Seite 3
SICAM TOOLBOX II (Engineering System für Parametrierung, Diagnose, Simulation) und / oder SICAM Device Manager und / oder SICAM WEB. Das sind im Detail: • SICAM A8000 Serie: • SICAM CP-8050 • SICAM CP-8000 • SICAM CP-8021 • SICAM CP-8022 •...
Seite 4
Vorwort • SICAM TOOLBOX II (als Applikation, umfasst weder Hardware noch Betriebssystem oder andere Standardprogramme wie z.B.: Microsoft Office oder Adobe Acrobat Reader) • SICAM Device Manager (als Applikation, umfasst weder Hardware noch Betriebssystem oder andere Standardprogramme wie z.B.: Microsoft Office oder Adobe Acrobat Reader) •...
Bestimmungsgemäßer Gebrauch Das Betriebsmittel (Gerät, Baugruppe) darf nur für die im Katalog und der technischen Beschreibung vorgesehenen Einsatzfälle und nur in Verbindung mit von Siemens empfohlenen bzw. zugelassenen Fremdgeräten und -komponenten verwendet werden. Der einwandfreie und sichere Betrieb des Produktes setzt sachgemäßen Transport, sachgemäße Lagerung, Aufstellung und Montage sowie Bedienung und Instandhaltung voraus.
Seite 6
Vorwort Diese Erklärung bescheinigt die Übereinstimmung mit den genannten Richtlinien, ist jedoch keine Zusicherung von Eigenschaften im Sinne des Produkthaftungsgesetzes. Das Produkt ist ausschließlich für den Einsatz in industrieller Umgebung vorgesehen. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Inhaltsverzeichnis Einleitung ..........................13 Zielsetzung ......................14 Einhaltung von Standards ..................15 Security-Anforderungen ..................16 Typische Anlagenkonfigurationen .................17 Allgemein ......................18 2.1.1 Objektschutz ....................18 2.1.2 Netzwerksegmentierung / Kommunikation zwischen den Zonen ....18 2.1.3 Kommunikation innerhalb einer Zone............19 2.1.4 Kommunikation zwischen den Zonen............19 Netzwerkkomponenten ..................20 2.2.1 Bauform und Betriebsumgebung ..............20 2.2.2 Typ .........................20...
Seite 8
Inhaltsverzeichnis 3.3.2.2 Abgesetzter Betrieb ................. 56 3.3.2.2.1 Aufbau einer HTTP(S)-Verbindung bei gesperrtem ICMP-ECHO Port58 3.3.2.3 Fernwartung..................... 59 3.3.2.3.1 Servicefunktionstelegramme .............. 60 3.3.2.4 Prozessrücksetzbefehl (Fernreset)............60 3.3.2.5 Zeitsynchronisation - Fernsynchronisation ..........60 3.3.2.6 Zeitsynchronisierung via (S)NTP ............. 61 3.3.2.7 WEB-Server ..................... 62 3.3.2.7.1 Deaktivierung unnötiger Standard-Nutzer (WEB) ......
Seite 9
Inhaltsverzeichnis 3.6.4 Deaktivierung unnötiger Standard-User ............85 3.6.5 Einschränkung der Rechte von Nutzern und Programmen......85 Security Penetration Testing ................86 Kommunikationsprotokolle ....................87 Serielle Kommunikationsprotokolle ..............88 4.1.1 End-End-/Gemeinschaftsverkehr ..............88 4.1.2 Wählverkehr ....................88 Ethernet basierte Kommunikationsprotokolle .............89 4.2.1 Ethernet based IO Bus (EbIO) ..............89 4.2.2 IP-basierte Protokolle SICAM A8000 CP-8050 ..........89 4.2.2.1...
Seite 10
Inhaltsverzeichnis Verschlüsselung und Authentifizierungsverfahren ........... 133 SICAM A8000 Serie / SICAM RTUs ..............134 7.1.1 Diagnose von SICAM A8000 CP-8050 mit SICAM WEB ......134 7.1.2 Engineering von SICAM A8000 CP-8000 / CP-802x mit SICAM WEB ..135 7.1.3 Diagnose der SICAM RTUs Protokolle mit WEB-Browser ......135 7.1.4 Engineering mit SICAM TOOLBOX II ............
Seite 11
Inhaltsverzeichnis Fernwartung ........................177 11.1 Fernwartung über SICAM TOOLBOX II ............178 11.1.1 Konfiguration von Server und Clients ............179 11.2 Fernwartung über SICAM Device Manager ............180 Benutzerverwaltung .......................181 12.1 Einleitung ......................182 12.2 SICAM A8000 Serie / SICAM RTUs ..............184 12.2.1 SICAM A8000 CP-8050 ................184 12.2.1.1 Rollen .....................184 12.2.2...
Seite 12
Inhaltsverzeichnis SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Sicherheitskomponenten wie Firewall-Regeln) • Kunde: Präsentation einer "Sicherheits-Best-Practice"-Konfiguration als Referenz, zur Dokumentation des Sicherheitsbewusstseins bei SIEMENS. • Stellen, die Konformität mit Standards überprüfen (z.B. BDEW, NERC CIP) Security muss ein integraler Bestandteil des Entwicklungsprozesses werden. Security- Funktionen müssen ein integraler Teil des Systemdesigns sein. Die Planung der Sicherheit im Vorfeld des Einsatzes bietet eine vollständigere und kostengünstigere Lösung.
Einleitung Einhaltung von Standards Siemens bietet Produkte und Technologien, welche führende Internet-Sicherheit-Standards berücksichtigen. Wesentliche Treiber für geprüfte und sichere Infrastrukturen sind die Standards BDEW White Paper und NERC CIP (Critical Infrastructure Protection). SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Einleitung Security-Anforderungen Was sind die wichtigsten Security-Anforderungen in Ihrer Umgebung? • Authentifizierung und Autorisierung der Benutzer. • Gewährleistung der Integrität der übertragenen Daten. • Jeder Nutzer erhält nur solche Rechte die er für die Erfüllung seiner Arbeit braucht. • Schutz gegen Virusinfektion und Trojanern. •...
Typische Anlagenkonfigurationen Allgemein In diesem Abschnitt erhalten Sie einen Überblick über sichere Netzwerkkonfiguration. Die meisten Systeme sind nicht alleinstehend sondern werden über mehrere Netzwerk-Zonen mit unterschiedlichen Sicherheitsanforderungen miteinander verbunden. Folgende grundlegende Überlegungen zu einer sicheren Netzwerk- und Kommunikationsstruktur sind in die angeführten Anlagenkonfigurationen eingeflossen und sollten bei der Erstellung einer sicheren Netzwerk- und Kommunikationsstruktur berücksichtigt werden: •...
Typische Anlagenkonfigurationen 2.1.3 Kommunikation innerhalb einer Zone Sicherheitsgerichtete Kommunikation im Sinne der funktionalen bzw. Anlagensicherheit sollte nur innerhalb abgeschlossener, aus dedizierten Hardwarekomponenten aufgebauten Netzwerksegmenten erfolgen. Möglichkeiten zur Konfiguration der Parameter der funktionalen bzw. Anlagensicherheit über Netzwerkzugriffe sollten generell vermieden werden. Werden diese zwingend benötigt, sollten sie nur über die o.g.
Typische Anlagenkonfigurationen Netzwerkkomponenten Netzwerkkomponenten lassen sich anhand von drei Merkmalen grob unterteilen: • Bauform und Betriebsumgebung • • Management Exemplarisch sollen hier diese Merkmale aufgelistet und kurz beschrieben werden. 2.2.1 Bauform und Betriebsumgebung Zusätzlich zu den aus der „Office-Welt“ bekannten Netzwerkkomponenten gibt es Netzwerkkomponenten verschiedenster Hersteller für den Einsatz in industriellen Umgebungen.
Seite 21
Typische Anlagenkonfigurationen Hinweis Zur Vereinfachung wird in den folgenden Betrachtungen und den typischen Anlagenkonfigurationen die in der Automatisierungstechnik standardmäßig zum Einsatz kommende Protokollfamilie „Ethernet - IP - TCP/UDP“ angenommen, erweitert um das in der Stationsautomatisierung übliche IEC 61850-8-1 Protokoll zur Übertragung von IEC 61850 - GOOSE Nachrichten. Alle Ausnahmen (GPRS/UMTS, WLAN, ISDN, xDSL, …) sind explizit angeführt.
Typische Anlagenkonfigurationen • Router ─ OSI-Schicht 3 ─ Routing verschiedenster Protokolle und Medien (Seriell, Analog, ISDN) ─ Redundanzkonfigurationen möglich ─ Datenpakete werden anhand ihrer IP-Adresse zwischen IP Netzen übertragen ─ Oft auch mit integriertem oder integrierbarem Layer-2 Switch Modul • Firewall –...
Typische Anlagenkonfigurationen Typische Netzwerkkonfigurationen Folgende Beispiele zeigen verschiedene Netzwerk-Installationen von SICAM RTUs Systemen. Unterstationen können weit im Gelände verteilt sein, werden aber von einer zentralen Leitstelle gesteuert. Die Kommunikation zwischen Leitstelle und Unterstation erfolgt oft über Wide Area Networks. Die Netzwerke der Unterstation können in verschiedene Zonen (z. B. Prozesszone, Automatisierungszone) aufgeteilt werden, es ist aber auch nur eine einzelne Zone möglich.
Typische Anlagenkonfigurationen Legende der verwendeten Netzwerkkomponenten Router Router mit Firewall Layer-2 Switch Layer-3 Switch SWITCH SWITCH Firewall 2.3.1 Control Center Zone und Substation Zone ohne VPN In dieser Konfiguration ist das Prozessnetz (Control Center Zone und Substation Zone) nur durch Router vom Gesamtnetz getrennt, das Weitverkehrsnetz (WAN) wird als „sicher“...
