Herunterladen Inhalt Inhalt
Teilen
Diese Seite drucken
ABB EDS500 Series Benutzerhandbuch
  1. Anleitungen
  2. Marken
  3. ABB Anleitungen
  4. Router
  5. EDS500 Series
  6. Benutzerhandbuch

ABB EDS500 Series Benutzerhandbuch

Vorschau ausblenden Andere Handbücher für EDS500 Series:
Inhaltsverzeichnis

Werbung

Quicklinks

Diese Anleitung herunterladen
Power Grids
Power Grids
EDS500 Serie - Ethernet und DSL Switches
EDS500 Serie - Ethernet und DSL Switches
Internet-Sicherheits-Richtlinie Release 2
Internet-Sicherheits-Richtlinie Release 2
Benutzerhandbuch
Benutzerhandbuch

Werbung

Inhaltsverzeichnis
loading

Verwandte Anleitungen für ABB EDS500 Series

Inhaltszusammenfassung für ABB EDS500 Series

  • Seite 1 Power Grids Power Grids EDS500 Serie - Ethernet und DSL Switches EDS500 Serie - Ethernet und DSL Switches Internet-Sicherheits-Richtlinie Release 2 Internet-Sicherheits-Richtlinie Release 2 Benutzerhandbuch Benutzerhandbuch...
  • Seite 3 Revision Dokumentnummer: 1KGT151040 V000 0 Version Datum Änderungen 09/2019 Erste Version für Release 2.1...

  • Seite 5: Inhaltsverzeichnis

    Loginmodus RADIUS......................20 Automatische Zugangstrennung..................21 Gesicherter Webserver Zugriff.................... 23 Webserver Benutzerauthentifizierung................23 HTTPS Web Server Access....................24 Zertifikatsverwaltung......................27 Hostschlüsseltypen......................27 Schlüssel- und Zertifikatkombinationen............... 27 Schritt-für-Schritt-Anleitung....................32 Systemhärtung........................33 Patch Management........................35 Allgemeine Information....................35 Release-Verfahrensweise....................35 Update Verfahrensweise....................35 Empfehlungen von ABB....................36 1KGT151040 V000 0...
  • Seite 6 Inhalt Firmware-Update über die Web-Oberfläche..............36 Glossar.............................37 1KGT151040 V000 0...

  • Seite 7: Gerätebeschreibung

    Gerätebeschreibung Gerätebeschreibung Die EDS500-Switche bezeichnen Geräte, die als Multilayer-Switch und Multifunktionsgerät speziell für die Aufgaben der Prozessdaten-Kommunikation konzipiert sind. Die Geräte werden zur Datenkommunikation in zukunftsorientierten Energienetzen, für Zählerfernauslesung und die Remote-Überwachung und -Steuerung bei der Einspeisung erneuerbarer Energien in Smart Grids verwendet. Die Switch-Technologie ist entscheidend für ein Netzwerkdesign.
  • Seite 8 Gerätebeschreibung 1KGT151040 V000 0...

  • Seite 9: Sicherer Zugriff

    Die EDS500-Switche unterstützen sichere Protokolle und Funktionen in der Default- Konfiguration. Dies bedeutet, dass die Fabrikeinstellungen der Geräte den entsprechenden aktuellen ABB IT-Sicherheitsstandards entsprechen. Es kann zu Konflikten zwischen Funktion und IT-Sicherheit kommen, beispielsweise wenn die Leitstelle nur nicht gesicherte Protokolle unterstützt (z. B. SNMP v1).

  • Seite 10: Konfiguration Über Ssh

    Geräteadministration Sicherer Zugriff 2.2.2 Konfiguration über SSH Mit Hilfe eines SSH-Client-Programms kann auf die Kommandozeilenschnittstelle (CLI) zugegriffen werden. Literaturhinweise: Details zur SSH-Schnittstellen sind zu finden unter EDS500 Handbuch - Teil 2: Konfiguration mit SSH. Voreinstellung: Der Standardwert für den SSH-Zugang ist aktiviert Empfehlungen zur sicheren Konfiguration: SSH ist als Kommandozeilen-Schnittstelle (CLI) empfohlen.

