Documentos de Académico
Documentos de Profesional
Documentos de Cultura
• 1 – Segmentación de célula
• 2 – Networking: Routing
• 3 – SCALANCE S
• 4 – Demo Routing
• 5 – SINEMA Remote Connect: Acceso remoto
• 6 – SINEC NMS
Segmentación de
célula
Red IT SCADA o
OPC Server
Propagación de bucles
Sin diagnóstico
Baja disponibilidad
Conflicto IT/OT
Red 1 Red 2 Red 3
192.168.1.X/24 192.168.1.X/24 192.168.3.X/24
Red IT SCADA o
OPC Server
Estructuras redundantes
Diagnóstico SNMP
Problema: Bucles!
Si hay bucles en una red, las tramas Broadcast circularán alrededor del bucle.
Esto causa una carga muy alta de la red, lo que hace que todas las
comunicaciones útiles sean imposibles.
→ En las redes Ethernet, los bucles NO están permitidos!
SCALANCE S
• Segmentación para
evitar propagación de fallos
• Firewall para controlar
las comunicaciones
• Enmascaramiento
para estandarizar
• Acceso remoto
seguro
• Gran Ancho de banda
Estructuras redundantes
SCADA o
Red IT OPC Server Diagnóstico SNMP
Gestor de
Conexiones Segmentación con VLANs y routers
Remotas
SINEMA RC Server Hardening de red: Deshabilitar protocolos, puertos, etc.
Implementación de Firewall
SCALANCE SCALANCE SCALANCE
XC200 XC200 XC200
Posibilidad de traducir direcciones (máquinas en serie)
Estructuras redundantes
SCADA o
Red IT OPC Server Diagnóstico SNMP
SCALANCE
Gestor de XM400 Segmentación con VLANs y routers
Conexiones
Remotas Red de agregación1Gbps Hardening de red: Deshabilitar protocolos, puertos, etc
10.0.0.X.24
SINEMA RC Server HRP(FO) Mejora en el tiempo de recuperación del sistema
SCALANCE SCALANCE
SCALANCE SCALANCE S615 S615
Tráfico PN no se propaga
S615 SC636
VRRP Tráfico Broadcast controlado
Traducción IP Traducción IP (Router
(NAT) (NAT) redundante) Implementación de Firewall
Estructuras redundantes
SCALANCE Red IT SCADA o
SC636/46
OPC Server Diagnóstico SNMP
SCALANCE
DMZ
Gestor de XM400 Segmentación con VLANs y routers
Conexiones
Remotas Red de agregación 1Gbps Hardening de red: Deshabilitar protocolos, puertos, etc
10.0.0.X.24
SINEMA RC Server HRP(OF) Mejora en tiempo de recuperación del sistema
SCALANCE SCALANCE
SCALANCE SCALANCE Tráfico PN no se propaga
S615 S615
S615 SC636
VRRP Tráfico Broadcast controlado
Traducción IP Traducción IP (Router
(NAT) (NAT) redundante) Implementación de Firewall
SCALANCE XR-300
SCALANCE X-300
SCALANCE XC-200 SCALANCE XP-200
Layer 2 SCALANCE XF-200
managed SCALANCE X-200
SCALANCE XR-300WG
SCALANCE
XB-200
SCALANCE
SCALANCE SCALANCE
XR-100WG
X005 XC-100
Layer 2
unmanaged Compact SCALANCE
Switch modules XB-000
SCALANCE X-100
media converter
Price
• Segmentación para
evitar propagación de fallos
• Enmascaramiento
para estandarizar
• Acceso remoto
seguro
• Gran Ancho de banda
IP EXTERNA:
192.168.1.1
IP INTERNA:
192.168.0.254
CPU
IP: 192.168.0.1
GW: 192.168.0.254
Requerimientos:
SRC IP: 192.168.1.1 • La IP del SCALANCE S615, debe ser Gateway de las CPUs, ya que las CPUs quieren comunicar con un equipo que esta
DST IP: 192.168.1.10 fuera de su red local
Secuencia:
SRC IP: 192.168.0.X
IP: 192.168.0.254
DST IP: 192.168.1.10 • La IP 192.168.1.10 no es local, por lo que el paquete es enviado a la Gateway.
• El SCALANCE S reemplaza la IP origen con su propia IP, y manda el paquete al PC.
• Desde el punto de vista del PC, todos los paquetes de la CPU, ahora vienen de una IP local y pueden ser contestados
directamente.
• La subnet A no es visible externamente.