Seite 25
Typische Anlagenkonfigurationen Internet Office Zone Office Zone SICAM PC mit Windows mit TOOLBOX II Browser Remote Control Office Zone Control Center Zone NTP Server Leitsystem SICAM TOOLBOX II Substation Zone SICAM SICAM A8000 SICAM AK 3 SICAM 230, SCC NTP Server TOOLBOX II (optional) RS-232...
Typische Anlagenkonfigurationen 2.3.2 Control Center Zone und Substation Zone mit VPN In dieser Konfiguration sind die Prozessnetze der Control Center Zone und der Substation Zone durch einen sicheren Kommunikationstunnel (VPN) verbunden, Sicherheitsbedrohungen über das Weitverkehrsnetz (WAN) werden bei den Übergängen in die Control Center Zone bzw. in die Substation Zone von einer Firewall abgeblockt.
Seite 27
Typische Anlagenkonfigurationen Internet Office Zone Office Zone SICAM PC with Windows mit TOOLBOX II Browser remote control Office Zone Control Center Zone NTP Server Leitsystem SICAM TOOLBOX II Substation Zone SICAM SICAM A8000 SICAM 230, SCC NTP Server SICAM AK 3 TOOLBOX II (optional) RS-232...
Typische Anlagenkonfigurationen 2.3.3 Substation Zone ohne Segmentierung mit externen Firewall-Regeln Als Verbesserung zur vorhergehenden Konfiguration kann der Datenverkehr zwischen Control Center Zone und Substation Zone mittels Geräte- oder Netzwerkbasierter Firewall-Regeln eingeschränkt werden. Vorteile: • nicht jedes Gerät der Control Center Zone kann mit jedem Gerät der Substation Zone kommunizieren Nachteile: •...
Typische Anlagenkonfigurationen Office Zone Control Center Zone Router + Firewall Geräte- oder Router + Firewall + VPN Netzwerkbasierte Firewall-Regeln Substation Zone SICAM SICAM A8000 SICAM AK 3 SICAM 230, SCC NTP Server TOOLBOX II (optional) RS-232 RS-485 SIPROTEC SIPROTEC SICAM BC SICAM TM SWITCH 2.3.4...
Typische Anlagenkonfigurationen Nachteile: • Kosten der Layer 3 Geräte / Layer 3 Funktionalität Office Zone Control Center Zone Router + Firewall Router + Firewall Substation Zone SICAM SICAM A8000 SICAM 230, SCC NTP Server SICAM AK 3 TOOLBOX II (optional) RS-232 RS-485 SIPROTEC...
Seite 31
Typische Anlagenkonfigurationen Nachteile: • Kosten der Firewallfunktionalität • Erstellung, Implementierung und Wartung einer „Traffic-Matrix“ innerhalb der Substation Zone • mehr Aufwände bei Einrichtung und Änderungen Office Zone Control Center Zone Substation Zone Automation Zone SICAM 230, SCC SICAM AK 3 SICAM A8000 RS-232 RS-485...
Typische Anlagenkonfigurationen 2.3.6 Substation Zone mit Segmentierung durch „Hardware-Based Application-Layer-Firewall“ Soll die Vorgabe „Zur Netzwerktrennung sollte die Nutzung von Gateways, die eine Protokollwandlung durchführen und keinen direkten IP-Verkehr zulassen, geprüft werden.“ (BDEW Whitepaper) umgesetzt werden können keine herkömmlichen Netzwerkfirewalls (Layer 3+4) verwendet werden.
Seite 33
Typische Anlagenkonfigurationen Office Zone Control Center Zone Substation Zone Automation Zone mobile SICAM TOOLBOX II SICAM 230, SCC NTP Server TB II Service-Cable (serial/USB) SICAM AK 3, AK, TM Protection Zone SIPROTEC SIPROTEC SICAM BC SICAM AK Private messages (no IP) OSI-Stack OSI-Stack NIP1...
Seite 34
Typische Anlagenkonfigurationen Beispiele für „Hardware-Based Application-Layer-Firewall“ bei SICAM RTUs, (siehe auch IP- Kommunikationsmatrix, 4.2.3.6): “Hardware-Based Application-Layer-Firewall” AK3 mit 1* M-CPU & 1* C-CPU/SM-2558 “Hardware-Based Application-Layer-Firewall” AK mit 2* SM-2558 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Typische Anlagenkonfigurationen 2.3.7 Substation Zone mit Engineering Zone Diese Konfiguration führt eine eigene Zone für Engineeringgeräte ein. So kann geregelt werden welche Geräte ein in der Substation Zone verwendetes Engineeringgerät erreichen kann. Der Layer 2 Switch in der Engineering Zone könnte zusätzlich mittels Schlüsselschalter ein/ausgeschalten werden, ein Meldekontakt könnte dem Betriebspersonal (und dem Betriebsprotokoll) lokales Engineering melden.
Seite 36
Typische Anlagenkonfigurationen Office Zone Control Center Zone Substation Zone Engineering Zone Automation Zone SICAM 230, SCC SICAM AK 3 SICAM TOOLBOX II SICAM A8000 RS-232 RS-485 SWITCH SWITCH SWITCH NTP Server Protection Zone SIPROTEC SIPROTEC SIPROTEC SICAM BC SICAM TM SWITCH SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch...
Typische Anlagenkonfigurationen 2.3.8 Substation Zone mit Out Of Band Fernwartung Mit dem Konzept der „Out Of Band Fernwartung“ soll eine klare Trennung zwischen dem „Prozess-Datenstrom“ und dem „Engineering-Datenstrom“ erreicht werden. Mit der Unterbrechung aller „Engineering-Datenströme“, die in der angegebenen Konfiguration mittels Hardware (Switch wird ausgeschalten, Meldekontakt zeigt eingeschaltenen Engineering- Datenstrom an) realisiert ist, kann nahezu ausgeschlossen werden, dass ein Angreifer sich ohne bemerkt zu werden in ein Gerät der Substation Zone einwählt.
Seite 38
Typische Anlagenkonfigurationen Office Zone Control Center Zone Engineering Zone Control Zone Leitsystem SICAM TOOLBOX II SWITCH Engineering VPN Process Data VPN Substation Zone Engineering Zone Automation Zone SICAM 230, SCC SICAM CP-8000 Power SWITCH SWITCH SWITCH SICAM NTP Server TOOLBOX II Protection Zone SIPROTEC SIPROTEC SIPROTEC...
Typische Anlagenkonfigurationen 2.3.9 Control Center Zone ohne Segmentierung mit externen Firewall- Regeln Vergleichbar mit der Lösung für die Substation Zone. Office Zone Control Center Zone NTP Server Leitsystem SICAM TOOLBOX II SWITCH Geräte- oder Netzwerkbasierte Firewall-Regeln Substation Zone SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Typische Anlagenkonfigurationen 2.3.10 Control Center Zone mit Segmentierung / Engineering Zone Vergleichbar mit der Lösung für die Substation Zone. Office Zone Control Center Zone Engineering Zone Control Zone NTP Server Power SICAM CP-8000 SWITCH SWITCH SWITCH SICAM Leitsystem TOOLBOX II Substation Zone SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch...
Typische Anlagenkonfigurationen 2.3.11 Control Center Zone mit Office Firewall Die Verbindung zwischen Prozessnetz und anderen “unsicheren” Netzen ist in jedem Fall mit einer Firewall zu sichern. Somit kann der Datenverkehr zwischen Office Zone und Prozessnetz (Control Center Zone) mittels Geräte- oder Netzwerkbasierter Firewall-Regeln eingeschränkt werden. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Typische Anlagenkonfigurationen 2.3.12 Control Center Zone mit DMZ Als zusätzliche Sicherheitsmaßnahme kann eine Demilitarisierte Zone (DMZ) zwischen Office Zone und Control Center Zone eingefügt werden. Der Verbindungsaufbau muss, wenn technisch möglich, immer aus der sicheren Zone in die DMZ erfolgen. Beispiele: Datentransfer zwischen Control Center Zone und Office Zone via FTP: •...
Seite 43
Typische Anlagenkonfigurationen Office Zone Office Zone SICAM PC mit Windows mit TOOLBOX II Browser Remote Control DMZ Control Center - Office TB II FTP Server Peer-Server SWITCH Control Center Zone Engineering Zone Control Zone SICAM Leitsystem NTP Server TOOLBOX II SWITCH SWITCH SWITCH...
Typische Anlagenkonfigurationen 2.3.13 Control Center Zone mit Internet und Update DMZ In dieser Konfiguration wird die DMZ zwischen Office Zone und Control Center Zone auch für die „Verteilserver“ für den prozessnetzinternen Virenschutz/Patchmanagement verwendet. Patches und Virensignaturen werden von Geräten des Prozessnetzes immer von diesen Servern bezogen, nie direkt aus dem Internet (auch nicht über Proxies).
Seite 45
Typische Anlagenkonfigurationen Internet Office Zone Office Zone Windows mit PC mit SICAM Remote Control Browser TOOLBOX II DMZ Control Center - Office Update-Server FTP Server - Virenschutz - Patches TB II Peer-Server SWITCH mit LiveUpdate Control Center Zone Engineering Zone Control Zone Leitsystem SICAM...
Seite 46
Typische Anlagenkonfigurationen SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Maßnahmen zur Systemhärtung Allgemeines Begriffsdefinition [Quelle: Wikipedia] Unter Härten versteht man in der Computertechnik, die Sicherheit eines Systems zu erhöhen, indem nur dedizierte Software eingesetzt wird, die für den Betrieb des Systems notwendig ist und deren unter Sicherheitsaspekten korrekter Ablauf garantiert werden kann. Das System soll dadurch besser vor externen Angriffen geschützt sein.
