 01.01 DNPST0 04.01 ET83 02.05 ET84 04.01 ET85 03.04 MODMT0 03.01 MODMT2 03.01 MODST0 02.01...
Seite 53 Maßnahmen zur Systemhärtung SICAM AK3: Ab den folgenden Firmware-Revisionen der M-CPU wird ein Prüfung der digitalen Signatur aller Firmwares durchgeführt. Firmware digital signiert CPCX26 Ab Revision 04 Hinweis Nach einem Update auf CPCX26 Revision 04 oder höher ist das Laden nicht digital signierter Firmwareversionen nicht mehr möglich.
Seite 54 Maßnahmen zur Systemhärtung DIAM99 03.01 M2AS01 SKEEA1 02.01 USIO26 DIAMA0 M3AS00 05.02 SKSZA0 USIO27 DIAMA1 M3AS01 SMAMA0 00.50 USIO65 DIAMA8 MBCiA0 SMIM00 USIO66 05.05 DIAS00 14.03 MBSiA0 SMIMA0 VEZA0 DIASA0 03.03 MOCZ00 01.01 SMS00 01.01 DISR00 MODi00 02.04 SMSA0 DLTM00 MODM00 05.02 SPAM00...
Seite 55: Deaktivierung Unnötiger System- Und Kommunikationsdienste
Maßnahmen zur Systemhärtung 3.3.2 Deaktivierung unnötiger System- und Kommunikationsdienste 3.3.2.1 One Click to Connect (SICAM A8000 CP-8050) Der Projektierungs PC (SICAM TOOLBOX II, SICAM WEB) wird mit einem Standard- Patchkabel über die Ethernet Schnittstelle der SICAM A8000 CP-8050 verbunden. Der PC ist als DHCP Client konfiguriert, die AE als DHCP Server. Das Feature "One Click to Connect"...
Seite 56: Abgesetzter Betrieb
Maßnahmen zur Systemhärtung 3.3.2.2 Abgesetzter Betrieb Im abgesetzten Betrieb verbindet sich SICAM TOOLBOX II / SICAM Device Manager nicht mittels lokalem Parametrierkabel mit einer SICAM RTUs sondern über eine Netzwerkschnittstelle mittels TCP/IP. Office Zone Office Zone Zone A Zone B SICAM AK 3 SICAM TOOLBOX II TO O LBO X I I...
Seite 57 Maßnahmen zur Systemhärtung Beispiel: SICAM CP-8000 – CPC80 Bei den in Folge angeführten Firmwares ist bei Bestückung ab der angeführten Firmware- Revision der abgesetzte Betrieb per Default deaktiviert: Firmware-Typ Name ab Firmware-Revision CPC80 CPCX26 PCCX26 CPCI85 ETA3 ETA4 ETA5 MBSiA0 MBCiA0 DNPiA1 Ab SICAM TOOLBOX II V5.10 wird, bei einem Verbindungsaufbau über den abgesetzten...
Seite 58: Aufbau Einer Http(S)-Verbindung Bei Gesperrtem Icmp-Echo Port58
Maßnahmen zur Systemhärtung Firmware http HTTPS ETA4 ab Revision 01 ab Revision 02 *) ETA3 ab Revision 01 ab Revision 02 *) ETA5 ab Revision 01 ab Revision 01 *) MBSiA0 ab Revision 01 ab Revision 01 *) MBCiA0 ab Revision 01 ab Revision 01 *) DNPiA1 ab Revision 01...
Seite 59: Fernwartung
Maßnahmen zur Systemhärtung 3.3.2.3 Fernwartung Bei der Fernwartung baut die SICAM TOOLBOX II eine Verbindung zu einer SICAM RTUs mittels lokalem Parametrierkabel oder im abgesetzten Betrieb über Netzwerkschnittstelle mittels TCP/IP auf. Ab diesem Zeitpunkt ist es möglich mit der SICAM TOOLBOX II weitere Komponenten in einem Automatisierungsnetz mittels Fernwartung anzusprechen.
Seite 60: Servicefunktionstelegramme
Maßnahmen zur Systemhärtung 3.3.2.3.1 Servicefunktionstelegramme Mittels Servicefunktionstelegrammen werden unterschiedlichste Systeminformationen übertragen (z.B. Fernwartung, Diagnose). Die Servicefunktionstelegramme zwischen SICAM TOOLBOX II und einer SICAM RTUs werden auf LAN-Protokollen entsprechend aufbereitet (Konvertierung vom SICAM RTUs internen Format und dem Format für SICAM TOOLBOX II) und an die zentrale Servicefunktion der SICAM RTUs Komponente zur weiteren Verarbeitung weitergeleitet.
Seite 61: Zeitsynchronisierung Via (S)Ntp
Maßnahmen zur Systemhärtung Das Senden des Uhrzeit-Synchronisationsbefehls zu anderen SICAM RTUs erfolgt automatisch in der parametrierten Steuerungsrichtung vom Zeitmaster aus (in der systemtechnischen Parametrierung auf der M-CPU unter Topologie | Uhr-Sync automatisch). Der Uhrzeit-Synchronisationsbefehl wird nur von einer Kommunikationslinie akzeptiert, welche in den Topologieparametern als Überwachungsrichtung definiert ist.
Seite 62: Web-Server
Maßnahmen zur Systemhärtung • ETA4 • ETA3 • ETA5 • CPCX26 • PCCX26 • CPC80 • CPCI85 SICAM RTUs, welche bereites eine synchronisierte Systemzeit haben, können als NTP- Server eingesetzt werden. Folgende LAN-Protokolle unterstützen NTP-Server: • ETA4 • ETA3 • ETA5 3.3.2.7 WEB-Server...
Seite 63 Maßnahmen zur Systemhärtung Firmware http HTTPS CPC80 ab Revision 01 ab Revision 04 CPCI85 ab Revision 01 ab Revision 01 Parametrierung von SICAM A8000 mittels WEB (ohne SICAM TOOLBOX II) In diesem Fall ist http(s) Port 80/443 aktiviert und kann nicht deaktiviert werden. Für die CPCI85 wird die Parametrierung mittels SICAM WEB erst in einer späteren Ausbaustufe zur Verfügung gestellt.
Seite 64: Deaktivierung Unnötiger Standard-Nutzer (Web)
Maßnahmen zur Systemhärtung 3.3.2.7.1 Deaktivierung unnötiger Standard-Nutzer (WEB) ETA3, ETA5, ET25, ET83, ET85: hat nur 1 USER, WEB nur zur Diagnose CPC80: hat 2 USER (admin, gast), siehe auch Kapitel 12; „Benutzerverwaltung“. 3.3.3 Maßnahmen zur eingeschränkten Verteilung von Systemtelegrammen An ausgewählten Schnittstellen im Fernwirknetz (Übergabeschnittstellen, Partnerschnittstellen, …) sollen folgende Maßnahmen zur Vermeidung von Kreisläufern bzw.
Seite 65: Kommunikation Zu Sicam Rtus Über Usb
Maßnahmen zur Systemhärtung SICAM A8000 Serie und SICAM RTUs (CPCX26, PCCX26, alle SM2558 Protokolle enthalten einen Switch, der die Bandbreite der Ports begrenzt und Broadcast Storms filtert. Die Broadcast-Storm-Unterdrückung ist dieselbe bei allen Gerätetypen, aber der Durchsatz ist geräteabhängig: : keine Beschränkung SICAM A8000 CP-8050/ 18000 Telegramme pro Sekunde *) SICAM A8000 CP-8520:...
Seite 66: Freigabe Für Fehlerdiagnose/Parametrisierung Über Webbrowser
Maßnahmen zur Systemhärtung Das Zielsystem übernimmt die Rolle des USB-Device und die SICAM TOOLBOX II übernimmt die Rolle des USB-Host. Das Zielsystem (USB-Device) bietet keine Standard Dienste wie Datenzugriff oder USB-Speicher. Über USB wird das gleiche Protokoll wie über die serielle Schnittstelle verwendet.
Seite 67: Sicherer Verbindungsaufbau Über Https
Maßnahmen zur Systemhärtung 3.3.7 Sicherer Verbindungsaufbau über HTTPS 3.3.7.1 SICAM A8000 CP-8050 Mittels des Parameters oder kann in der SICAM A8000 CP- HTTP-server HTTPS-Server 8050 festgelegt werden, wie hoch der minimale Securitylevel der Verbindung zwischen Engineeringtool (SICAM TOOLBOX II oder WEB Browser) und SICAM A8000 CP-8050 sein soll.