• En todos los paquetes de respuesta del PC a las PCUs, la IP destino es reemplazada automáticamente por la IP
relevante de la CPU. La asignación está basada en estados ya existentes, una asignación manual, como un destination
CPU CPU2
IP: 192.168.0.1 IP: 192.168.0.2 NAT falla.
GW: 192.168.0.254 GW: 192.168.0.254
Situación inicial:
VLAN2 / Subnet B 192.168.1.0/24
PC
IP: 192.168.1.10
El PC debe poder usar funciones de Step 7 en varias CPUs sin utilizar gateway.
GW: ?
(Estas funcionan en una conexión S7, donde el Puerto es TCP: 102 y no se puede cambiar, por
tanto, por el mismo puerto debemos mandar a dos direcciones IP distintas)
IP: 192.168.1.1
Requerimientos:
2. Local>static>OSPF>RIP
3. Métrica
4. Load balancing
VRRP
10.0.40.1
XM400 XM400
ANILLO MRP
10.0.40.0/24
ÁREA OSPF
0.0.0.0
VRRP
Demo Routing
• Se debe distribuir VLAN 2 hacia el S615. Asignar el P0.4 a la VLAN2 como “M”, para que así las tramas que
pertenezcan a esta VLAN serán reenviadas con su etiqueta correspondiente. “Layer 2 > VLAN”.
Nombrar VLANs
• Para facilitar la interpretación de resultados, vamos a nombrar a VLAN1 como Maint y a la VLAN2 como
Automatizacion. Esto se debe realizar en el menú “Layer 3 (IPv4) > Subnets > Configuration”.
Cuestiones:
• Se deben introducir las siguientes reglas para poder habilitar la comunicación entre las diferentes VLANs:
Cuestiones:
Cuestiones:
Cuestiones:
• Para ser capaces de alcanzar el X200 de otro de los grupos de prácticas, se debe crear una ruta estática
indicando la puerta de enlace que permite llegar la subred a la que pertenece dicho equipo.
• Indicando como red de destino la “192.168.1X2.0/24” y como puerta de enlace el S615 adyacente
“192.168.140.X”.
• Rutas estáticas a introducir por cada grupo:
▪ Destination Network 192.168.122.0, subnet mask 255.255.255.0 con Gateway 192.168.140.2. (Grupo 1)
▪ Destination Network 192.168.112.0, subnet mask 255.255.255.0 con Gateway 192.168.140.1. (Grupo 2)
▪ Destination Network 192.168.142.0, subnet mask 255.255.255.0 con Gateway 192.168.140.4. (Grupo 3)
▪ Destination Network 192.168.132.0, subnet mask 255.255.255.0 con Gateway 192.168.140.3. (Grupo 4)
Regla de permiso
De interna a WAN
Bases del firewall (De estado)
• Se crea un estado para cada conexión permitida por una regla de permiso.
Configuración de la conexión Esto contiene al menos la IP/Puerto de origen y destino de ambos nodos
Los paquetes de respuesta pueden ser asignados a un estado existente, y
automáticamente permitidos. Como resultado, solo la configuración inicial de
conexión debe ser habilitada.
• Los estado de una conexión son borrados a la desconexión o después del tiempo
de espera.
• Por ejemplo, sin estados, todas las direcciones deberían ser habilitadas para la
comunicación con Internet.
Paquetes de respuesta del • Como norma, el puerto de origen es dinámico y por lo tanto debe ser
destinatario introducido como * bajo los servicios en el firewall.
Automáticamente permitidos por • El firewall del S615 solo se activa si la función de routing es utilizada.
el estado Un modo bridge no es posible por reglas como vlan1 > vlan1.
Destination NAT
• Modificamos las reglas del firewall para que todos los paquetes sean descartados, si se trata de establecer
comunicación entre la VLAN2 y la VLAN3.
• Cambiar los niveles de registro de “none” a “warning”, para poder así tener trazabilidad de los intentos de
comunicación.
• Estas configuraciones se realizan en el menú “Security > Firewall > IP Rules”, sobre las reglas ya creadas.
Una vez modificadas hacer clic en “Set Values”.
Cuestiones:
• ¿Eres capaz de llegar por ping al X200 de otro grupo? ¿Por qué?
• Para poder ver mas información de lo que está ocurriendo, se puede acceder al menú “Information > Log
Tables > Firewall Log” y filtrar por “Warning”.
• Crear una nueva regla que permita el acceso web vía https entre la VLAN1 y la VLAN2.
• Primero debemos crear el servicio IP. Accedemos al menú “Security > Firerwall > IP Services” se debe crear
un servicio con el nombre “HTTPS” con los puertos correspondientes.