Maßnahmen zur Systemhärtung SICAM A8000 Serie / SICAM RTUs Zu den anzuwendenden Härtungsmaßnahmen zählen bei SICAM A8000 Series / SICAM RTUs: • Deaktivierung unnötiger System- und Kommunikationsdienste (abgesetzter Betrieb, Fernwartung, NTP, WEB, ….) • Deaktivierung unnötiger Standard-Nutzer (WEB) • Aktivierung sicherheitserhöhender Konfigurationsoptionen •...
Seite 52
Maßnahmen zur Systemhärtung Digital signierte Revisionen Firmware der SICAM A8000 Serie CP-8000 / CP-802x 103MT0 05.01 AGPMT0 01.01 BMCUT0 02.01 BPPT0 03.02 COUMT0 DIAST0 03.01 DNPiT1 01.01 DNPMT0 01.01 DNPST0 04.01 ET83 02.05 ET84 04.01 ET85 03.04 MODMT0 03.01 MODMT2 03.01 MODST0 02.01...
Seite 53
Maßnahmen zur Systemhärtung SICAM AK3: Ab den folgenden Firmware-Revisionen der M-CPU wird ein Prüfung der digitalen Signatur aller Firmwares durchgeführt. Firmware digital signiert CPCX26 Ab Revision 04 Hinweis Nach einem Update auf CPCX26 Revision 04 oder höher ist das Laden nicht digital signierter Firmwareversionen nicht mehr möglich.
Maßnahmen zur Systemhärtung 3.3.2 Deaktivierung unnötiger System- und Kommunikationsdienste 3.3.2.1 One Click to Connect (SICAM A8000 CP-8050) Der Projektierungs PC (SICAM TOOLBOX II, SICAM WEB) wird mit einem Standard- Patchkabel über die Ethernet Schnittstelle der SICAM A8000 CP-8050 verbunden. Der PC ist als DHCP Client konfiguriert, die AE als DHCP Server. Das Feature "One Click to Connect"...
Maßnahmen zur Systemhärtung 3.3.2.2 Abgesetzter Betrieb Im abgesetzten Betrieb verbindet sich SICAM TOOLBOX II / SICAM Device Manager nicht mittels lokalem Parametrierkabel mit einer SICAM RTUs sondern über eine Netzwerkschnittstelle mittels TCP/IP. Office Zone Office Zone Zone A Zone B SICAM AK 3 SICAM TOOLBOX II TO O LBO X I I...
Seite 57
Maßnahmen zur Systemhärtung Beispiel: SICAM CP-8000 – CPC80 Bei den in Folge angeführten Firmwares ist bei Bestückung ab der angeführten Firmware- Revision der abgesetzte Betrieb per Default deaktiviert: Firmware-Typ Name ab Firmware-Revision CPC80 CPCX26 PCCX26 CPCI85 ETA3 ETA4 ETA5 MBSiA0 MBCiA0 DNPiA1 Ab SICAM TOOLBOX II V5.10 wird, bei einem Verbindungsaufbau über den abgesetzten...
Maßnahmen zur Systemhärtung Firmware http HTTPS ETA4 ab Revision 01 ab Revision 02 *) ETA3 ab Revision 01 ab Revision 02 *) ETA5 ab Revision 01 ab Revision 01 *) MBSiA0 ab Revision 01 ab Revision 01 *) MBCiA0 ab Revision 01 ab Revision 01 *) DNPiA1 ab Revision 01...
Maßnahmen zur Systemhärtung 3.3.2.3 Fernwartung Bei der Fernwartung baut die SICAM TOOLBOX II eine Verbindung zu einer SICAM RTUs mittels lokalem Parametrierkabel oder im abgesetzten Betrieb über Netzwerkschnittstelle mittels TCP/IP auf. Ab diesem Zeitpunkt ist es möglich mit der SICAM TOOLBOX II weitere Komponenten in einem Automatisierungsnetz mittels Fernwartung anzusprechen.
Maßnahmen zur Systemhärtung 3.3.2.3.1 Servicefunktionstelegramme Mittels Servicefunktionstelegrammen werden unterschiedlichste Systeminformationen übertragen (z.B. Fernwartung, Diagnose). Die Servicefunktionstelegramme zwischen SICAM TOOLBOX II und einer SICAM RTUs werden auf LAN-Protokollen entsprechend aufbereitet (Konvertierung vom SICAM RTUs internen Format und dem Format für SICAM TOOLBOX II) und an die zentrale Servicefunktion der SICAM RTUs Komponente zur weiteren Verarbeitung weitergeleitet.
Maßnahmen zur Systemhärtung Das Senden des Uhrzeit-Synchronisationsbefehls zu anderen SICAM RTUs erfolgt automatisch in der parametrierten Steuerungsrichtung vom Zeitmaster aus (in der systemtechnischen Parametrierung auf der M-CPU unter Topologie | Uhr-Sync automatisch). Der Uhrzeit-Synchronisationsbefehl wird nur von einer Kommunikationslinie akzeptiert, welche in den Topologieparametern als Überwachungsrichtung definiert ist.
Maßnahmen zur Systemhärtung • ETA4 • ETA3 • ETA5 • CPCX26 • PCCX26 • CPC80 • CPCI85 SICAM RTUs, welche bereites eine synchronisierte Systemzeit haben, können als NTP- Server eingesetzt werden. Folgende LAN-Protokolle unterstützen NTP-Server: • ETA4 • ETA3 • ETA5 3.3.2.7 WEB-Server...
Seite 63
Maßnahmen zur Systemhärtung Firmware http HTTPS CPC80 ab Revision 01 ab Revision 04 CPCI85 ab Revision 01 ab Revision 01 Parametrierung von SICAM A8000 mittels WEB (ohne SICAM TOOLBOX II) In diesem Fall ist http(s) Port 80/443 aktiviert und kann nicht deaktiviert werden. Für die CPCI85 wird die Parametrierung mittels SICAM WEB erst in einer späteren Ausbaustufe zur Verfügung gestellt.
Maßnahmen zur Systemhärtung 3.3.2.7.1 Deaktivierung unnötiger Standard-Nutzer (WEB) ETA3, ETA5, ET25, ET83, ET85: hat nur 1 USER, WEB nur zur Diagnose CPC80: hat 2 USER (admin, gast), siehe auch Kapitel 12; „Benutzerverwaltung“. 3.3.3 Maßnahmen zur eingeschränkten Verteilung von Systemtelegrammen An ausgewählten Schnittstellen im Fernwirknetz (Übergabeschnittstellen, Partnerschnittstellen, …) sollen folgende Maßnahmen zur Vermeidung von Kreisläufern bzw.
Maßnahmen zur Systemhärtung SICAM A8000 Serie und SICAM RTUs (CPCX26, PCCX26, alle SM2558 Protokolle enthalten einen Switch, der die Bandbreite der Ports begrenzt und Broadcast Storms filtert. Die Broadcast-Storm-Unterdrückung ist dieselbe bei allen Gerätetypen, aber der Durchsatz ist geräteabhängig: : keine Beschränkung SICAM A8000 CP-8050/ 18000 Telegramme pro Sekunde *) SICAM A8000 CP-8520:...
Maßnahmen zur Systemhärtung Das Zielsystem übernimmt die Rolle des USB-Device und die SICAM TOOLBOX II übernimmt die Rolle des USB-Host. Das Zielsystem (USB-Device) bietet keine Standard Dienste wie Datenzugriff oder USB-Speicher. Über USB wird das gleiche Protokoll wie über die serielle Schnittstelle verwendet.
Maßnahmen zur Systemhärtung 3.3.7 Sicherer Verbindungsaufbau über HTTPS 3.3.7.1 SICAM A8000 CP-8050 Mittels des Parameters oder kann in der SICAM A8000 CP- HTTP-server HTTPS-Server 8050 festgelegt werden, wie hoch der minimale Securitylevel der Verbindung zwischen Engineeringtool (SICAM TOOLBOX II oder WEB Browser) und SICAM A8000 CP-8050 sein soll.
Seite 68
Maßnahmen zur Systemhärtung Hinweis Wenn der Verbindungsaufbau nicht erfolgreich war, wird in der SICAM TOOLBOX II nur ein Hinweis eines „nicht erfolgreichen Verbindungsaufbaus“ ausgegeben. Details zur Ursache werden nicht bekannt gegeben. 3.3.7.3 SICAM AK 3 Mittels des Parameters kann im SICAM AK 3 festgelegt werden, wie hoch der HTTP/HTTPS minimale Securitylevel der Verbindung zwischen Engineeringtool SICAM TOOLBOX II oder WEB-Browser und SICAM AK 3 sein soll.
Maßnahmen zur Systemhärtung 3.3.7.4 SICAM AK 3, AK, TM, BC (mit SM-2558) Mittels des Parameters kann im SICAM RTUs festgelegt werden, wie hoch der HTTP/HTTPS minimale Security-level der Verbindung zwischen Engineeringtool SICAM TOOLBOX II und SICAM AK 3, AK, TM und BC sein soll. Der entsprechende Parameter ist in der systemtechnischen Parametrierung am PRE (z.B.: SM-2558/ETA4) unter zu finden.
Maßnahmen zur Systemhärtung 3.3.8 Connection Password SICAM A8000 CP-8000/ CP-802x, SICAM RTUs Beim „Abgesetzten Betrieb“ (SICAM TOOLBOX II ist über http oder HTTPS mit SICAM A8000 CP8000/CP-802x / SICAM RTUsverbunden) bekommt der Anwender die Möglichkeit, den Verbindungsaufbau mit einem Passwort zu schützen. Dieses Passwort wird als "Connection Password”...
Maßnahmen zur Systemhärtung Weiters gibt es bei Falscheingaben einen Sperrmechanismus, d.h. die Sperrzeit (1 min) wird bei Falscheingaben verlängert. Das "Connection Password" läuft nicht ab! Das „Connection Password“ muss für jede LAN-Schnittstelle (IP-Adresse) einer SICAM A8000 CP8000/CP-802x / SICAM RTUs extra gesetzt werden. Somit ist die Vergabe eines individuellen „Connection Passwords“...