Seite 68 Maßnahmen zur Systemhärtung Hinweis Wenn der Verbindungsaufbau nicht erfolgreich war, wird in der SICAM TOOLBOX II nur ein Hinweis eines „nicht erfolgreichen Verbindungsaufbaus“ ausgegeben. Details zur Ursache werden nicht bekannt gegeben. 3.3.7.3 SICAM AK 3 Mittels des Parameters kann im SICAM AK 3 festgelegt werden, wie hoch der HTTP/HTTPS minimale Securitylevel der Verbindung zwischen Engineeringtool SICAM TOOLBOX II oder WEB-Browser und SICAM AK 3 sein soll.
Seite 69: Sicam Ak 3
Maßnahmen zur Systemhärtung 3.3.7.4 SICAM AK 3, AK, TM, BC (mit SM-2558) Mittels des Parameters kann im SICAM RTUs festgelegt werden, wie hoch der HTTP/HTTPS minimale Security-level der Verbindung zwischen Engineeringtool SICAM TOOLBOX II und SICAM AK 3, AK, TM und BC sein soll. Der entsprechende Parameter ist in der systemtechnischen Parametrierung am PRE (z.B.: SM-2558/ETA4) unter zu finden.
Seite 70: Connection Password Sicam A8000 Cp-8000/ Cp-802X, Sicam Rtus
Maßnahmen zur Systemhärtung 3.3.8 Connection Password SICAM A8000 CP-8000/ CP-802x, SICAM RTUs Beim „Abgesetzten Betrieb“ (SICAM TOOLBOX II ist über http oder HTTPS mit SICAM A8000 CP8000/CP-802x / SICAM RTUsverbunden) bekommt der Anwender die Möglichkeit, den Verbindungsaufbau mit einem Passwort zu schützen. Dieses Passwort wird als "Connection Password”...
Seite 71: Vergabe/Änderung Des „Connection Passwords
Maßnahmen zur Systemhärtung Weiters gibt es bei Falscheingaben einen Sperrmechanismus, d.h. die Sperrzeit (1 min) wird bei Falscheingaben verlängert. Das "Connection Password" läuft nicht ab! Das „Connection Password“ muss für jede LAN-Schnittstelle (IP-Adresse) einer SICAM A8000 CP8000/CP-802x / SICAM RTUs extra gesetzt werden. Somit ist die Vergabe eines individuellen „Connection Passwords“...
Seite 72: Rücksetzen Des „Connection Passwords
Maßnahmen zur Systemhärtung Hinweis Das „Connection Password“ kann von mehreren Stellen geändert werden. Speziell in SICAM AK, AK 3 und TM wird dies NICHT verhindert! 3.3.8.2 Rücksetzen des „Connection Passwords“ Falls der Anwender sein Connection Password vergessen hat, besteht die Möglichkeit den Default-Zustand (also kein „Connection Password“) wiederherzustellen.
Seite 73: Rbac In Sicam A8000 Cp-8050
Maßnahmen zur Systemhärtung 3.3.9.1 RBAC in SICAM A8000 CP-8050 Folgende Funktionen (genauer: Rechte, um Funktionen auszuüben) sind im Gerät CP-8050 vordefinierten Rollen (nach IEEE 1686) zugewiesen: ROLE SECURITY SECURITY BASED Definierte Rollen VIEWER OPERATOR ENGINEER INSTALLER ADMIN *) ADMIN AUDITOR ACCESS Funktionen MANAGER...
Seite 74: Externe Authentifizierung Mittels Radius In Sicam A8000 Cp-8000/ Cp-802X, Cp-8050
Maßnahmen zur Systemhärtung 3.3.10 Externe Authentifizierung mittels RADIUS in SICAM A8000 CP-8000/ CP-802x, CP-8050 Die Authentifizierung und Autorisierung von Benutzern kann über einen externen Server via RADIUS-Protokoll durchgeführt werden. Der entsprechende Parameter für die Authentifizierung ist in der systemtechnischen Parametrierung am BSE unter Security | Role based Access Control | zu finden.
Seite 75: Secure Factory Reset In Sicam A8000 Cp-8050
Maßnahmen zur Systemhärtung am Gerät konfigurierte AoR vom Server zurückgelieferte AoR "AT.VIENNA" "AT" "AT.VIENNA" "AT.VIENNA" "AT.VIENNA" "AT.VIEN" NOT OK "AT.VIENNA" "AT.VIENNA.TEST" NOT OK "AT.VIENNA.SIEMENSSTR" "" NOT OK "AT.VIENNA.SIEMENSSTR" "AT" "AT.VIENNA.SIEMENSSTR" "AT.VIENNA" "AT.VIENNA.SIEMENSSTR" "AT.VIENNA.SIEMENSSTR" "AT.VIENNA.SIEMENSSTR" "AT.VIENNA.RUTHNERG" NOT OK "AT" "AT" 3.3.11 Secure Factory Reset in SICAM A8000 CP-8050 Bei einem Secure Factory Reset wird das Gerät in den selben Zustand versetzt, den ein neues Gerät bei Werksauslieferung hat.
Seite 76 Maßnahmen zur Systemhärtung Vergleich zwischen Factory Settings und Default Settings Folgende Tabelle zeigt den Unterschied in den Konfigurationen zwischen den Standardeinstellungen und nach einem Zurücksetzen auf die Werkseinstellungen Konfiguration Werkseinstellungen Standardeinstellungen 1) Firmwares / Anwendungen CPCI85, SWEB00 (aktuelle Version CPCI85, SWEB00 (aktuelle Version zum Produktionszeitpunkt) zum Produktionszeitpunkt) Regionsnummer...
Seite 77: Sichere Ablage Von Passwörtern In Sicam A8000 Series / Sicam Rtus
Maßnahmen zur Systemhärtung 3.3.12 Sichere Ablage von Passwörtern in SICAM A8000 Series / SICAM RTUs In SICAM A8000 Serie / SICAM RTUs werden Preshared Keys sowie Passwörter, welche zur Authentifizierung verwendet werden, gesichert abgelegt. Folgende Tabelle zeigt an, ab welcher Firmware-Revision die „Sichere Ablage von Passwörtern“...
Seite 78: 3.3.12.1 Konfiguration
Maßnahmen zur Systemhärtung 3.3.12.1 Konfiguration Die „Sichere Ablage von Passwörtern“ für SNMP und SICAM WEB wird mit dem Parameter aktiviert/deaktiviert. Standardmäßig ist diese Funktion aktiviert. Sichere Passwortablage Der Parameter ist in der systemtechnischen Parametrierung am Basissystemelement unter zu finden. Netzwerkeinstellungen | Security Für SICAM A8000 CP-8050 ist eine entsprechende Konfiguration nicht notwendig.
Seite 79: 3.3.12.2 Ändern Der Snmp-Passwörter
Maßnahmen zur Systemhärtung 3.3.12.2 Ändern der SNMP-Passwörter Wenn die „Sichere Ablage von Passwörtern“ aktiviert ist können Sie die Passwörter für SNMP in der systemtechnischen Parametrierung am Basissystemelement unter konfigurieren. Netzwerkeinstellungen | SNMP | Username, Passwort • Passwort für Authentifizierung (SNMPv3) PSK •...
Seite 80: 3.3.12.3 Ändern Der Sicam Web-Passwörter
Maßnahmen zur Systemhärtung 3.3.12.3 Ändern der SICAM WEB-Passwörter Wenn die „Sichere Ablage von Passwörter“ aktiviert ist können Sie die Passwörter für SICAM WEB in der systemtechnischen Parametrierung am Basissystemelement unter konfigurieren: Netzwerkeinstellungen | HTTP web server • Administrator password HASH •...