  • Seite 11: Konfiguration Über Snmp

    Sicherer Zugriff Geräteadministration Literaturhinweise: Details zur HTTP- und HTTPS-Konfiguration sind zu finden unter EDS500 Benutzerhandbuch - Teil 2: Bedienung der Web-Oberfläche. Voreinstellung: Der Web-Serber ist aktiviert, mit der Einstellung HTTP mit Umleitung zu HTTPS. Empfehlungen zur sicheren Konfiguration: Den Web-Server Zugriff als "HTTPS only" konfigurieren. <...

  • Seite 12: Syslog Und Geräteinternes Log

    Voreinstellung: Client mode - n/a Empfehlungen zur sicheren Konfiguration: Aktivieren Sie ABB CSA-Ereignisse (CSA: Common Security Architecture), wenn die ABB- Verwaltungssoftware (SDM600) verwendet wird. Befehle zur Konfiguration von Syslog: < s e t s y s t e m s y s l o g s e r v e r { I P a d d r e s s } { { 0 - 7 } | a b b - s e c u r i t y - e v e n t s } >...

  • Seite 13: Kommunikation Mit Nutzdaten

    Sicherer Zugriff Kommunikation mit Nutzdaten Voreinstellung: In der Default-Konfiguration ist IEC 60870-5-104 und IEC 60870-5-101 deaktiviert. Empfehlungen zur sicheren Konfiguration: SNMPv3 anstatt IEC 60870-5-104 für die Netzwerküberwachung verwenden. Befehle zur Aktivierung / Deaktivierung einer IEC 60870-5-101 / IEC 60870-5-104- Schnittstelle <...
  • Seite 14 Kommunikation mit Nutzdaten Sicherer Zugriff Trunk Abbildung 1: Verwendung von VLANs Literaturhinweise: Details zur VLAN-Konfiguration sind zu finden unter EDS500 Benutzerhandbuch - Teil 2: VLAN Einstellungen. Voreinstellung: In der Default-Konfiguration sind VLANs deaktiviert. Empfehlungen zur sicheren Konfiguration Es wird empfohlen VLANs zur Aufteilung von Netzwerken in Arbeitsbereiche zu verwenden. Befehle zur Konfiguration von VLANs auf Schnittstellen <...

  • Seite 15: Rip Configuration

    Sicherer Zugriff Kommunikation mit Nutzdaten < s e t s t p m s t i { 1 - 4 0 9 4 } v l a n { 1 - 4 0 9 4 } > < s e t s t p m s t i { 1 - 4 0 9 4 } n o v l a n { 1 - 4 0 9 4 } > <...

  • Seite 16: Rate Limiting

    Kommunikation mit Nutzdaten Sicherer Zugriff H I N W E I S RIP wird als unsicheres Protokoll eingeschätzt. RIP ist in sicheren Konfigurationen zu deaktivieren. RIP ist in der Defaultkonfiguration deaktiviert. 2.3.3 Rate Limiting Während IEEE 802.1p QoS an der Stelle, an der eine Bandbreiten-Überlastung auftritt, dafür sorgt, dass Rahmen priorisiert werden können, so ist die Aufgabe des Rate Limitings, generell die eingehende bzw.

  • Seite 17: Zugangskontrolle Und Geräteauthentifizierung Mit Ieee 802.1X

    Sicherer Zugriff Kommunikation mit Nutzdaten 2.3.4 Zugangskontrolle und Geräteauthentifizierung mit IEEE 802.1X Authenticator IP-Netzwerk Ethernet Supplicant Authentication Server (Radius) Abbildung 3: Zugriffskontrolle mit IEEE 802.1X Literaturhinweise: Details zur Zugangskontrolle sind zu finden unter EDS500 Benutzerhandbuch - Teil 2: Zugangskontrolle und Geräteauthentifizierung mit IEEE 802.1X. Voreinstellung: Als Standardwert ist 802.1X aktiviert und jeder Port freigeschaltet (<...

  • Seite 18: Access-Listen

    Kommunikation mit Nutzdaten Sicherer Zugriff 2.3.5 Access-Listen EDS500-Switche bieten 16 Access-Listen, die zur Bewertung von Ethernet-Rahmen dienen. Trifft mindestens eine der Regeln einer Liste auf einen Ethernet-Rahmen zu, so wird die verknüpfte Aktion ausgeführt (Weiterleiten, Blockieren, Class-of-Service ändern). Access-Listen können entweder als Deny List definiert sein (Blacklist, erlaubt alle außer den angegebenen Kriterien), oder eine Permit List (Whitelist, erlaubt nichts außer den angegebenen Kriterien).