Maßnahmen zur Systemhärtung Hinweis Das „Connection Password“ kann von mehreren Stellen geändert werden. Speziell in SICAM AK, AK 3 und TM wird dies NICHT verhindert! 3.3.8.2 Rücksetzen des „Connection Passwords“ Falls der Anwender sein Connection Password vergessen hat, besteht die Möglichkeit den Default-Zustand (also kein „Connection Password“) wiederherzustellen.
Maßnahmen zur Systemhärtung 3.3.10 Externe Authentifizierung mittels RADIUS in SICAM A8000 CP-8000/ CP-802x, CP-8050 Die Authentifizierung und Autorisierung von Benutzern kann über einen externen Server via RADIUS-Protokoll durchgeführt werden. Der entsprechende Parameter für die Authentifizierung ist in der systemtechnischen Parametrierung am BSE unter Security | Role based Access Control | zu finden.
Maßnahmen zur Systemhärtung am Gerät konfigurierte AoR vom Server zurückgelieferte AoR "AT.VIENNA" "AT" "AT.VIENNA" "AT.VIENNA" "AT.VIENNA" "AT.VIEN" NOT OK "AT.VIENNA" "AT.VIENNA.TEST" NOT OK "AT.VIENNA.SIEMENSSTR" "" NOT OK "AT.VIENNA.SIEMENSSTR" "AT" "AT.VIENNA.SIEMENSSTR" "AT.VIENNA" "AT.VIENNA.SIEMENSSTR" "AT.VIENNA.SIEMENSSTR" "AT.VIENNA.SIEMENSSTR" "AT.VIENNA.RUTHNERG" NOT OK "AT" "AT" 3.3.11 Secure Factory Reset in SICAM A8000 CP-8050 Bei einem Secure Factory Reset wird das Gerät in den selben Zustand versetzt, den ein neues Gerät bei Werksauslieferung hat.
Seite 76
Maßnahmen zur Systemhärtung Vergleich zwischen Factory Settings und Default Settings Folgende Tabelle zeigt den Unterschied in den Konfigurationen zwischen den Standardeinstellungen und nach einem Zurücksetzen auf die Werkseinstellungen Konfiguration Werkseinstellungen Standardeinstellungen 1) Firmwares / Anwendungen CPCI85, SWEB00 (aktuelle Version CPCI85, SWEB00 (aktuelle Version zum Produktionszeitpunkt) zum Produktionszeitpunkt) Regionsnummer...
Maßnahmen zur Systemhärtung 3.3.12 Sichere Ablage von Passwörtern in SICAM A8000 Series / SICAM RTUs In SICAM A8000 Serie / SICAM RTUs werden Preshared Keys sowie Passwörter, welche zur Authentifizierung verwendet werden, gesichert abgelegt. Folgende Tabelle zeigt an, ab welcher Firmware-Revision die „Sichere Ablage von Passwörtern“...
Maßnahmen zur Systemhärtung 3.3.12.1 Konfiguration Die „Sichere Ablage von Passwörtern“ für SNMP und SICAM WEB wird mit dem Parameter aktiviert/deaktiviert. Standardmäßig ist diese Funktion aktiviert. Sichere Passwortablage Der Parameter ist in der systemtechnischen Parametrierung am Basissystemelement unter zu finden. Netzwerkeinstellungen | Security Für SICAM A8000 CP-8050 ist eine entsprechende Konfiguration nicht notwendig.
Maßnahmen zur Systemhärtung 3.3.12.2 Ändern der SNMP-Passwörter Wenn die „Sichere Ablage von Passwörtern“ aktiviert ist können Sie die Passwörter für SNMP in der systemtechnischen Parametrierung am Basissystemelement unter konfigurieren. Netzwerkeinstellungen | SNMP | Username, Passwort • Passwort für Authentifizierung (SNMPv3) PSK •...
Maßnahmen zur Systemhärtung 3.3.12.3 Ändern der SICAM WEB-Passwörter Wenn die „Sichere Ablage von Passwörter“ aktiviert ist können Sie die Passwörter für SICAM WEB in der systemtechnischen Parametrierung am Basissystemelement unter konfigurieren: Netzwerkeinstellungen | HTTP web server • Administrator password HASH •...
Maßnahmen zur Systemhärtung 3.3.13 Anbindung von Systemen ohne Security-Funktionalität Automatisierungssysteme die über keine Security-Funktionen verfügen, können durch den Einsatz einer SICAM AK oder TM mit jeweils 2 SM-2558 als „Hardware-Based Application- Layer-Firewall“ angekoppelt werden. Siehe auch Substation Zone mit Segmentierung durch Hardware-Application-Layer-Firewall SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Standardanwendungen kann z.B. hier gefunden werden: Center for Internet Security (HTTPS://www.cisecurity.org/) 3.4.1 Windows Systemhärtung Eine Windows Systemhärtung muss gemäß dem Handbuch SecureSubStation_SecurityManual_GER.pdf durchgeführt werden, siehe: HTTPS://www.siemens.com/download?DLA20_94 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Standardanwendungen kann z.B. hier gefunden werden: Center for Internet Security (HTTPS://www.cisecurity.org/) 3.5.1 Windows Systemhärtung Eine Windows Systemhärtung muss gemäß dem Handbuch SecureSubStation_SecurityManual_GER.pdf durchgeführt werden, siehe: HTTPS://www.siemens.com/download?DLA20_94 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Eine Sammlung von Best-Practice Härtungsguides für verschiedene Betriebssysteme, Serverdienste und Standardanwendungen findet sich z.B. beim Center for Internet Security (http://www.cisecurity.org) 3.6.1 Windows Systemhärtung Eine Windows Systemhärtung muss gemäß dem Handbuch SecureSubStation_SecurityManual_GER.pdf durchgeführt werden, siehe: HTTPS://www.siemens.com/download?DLA20_94 Neuere Version: HTTPS://intranet.wss03.ptd.siemens.de/content/10003890/Shared%20Documents/Security/M anuals/SecureSubStation_SecurityManual.pdf 3.6.2 Deinstallation oder Deaktivierung unnötiger...
Maßnahmen zur Systemhärtung 3.6.3 Deaktivierung unnötiger System- und Kommunikationsdienste 3.6.3.1 Abgesetzter Betrieb Mit dem Werkzeug abgesetzter Betrieb kann die Service Schnittstelle zwischen SICAM TOOLBOX II und SICAM RTUs für Fernwartungszwecke abgesetzt werden. Folgende Übertragungsmedien werden unterstützt: • SICAM TOOLBOX II Modem (Wählleitungsmodem) - Modem (Wählleitungsmodem) •...
Kommunikationsprotokolle Serielle Kommunikationsprotokolle 4.1.1 End-End-/Gemeinschaftsverkehr Serielle Kommunikationsprotokolle werden in eigenen Kommunikationsnetzen eingesetzt. Die Übertragung der Daten erfolgt unverschlüsselt. Dies ist auch dann der Fall wenn die Daten über Funk (z.B. Stafettenbetrieb) übertragen werden. 4.1.2 Wählverkehr Bei der Datenübertragung im Wählverkehr wird ein serielles Übertragungsprotokoll basierend auf IEC 60870-5-101 mit proprietären Erweiterungen eingesetzt: •...
Kommunikationsprotokolle Ethernet basierte Kommunikationsprotokolle 4.2.1 Ethernet based IO Bus (EbIO) Auf der CP-8050 kann man die Ethernet-Schnittstellen als EbIO verwenden. Der EbIO basiert auf einem proprietären Protokoll auf Ethernet Ebene (kein IP, kein TCP/UDP). Die Daten am EbIO sind verschlüsselt und authentifiziert. 4.2.2 IP-basierte Protokolle SICAM A8000 CP-8050 Bei den Kommunikationsprotokollen IEC 60870-5-104, DNP(i) und IEC 61850 erfolgt die...
Kommunikationsprotokolle Voraussetzungen: System Firmware SICAM SICAM WEB TOOLBOX II SICAM A8000 CP-8050 CPCI85 Rev. 01.10 V6.01 n.a. Unterstützte Cipher Suites, siehe IPsec Parameter. Hinweis Konfigurationsbeispiele mit IPSec VPN finden Sie in folgendem Handbuch: SICAM A8000 CP-8050, Kapitel „Anwendungsbeispiele“ 4.2.2.1.1 Aktivierung von IPSec VPN Um IPSec VPN für die Ethernet-Schnittstellen zu aktivieren, muss in der systemtechnischen Parametrierung am BSE der folgenden Wert gewählt werden: Security | IP Security aktiviert...
Seite 91
Kommunikationsprotokolle IKE Security Associations 1 Version 1 Version 2 Internet Key Exchange (IKE) Version Version 2 (empfohlen) 120 – 2 147 483 647 Sek. 1720800 Sek. SA Lifetime (Zeitüberschreitung) Nein Auto-selection of authentication & encryption Ja (empfohlen) Wenn Auto-selection of authentication = Nein, dann &...
Kommunikationsprotokolle *) Hinweis Wenn die IKEV1- ID leer ist, wird nur die IP Adresse genutzt (ID-Typ ist: IP-Adresse). Wenn eine IKEV1- ID ausgefüllt ist, ist der ID-Typ FQDN Bei IKEV2 muss die ID vom Typ FQDN ausgefüllt werden. Eine fehlende ID verursacht eine Netzwerk IPSec Fehlermeldung.
Kommunikationsprotokolle 4.2.2.2 IP-Kommunikationsmatrix SICAM A8000 CP-8050 In dieser Tabelle bezieht sich „SICAM A8000 Serie“ immer auf SICAM A8000 CP-8050. Layer 4 Layer 7 Zu Port Service Von Host (Client) Von Port (Client) Zu Host (Server) Protokoll. Protokoll (Server) DNS Server >1024 SICAM A8000 Serie 67/UDP...