Seite 81: Anbindung Von Systemen Ohne Security-Funktionalität
Maßnahmen zur Systemhärtung 3.3.13 Anbindung von Systemen ohne Security-Funktionalität Automatisierungssysteme die über keine Security-Funktionen verfügen, können durch den Einsatz einer SICAM AK oder TM mit jeweils 2 SM-2558 als „Hardware-Based Application- Layer-Firewall“ angekoppelt werden. Siehe auch Substation Zone mit Segmentierung durch Hardware-Application-Layer-Firewall SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 82: Sicam Pts Protokoll Test System
Standardanwendungen kann z.B. hier gefunden werden: Center for Internet Security (HTTPS://www.cisecurity.org/) 3.4.1 Windows Systemhärtung Eine Windows Systemhärtung muss gemäß dem Handbuch SecureSubStation_SecurityManual_GER.pdf durchgeführt werden, siehe: HTTPS://www.siemens.com/download?DLA20_94 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 83: Sicam Device Manager
Standardanwendungen kann z.B. hier gefunden werden: Center for Internet Security (HTTPS://www.cisecurity.org/) 3.5.1 Windows Systemhärtung Eine Windows Systemhärtung muss gemäß dem Handbuch SecureSubStation_SecurityManual_GER.pdf durchgeführt werden, siehe: HTTPS://www.siemens.com/download?DLA20_94 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 84: Sicam Toolbox Ii
Eine Sammlung von Best-Practice Härtungsguides für verschiedene Betriebssysteme, Serverdienste und Standardanwendungen findet sich z.B. beim Center for Internet Security (http://www.cisecurity.org) 3.6.1 Windows Systemhärtung Eine Windows Systemhärtung muss gemäß dem Handbuch SecureSubStation_SecurityManual_GER.pdf durchgeführt werden, siehe: HTTPS://www.siemens.com/download?DLA20_94 Neuere Version: HTTPS://intranet.wss03.ptd.siemens.de/content/10003890/Shared%20Documents/Security/M anuals/SecureSubStation_SecurityManual.pdf 3.6.2 Deinstallation oder Deaktivierung unnötiger...
Seite 85: Deaktivierung Unnötiger System- Und Kommunikationsdienste
Maßnahmen zur Systemhärtung 3.6.3 Deaktivierung unnötiger System- und Kommunikationsdienste 3.6.3.1 Abgesetzter Betrieb Mit dem Werkzeug abgesetzter Betrieb kann die Service Schnittstelle zwischen SICAM TOOLBOX II und SICAM RTUs für Fernwartungszwecke abgesetzt werden. Folgende Übertragungsmedien werden unterstützt: • SICAM TOOLBOX II Modem (Wählleitungsmodem) - Modem (Wählleitungsmodem) •...
Seite 86: Security Penetration Testing
Maßnahmen zur Systemhärtung Security Penetration Testing Sämtliche SICAM RTUs LAN-Schnittstellen werden ausführlichen Security-Tests unterzogen. Diese Tests sind detailliert im Dokument SICAM A8000 Series RTUs Security Penetration Testing (DC0-134-2) beschrieben. Siehe auch: Unterstützte LAN-Dienste SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 87: Kommunikationsprotokolle
Kommunikationsprotokolle Inhalt Serielle Kommunikationsprotokolle ..............88 Ethernet basierte Kommunikationsprotokolle .............89 Andere Layer 2 Kommunikationsprotokolle ............123 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 88: Serielle Kommunikationsprotokolle
Kommunikationsprotokolle Serielle Kommunikationsprotokolle 4.1.1 End-End-/Gemeinschaftsverkehr Serielle Kommunikationsprotokolle werden in eigenen Kommunikationsnetzen eingesetzt. Die Übertragung der Daten erfolgt unverschlüsselt. Dies ist auch dann der Fall wenn die Daten über Funk (z.B. Stafettenbetrieb) übertragen werden. 4.1.2 Wählverkehr Bei der Datenübertragung im Wählverkehr wird ein serielles Übertragungsprotokoll basierend auf IEC 60870-5-101 mit proprietären Erweiterungen eingesetzt: •...
Seite 89: Ethernet Basierte Kommunikationsprotokolle
Kommunikationsprotokolle Ethernet basierte Kommunikationsprotokolle 4.2.1 Ethernet based IO Bus (EbIO) Auf der CP-8050 kann man die Ethernet-Schnittstellen als EbIO verwenden. Der EbIO basiert auf einem proprietären Protokoll auf Ethernet Ebene (kein IP, kein TCP/UDP). Die Daten am EbIO sind verschlüsselt und authentifiziert. 4.2.2 IP-basierte Protokolle SICAM A8000 CP-8050 Bei den Kommunikationsprotokollen IEC 60870-5-104, DNP(i) und IEC 61850 erfolgt die...
Seite 90: Aktivierung Von Ipsec Vpn
Kommunikationsprotokolle Voraussetzungen: System Firmware SICAM SICAM WEB TOOLBOX II SICAM A8000 CP-8050 CPCI85 Rev. 01.10 V6.01 n.a. Unterstützte Cipher Suites, siehe IPsec Parameter. Hinweis Konfigurationsbeispiele mit IPSec VPN finden Sie in folgendem Handbuch: SICAM A8000 CP-8050, Kapitel „Anwendungsbeispiele“ 4.2.2.1.1 Aktivierung von IPSec VPN Um IPSec VPN für die Ethernet-Schnittstellen zu aktivieren, muss in der systemtechnischen Parametrierung am BSE der folgenden Wert gewählt werden: Security | IP Security aktiviert...
Seite 91 Kommunikationsprotokolle IKE Security Associations 1 Version 1 Version 2 Internet Key Exchange (IKE) Version Version 2 (empfohlen) 120 – 2 147 483 647 Sek. 1720800 Sek. SA Lifetime (Zeitüberschreitung) Nein Auto-selection of authentication & encryption Ja (empfohlen) Wenn Auto-selection of authentication = Nein, dann &...
Seite 92: Ändern Des Pre-Shared Keys
Kommunikationsprotokolle *) Hinweis Wenn die IKEV1- ID leer ist, wird nur die IP Adresse genutzt (ID-Typ ist: IP-Adresse). Wenn eine IKEV1- ID ausgefüllt ist, ist der ID-Typ FQDN Bei IKEV2 muss die ID vom Typ FQDN ausgefüllt werden. Eine fehlende ID verursacht eine Netzwerk IPSec Fehlermeldung.
Seite 93: Ip-Kommunikationsmatrix Sicam A8000 Cp-8050
Kommunikationsprotokolle 4.2.2.2 IP-Kommunikationsmatrix SICAM A8000 CP-8050 In dieser Tabelle bezieht sich „SICAM A8000 Serie“ immer auf SICAM A8000 CP-8050. Layer 4 Layer 7 Zu Port Service Von Host (Client) Von Port (Client) Zu Host (Server) Protokoll. Protokoll (Server) DNS Server >1024 SICAM A8000 Serie 67/UDP...
Seite 94 Kommunikationsprotokolle Layer 4 Layer 7 Zu Port Service Von Host (Client) Von Port (Client) Zu Host (Server) Protokoll. Protokoll (Server) HTTP PC with browser SICAM A8000 Serie HTTPS PC with browser SICAM A8000 Serie Abgesetzter Betrieb TBII HTTP Toolbox-PC SICAM A8000 Serie Abgesetzter Betrieb TBII HTTPS Toolbox-PC...
Seite 95 Kommunikationsprotokolle Layer 4 Layer 7 Zu Port Service Von Host (Client) Von Port (Client) Zu Host (Server) Protokoll. Protokoll (Server) Ping ICMP PING SICAM A8000 Serie SICAM A8000 Serie *) Der RADIUS UDP-Port ist frei einstellbar **) SICAM PTS Protokoll Test System - Lizenz Schutz Der Dongle-Treiber (über USB) öffnet die TCP Ports 2235 und 22351.
Seite 96: Ip-Basierte Protokolle Sicam Ak3, Ak, Tm, Bc, Sicam A8000 Cp- 8000/21/22
Kommunikationsprotokolle 4.2.3 IP-basierte Protokolle SICAM AK3, AK, TM, BC, SICAM A8000 CP- 8000/21/22 Alle IP-basierten Protokolle in SICAM A8000 Serie / SICAM RTUs überprüfen die IP-Adresse der Gegenstelle .d.h. Telegramme werden nur von bestimmten IP-Adressen akzeptiert. Beim Kommunikationsprotokoll IEC 60870-5-104 kann die Übertragung der Daten entweder unverschlüsselt oder verschlüsselt (TLS-Verschlüsselung bzw.
Seite 97: Ipsec Vpn In Sicam Rtus
Kommunikationsprotokolle 4.2.3.1 IPSec VPN in SICAM RTUs IPSec VPN (Internet Protocol Security – Virtual Private Network) ist eine Erweiterung des Internet-Protokolls (IP) um Verschlüsselungs- und Authentisierungsmechanismen. IPSec baut aktiv einen VPN Tunnel auf (Initiator), der die in IP-Netzen geforderte Vertraulichkeit, Authentizität und Integrität der Datenübertragung garantiert.
Seite 98: Ipsec Parameter
Kommunikationsprotokolle 4.2.3.1.2 IPsec Parameter Parameter Wert oder Format Default Wert IP Security ICMP Ping reply IPSec VPN Tunnel 1 aktiviert IPSec VPN Tunnel 2 aktiviert Local Site Identifier (Local ID) IP-Adresse oder FQDN oder User-FQDN; empfohlen: FQDN VPN Client IP-Address IP V4 Adresse VPN Client default Gateway IP V4 Adresse...