  • Seite 19: L2Tp Configuration

    Sicherer Zugriff Kommunikation mit Nutzdaten 2.3.6 L2TP Configuration Um physikalisch nicht direkt miteinander verbundene Netzknoten dennoch auf der Ebene 2 des OSI Schichtenmodells zu verbinden, kann das Layer-2-Tunnel-Protocol (L2TP) verwendet werden. Internet Abbildung 4: DSL Linie zu Layer-2-Ring mit L2TP Ein Endpunkt der Verbindung wird als L2TP-Server konfiguriert, der andere wird als L2TP- Client konfiguriert und baut die Verbindung zum Server auf.

  • Seite 20: Iec 60870-5-101 To Iec 60870-5-104 Converter

    Kommunikation mit Nutzdaten Sicherer Zugriff H I N W E I S L2TP wird als unsicheres Protokoll angesehen. L2TP ist in der Default-Konfiguration deaktiviert. Befehle zur Konfiguration der Layer-2-Tunnel-Funktion < s e t i n t e r f a c e { t u n n e l . . . } r o l e { . . . } > <...

  • Seite 21: Verschlüsselungsalgorithmen

    Sicherer Zugriff Verschlüsselungsalgorithmen Port Protokoll Stan- Dienst Erläuterung dard-Zustand geschlossen ECHO offen Zugriff auf auf CLI offen TELNET Zugriff auf auf CLI geschlossen DHCP Client geschlossen DHCP Relais/ Server TFTP nur Client offen HTTP nur Umleitung nach HTTPS geschlossen SNMP Überwachungs-Client offen HTTPS...

  • Seite 22: Bestimmungsgemäße Verwendung

    Bestimmungsgemäße Verwendung Sicherer Zugriff Authentication mit der Eigenschaft „Quality of Protection“ (Schutz des Webservers) verwendet. • ECDSA (Elliptic Curve Digital Signature Algorithm) ist eine Variante des Digital Signature Algorithm (DSA), der Elliptische-Kurven-Kryptographie verwendet. ECDSA erreicht gleiche oder bessere Verschlüsselungstärken wir DSA, jedoch sind zur Berechnung deutlich kleinere Schlüsselängen notwendig.

  • Seite 23: Nutzerauthentifizierung

    Nutzerauthentifizierung Bedienmodi: Ansicht (Login) und Konfiguration (Enable) Nutzerauthentifizierung Der Zugriff auf die Kommandozeilenschnittstelle (CLI) und die Web-Oberfläche ist durch ein zweistufiges Berechtigungskonzept geschützt. Der Standardwert für Passwörter ist nicht gesetzt. Die folgenden Abschnitte beschreiben, wie der Zugriff auf das Gerät vor Unberechtigten geschützt werden kann.

  • Seite 24: Loginmodus Password

    Loginmodus Password Nutzerauthentifizierung Mit dem Befehl <exit> werden sowohl der Ansichtsmodus als auch der Betriebsmodus configuration verlassen und die Kommandozeilenschnittstelle (CLI) geschlossen. Das Prompt der Kommandozeilenschnittstelle (CLI) zeigt den aktuellen Zugriffsmodus: Prompt im Ansichtsmodus s w i t c h > Das Symbol >...

  • Seite 25: Automatische Zugangstrennung

    Nutzerauthentifizierung Automatische Zugangstrennung vorgenommen werden. So können Benutzername/Passwort-Kombinationen durch einen RADIUS-Server verifiziert werden. Um den Loginmodus radius auf einem EDS500-Gerät zu verwenden, muss zunächst ein RADIUS-Server konfiguriert werden, der über das Netz erreichbar ist. Falls kein RADIUS-Server konfiguriert ist, bleibt der Loginmodus password als Fallback aktiv. Nach erfolgtem Login mit RADIUS (z.B.
  • Seite 26 Automatische Zugangstrennung Nutzerauthentifizierung 1KGT151040 V000 0...