Seite 94
Kommunikationsprotokolle Layer 4 Layer 7 Zu Port Service Von Host (Client) Von Port (Client) Zu Host (Server) Protokoll. Protokoll (Server) HTTP PC with browser SICAM A8000 Serie HTTPS PC with browser SICAM A8000 Serie Abgesetzter Betrieb TBII HTTP Toolbox-PC SICAM A8000 Serie Abgesetzter Betrieb TBII HTTPS Toolbox-PC...
Seite 95
Kommunikationsprotokolle Layer 4 Layer 7 Zu Port Service Von Host (Client) Von Port (Client) Zu Host (Server) Protokoll. Protokoll (Server) Ping ICMP PING SICAM A8000 Serie SICAM A8000 Serie *) Der RADIUS UDP-Port ist frei einstellbar **) SICAM PTS Protokoll Test System - Lizenz Schutz Der Dongle-Treiber (über USB) öffnet die TCP Ports 2235 und 22351.
Kommunikationsprotokolle 4.2.3 IP-basierte Protokolle SICAM AK3, AK, TM, BC, SICAM A8000 CP- 8000/21/22 Alle IP-basierten Protokolle in SICAM A8000 Serie / SICAM RTUs überprüfen die IP-Adresse der Gegenstelle .d.h. Telegramme werden nur von bestimmten IP-Adressen akzeptiert. Beim Kommunikationsprotokoll IEC 60870-5-104 kann die Übertragung der Daten entweder unverschlüsselt oder verschlüsselt (TLS-Verschlüsselung bzw.
Kommunikationsprotokolle 4.2.3.1 IPSec VPN in SICAM RTUs IPSec VPN (Internet Protocol Security – Virtual Private Network) ist eine Erweiterung des Internet-Protokolls (IP) um Verschlüsselungs- und Authentisierungsmechanismen. IPSec baut aktiv einen VPN Tunnel auf (Initiator), der die in IP-Netzen geforderte Vertraulichkeit, Authentizität und Integrität der Datenübertragung garantiert.
Kommunikationsprotokolle IPSec Authentifizierung Maximum 128 characters (Man Preshared Key kann PSK nur setzen aber alte PSK nicht lesen!) IPSec Security Associations 1 300 bis 2 147 483 647 Sek. 3600 Sek. SA Lifetime (Zeitüberschreitung) 20 Kbyte bis 128 Mbyte 12000 SA Lifetime (Datenmenge) Nein Auto-selection of authentication &...
Kommunikationsprotokolle 4.2.3.2 SNMPv3 Agent & Traps SICAM RTUs unterstützen SNMPv2 und SNMPv3, über Eigenschaften und Funktionen, die Parametrierung am BSE, SNMP Variablen für SICAM AK 3 und Traps, siehe SICAM RTUs, Ax 1703, Gemeinsame Funktionen Protokollelemente, Kapitel 10. Übersicht SNMPv2 und SNMPv3 System Firmware (SNMP-Agent)
Kommunikationsprotokolle 4.2.3.4 IEC 62351-3 in SICAM A8000 Serie / SICAM RTUs 4.2.3.4.1 IEC 62351-3 für IEC 60870-5-104 Für die Kommunikationsverbindung mittels IEC60870-5-104 kann optional eine Verschlüsselung nach IEC62351-3 eingesetzt werden. Voraussetzungen: System Firmware SICAM TOOLBOX II SICAM WEB SICAM A8000 CPC80 ab Rev.
Kommunikationsprotokolle 4.2.3.4.2 Erstellung eines Zertifikats Am Beispiel des Tools XCA (X Certificate and Key Management) wird das Erstellen von Client-Server Zertifikats inklusive Root Zertifikat dargestellt. Graphische Benutzeroberfläche des Tools XCA Schritt 1: Erstellen einer neuen Datenbank File New DataBase SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 103
Kommunikationsprotokolle Passwortvergabe für den Zugriff auf die Zertifikate und Keys in der Datenbank: Schritt 2: Generierung der Private Keys (Root Key, Client Key, Server Key) Private Keys New Key Beispiel für die Erstellung des Root Key Erstellen Sie die Private Keys für Client und Server (analog zum Beispiel für Root Key). SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 104
Kommunikationsprotokolle Erstellte Keys (Root, Client, Server) Schritt 3: Generierung des Root-Zertifikats (immer selbstsigniert) Certificates New Certificate SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 105
Kommunikationsprotokolle SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 106
Kommunikationsprotokolle Erfolgreich erstelltes rRoot-Zertifikat Schritt 4: Zertifikatsignierungsanforderung für Client und Server erstellen: Certificate signing requests New Request Beispiel: Zertifikatsignierungsanforderung für Client SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 107
Kommunikationsprotokolle SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 108
Kommunikationsprotokolle Erstellen Sie die Zertifikatsignierungsanforderung mit verwendetem Schlüssel für den Server (analog zum Beispiel für Client). Erfolgreich erstellte Client- und Server-Zertifikatsignierungsanforderung SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 109
Kommunikationsprotokolle Schritt 5: Erstellung der Zertifikate für Client und Server (signiert von Root-CA) Certificates -> New Certificate Beispiel für Client-Zerifikat SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 110
Kommunikationsprotokolle Erstellen Sie das Server-Zertifikat (analog zum Beispiel für das Client-Zertifikat) Erfolgreich generierte Zertifikate (Root, Client, Server) SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 111
Kommunikationsprotokolle Schritt 6: Zertifikate und Keys exportieren: Certificates Export Die gesamte Zertifikatskette wird im PEM-Format exportiert. Export des Keys: Die private keys werden im PEM-Format exportiert. Die Zertifikate für die TLS Verschlüsselung müssen auf der SD-Card in das IN_CERTS- Verzeichnis kopiert werden.
Kommunikationsprotokolle 4.2.3.5 IEC 60870-5-104 mit TLS-Verschlüsselung nach IEC 62351-3: Performance und Dimensionierung Quelle: http://netsekure.org/2010/03/tls-overhead/ TLS-Handshake Diagramm (gebräuchlichster Fall): Anonymous Client Authenticated Server TCP Port 19998 (IANA) ClientHello Trusted CA Indication --------> ServerHello Certificates (CA+Server) + Certificate Request <-------- ServerHelloDone ClientCertificate -------->...
Seite 113
Kommunikationsprotokolle • ClientKeyExchange: Ausgehend von den gebräuchlichsten Zertifikaten (RSA Server- Zertifikate) kann man eine Größe von 262 Bytes für diese Nachricht annehmen. • Certificate Verify: 264 Bytes • New Session Ticket: 1114 Bytes • ChangeCipherSpec: fixe Größe von 1 (technisch gesehen keine Handshake-Nachricht) •...
Seite 114
Kommunikationsprotokolle In diesem Beispiel beträgt der Gesamt-Overhead der verschlüsselten Daten ungefähr 53 Bytes (32 +15 + 5). Zertifikat mit RSA Keys 2048 Bit SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Edition 12.2017...
Seite 115
Kommunikationsprotokolle Zertifikat mit EC Keys 256 Bit SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 116
Kommunikationsprotokolle Wireshark Trace Handshake mit Zertifikaten (RSA-Keys 2048bit) SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 117
Kommunikationsprotokolle Wireshark Trace Handshake mit Zertifikaten (EC-Keys 256bit) SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Kommunikationsprotokolle 4.2.3.6 IP-Kommunikationsmatrix In dieser Tabelle bezieht sich „SICAM A8000 Serie“ immer auf SICAM A8000 CP-8000 und CP-802x. Von Port Zu Port Service Layer 4 Prot. Layer 7 Protocol Vom Host (Client) (Client) Zu Host (Server) (Server) DNS Client SICAM A8000 Serie >1024 53/UDP DHCP Client...
Seite 119
Kommunikationsprotokolle Von Port Zu Port Service Layer 4 Prot. Layer 7 Protocol Vom Host (Client) (Client) Zu Host (Server) (Server) Syslog Client SICAM AK Syslog Server SICAM A8000 Serie Toolbox-PC RADIUS Authentifikationsprotokoll SICAM A8000 Serie >1024 RADIUS AAA Server 1812 *) NetOp Remote Control Windows PC >1024...
Seite 120
Kommunikationsprotokolle Von Port Zu Port Service Layer 4 Prot. Layer 7 Protocol Vom Host (Client) (Client) Zu Host (Server) (Server) Abgesetzter Betrieb TBII HTTP Toolbox-PC SICAM AK 3, AK SICAM TM SICAM BC SICAM A8000 Serie Abgesetzter Betrieb TBII HTTPS Toolbox-PC SICAM AK 3, AK SICAM TM...
Seite 121
Kommunikationsprotokolle Von Port Zu Port Service Layer 4 Prot. Layer 7 Protocol Vom Host (Client) (Client) Zu Host (Server) (Server) Prozesskommunikation MODBUS TCP/IP SICAM AK 3, AK >1024 SICAM AK 3, AK Slave SICAM TM SICAM TM SICAM BC SICAM BC Prozesskommunikation MODBUS TCP/IP SICAM AK 3, AK...
Kommunikationsprotokolle 4.2.4 TCP Keep Alive Wenn Protokolle, die auf TCP/IP basieren, keine Überwachungsfunktionen implementiert haben, kann die TCP/IP Verbindung durch die Funktion „TCP Keep Alive“ überwacht werden. Das Zeitintervall für die zyklische Aussendung der „TCP Keep Alive“-Telegramme ist mit dem Parameter einzustellen.
Kommunikationsprotokolle Andere Layer 2 Kommunikationsprotokolle Neben Ethernet gibt es noch eine Vielzahl an Techniken, wie GPRS/UMTS, xDSL, ISDN, …. Auf dieser Schicht findet auch die physikalische Adressierung von Datenpaketen statt. Siehe auch Kapitel 4.2.3.6, IP-Kommunikationsmatrix Hinweis Wenn zwischen den einzelnen externen Geräten (Switches, Router, Modems) ein VPN-Tunnel aufgebaut werden kann, durch welchen die Datenpakete getunnelt werden, so wird dies empfohlen.