Seite 99: Ändern Des Pre-Shared Keys
Kommunikationsprotokolle IPSec Authentifizierung Maximum 128 characters (Man Preshared Key kann PSK nur setzen aber alte PSK nicht lesen!) IPSec Security Associations 1 300 bis 2 147 483 647 Sek. 3600 Sek. SA Lifetime (Zeitüberschreitung) 20 Kbyte bis 128 Mbyte 12000 SA Lifetime (Datenmenge) Nein Auto-selection of authentication &...
Seite 100: Snmpv3 Agent & Traps
Kommunikationsprotokolle 4.2.3.2 SNMPv3 Agent & Traps SICAM RTUs unterstützen SNMPv2 und SNMPv3, über Eigenschaften und Funktionen, die Parametrierung am BSE, SNMP Variablen für SICAM AK 3 und Traps, siehe SICAM RTUs, Ax 1703, Gemeinsame Funktionen Protokollelemente, Kapitel 10. Übersicht SNMPv2 und SNMPv3 System Firmware (SNMP-Agent)
Seite 101: Iec 62351-3 In Sicam A8000 Serie / Sicam Rtus
Kommunikationsprotokolle 4.2.3.4 IEC 62351-3 in SICAM A8000 Serie / SICAM RTUs 4.2.3.4.1 IEC 62351-3 für IEC 60870-5-104 Für die Kommunikationsverbindung mittels IEC60870-5-104 kann optional eine Verschlüsselung nach IEC62351-3 eingesetzt werden. Voraussetzungen: System Firmware SICAM TOOLBOX II SICAM WEB SICAM A8000 CPC80 ab Rev.
Seite 102: Erstellung Eines Zertifikats
Kommunikationsprotokolle 4.2.3.4.2 Erstellung eines Zertifikats Am Beispiel des Tools XCA (X Certificate and Key Management) wird das Erstellen von Client-Server Zertifikats inklusive Root Zertifikat dargestellt. Graphische Benutzeroberfläche des Tools XCA Schritt 1: Erstellen einer neuen Datenbank  File New DataBase SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 103 Kommunikationsprotokolle Passwortvergabe für den Zugriff auf die Zertifikate und Keys in der Datenbank: Schritt 2: Generierung der Private Keys (Root Key, Client Key, Server Key)  Private Keys New Key Beispiel für die Erstellung des Root Key Erstellen Sie die Private Keys für Client und Server (analog zum Beispiel für Root Key). SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 104 Kommunikationsprotokolle Erstellte Keys (Root, Client, Server) Schritt 3: Generierung des Root-Zertifikats (immer selbstsigniert)  Certificates New Certificate SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 105 Kommunikationsprotokolle SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 106 Kommunikationsprotokolle Erfolgreich erstelltes rRoot-Zertifikat Schritt 4: Zertifikatsignierungsanforderung für Client und Server erstellen:  Certificate signing requests New Request Beispiel: Zertifikatsignierungsanforderung für Client SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 107 Kommunikationsprotokolle SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 108 Kommunikationsprotokolle Erstellen Sie die Zertifikatsignierungsanforderung mit verwendetem Schlüssel für den Server (analog zum Beispiel für Client). Erfolgreich erstellte Client- und Server-Zertifikatsignierungsanforderung SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 109 Kommunikationsprotokolle Schritt 5: Erstellung der Zertifikate für Client und Server (signiert von Root-CA) Certificates -> New Certificate Beispiel für Client-Zerifikat SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 110 Kommunikationsprotokolle Erstellen Sie das Server-Zertifikat (analog zum Beispiel für das Client-Zertifikat) Erfolgreich generierte Zertifikate (Root, Client, Server) SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 111 Kommunikationsprotokolle Schritt 6: Zertifikate und Keys exportieren:  Certificates Export Die gesamte Zertifikatskette wird im PEM-Format exportiert. Export des Keys: Die private keys werden im PEM-Format exportiert. Die Zertifikate für die TLS Verschlüsselung müssen auf der SD-Card in das IN_CERTS- Verzeichnis kopiert werden.
Seite 112: Performance Und Dimensionierung
Kommunikationsprotokolle 4.2.3.5 IEC 60870-5-104 mit TLS-Verschlüsselung nach IEC 62351-3: Performance und Dimensionierung Quelle: http://netsekure.org/2010/03/tls-overhead/ TLS-Handshake Diagramm (gebräuchlichster Fall): Anonymous Client Authenticated Server TCP Port 19998 (IANA) ClientHello Trusted CA Indication --------> ServerHello Certificates (CA+Server) + Certificate Request <-------- ServerHelloDone ClientCertificate -------->...
Seite 113 Kommunikationsprotokolle • ClientKeyExchange: Ausgehend von den gebräuchlichsten Zertifikaten (RSA Server- Zertifikate) kann man eine Größe von 262 Bytes für diese Nachricht annehmen. • Certificate Verify: 264 Bytes • New Session Ticket: 1114 Bytes • ChangeCipherSpec: fixe Größe von 1 (technisch gesehen keine Handshake-Nachricht) •...
Seite 114 Kommunikationsprotokolle In diesem Beispiel beträgt der Gesamt-Overhead der verschlüsselten Daten ungefähr 53 Bytes (32 +15 + 5). Zertifikat mit RSA Keys 2048 Bit SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 115 Kommunikationsprotokolle Zertifikat mit EC Keys 256 Bit SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 116 Kommunikationsprotokolle Wireshark Trace Handshake mit Zertifikaten (RSA-Keys 2048bit) SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 117 Kommunikationsprotokolle Wireshark Trace Handshake mit Zertifikaten (EC-Keys 256bit) SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 118: Ip-Kommunikationsmatrix
Kommunikationsprotokolle 4.2.3.6 IP-Kommunikationsmatrix In dieser Tabelle bezieht sich „SICAM A8000 Serie“ immer auf SICAM A8000 CP-8000 und CP-802x. Von Port Zu Port Service Layer 4 Prot. Layer 7 Protocol Vom Host (Client) (Client) Zu Host (Server) (Server) DNS Client SICAM A8000 Serie >1024 53/UDP DHCP Client...
Seite 119 Kommunikationsprotokolle Von Port Zu Port Service Layer 4 Prot. Layer 7 Protocol Vom Host (Client) (Client) Zu Host (Server) (Server) Syslog Client SICAM AK Syslog Server SICAM A8000 Serie Toolbox-PC RADIUS Authentifikationsprotokoll SICAM A8000 Serie >1024 RADIUS AAA Server 1812 *) NetOp Remote Control Windows PC >1024...
Seite 120 Kommunikationsprotokolle Von Port Zu Port Service Layer 4 Prot. Layer 7 Protocol Vom Host (Client) (Client) Zu Host (Server) (Server) Abgesetzter Betrieb TBII HTTP Toolbox-PC SICAM AK 3, AK SICAM TM SICAM BC SICAM A8000 Serie Abgesetzter Betrieb TBII HTTPS Toolbox-PC SICAM AK 3, AK SICAM TM...
Seite 121 Kommunikationsprotokolle Von Port Zu Port Service Layer 4 Prot. Layer 7 Protocol Vom Host (Client) (Client) Zu Host (Server) (Server) Prozesskommunikation MODBUS TCP/IP SICAM AK 3, AK >1024 SICAM AK 3, AK Slave SICAM TM SICAM TM SICAM BC SICAM BC Prozesskommunikation MODBUS TCP/IP SICAM AK 3, AK...
Seite 122: Tcp Keep Alive
Kommunikationsprotokolle 4.2.4 TCP Keep Alive Wenn Protokolle, die auf TCP/IP basieren, keine Überwachungsfunktionen implementiert haben, kann die TCP/IP Verbindung durch die Funktion „TCP Keep Alive“ überwacht werden. Das Zeitintervall für die zyklische Aussendung der „TCP Keep Alive“-Telegramme ist mit dem Parameter einzustellen.
Seite 123: Andere Layer 2 Kommunikationsprotokolle
Kommunikationsprotokolle Andere Layer 2 Kommunikationsprotokolle Neben Ethernet gibt es noch eine Vielzahl an Techniken, wie GPRS/UMTS, xDSL, ISDN, …. Auf dieser Schicht findet auch die physikalische Adressierung von Datenpaketen statt. Siehe auch Kapitel 4.2.3.6, IP-Kommunikationsmatrix Hinweis Wenn zwischen den einzelnen externen Geräten (Switches, Router, Modems) ein VPN-Tunnel aufgebaut werden kann, durch welchen die Datenpakete getunnelt werden, so wird dies empfohlen.