  • Seite 27: Gesicherter Webserver Zugriff

    Gesicherter Webserver Zugriff Webserver Benutzerauthentifizierung Gesicherter Webserver Zugriff Für einen gesicherten Zugriff auf die RTU500 Serie unterstützt der Webserver das „Hypertext Transfer Protocol Secure“ (HTTPS). Das HTTPS Protokoll ist eine Kombination aus den Hypertext Transfer Protokoll HTTP mit dem SSL/TLS Protokoll für die Verschlüsselung der Übertragung und sicheren Identifikation des Webservers.

  • Seite 28: Https Web Server Access

    HTTPS Web Server Access Gesicherter Webserver Zugriff HTTPS Web Server Access Um auf den EDS500 Serie Webserver mit HTTPS zuzugreifen, muss die URL die im Webclient angegeben wird mit https:// beginnen, gefolgt von der IP Adresse der EDS500-Geräte. Die folgende Abbildung zeigt ein Beispiel. Die Public-Key-Zertifikate der EDS500 Serie sind standardmäßig selbst-signiert und nicht von einer Zertifizierungsstelle ausgeben.
  • Seite 29 Gesicherter Webserver Zugriff HTTPS Web Server Access Warnmeldung zu vermeiden, muss ein gesichertes, externes Zertifikate konfiguriert und auf die EDS500 Serie hochgeladen werden. Wenn der Webserver für HTTPS konfiguriert wurde, ist ein Standardzugriff nicht mehr möglich. Im Fall eines Standardzugriffs mit HTTP wird der Zugriff vom EDS500 Serie Webserver umgeleitet auf die abgesicherten Webseiten.
  • Seite 30 HTTPS Web Server Access Gesicherter Webserver Zugriff 1KGT151040 V000 0...

  • Seite 31: Zertifikatsverwaltung

    Zertifikatsverwaltung Hostschlüsseltypen Zertifikatsverwaltung Für eine sichere Webserver (HTTPS)-Funktionalität erfordern der EDS500 Switch eine gültige Kombination aus EC-Schlüssel (Eliptic Curve) und Zertifikat. Im Auslieferungszustand hat jeder EDS500 Switch seinen EC-Schlüssel (sogenannte geräteeigener Schlüssel) und sein aus dem EC-Schlüssel erzeugtes Zertifikat (sogenannte geräteeigenes Zertifikat - selbstsigniert) schon gespeichert.

  • Seite 32: Zertifikate

    Schlüssel) oder ein externer Schlüssel verwendet werden soll. Diese Entscheidung hängt in der Regel von den IT-Richtlinien der Unternehmen ab. Der im Gerät vorinstallierte Schlüssel entspricht den Mindestanforderungen von ABB an die IT-Sicherheit. Somit ist der Schlüssel eindeutig und der private Teil nicht ausgelesbar. Die IT-Richtlinien des eigenen Unternehmens können jedoch verlangen, dass eigenen Schlüssel (externe Schlüssel) verwenden werden.
  • Seite 33 Zertifikatsverwaltung Schlüssel- und Zertifikatkombinationen a) Geräteeigner Schlüssel und geräteeigenes Zerfikat (selbstsigniert) verwenden EDS500 Zerfikat EC Schlüssel geräteeigen / geräteeigen selbstsigniert download Browser b) Externer EC Schlüssel and Selbstsignierungsfunkon des Gerätes nutzen EDS500 EC Schlüssel geräteeigen EC Schlüssel Zerfikat extern selbstsigniert CSR - Zerfikat Zerfikatsignieru...
  • Seite 34 Schlüssel- und Zertifikatkombinationen Zertifikatsverwaltung aufbauen. Der Umstand, dass jedes einzelne Zertifikat von allen Geräten in den Browser integriert werden muss, entfällt. CA-Zertifikate können sowohl selbst erstellt als auch bei einer Authentifizierungsstelle erworben werden. Kombinationen und ihre Eigenschaften • Geräteeigener EC Schlüssel und selbstsigniertes Zertifikat - Standardmäßige Arbeitsweise - Sofort einsatzbereit - Das Zertifikat jedes EDS500 muss in den Browser integriert werden...
  • Seite 35 Zertifikatsverwaltung Schlüssel- und Zertifikatkombinationen c) Geräteeigener Schlüssel, CSR und externes CA-signiertes Zerfikat EDS500 Zerfikat EC Schlüssel geräteeigen / Geräteeigen selbstsigniert Schlüssel Zerfikat Zerfikatsignierungs- extern extern anforderung download upload .csr .crt Signiert durch eine CA d) Externer EC Schlüssel, CSR und externes CA-signiertes Zerfikat EDS500 EC Schlüssel geräteeigen...