Seite 124
Kommunikationsprotokolle SICAM A8000 CP-8050: Dieser Parameter ist in der systemtechnischen Parametrierung für jeden Port am BSE unter zu finden. Standardmäßig ist dieser Netzwerkeinstellungen | Port | Shutdown Parameter auf „NEIN“ gestellt. Verfügbarkeit der Funktion: Firmware ab Revision CPCI85 SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Patchmanagement SICAM A8000 Series / SICAM RTUs Jedes Systemelement der SICAM A8000 Serie / SICAM RTUs verfügt über eine eigene ladbare Firmware die von der SICAM TOOLBOX II / SICAM Device Manager zentral verwaltet wird. Mit der SICAM TOOLBOX II / SICAM Device Manager können alle Firmwares einzeln nachgeladen und upgedatet werden.
Das SICAM PTS Protokoll Test System wird mittels Maintenance Releases (Service Packs) und Hotfixes gepatcht. Diese stehen im Internet als Download zur Verfügung: http://www.siemens.com/sicam. Note Informationen zu Updates für das SICAM PTS Protokoll Test System finden Sie in den entsprechenden...
Patchmanagement SICAM TOOLBOX II Die SICAM TOOLBOX II wird mittels Maintenance Releases (Service Packs) und Hotfixes gepatcht. Diese stehen im Internet als Download zur Verfügung. Hinweis Informationen zum Update der SICAM TOOLBOX II finden sie im Dokument: • SICAM TOOLBOX II DVD BOOKLET - Kapitel: Update 5.3.1 Live Update Mit der Live Update-Funktion der SICAM TOOLBOX II können sämtliche Firmwareupdates...
SICAM Device Manager Der SICAM Device Manager wird mittels Maintenance Releases (Service Packs) und Hotfixes gepatcht. Diese stehen im Internet als Download zur Verfügung: http://www.siemens.com/sicam. Note Informationen zu Updates für den SICAM Device Manager finden Sie in den entsprechenden Release...
Seite 130
Patchmanagement SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Virenschutz Allgemeines SICAM A8000 Serie / SICAM RTUs Bei den SICAM A8000 Serie / SICAM RTUs Komponenten handelt es sich um selbstentwickelte Embedded-Systeme, für die es keine bekannten Viren gibt. Es ist daher auch keine Schutzsoftware für diese Systeme verfügbar. Zusätzlich werden die Komponenten vor Inbetriebnahme gehärtet, um erhöhten Schutz gegen mögliche Schadsoftware zu erreichen SICAM PTS Protokoll Test System...
Verschlüsselung und Authentifizierungsverfahren SICAM A8000 Serie / SICAM RTUs Jedes Gerät hat sein spezifisches X.509 Server-Zertifikat RSA2048/SHA256, das im Hardware-Security-Modul abgelegt ist. Das Material/Signaturen werden während des Produktionsprozesses geladen. In SICAM A8000 Serie / SICAM RTUs werden Preshared Keys sowie Passwörter, welche zur Authentifizierung verwendet werden, gesichert abgelegt.
Verschlüsselung und Authentifizierungsverfahren 7.1.2 Engineering von SICAM A8000 CP-8000 / CP-802x mit SICAM Beim Engineering der SICAM A8000 CP-8000 / CP-802x mit SICAM WEB kann die Verbindung ab Firmware CPC80 Rev. 04 mit HTTPS verschlüsselt werden. Eigenschaften: • selbstsignierte Zertifikate •...
Verschlüsselung und Authentifizierungsverfahren 7.1.4 Engineering mit SICAM TOOLBOX II Beim Engineering von SICAM RTUs mit SICAM TOOLBOX II (ab V05.11) im abgesetzten Betrieb kann die Verbindung mit HTTPS verschlüsselt werden. Für die SICAM A8000 CP-8050 ist SICAM TOOLBOX II V06.01 notwendig Voraussetzungen: System Firmware...
Verschlüsselung und Authentifizierungsverfahren 7.1.5 IPSec VPN in SICAM RTUs IPSec VPN (Internet Protocol Security – Virtual Private Network) ist eine Erweiterung des Internet-Protokolls (IP) um Verschlüsselungs- und Authentisierungsmechanismen. IPSec baut aktiv einen VPN Tunnel auf (Initiator), der die in IP-Netzen geforderte Vertraulichkeit, Authentizität und Integrität der Datenübertragung garantiert.
Verschlüsselung und Authentifizierungsverfahren SICAM TOOLBOX II Beim Engineering von SICAM RTUs mit SICAM TOOLBOX II (ab V05.11) im abgesetzten Betrieb kann die Verbindung mit HTTPS verschlüsselt werden. Zur USER-Authentisierung kann im abgesetzten Betrieb mit der SICAM TOOLBOX II zusätzlich das „Connection Passwort“ in SICAM A8000 CP-8000/ CP-802x / SICAM RTUs verwendet werden.
Verschlüsselung und Authentifizierungsverfahren SICAM Device Manager Während des Engineering von SICAM RTUs mittels SICAM Device Manager kann die Verbindung mit HTTPS verschlüsselt werden. Nach dem Verbindungsaufbau zum Gerät muss sich der Benutzer mit Benutzername und Passwort authentifizieren. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 140
Verschlüsselung und Authentifizierungsverfahren SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Solidifizierung System solidifizieren Wenn eine Solidifizierungs-Software installiert ist, müssen Sie für die SICAM TOOLBOX II zumindest folgende Ausnahmen eingetragen: Konfiguration der Applikations-Ausnahmen: Beispiel für „TBII 6.00“: sadmin updaters C:\Siemens_EA\TBII\EMII\BIN\wait4db_tbii.exe sadmin updaters C:\Siemens_EA\TBII\EMII\BIN\vtb.exe SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Backup & Restore Allgemeines SICAM TOOLBOX II Die gesamten Parameter, Applikationen und Firmwares von SICAM A8000 Serie / SICAM RTUs werden von der SICAM TOOLBOX II zentral verwaltet und gespeichert. Mit Hilfe des Tools Data Distribution Center können folgende Engineeringdaten exportiert bzw.
Backup & Restore Backup der Daten SICAM TOOLBOX II Um ein Backup zu erstellen ist es notwendig in der SICAM TOOLBOX II das Data Distribution Center zu starten und die Lasche Export zu öffnen. Wenn ein Backup des gesamten Datenbestandes eines Kunden erstellt wird, müssen alle Daten aus der Export-Lasche in die Lasche des Exportsatzes gezogen werden.
Backup & Restore 9.2.1 Automatisiertes Backup SICAM TOOLBOX II In der SICAM TOOLBOX II können Backups automatisiert erstellt werden. Dazu muss zuerst im DDC ein Control File erzeugt werden. Dieses Control File kann zu einem späteren Zeitpunkt batchgesteuert abgearbeitet werden. Weiters ist es möglich diesen Task im Windows Scheduler auszuführen.
Seite 147
Backup & Restore SICAM Device Manager Für ein automatisiertes Backup eines gesamten SICAM Device Manager-Projekts kann der Benutzer im WINDOWS Task Scheduler eine entsprechende Aufgabe definieren, damit das gesamte Projektverzeichnis mit sämtlichen Engineeringdaten an einem bestimmten Ort abgelegt wird. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Backup & Restore Restore 9.3.1 Wiederherstellung von SICAM A8000 Serie / SICAM RTUs Nach dem Tausch einer Automatisierungseinheit oder von Teilen einer AE ist lediglich die vorhandene SD-Karte zu verwenden. Die AE erhält die Daten automatisch von der SD-Karte bei Power-Up. Es sind keine weiteren Maßnahmen zur Wiederherstellung erforderlich. 9.3.2 Wiederherstellung der SD-Karte von SICAM A8000 Serie / SICAM RTUs...
Backup & Restore 9.3.2.2 Initialisieren und Laden der AE mittels SICAM TOOLBOX II Das Laden der Parameter in das Zielsystem (und somit auf die SD-Karte des Basissystemelements) erfolgt mit dem Werkzeug "Parameter laden" der SICAM TOOLBOX II. Sie können es vom "OPM II" aus über das Menü Zielsysteme → SICAM 1703 → Parameterlader starten.
Backup & Restore Hinweis Nach dem Wiederherstellen wird empfohlen einen Parametervergleich zwischen den wiederhergestellten Daten in der SICAM TOOLBOX II und den Daten in den SICAM RTUs durchzuführen. Bei inkonsistentem Datenbestand ist die weitere Vorgehensweise von Fall zu Fall zu prüfen. (wenn Backup nicht aktuell ->...
Logging 10.1 Security Logging 10.1.1 Allgemein In SICAM A8000 Serie / SICAM RTUs und SICAM TOOLBOX II steht ein Security Logbuch (Syslog-Client) zur Verfügung in welchem Security-relevante Ereignisse (Syslog-Events) erfasst und entsprechend ihrer Herkunft und ihres Schweregrades klassifiziert werden. Diese Daten können automatisch an einen externen Syslog-Server, oder bei der SICAM TOOLBOX II zusätzlich an das Windows Event Log, weitergeleitet werden.
Logging 10.1.3 Geloggte Security Events SICAM A8000 / SICAM RTUs • Start von Security Logging • Parameter laden und aktualisieren • Firmware laden und aktualisieren • Anmeldeversuche (Connection-Passwort für den abgesetzten Betrieb) ─ erfolgreiche Anmeldeversuche ─ fehlgeschlagene Anmeldeversuche ─ Setzen und Ändern des Connection-Passworts für den abgesetzten Betrieb •...
Logging 10.1.3.1 Aufbau der Security Events SICAM A8000 CP-8050 Ein Syslog-Event setzt sich aus folgenden Elementen zusammen: Element Erläuterung Date Datum, an dem das Event vom Syslog Server empfangen/geloggt wurde Time Zeit, zu der das Event vom Syslog Server empfangen/geloggt wurde Facility Quelle des Events ─...