Seite 124 Kommunikationsprotokolle SICAM A8000 CP-8050: Dieser Parameter ist in der systemtechnischen Parametrierung für jeden Port am BSE unter zu finden. Standardmäßig ist dieser Netzwerkeinstellungen | Port | Shutdown Parameter auf „NEIN“ gestellt. Verfügbarkeit der Funktion: Firmware ab Revision CPCI85 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 125: Patchmanagement
Patchmanagement Inhalt SICAM A8000 Series / SICAM RTUs ...............126 SICAM PTS Protocol Test System ..............127 SICAM TOOLBOX II ..................128 SICAM Device Manager ...................129 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 126: Sicam A8000 Series / Sicam Rtus
Patchmanagement SICAM A8000 Series / SICAM RTUs Jedes Systemelement der SICAM A8000 Serie / SICAM RTUs verfügt über eine eigene ladbare Firmware die von der SICAM TOOLBOX II / SICAM Device Manager zentral verwaltet wird. Mit der SICAM TOOLBOX II / SICAM Device Manager können alle Firmwares einzeln nachgeladen und upgedatet werden.
Seite 127: Sicam Pts Protocol Test System
Das SICAM PTS Protokoll Test System wird mittels Maintenance Releases (Service Packs) und Hotfixes gepatcht. Diese stehen im Internet als Download zur Verfügung: http://www.siemens.com/sicam. Note Informationen zu Updates für das SICAM PTS Protokoll Test System finden Sie in den entsprechenden...
Seite 128: Sicam Toolbox Ii
Patchmanagement SICAM TOOLBOX II Die SICAM TOOLBOX II wird mittels Maintenance Releases (Service Packs) und Hotfixes gepatcht. Diese stehen im Internet als Download zur Verfügung. Hinweis Informationen zum Update der SICAM TOOLBOX II finden sie im Dokument: • SICAM TOOLBOX II DVD BOOKLET - Kapitel: Update 5.3.1 Live Update Mit der Live Update-Funktion der SICAM TOOLBOX II können sämtliche Firmwareupdates...
Seite 129: Sicam Device Manager
SICAM Device Manager Der SICAM Device Manager wird mittels Maintenance Releases (Service Packs) und Hotfixes gepatcht. Diese stehen im Internet als Download zur Verfügung: http://www.siemens.com/sicam. Note Informationen zu Updates für den SICAM Device Manager finden Sie in den entsprechenden Release...
Seite 130 Patchmanagement SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 131: Virenschutz
Virenschutz Inhalt Allgemeines ......................132 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 132: Allgemeines
Virenschutz Allgemeines SICAM A8000 Serie / SICAM RTUs Bei den SICAM A8000 Serie / SICAM RTUs Komponenten handelt es sich um selbstentwickelte Embedded-Systeme, für die es keine bekannten Viren gibt. Es ist daher auch keine Schutzsoftware für diese Systeme verfügbar. Zusätzlich werden die Komponenten vor Inbetriebnahme gehärtet, um erhöhten Schutz gegen mögliche Schadsoftware zu erreichen SICAM PTS Protokoll Test System...
Seite 133: Verschlüsselung Und Authentifizierungsverfahren
Verschlüsselung und Authentifizierungsverfahren Inhalt SICAM A8000 Serie / SICAM RTUs ..............134 SICAM TOOLBOX II ..................138 SICAM Device Manager ...................139 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 134: Sicam A8000 Serie / Sicam Rtus
Verschlüsselung und Authentifizierungsverfahren SICAM A8000 Serie / SICAM RTUs Jedes Gerät hat sein spezifisches X.509 Server-Zertifikat RSA2048/SHA256, das im Hardware-Security-Modul abgelegt ist. Das Material/Signaturen werden während des Produktionsprozesses geladen. In SICAM A8000 Serie / SICAM RTUs werden Preshared Keys sowie Passwörter, welche zur Authentifizierung verwendet werden, gesichert abgelegt.
Seite 135: Engineering Von Sicam A8000 Cp-8000 / Cp-802X Mit Sicam Web
Verschlüsselung und Authentifizierungsverfahren 7.1.2 Engineering von SICAM A8000 CP-8000 / CP-802x mit SICAM Beim Engineering der SICAM A8000 CP-8000 / CP-802x mit SICAM WEB kann die Verbindung ab Firmware CPC80 Rev. 04 mit HTTPS verschlüsselt werden. Eigenschaften: • selbstsignierte Zertifikate •...
Seite 136: Engineering Mit Sicam Toolbox Ii
Verschlüsselung und Authentifizierungsverfahren 7.1.4 Engineering mit SICAM TOOLBOX II Beim Engineering von SICAM RTUs mit SICAM TOOLBOX II (ab V05.11) im abgesetzten Betrieb kann die Verbindung mit HTTPS verschlüsselt werden. Für die SICAM A8000 CP-8050 ist SICAM TOOLBOX II V06.01 notwendig Voraussetzungen: System Firmware...
Seite 137: Ipsec Vpn In Sicam Rtus
Verschlüsselung und Authentifizierungsverfahren 7.1.5 IPSec VPN in SICAM RTUs IPSec VPN (Internet Protocol Security – Virtual Private Network) ist eine Erweiterung des Internet-Protokolls (IP) um Verschlüsselungs- und Authentisierungsmechanismen. IPSec baut aktiv einen VPN Tunnel auf (Initiator), der die in IP-Netzen geforderte Vertraulichkeit, Authentizität und Integrität der Datenübertragung garantiert.
Seite 138: Sicam Toolbox Ii
Verschlüsselung und Authentifizierungsverfahren SICAM TOOLBOX II Beim Engineering von SICAM RTUs mit SICAM TOOLBOX II (ab V05.11) im abgesetzten Betrieb kann die Verbindung mit HTTPS verschlüsselt werden. Zur USER-Authentisierung kann im abgesetzten Betrieb mit der SICAM TOOLBOX II zusätzlich das „Connection Passwort“ in SICAM A8000 CP-8000/ CP-802x / SICAM RTUs verwendet werden.
Seite 139: Sicam Device Manager
Verschlüsselung und Authentifizierungsverfahren SICAM Device Manager Während des Engineering von SICAM RTUs mittels SICAM Device Manager kann die Verbindung mit HTTPS verschlüsselt werden. Nach dem Verbindungsaufbau zum Gerät muss sich der Benutzer mit Benutzername und Passwort authentifizieren. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 140 Verschlüsselung und Authentifizierungsverfahren SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 141: Solidifizierung
Solidifizierung Inhalt System solidifizieren ..................142 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 142: System Solidifizieren
Solidifizierung System solidifizieren Wenn eine Solidifizierungs-Software installiert ist, müssen Sie für die SICAM TOOLBOX II zumindest folgende Ausnahmen eingetragen: Konfiguration der Applikations-Ausnahmen: Beispiel für „TBII 6.00“: sadmin updaters C:\Siemens_EA\TBII\EMII\BIN\wait4db_tbii.exe sadmin updaters C:\Siemens_EA\TBII\EMII\BIN\vtb.exe SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 143: Backup & Restore
Backup & Restore Inhalt Allgemeines ......................144 Backup der Daten .....................145 Restore ......................148 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 144: Allgemeines
Backup & Restore Allgemeines SICAM TOOLBOX II Die gesamten Parameter, Applikationen und Firmwares von SICAM A8000 Serie / SICAM RTUs werden von der SICAM TOOLBOX II zentral verwaltet und gespeichert. Mit Hilfe des Tools Data Distribution Center können folgende Engineeringdaten exportiert bzw.
Seite 145: Backup Der Daten
Backup & Restore Backup der Daten SICAM TOOLBOX II Um ein Backup zu erstellen ist es notwendig in der SICAM TOOLBOX II das Data Distribution Center zu starten und die Lasche Export zu öffnen. Wenn ein Backup des gesamten Datenbestandes eines Kunden erstellt wird, müssen alle Daten aus der Export-Lasche in die Lasche des Exportsatzes gezogen werden.
Seite 146: Automatisiertes Backup
Backup & Restore 9.2.1 Automatisiertes Backup SICAM TOOLBOX II In der SICAM TOOLBOX II können Backups automatisiert erstellt werden. Dazu muss zuerst im DDC ein Control File erzeugt werden. Dieses Control File kann zu einem späteren Zeitpunkt batchgesteuert abgearbeitet werden. Weiters ist es möglich diesen Task im Windows Scheduler auszuführen.