  • Seite 36: Schritt-Für-Schritt-Anleitung

    Schritt-für-Schritt-Anleitung Zertifikatsverwaltung Schritt-für-Schritt-Anleitung Eine detailierte Schritt-für-Schritt-Anleitung ist zu finden unter EDS500 Benutzerhandbuch - Teil 2: Schritt-für-Schritt-Anleitung 1KGT151040 V000 0...

  • Seite 37: Systemhärtung

    Systemhärtung Systemhärtung ABB optimiert die Sicherheit und Zuverlässigkeit seiner Produkte durch Sicherheitsprüfungen und Systemhärtung. Die EDS500 Serie wurde systematisch gehärtet; beispielsweise wurden nicht verwendete Dienste entfernt oder nicht verwendete Ports geschlossen. Die EDS500 Serie wurde im speziellen unabhängigen Sicherheits-Prüfzentrum von ABB mit modernsten kommerziellen und Open-Source-Sicherheitsprüftools getestet.
  • Seite 38 Systemhärtung 1KGT151040 V000 0...

  • Seite 39: Patch Management

    Patch Management Allgemeine Information Patch Management Allgemeine Information Diese Kapitel beschreibt das Patch Management für die EDS500 Serie und wie das System aktuell gehalten werden kann. Das Firmware-Update erfolgt durch Übertragen einer Firmware-Image-Datei auf das Gerät. Der Vorgang kann sowohl über die Kommandozeile (Telnet, SSH, serielles Terminal), als auch über die integrierte Web-Oberfläche durchgeführt werden, sowie weiterhin mit Hilfe von Skripten oder einem Managementprogramm.

  • Seite 40: Empfehlungen Von Abb

    Für eine sichere Operation müssen Firmware-Updates über das Web-Interface erfolgen. Informationen finden Sie unter: • Cyber security alerts and notifications • ABB Inside: Intern bekannte Befunde und Lösungen • solutions.abb/eds500: Offizielle Informationen für den Endkunden Bug Fixes müssen nur implementiert werden, wenn sie für das laufende System relevant sind.
  • Seite 41 Glossar Glossar Erweiterter Verschlüsselungsstandard (Advanced Encryption Standard) Adressauflösungsprotokoll (Address Resolution Protocol) ASDU Dienstdateneinheiten der Anwendungsschicht (Application Ser- vice Data Unit) Zertifizierungsstelle (Certificate Authority) Kommandozeilen-Schnittstelle (Command Line Interface) Daten Verschlüsselungsalgorithmus (Data Encryption Algorithm) Daten Verschlüsselungsstandard (Data Encryption Standard) Diffie–Hellman Schlüsselaustausch Verfahren (Diffie–Hellman key exchange) Digitaler Teilnehmeranschluss (Digital Subscriber Line) Elliptische Kurve (Elliptic Curve)
  • Seite 42 Glossar TDEA Verdreifachter Daten Verschlüsselungsalgorithmus (Triple Data Encryption Algorithm) TFTP einfaches Dateiübertragungsprotokoll (Trivial File Transfer Pro- tocol) UART Universal Asynchronous Receiver / Transmitter (Universal Asyn- chronous Receiver-transmitter) User Datagram Protocol VLAN Virtuelles lokales Netzwerk (Virtual Local Area Network) Virtuelles privates Netzwerk (Virtual Private Network) VRRP Virtuelles Router-Redundanz-Protokoll (Virtual Router Redun- dancy Protocol)
  • Seite 43   1KGT151040 V000 0...
  • Seite 44 Wir behalten uns alle Rechte an diesem Dokument und den darin enthaltenen Gegenständen und Abbildungen vor. Vervielfältigung, Bekanntgabe an Dritte oder Verwertung seines Inhaltes – auch von Teilen – ist ohne vorherige schriftliche Zustimmung durch die ABB AG verboten. © Copyright ABB 2019 Alle Rechte vorbehalten 1KGT151040 V000 0...
  • Seite 45   1KGT151040 V000 0...
  • Seite 46 Visit us ABB AG Power Grids Postfach 10 03 51 68128 Mannheim, Deutschland solutions.abb/eds500...

Inhaltsverzeichnis