Seite 156
Logging Message Text Der Textteil eines Syslog-Events besteht aus folgenden Elementen: ─ yyyy-mm-dd ..Datum an dem das Event erzeugt wurde ─ Thh:mm:ss.ttt ..Zeit zu der das Event erzeugt wurde ─ +hh:mm ....Abweichung von der Weltzeit GMT ─ R#xxx_ ....
Logging 10.1.3.2 Syslog Events SICAM A8000 CP-8050 Das Security Logbuch (Syslog-Client) ist standardmäßig deaktiviert und kann bei Bedarf aktiviert werden. Syslog Events können an bis zu 2 Syslog Server gesendet werden. Syslog Event Type Erläuterung AuditTrail Event Events werden bei authorisierten Aktivitäten übertragen welche bei Standardtätigkeiten/Servicetätigkeiten entstehen.
Seite 158
Logging Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] %A1% login of the user ‘%A2%‘ failed via %A3% LogAudit Alert AuditTrail Event Local, Remote User name SICAM WEB, Toolbox II %A1% User ‘%A2%‘...
Seite 159
Logging Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Disconnection of 'SICAM TOOLBOX II Remote operation' initiated by user LogAudit Warning AuditTrail Event Disconnection of 'SICAM TOOLBOX II Remote operation' caused by timeout LogAudit Warning AuditTrail Event...
Logging 10.1.3.3 Syslog Events SICAM A8000 CP-8000/CP-802x / SICAM RTUs, SICAM Toolbox II Das Security Logbuch (Syslog-Client) ist standardmäßig deaktiviert und kann bei Bedarf aktiviert werden. Bis zu 20 Syslog-Clients können in einer AE betrieben werden. In SICAM A8000 Serie / SICAM RTUs werden Syslog-Events von unterschiedlichen Quellen an die MCPU gemeldet und können über 1 oder mehrere Schnittstellen ausgesendet werden.
Seite 161
Logging SICAM Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche AK 3 Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Login of the user ‘%A1%‘ failed (%A2%) Authorization Error Event User name Windows User, TBII User The user ‘%A1%‘ has logged in successfully (%A2%) (%A3%) Authorization Notice Event User name...
Seite 162
Logging SICAM Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche AK 3 Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Syslog ready Application Notice Event X X X Parameters loaded Application Warning Event X X X The 'SICAM TOOLBOX II Remote operation' has logged in Authorization Notice Event X X X...
Seite 163
Logging SICAM Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche AK 3 Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Date and time setting by 'SICAM TOOLBOX II maintenance function Application Notice AuditTrail Event online' or 'SICAM WEB' Engineering tool 'SICAM TOOLBOX II' disconnected Application Notice...
Seite 164
Logging SICAM Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche AK 3 Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Logout of 'SICAM WEB' initiated by user Authorization Notice AuditTrail Event Successful login to 'SNMP agent' (user=%A1%) Authorization Notice AuditTrail Event User name...
Seite 165
Logging SICAM Syslog Event Facility Severity Event Type Zusätzliche Zusätzliche Zusätzliche AK 3 Info 1 Info 2 Info 3 Level [%A1%] [%A2%] [%A3%] Data message in receive direction blocked by activated Application Warning Event WhiteList Filter Data message in transmit direction blocked by activated Application Warning Event...
Seite 166
Logging Beispiel: SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Logging 10.1.4 Konfiguration 10.1.4.1 SICAM A8000 Serie / SICAM RTUs Das Security Logbuch ist standardmäßig deaktiviert. Es kann im Bedarfsfall über SICAM TOOLBOX II mit den Parametern Netzwerkeinstellungen | Security | aktiviert SysLog-Client UDP, SysLog-Server 1 IP-Adresse SysLog-Portnr werden. SICAM A8000 CP-8050 In SICAM A8000 CP-8050 kann das Security Logbuch als Systemdienst über jede Ethernet Schnittstelle (CP-8050 und CI-8520) genutzt werden.
Seite 168
Logging SICAM AK 3 In SICAM AK 3 kann das Security Logbuch auf 2 verschiedene Arten genutzt werden: • Mit dem Protokollelement ET24 über die lokalen Ethernet Schnittstellen (X0 und X1) auf BSE CP-2016/CPCX26 oder CP-2019/PCCX26. Die erforderlichen Parameter finden Sie in der systemtechnischen Parametrierung am BSE unter Netzwerkeinstellungen | Security |Security Logbuch | SysLog Client UDP...
Seite 169
Logging SICAM AK In SICAM AK kann das Security Logbuch mit dem Protokollelement SM-2558/ETA4 auf dem Basisystemelement CP-2014/CPCX25 genutzt werden. Die erfoderlichen Parameter finden Sie in der systemtechnischen Parametrierung am PRE (SM-2558/ETA4) unter Security |Security Logbuch | SysLog Client UDP SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Logging 10.1.4.2 SICAM TOOLBOX II In der SICAM TOOLBOX II ist das Security Logbuch standardmäßig deaktiviert. Es kann im Bedarfsfall aktiviert werden. Die entsprechenden Einstellungen können mit dem SICAM TOOLBOX II–Tool „Voreinstellungen TOOLBOX II“ über den Menüpunkt Extras → Security Logbuch konfigurieren vorgenommen werden.
Logging 10.1.4.3 Logbuch ansehen Windows Event Log Mit dem Windows Event Viewer können die am SICAM TOOLBOX II-PC gespeicherten Ereignisse unter Windows Logs → Application abgerufen werden. Syslog-Server Die am Syslog-Server abgelegten Daten können mit einem einen Syslog-Viewer ausgelesen werden. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Logging 10.2 Diagnose SICAM A8000 Serie / SICAM RTUs enthalten umfangreiche Funktionen zur Überwachung des Systems. Da die Firmware die entsprechenden Fehlerüberwachungsroutinen automatisch durchführt, sind dazu keine Einstellungen durch den Anwender erforderlich. Mit der SICAM TOOLBOX II Funktion Diagnose werden die lokalen Fehlertabellen der ausgewählten AEs und die globale Fehlertabelle ausgelesen und auf Fehlereinträge untersucht.
Seite 173
Logging • Netzübersichtsdiagnose Liefert eine Auflistung sämtlicher im Netzwerk befindlicher Automatisierungseinheiten bei denen Fehler aufgezeichnet wurden. Die Netzübersichtsdiagnose Diagnose beinhaltet Informationen ohne Zeitstempel. • AE-Übersichtsdiagnose Liefert eine Fehlerübersicht für alle Automatisierungseinheiten, die in der Netzübersichtsdiagnose als fehlerhaft angezeigt werden. Die AE-Übersichtsdiagnose beinhaltet Informationen ohne Zeitstempel. •...
Logging ─ Die Diagnosedaten werden lokal gespeichert und können mittels SICAM TOOLBOX II lokal oder über die Ferne ausgelesen werden. ─ Einträge können nicht modifiziert oder gelöscht werden. ─ Die Historydiagnose beinhaltet Informationen mit Zeitstempel und umfasst je Basissystemelement (M-CPU, C-CPU) exakt 20 Einträge, es werden immer die letzten Ereignisse gespeichert und ältere überschrieben.
Logging 10.3 Logbuch Die SICAM TOOLBOX II verfügt über ein Logbuch, in dem auswählbare Benutzeraktionen wie z.B.: Parameteränderung, Parameterdownload, Firmwareladen ins Zielsystem, … protokolliert werden können. Die Einträge des Logbuchs werden zentral in der SICAM TOOLBOX II Datenbank gespeichert und können beliebig gefiltert werden. Der Zugang zum Logbuch ist durch die Rollenverwaltung (User-Rollen LogConfig und LogView) der SICAM TOOLBOX II geregelt.
Logging 10.4 Protokollieren mit der Windows Ereignisanzeige Mittels der Windows Ereignisanzeige ist es möglich Remote-Zugriffe zu protokollieren. Dabei sind einige Bedingungen zu beachten, um die Remote-Log-Dateien anzuzeigen. Dafür muss auf diversen Windows Betriebssystemen das Remote Registry-Service gestartet werden. Damit können Sie die Beschreibungen oder Kategorie-Feldern in der Eigenschaftsseite des Ereignisprotokolls sehen.
Fernwartung 11.1 Fernwartung über SICAM TOOLBOX II Mit Hilfe der Option "web.engineering" kann man mit einem steuernden PC (Fernwartungszentrale) eine entfernte SICAM TOOLBOX II, die über eine Datenverbindung (Modem, ISDN, LAN/WAN) erreichbar ist, fernbedienen (Fernwartungssitzung). SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Fernwartung Bei "web.engineering" arbeiten alle SICAM TOOLBOX II Clients mit einem zentralen Webserver, auf dem die SICAM TOOLBOX II läuft. Die SICAM TOOLBOX II wird dabei im Webbrowser betrieben. Hinweis Info für Systemdesign, Produkt/-Systemservice und Leitstellen-/Systembetrieb: Diese Anforderung ist nicht produktrelevant und ist daher während Systemdesign, Produkt-/Systemservice und Leitstellen-/Systembetrieb zu berücksichtigen.
Fernwartung 11.2 Fernwartung über SICAM Device Manager Alle Geräte können zu Fernwartungszwecken über Ethernet erreicht werden. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Benutzerverwaltung 12.1 Einleitung SICAM A8000 Serie / SICAM RTUs Es gibt in SICAM A8000 Serie / SICAM RTUs bei Verwendung der SICAM TOOLBOX II keine Benutzer- und Rollenverwaltung, da die Benutzer- und Rollenverwaltung in der SICAM TOOLBOX II erfolgt. Dies gilt für alle Gerätetypen, außer SICAM A8000 CP-8050. SICAM A8000 CP-8050 unterstützt auch bei Verwendung der SICAM TOOLBOX II eine Benutzer-Rollenverwaltung, siehe Kapitel 3.3.9, Role-Based-Access-Control in SICAM A8000 CP-8050.