Seite 147 Backup & Restore SICAM Device Manager Für ein automatisiertes Backup eines gesamten SICAM Device Manager-Projekts kann der Benutzer im WINDOWS Task Scheduler eine entsprechende Aufgabe definieren, damit das gesamte Projektverzeichnis mit sämtlichen Engineeringdaten an einem bestimmten Ort abgelegt wird. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 148: Restore
Backup & Restore Restore 9.3.1 Wiederherstellung von SICAM A8000 Serie / SICAM RTUs Nach dem Tausch einer Automatisierungseinheit oder von Teilen einer AE ist lediglich die vorhandene SD-Karte zu verwenden. Die AE erhält die Daten automatisch von der SD-Karte bei Power-Up. Es sind keine weiteren Maßnahmen zur Wiederherstellung erforderlich. 9.3.2 Wiederherstellung der SD-Karte von SICAM A8000 Serie / SICAM RTUs...
Seite 149: Initialisieren Und Laden Der Ae Mittels Sicam Toolbox Ii
Backup & Restore 9.3.2.2 Initialisieren und Laden der AE mittels SICAM TOOLBOX II Das Laden der Parameter in das Zielsystem (und somit auf die SD-Karte des Basissystemelements) erfolgt mit dem Werkzeug "Parameter laden" der SICAM TOOLBOX II. Sie können es vom "OPM II" aus über das Menü Zielsysteme → SICAM 1703 → Parameterlader starten.
Seite 150: Wiederherstellung Der Sicam Device Manager-Projektdaten
Backup & Restore Hinweis Nach dem Wiederherstellen wird empfohlen einen Parametervergleich zwischen den wiederhergestellten Daten in der SICAM TOOLBOX II und den Daten in den SICAM RTUs durchzuführen. Bei inkonsistentem Datenbestand ist die weitere Vorgehensweise von Fall zu Fall zu prüfen. (wenn Backup nicht aktuell ->...
Seite 151: Logging
Logging Inhalt 10.1 Security Logging ....................152 10.2 Diagnose ......................172 10.3 Logbuch ......................175 10.4 Protokollieren mit der Windows Ereignisanzeige ..........176 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 152: Security Logging
Logging 10.1 Security Logging 10.1.1 Allgemein In SICAM A8000 Serie / SICAM RTUs und SICAM TOOLBOX II steht ein Security Logbuch (Syslog-Client) zur Verfügung in welchem Security-relevante Ereignisse (Syslog-Events) erfasst und entsprechend ihrer Herkunft und ihres Schweregrades klassifiziert werden. Diese Daten können automatisch an einen externen Syslog-Server, oder bei der SICAM TOOLBOX II zusätzlich an das Windows Event Log, weitergeleitet werden.
Seite 153: Unterstützte Systeme/Firmwares
Logging 10.1.2 Unterstützte Systeme/Firmwares Syslog wird von folgenden Systemen/Firmwares unterstützt: System Firmware Revision Syslog-Client Verwendete Schnittstelle(n) SICAM A8000 CPCi85 ab 01 X2,X3, CI-Modul (CI-8520) CP-8050 SICAM A8000 CP-8000 X1, X4 CPC80 ab 09 CP-8021 X1, X4 CP-8022 X1, X4, X6 SICAM AK 3 CPCX26 ab 02...
Seite 154: Geloggte Security Events
Logging 10.1.3 Geloggte Security Events SICAM A8000 / SICAM RTUs • Start von Security Logging • Parameter laden und aktualisieren • Firmware laden und aktualisieren • Anmeldeversuche (Connection-Passwort für den abgesetzten Betrieb) ─ erfolgreiche Anmeldeversuche ─ fehlgeschlagene Anmeldeversuche ─ Setzen und Ändern des Connection-Passworts für den abgesetzten Betrieb •...
Seite 155: 10.1.3.1 Aufbau Der Security Events
Logging 10.1.3.1 Aufbau der Security Events SICAM A8000 CP-8050 Ein Syslog-Event setzt sich aus folgenden Elementen zusammen: Element Erläuterung Date Datum, an dem das Event vom Syslog Server empfangen/geloggt wurde Time Zeit, zu der das Event vom Syslog Server empfangen/geloggt wurde Facility Quelle des Events ─...
Seite 156 Logging Message Text Der Textteil eines Syslog-Events besteht aus folgenden Elementen: ─ yyyy-mm-dd ..Datum an dem das Event erzeugt wurde ─ Thh:mm:ss.ttt ..Zeit zu der das Event erzeugt wurde ─ +hh:mm ....Abweichung von der Weltzeit GMT ─ R#xxx_ ....
Seite 157: Syslog Events Sicam A8000 Cp-8050
Logging 10.1.3.2 Syslog Events SICAM A8000 CP-8050 Das Security Logbuch (Syslog-Client) ist standardmäßig deaktiviert und kann bei Bedarf aktiviert werden. Syslog Events können an bis zu 2 Syslog Server gesendet werden. Syslog Event Type Erläuterung AuditTrail Event Events werden bei authorisierten Aktivitäten übertragen welche bei Standardtätigkeiten/Servicetätigkeiten entstehen.
Seite 158 Logging Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] %A1% login of the user ‘%A2%‘ failed via %A3% LogAudit Alert AuditTrail Event Local, Remote User name SICAM WEB, Toolbox II %A1% User ‘%A2%‘...
Seite 159 Logging Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Disconnection of 'SICAM TOOLBOX II Remote operation' initiated by user LogAudit Warning AuditTrail Event Disconnection of 'SICAM TOOLBOX II Remote operation' caused by timeout LogAudit Warning AuditTrail Event...
Seite 160: 10.1.3.3 Syslog Events Sicam A8000 Cp-8000/Cp-802X / Sicam Rtus
Logging 10.1.3.3 Syslog Events SICAM A8000 CP-8000/CP-802x / SICAM RTUs, SICAM Toolbox II Das Security Logbuch (Syslog-Client) ist standardmäßig deaktiviert und kann bei Bedarf aktiviert werden. Bis zu 20 Syslog-Clients können in einer AE betrieben werden. In SICAM A8000 Serie / SICAM RTUs werden Syslog-Events von unterschiedlichen Quellen an die MCPU gemeldet und können über 1 oder mehrere Schnittstellen ausgesendet werden.
Seite 161 Logging SICAM Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche AK 3 Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Login of the user ‘%A1%‘ failed (%A2%) Authorization Error Event User name Windows User, TBII User The user ‘%A1%‘ has logged in successfully (%A2%) (%A3%) Authorization Notice Event User name...
Seite 162 Logging SICAM Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche AK 3 Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Syslog ready Application Notice Event X X X Parameters loaded Application Warning Event X X X The 'SICAM TOOLBOX II Remote operation' has logged in Authorization Notice Event X X X...
Seite 163 Logging SICAM Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche AK 3 Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Date and time setting by 'SICAM TOOLBOX II maintenance function Application Notice AuditTrail Event online' or 'SICAM WEB' Engineering tool 'SICAM TOOLBOX II' disconnected Application Notice...
Seite 164 Logging SICAM Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche AK 3 Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Logout of 'SICAM WEB' initiated by user Authorization Notice AuditTrail Event Successful login to 'SNMP agent' (user=%A1%) Authorization Notice AuditTrail Event User name...
Seite 165 Logging SICAM Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche AK 3 Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Data message in receive direction blocked by activated Application Warning Event WhiteList Filter Data message in transmit direction blocked by activated Application Warning Event...
Seite 166 Logging Beispiel: SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 167: Konfiguration
Logging 10.1.4 Konfiguration 10.1.4.1 SICAM A8000 Serie / SICAM RTUs Das Security Logbuch ist standardmäßig deaktiviert. Es kann im Bedarfsfall über SICAM TOOLBOX II mit den Parametern Netzwerkeinstellungen | Security | aktiviert SysLog-Client UDP, SysLog-Server 1 IP-Adresse SysLog-Portnr werden. SICAM A8000 CP-8050 In SICAM A8000 CP-8050 kann das Security Logbuch als Systemdienst über jede Ethernet Schnittstelle (CP-8050 und CI-8520) genutzt werden.
Seite 168 Logging SICAM AK 3 In SICAM AK 3 kann das Security Logbuch auf 2 verschiedene Arten genutzt werden: • Mit dem Protokollelement ET24 über die lokalen Ethernet Schnittstellen (X0 und X1) auf BSE CP-2016/CPCX26 oder CP-2019/PCCX26. Die erforderlichen Parameter finden Sie in der systemtechnischen Parametrierung am BSE unter Netzwerkeinstellungen | Security |Security Logbuch | SysLog Client UDP...
