Security-Funktionen - Siemens SIMATIC NET S7-1200 Betriebsanleitung

Anwendung und Funktionen

1.5 Security-Funktionen

1.5 Security-Funktionen
Industrial Ethernet Security
Mit Industrial Ethernet Security können einzelne Geräte, Automatisierungszellen oder
Netzsegmente eines Ethernet-Netzwerks abgesichert werden. Die Datenübertragung über
den CP kann durch die Kombination unterschiedlicher Sicherheitsmaßnahmen vor folgenden
Angriffen geschützt werden:
● Datenspionage
● Datenmanipulation
● Unberechtigte Zugriffe
Über zusätzliche Ethernet-/PROFINET-Schnittstellen der CPU können sichere unterlagerte
Netze betrieben werden.
Die Security-Funktionen sind unabhängig von der Telecontrol-Kommunikation nutzbar.
Security-Funktionen der Telecontrol-Protokolle
● TeleControl Basic
– Verschlüsselte Telecontrol-Kommunikation
– Telecontrol-Passwort
● DNP3
Es können die DNP3-spezifischen Security-Funktionen genutzt werden.
● IEC 60870-5
Für das IEC-Protokoll stehen keine protokollspezifischen Security-Funktionen zur
Verfügung.
Weitere projektierbare Security-Funktionen des CP
Durch die Verwendung des CP als Security-Modul werden für die S7-1200-Station folgende
Security-Funktionen an der Schnittstelle zum externen Netz zugänglich:
● Firewall
– IP-Firewall mit Stateful Packet Inspection (Layer 3 und 4)
– Firewall auch für "Non-IP"-Ethernet-Frames gemäß IEEE 802.3 (Layer 2)
– Begrenzung der Übertragungsgeschwindigkeit zur Einschränkung von Flooding- und
– Globale Firewall-Regeln
18
Als integrierte (nicht projektierbare) Security-Funktion verschlüsselt das Protokoll die
Daten bei der Übermittlung.
Das Intervall des Schlüsselaustausches zwischen CP und Telecontrol-Server
projektieren Sie in STEP 7 in der Parametergruppe "Ethernet-Schnittstelle (X1) >
Erweiterte Optionen > Übertragungseinstellungen".
Zur Authentifizierung des CP beim Telecontrol-Server
DoS-Angriffen ("IP-Paketfilter-Regeln definieren")
Betriebsanleitung, 12/2018, C79000-G8900-C365-05
CP 1243-1