Seite 183
Benutzerverwaltung Mit der User-/Rollenverwaltung in der SICAM TOOLBOX II können folgende Operationen durchgeführt werden: • Definieren von Usern mit Passwort • Definieren von Rollen mit zugehörigen Berechtigung • Definieren der Zuordnung von Usern zu bestimmten Rollen • Löschen von Usern SICAM Device Manager SICAM Device Manager unterstützt kein Benutzer/Rollenkonzept.
Benutzerverwaltung 12.2 SICAM A8000 Serie / SICAM RTUs 12.2.1 SICAM A8000 CP-8050 Über SICAM WEB werden für die SICAM A8000 CP-8050 User sowie deren Passwörter definiert und ihre Rolle zugewiesen. Folgender Benutzer ist mit der Rolle ADMINISTRATOR voreingestellt Benutzername Passwort Rolle administrator ********...
Seite 185
Benutzerverwaltung Rollenbasierte Zugriffssteuerung beim Arbeiten mit SICAM TOOLBOX II Nach dem Start der SICAM TOOLBOX II erscheint der Login-Dialog. Geben Sie den Benutzernamen und das Passwort ein. Wenn Sie mit der SICAM TOOLBOX II Aktionen durchführen möchten, bei denen Sie online auf die angeschlossene CP-8050 zugreifen müssen (z.B.
Benutzerverwaltung Sie haben die Möglichkeit, einen anderen Benutzer mit entsprechenden Rechten zu wählen und sich mit diesen anderen Benutzerdaten (Namen und Passwort) erneut am Gerät anzumelden, um mit der Aktion fortzufahren. Nach erfolgreichem Login können alle für den Benutzer freigegebenen Aktionen, ohne erneutes Login, durchgeführt werden.
Benutzerverwaltung 12.3 SICAM TOOLBOX II 12.3.1 User definieren User definieren bedeutet in der SICAM TOOLBOX II nicht nur das Anlegen neuer User sondern auch das Löschen von Usern oder das Ändern des User Passworts. Der zugehörige Dialog wird aus dem SICAM TOOLBOX II-Tool TOOLBOX II presets (-> EMII Voreinstellungen Toolbox) mit dem Kommando Berechtigung →...
Benutzerverwaltung 12.3.2 Rollen definieren Eine Rolle ist eine Sammlung von Berechtigungen die einem User zugeordnet werden kann. Die Definition einer Rolle erfolgt im SICAM TOOLBOX II-Tool TOOLBOX II presets (-> EMII Voreinstellungen Toolbox) mit dem Kommando Berechtigung → User-/Rollenverwaltung → Rollen definieren ..Folgende Liste zeigt die Berechtigungen für die vordefinierten Rollen TB_ADMINISTRATOR, TB_PROFESSIONAL und TB_Standard.
Benutzerverwaltung Berechtigung TB_ADMINISTRATOR TB_PROFESSIONAL TB_Standard 31 Security Administrator 32 Service-Fenster Offline 33 Servicefunktion Online 34 Stammdatenimport 35 Telegrammsimulation 36 Topologietest 37 Umsetzer Preview 38 Voreinstellungen CAEx 39 Voreinstellungen TOOLBOX II Für bestimmte Anwendungsfälle und Projekte können eigene Rollen definiert werden. Hinweis Weiter Details finden Sie in der Online-Hilfe der SICAM TOOLBOX II.
Benutzerverwaltung 12.4 SICAM Device Manager SICAM Device Manager nutzt die Benutzer/Rollen-Zugriffskontrolle des Geräts nur beim Verbindungsaufbau zum Gerät. SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Hardware Schnittstellen 13.1 SICAM A8000 / SICAM RTUs Je nach System und Ausbau steht auf den Automatisierungseinheiten eine unterschiedliche Anzahl von RJ45 Schnittstellen zur Verfügung. Um einer missbräuchlichen Verwendung dieser RJ45 Schnittstellen vorzubeugen zeigt folgende Tabelle deren Bestimmung: System Baugruppe RJ45 Stecker Verwendung SICAM A8000...
Seite 193
Hardware Schnittstellen System Baugruppe RJ45 Stecker Verwendung SI0; Kommunikation; abhängig vom bestückten Submodul SI1; Kommunikation; abhängig vom bestückten Submodul SI2; Kommunikation; abhängig vom bestückten Submodul SI3; Kommunikation; abhängig vom bestückten Submodul externer Ax Peripheriebus SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 194
Hardware Schnittstellen SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Security Measure Plan for Oracle Database Checklist according to “Security Measure Plan for Oracle Database 12c” (Released by Siemens Cert, 2017-02-28. Version 2.0) System Name: SICAM TOOLBOX II, 6.01 HF01 Version of checked Database: Oracle 12.1.0.1.160719 Chapter Measure Measure Done...
Seite 197
Security Measure Plan for Oracle Database Chapter Measure Measure Done M126427 Check Password Complexity During login password complexity checking is not enabled. Reason: Database only client is SICAM TOOLBOX II, which uses during one major release the same passwords. Each of these TOOLBOX II passwords follow the required complexity.
Seite 198
Security Measure Plan for Oracle Database SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Die Open Source Software wird unentgeltlich überlassen. Den Quelltext der Software können Sie - soweit die einschlägigen Open Source Software Lizenzbedingungen dies vorsehen - gegen Zahlung der Versandkosten bei Ihrem Siemens Vertriebsbeauftragten zumindest bis zum Ablauf von 3 Jahren ab Erwerb des Produkts anfordern.
Die Open Source Software wird unentgeltlich überlassen. Den Quelltext der Software können Sie - soweit die einschlägigen Open Source Software Lizenzbedingungen dies vorsehen - gegen Zahlung der Versandkosten bei Ihrem Siemens Vertriebsbeauftragten zumindest bis zum Ablauf von 3 Jahren ab Erwerb des Produkts anfordern.
Seite 202
Lizenzvereinbarung Klicken Sie in der Menüleiste auf Download Pool und wählen Sie im Tab Products & Systems folgende Optionen: ─ Product Family: SICAM RTUs ─ Product / Version: General Infomation Klicken Sie auf Search Klicken Sie in der Ergebnisliste auf SICAM RTUs OSS Extractor um den Download zu starten.
Seite 203
Lizenzvereinbarung Wenn der Download beendet ist erhalten Sie die Datei SICAMOSS.zip. Entpacken Sie diese Datei und speichern Sie die darin enthaltene Datei (SICAMOSS.exe) im Root-Verzeichnis jener SD-Karte, von der Sie die Lizenzvereinbarung auslesen wollen. Starten Sie nun SICAMOSS.exe. Während des Auslesevorgangs erscheint ein DOS-Fenster. Wenn die Zeile note: All files processed angezeigt wird können Sie das DOS- Fenster durch klicken einer beliebigen Taste schließen.
Lizenzvereinbarung Beispiel einer ReadmOSS.htm SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 205
DC8-036-2 SICAM A8000 CP-8050 Handbuch DC8-025-2 SICAM BC Systemhandbuch DC5-013-2 SICAM A8000Series SICAM RTUs Security Penetration Testing DC0-134-2 HTTPS://www.siemens.com/ Security Manual download?DLA20_94 System Hardening for Substation Automation and Protection SICAM Device Manager, Product Information D51-001-1 SICAM Device Manager User Manual...
Seite 206
Literaturverzeichnis SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 207
Glossar AAA-Server Ein AAA-Server (Authentification, Authorization, and Accounting) ist ein System, das fundamentale Systemzugangsfunktionen verwaltet: Die Authentifizierung, Autorisierung und Benutzung sowie deren Abrechnung. Authentifizierung Vorgang zur Überprüfung der Identität einer Person. Automatisierungseinheit BDEW Bundesverband der Energie- und Wasserwirtschaft BDEW Whitepaper "BDEW Whitepaper –...
Seite 208
Glossar HTTP Hypertext Transfer Protokoll HTTPS Hypertext Transfer Protokoll Secure International Electrotechnical Commission Ein Internet-Protokoll (IP) ermöglicht die Verbindung von Teilnehmern, die in unterschiedlichen Netzwerken positioniert sind. Das Internet Protocol (IP) ist ein in Computernetzen weit verbreitetes Netzwerkprotokoll und stellt die Grundlage des Internets dar.
Seite 209
Glossar Das Network Time Protocol ist ein Standard zur Synchronisierung von Uhren in Computersystemen über paketbasierte Kommunikationsnetze. NTP verwendet das verbindungslose Transportprotokoll UDP. NTP wurde speziell entwickelt, um eine zuverlässige Zeitgabe über Netzwerke mit variabler Paketlaufzeit zu ermöglichen. In der Automatisierungstechnik häufig genutzte Kommunikationsschnittstelle Out of Band Out-Of-Band-Kommunikation Kommunikation, die nicht die primäre, zur Nutzdatenkommunikation vorgesehene...
Seite 210
Glossar SICAM Station Control Center SFTP SSH File Transfer Protocol SNMP Simple Network Management Protocol SNTP Simple Network Time Protocol Secure Shell Protocol, verschlüsseltes Terminalprotokoll Secure Sockets Layer -> TLS Solidifizierung Ist eine Systemhärtung, dessen Ergebnis es ist, das Ausführen von Programmen, die als nicht sicher definiert wurden, zu unterbinden.
Seite 211
Glossar VLAN Virtual Local Area Network, Methode um auf einem physikalischen Netzwerk verschiedene logische Netze einzurichten Virtual Private Network Wide Area Network WLAN Wireless LAN SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...
Seite 212
Glossar SICAM A8000 Serie / RTUs / TOOLBOX II / Device Manager ADMINISTRATOR Security-Handbuch DC0-114-2.15, Ausgabe 12.2017...