Seite 169 Logging SICAM AK In SICAM AK kann das Security Logbuch mit dem Protokollelement SM-2558/ETA4 auf dem Basisystemelement CP-2014/CPCX25 genutzt werden. Die erfoderlichen Parameter finden Sie in der systemtechnischen Parametrierung am PRE (SM-2558/ETA4) unter Security |Security Logbuch | SysLog Client UDP SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 170: Sicam Toolbox Ii
Logging 10.1.4.2 SICAM TOOLBOX II In der SICAM TOOLBOX II ist das Security Logbuch standardmäßig deaktiviert. Es kann im Bedarfsfall aktiviert werden. Die entsprechenden Einstellungen können mit dem SICAM TOOLBOX II–Tool „Voreinstellungen TOOLBOX II“ über den Menüpunkt Extras → Security Logbuch konfigurieren vorgenommen werden.
Seite 171: 10.1.4.3 Logbuch Ansehen
Logging 10.1.4.3 Logbuch ansehen Windows Event Log Mit dem Windows Event Viewer können die am SICAM TOOLBOX II-PC gespeicherten Ereignisse unter Windows Logs → Application abgerufen werden. Syslog-Server Die am Syslog-Server abgelegten Daten können mit einem einen Syslog-Viewer ausgelesen werden. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 172: Diagnose
Logging 10.2 Diagnose SICAM A8000 Serie / SICAM RTUs enthalten umfangreiche Funktionen zur Überwachung des Systems. Da die Firmware die entsprechenden Fehlerüberwachungsroutinen automatisch durchführt, sind dazu keine Einstellungen durch den Anwender erforderlich. Mit der SICAM TOOLBOX II Funktion Diagnose werden die lokalen Fehlertabellen der ausgewählten AEs und die globale Fehlertabelle ausgelesen und auf Fehlereinträge untersucht.
Seite 173 Logging • Netzübersichtsdiagnose Liefert eine Auflistung sämtlicher im Netzwerk befindlicher Automatisierungseinheiten bei denen Fehler aufgezeichnet wurden. Die Netzübersichtsdiagnose Diagnose beinhaltet Informationen ohne Zeitstempel. • AE-Übersichtsdiagnose Liefert eine Fehlerübersicht für alle Automatisierungseinheiten, die in der Netzübersichtsdiagnose als fehlerhaft angezeigt werden. Die AE-Übersichtsdiagnose beinhaltet Informationen ohne Zeitstempel. •...
Seite 174: Diagnoseklassen
Logging ─ Die Diagnosedaten werden lokal gespeichert und können mittels SICAM TOOLBOX II lokal oder über die Ferne ausgelesen werden. ─ Einträge können nicht modifiziert oder gelöscht werden. ─ Die Historydiagnose beinhaltet Informationen mit Zeitstempel und umfasst je Basissystemelement (M-CPU, C-CPU) exakt 20 Einträge, es werden immer die letzten Ereignisse gespeichert und ältere überschrieben.
Seite 175: Logbuch
Logging 10.3 Logbuch Die SICAM TOOLBOX II verfügt über ein Logbuch, in dem auswählbare Benutzeraktionen wie z.B.: Parameteränderung, Parameterdownload, Firmwareladen ins Zielsystem, … protokolliert werden können. Die Einträge des Logbuchs werden zentral in der SICAM TOOLBOX II Datenbank gespeichert und können beliebig gefiltert werden. Der Zugang zum Logbuch ist durch die Rollenverwaltung (User-Rollen LogConfig und LogView) der SICAM TOOLBOX II geregelt.
Seite 176: Protokollieren Mit Der Windows Ereignisanzeige
Logging 10.4 Protokollieren mit der Windows Ereignisanzeige Mittels der Windows Ereignisanzeige ist es möglich Remote-Zugriffe zu protokollieren. Dabei sind einige Bedingungen zu beachten, um die Remote-Log-Dateien anzuzeigen. Dafür muss auf diversen Windows Betriebssystemen das Remote Registry-Service gestartet werden. Damit können Sie die Beschreibungen oder Kategorie-Feldern in der Eigenschaftsseite des Ereignisprotokolls sehen.
Seite 177: Fernwartung
Fernwartung Inhalt 11.1 Fernwartung über SICAM TOOLBOX II ............178 11.2 Fernwartung über SICAM Device Manager ............180 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 178: Fernwartung Über Sicam Toolbox Ii
Fernwartung 11.1 Fernwartung über SICAM TOOLBOX II Mit Hilfe der Option "web.engineering" kann man mit einem steuernden PC (Fernwartungszentrale) eine entfernte SICAM TOOLBOX II, die über eine Datenverbindung (Modem, ISDN, LAN/WAN) erreichbar ist, fernbedienen (Fernwartungssitzung). SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 179: Konfiguration Von Server Und Clients
Fernwartung Bei "web.engineering" arbeiten alle SICAM TOOLBOX II Clients mit einem zentralen Webserver, auf dem die SICAM TOOLBOX II läuft. Die SICAM TOOLBOX II wird dabei im Webbrowser betrieben. Hinweis Info für Systemdesign, Produkt/-Systemservice und Leitstellen-/Systembetrieb: Diese Anforderung ist nicht produktrelevant und ist daher während Systemdesign, Produkt-/Systemservice und Leitstellen-/Systembetrieb zu berücksichtigen.
Seite 180: Fernwartung Über Sicam Device Manager
Fernwartung 11.2 Fernwartung über SICAM Device Manager Alle Geräte können zu Fernwartungszwecken über Ethernet erreicht werden. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 181: Benutzerverwaltung
Benutzerverwaltung Inhalt 12.1 Einleitung ......................182 12.2 SICAM A8000 Serie / SICAM RTUs ..............184 12.3 SICAM TOOLBOX II ..................187 12.4 SICAM Device Manager ...................190 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 182: Einleitung
Benutzerverwaltung 12.1 Einleitung SICAM A8000 Serie / SICAM RTUs Es gibt in SICAM A8000 Serie / SICAM RTUs bei Verwendung der SICAM TOOLBOX II keine Benutzer- und Rollenverwaltung, da die Benutzer- und Rollenverwaltung in der SICAM TOOLBOX II erfolgt. Dies gilt für alle Gerätetypen, außer SICAM A8000 CP-8050. SICAM A8000 CP-8050 unterstützt auch bei Verwendung der SICAM TOOLBOX II eine Benutzer-Rollenverwaltung, siehe Kapitel 3.3.9, Role-Based-Access-Control in SICAM A8000 CP-8050.
Seite 183 Benutzerverwaltung Mit der User-/Rollenverwaltung in der SICAM TOOLBOX II können folgende Operationen durchgeführt werden: • Definieren von Usern mit Passwort • Definieren von Rollen mit zugehörigen Berechtigung • Definieren der Zuordnung von Usern zu bestimmten Rollen • Löschen von Usern SICAM Device Manager SICAM Device Manager unterstützt kein Benutzer/Rollenkonzept.
Seite 184: Sicam A8000 Serie / Sicam Rtus
Benutzerverwaltung 12.2 SICAM A8000 Serie / SICAM RTUs 12.2.1 SICAM A8000 CP-8050 Über SICAM WEB werden für die SICAM A8000 CP-8050 User sowie deren Passwörter definiert und ihre Rolle zugewiesen. Folgender Benutzer ist mit der Rolle ADMINISTRATOR voreingestellt Benutzername Passwort Rolle administrator ********...
Seite 185 Benutzerverwaltung Rollenbasierte Zugriffssteuerung beim Arbeiten mit SICAM TOOLBOX II Nach dem Start der SICAM TOOLBOX II erscheint der Login-Dialog. Geben Sie den Benutzernamen und das Passwort ein. Wenn Sie mit der SICAM TOOLBOX II Aktionen durchführen möchten, bei denen Sie online auf die angeschlossene CP-8050 zugreifen müssen (z.B.
Seite 186: Sicam Web Für Sicam A8000 Cp-8000/ Cp-802X
Benutzerverwaltung Sie haben die Möglichkeit, einen anderen Benutzer mit entsprechenden Rechten zu wählen und sich mit diesen anderen Benutzerdaten (Namen und Passwort) erneut am Gerät anzumelden, um mit der Aktion fortzufahren. Nach erfolgreichem Login können alle für den Benutzer freigegebenen Aktionen, ohne erneutes Login, durchgeführt werden.
Seite 187: Sicam Toolbox Ii
Benutzerverwaltung 12.3 SICAM TOOLBOX II 12.3.1 User definieren User definieren bedeutet in der SICAM TOOLBOX II nicht nur das Anlegen neuer User sondern auch das Löschen von Usern oder das Ändern des User Passworts. Der zugehörige Dialog wird aus dem SICAM TOOLBOX II-Tool TOOLBOX II presets (-> EMII Voreinstellungen Toolbox) mit dem Kommando Berechtigung →...