• Crear una nueva regla que permita la comunicación mediante ping entre la VLAN2 y la VLAN3.
• Primero debemos crear el servicio ICMP. Accedemos al menú “Security > Firerwall > ICMP Services” se debe
crear un servicio con el nombre “Ping”.
• Un vez creado se debe seleccionar “Echo Request (8)”.
• Modificar las reglas del firewall relativas a la VLAN1 y la VLAN2 de “Accept” a “Drop” y hacer clic en “Set
Values”.
• ¿Con esta nueva configuración podemos acceder al PLC a través de la dirección IP NAT (192.168.1X1.100)?
• ¿Con esta nueva configuración podemos acceder al PLC a través de la dirección IP NAT
(192.168.1X1.100)?
• Para que cada grupo pueda acceder al X200 perteneciente a la VLAN2 del grupo vecino, se va a hacer
uso de NAT. Con ello conseguimos, que a través de una IP de nuestra propia subred, ser capaces de
acceder al equipo del grupo adyacente.
• Cada grupo va a configurar dos Destination NAT 1:1 entre las VLANs 2 y 3.
Grupo 1:
Type Source Int. Dest. Int. Source IP Destination IP Trans. Destination
IP
Destination vlan2 (Automatizacion) vlan3 (Routing) 0.0.0.0/0 192.168.112.4/32 192.168.140.12/32
Grupo 2:
Type Source Int. Dest. Int. Source IP Destination IP Trans. Destination
IP
Destination vlan3 (Routing) vlan2 (Automatizacion) 0.0.0.0/0 192.168.140.12/32 192.168.122.3/32
Grupo 1:
Type Source Int. Dest. Int. Source IP Destination IP Trans. Destination
IP
Destination vlan2 (Automatizacion) vlan3 (Routing) 0.0.0.0/0 192.168.112.4/32 192.168.140.12/32
Grupo 2:
Type Source Int. Dest. Int. Source IP Destination IP Trans. Destination
IP
Destination vlan2 (Automatizacion) vlan3 (Routing) 0.0.0.0/0 192.168.122.4/32 192.168.140.11/32
Grupo 3:
Type Source Int. Dest. Int. Source IP Destination IP Trans. Destination
IP
Destination vlan2 (Automatizacion) vlan3 (Routing) 0.0.0.0/0 192.168.132.4/32 192.168.140.14/32
Grupo 4:
Type Source Int. Dest. Int. Source IP Destination IP Trans. Destination
IP
Destination vlan2 (Automatizacion) vlan3 (Routing) 0.0.0.0/0 192.168.142.4/32 192.168.140.13/32
SINEMA
Servicio técnico 2
Máquina 2
Conexión
Internet
Cliente
OpenVPN
Servicio técnico 3
Máquina 3
Centro de Servicio
Oficina Fábrica
Interfaz de usuario estándar y
administración flexible Máquina 1
1 2 3
1. SINEMA RC Server 2. SCALANCE S615 3 .SINEMA RC Client
CONCENTRADOR
SCALANCE SC600
TÚNELES VPN
Servidor SINEMA RC
SCALANCE M800
FIREWALL Red IT
PERIMETRAL
DMZ
SCALANCE
XM400
SINEMA RC
Server
1
Conexiones VPN
2
SCALANCE SCALANCE
USUARIOS
S615 SC636 SINEMA RC 3
HRP
Red IT
DMZ
SCALANCE
SINEMA XM400
REMOTE
CONNECT
Conexiones VPN
SCALANCE SCALANCE
S615 SC636
HRP
SCALANCE S
SCALANCE M
1 Manufacturer 1
Section 1 1
2
• Machine 1
• User 1 • Machine 2 Machine 1
User 1 • User 3 • ….
• ….
Machine 2
User 2
Manufacturer 2 Section 2
• User 2 • Machine 3
• User 3 • Machine 4
• …. • ….
Machine 3
User 3
Internal
• User 4 Machine 4
Special
• ….
User 4 • Machine 5
• ….
Machine manufacturer A
Machine manufacturer B
Machine 5
End customer
• ¿El S7-1200 (192.168.1X1.100 y 192.168.1X2.2) responde a ping? ¿Puedes abrir su página WEB?
Masquerading
FW V4.2
!
FW V4.1
! !
FW 4.0
!
FW 4.1
!
FW 4.2
!
FW V4.2
!
FW V4.1
!
FW 4.0
!
FW 4.1
!
FW 4.2
Select policies easily via drag-and-drop Smart roll-outs thanks to rules and tasks
CONFIG
FILE
V1
CONFIG
FILE
V2