Seite 188: Rollen Definieren
Benutzerverwaltung 12.3.2 Rollen definieren Eine Rolle ist eine Sammlung von Berechtigungen die einem User zugeordnet werden kann. Die Definition einer Rolle erfolgt im SICAM TOOLBOX II-Tool TOOLBOX II presets (-> EMII Voreinstellungen Toolbox) mit dem Kommando Berechtigung → User-/Rollenverwaltung → Rollen definieren ..Folgende Liste zeigt die Berechtigungen für die vordefinierten Rollen TB_ADMINISTRATOR, TB_PROFESSIONAL und TB_Standard.
Seite 189: Zuordnung User Rolle
Benutzerverwaltung Berechtigung TB_ADMINISTRATOR TB_PROFESSIONAL TB_Standard 31 Security Administrator 32 Service-Fenster Offline 33 Servicefunktion Online 34 Stammdatenimport 35 Telegrammsimulation 36 Topologietest 37 Umsetzer Preview 38 Voreinstellungen CAEx 39 Voreinstellungen TOOLBOX II Für bestimmte Anwendungsfälle und Projekte können eigene Rollen definiert werden. Hinweis Weiter Details finden Sie in der Online-Hilfe der SICAM TOOLBOX II.
Seite 190: Sicam Device Manager
Benutzerverwaltung 12.4 SICAM Device Manager SICAM Device Manager nutzt die Benutzer/Rollen-Zugriffskontrolle des Geräts nur beim Verbindungsaufbau zum Gerät. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 191: Hardware Schnittstellen
Hardware Schnittstellen Inhalt 13.1 SICAM A8000 / SICAM RTUs ................192 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 192: Sicam A8000 / Sicam Rtus
Hardware Schnittstellen 13.1 SICAM A8000 / SICAM RTUs Je nach System und Ausbau steht auf den Automatisierungseinheiten eine unterschiedliche Anzahl von RJ45 Schnittstellen zur Verfügung. Um einer missbräuchlichen Verwendung dieser RJ45 Schnittstellen vorzubeugen zeigt folgende Tabelle deren Bestimmung: System Baugruppe RJ45 Stecker Verwendung SICAM A8000...
Seite 193 Hardware Schnittstellen System Baugruppe RJ45 Stecker Verwendung SI0; Kommunikation; abhängig vom bestückten Submodul SI1; Kommunikation; abhängig vom bestückten Submodul SI2; Kommunikation; abhängig vom bestückten Submodul SI3; Kommunikation; abhängig vom bestückten Submodul externer Ax Peripheriebus SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 194 Hardware Schnittstellen SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 195: A Security Measure Plan For Oracle Database
Security Measure Plan for Oracle Database SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 196: Checklist According To "Security Measure Plan For Oracle Database 12C
Security Measure Plan for Oracle Database Checklist according to “Security Measure Plan for Oracle Database 12c” (Released by Siemens Cert, 2017-02-28. Version 2.0) System Name: SICAM TOOLBOX II, 6.01 HF01 Version of checked Database: Oracle 12.1.0.1.160719 Chapter Measure Measure Done...
Seite 197 Security Measure Plan for Oracle Database Chapter Measure Measure Done M126427 Check Password Complexity During login password complexity checking is not enabled. Reason: Database only client is SICAM TOOLBOX II, which uses during one major release the same passwords. Each of these TOOLBOX II passwords follow the required complexity.
Seite 198 Security Measure Plan for Oracle Database SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 199: B Lizenzvereinbarung
Lizenzvereinbarung SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 200: Open Source Software Verwendet In Der Sicam A8000 Serie
Die Open Source Software wird unentgeltlich überlassen. Den Quelltext der Software können Sie - soweit die einschlägigen Open Source Software Lizenzbedingungen dies vorsehen - gegen Zahlung der Versandkosten bei Ihrem Siemens Vertriebsbeauftragten zumindest bis zum Ablauf von 3 Jahren ab Erwerb des Produkts anfordern.
Seite 201: Open Source Software Verwendet In Sicam Rtus
Die Open Source Software wird unentgeltlich überlassen. Den Quelltext der Software können Sie - soweit die einschlägigen Open Source Software Lizenzbedingungen dies vorsehen - gegen Zahlung der Versandkosten bei Ihrem Siemens Vertriebsbeauftragten zumindest bis zum Ablauf von 3 Jahren ab Erwerb des Produkts anfordern.
Seite 202 Lizenzvereinbarung Klicken Sie in der Menüleiste auf Download Pool und wählen Sie im Tab Products & Systems folgende Optionen: ─ Product Family: SICAM RTUs ─ Product / Version: General Infomation Klicken Sie auf Search Klicken Sie in der Ergebnisliste auf SICAM RTUs OSS Extractor um den Download zu starten.
Seite 203 Lizenzvereinbarung Wenn der Download beendet ist erhalten Sie die Datei SICAMOSS.zip. Entpacken Sie diese Datei und speichern Sie die darin enthaltene Datei (SICAMOSS.exe) im Root-Verzeichnis jener SD-Karte, von der Sie die Lizenzvereinbarung auslesen wollen. Starten Sie nun SICAMOSS.exe. Während des Auslesevorgangs erscheint ein DOS-Fenster. Wenn die Zeile note: All files processed angezeigt wird können Sie das DOS- Fenster durch klicken einer beliebigen Taste schließen.
Seite 204: Beispiel Einer Readmoss.htm
Lizenzvereinbarung Beispiel einer ReadmOSS.htm SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 205 DC8-036-2 SICAM A8000 CP-8050 Handbuch DC8-025-2 SICAM BC Systemhandbuch DC5-013-2 SICAM A8000Series SICAM RTUs Security Penetration Testing DC0-134-2 HTTPS://www.siemens.com/ Security Manual download?DLA20_94 System Hardening for Substation Automation and Protection SICAM Device Manager, Product Information D51-001-1 SICAM Device Manager User Manual...
Seite 206 Literaturverzeichnis SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 207 Glossar AAA-Server Ein AAA-Server (Authentification, Authorization, and Accounting) ist ein System, das fundamentale Systemzugangsfunktionen verwaltet: Die Authentifizierung, Autorisierung und Benutzung sowie deren Abrechnung. Authentifizierung Vorgang zur Überprüfung der Identität einer Person. Automatisierungseinheit BDEW Bundesverband der Energie- und Wasserwirtschaft BDEW Whitepaper "BDEW Whitepaper –...
Seite 208 Glossar HTTP Hypertext Transfer Protokoll HTTPS Hypertext Transfer Protokoll Secure International Electrotechnical Commission Ein Internet-Protokoll (IP) ermöglicht die Verbindung von Teilnehmern, die in unterschiedlichen Netzwerken positioniert sind. Das Internet Protocol (IP) ist ein in Computernetzen weit verbreitetes Netzwerkprotokoll und stellt die Grundlage des Internets dar.
Seite 209 Glossar Das Network Time Protocol ist ein Standard zur Synchronisierung von Uhren in Computersystemen über paketbasierte Kommunikationsnetze. NTP verwendet das verbindungslose Transportprotokoll UDP. NTP wurde speziell entwickelt, um eine zuverlässige Zeitgabe über Netzwerke mit variabler Paketlaufzeit zu ermöglichen. In der Automatisierungstechnik häufig genutzte Kommunikationsschnittstelle Out of Band Out-Of-Band-Kommunikation Kommunikation, die nicht die primäre, zur Nutzdatenkommunikation vorgesehene...
Seite 210 Glossar SICAM Station Control Center SFTP SSH File Transfer Protocol SNMP Simple Network Management Protocol SNTP Simple Network Time Protocol Secure Shell Protocol, verschlüsseltes Terminalprotokoll Secure Sockets Layer -> TLS Solidifizierung Ist eine Systemhärtung, dessen Ergebnis es ist, das Ausführen von Programmen, die als nicht sicher definiert wurden, zu unterbinden.
Seite 211 Glossar VLAN Virtual Local Area Network, Methode um auf einem physikalischen Netzwerk verschiedene logische Netze einzurichten Virtual Private Network Wide Area Network WLAN Wireless LAN SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 212 Glossar SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...

Diese Anleitung auch für:

Sicam cp-8000 Sicam ak 3 Sicam ak Sicam cp-8021 Sicam tm Sicam toolbox ii ... Alle anzeigen

Siemens SICAM CP-8050 Administrator Security-Handbuch

Quicklinks

Kapitel

Verwandte Anleitungen für Siemens SICAM CP-8050

Inhaltszusammenfassung für Siemens SICAM CP-8050

Diese Anleitung auch für: