Ciberseguridad Workshop Siemens Parte2

Digital Connectivity
© Siemens 2022 | DI PA DCP

Índice
• 1 – Segmentación de célula
• 2 – Networking: Routing
• 3 – SCALANCE S
• 4 – Demo Routing
• 5 – SINEMA Remote Connect: Acceso remoto
• 6 – SINEC NMS
Segmentación de
célula
Page 4 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Red plana con elementos NO gestionables
Red IT SCADA o
OPC Server
Propagación de bucles
Gran carga de red por tráfico Broadcast: caídas PN
Sin diagnóstico
Baja disponibilidad
Lenta recuperación del sistema
Difícil crecimiento de la red
Conflicto IT/OT
Red 1 Red 2 Red 3
192.168.1.X/24 192.168.1.X/24 192.168.3.X/24

Red plana con elementos gestionables : SCALANCE XC200
Red IT SCADA o
OPC Server
Estructuras redundantes
Diagnóstico SNMP
Segmentación con VLANs
Hardening de red: Deshabilitar protocolos, puertos, etc.
Mejora en el tiempo de recuperación del sistema
SCALANCE SCALANCE SCALANCE Propagación de bucles

XC200 XC200 XC200
Gran carga de red por tráfico Broadcast: caídas PN
HRP
Sistema vulnerable (Ciberseguridad)
Red 1 Red 2 Red 3 Conflicto IT/OT
192.168.1.X/24 192.168.1.X/24 192.168.3.X/24

Quiero redundancia! Cual es el problema?
Problema: Bucles!
Si hay bucles en una red, las tramas Broadcast circularán alrededor del bucle.
Esto causa una carga muy alta de la red, lo que hace que todas las
comunicaciones útiles sean imposibles.
→ En las redes Ethernet, los bucles NO están permitidos!

¿Por qué segmentación?

Aplicaciones de seguridad industrial– SCALANCE S
Portfolio de productos
SCALANCE S
SC632-2C SC636-2C S615 SC642-2C SC646-2C
© Siemens | Digitalization in Automation: Industry 4.0 | Noviembre 2022

Network Security – Scalance SC
Segmentación de célula
• Segmentación para
evitar propagación de fallos
• Firewall para controlar
las comunicaciones
• Enmascaramiento
para estandarizar
• Acceso remoto
seguro
• Gran Ancho de banda
• Integración TIA Portal

Red segmentada a nivel de máquina, conexión directa a IT
SCADA o
Red IT OPC Server Diagnóstico SNMP
Gestor de
Conexiones Segmentación con VLANs y routers
Remotas
SINEMA RC Server Hardening de red: Deshabilitar protocolos, puertos, etc.
Mejora en el tiempo de recuperación

SCALANCE SCALANCE SCALANCE SCALANCE
S615 SC636 S615 S615
Tráfico PN no se propaga
VRRP
Traducción IP Traducción IP (Router Tráfico Broadcast controlado
(NAT) (NAT) redundante)
Implementación de Firewall
SCALANCE SCALANCE SCALANCE
XC200 XC200 XC200
Posibilidad de traducir direcciones (máquinas en serie)
HRP Dependencia de IT para la comunicación horizontal
Tiempo de respuesta ante fallos

Red 1 Red 2 Red 3
192.168.1.X/24 192.168.1.X/24 192.168.3.X/24
Crecimiento limitado en direccionamiento y poco flexible
Deslocalización del punto de conexión a IT

Segmentación

Red segmentada con segmento de agregado industrial
Propuesta sin DMZ
SCADA o
Red IT OPC Server Diagnóstico SNMP
SCALANCE
Gestor de XM400 Segmentación con VLANs y routers
Conexiones
Remotas Red de agregación1Gbps Hardening de red: Deshabilitar protocolos, puertos, etc
10.0.0.X.24
SINEMA RC Server HRP(FO) Mejora en el tiempo de recuperación del sistema
SCALANCE SCALANCE
SCALANCE SCALANCE S615 S615
Tráfico PN no se propaga
S615 SC636
VRRP Tráfico Broadcast controlado
Traducción IP Traducción IP (Router
(NAT) (NAT) redundante) Implementación de Firewall
SCALANCE SCALANCE SCALANCE Posibilidad de traducir direcciones (máquinas en serie)

XC200 XC200 XC200
Demarcación de áreas IT/OT (independencia de operación)
HRP Localización del punto de conexión IT (preparados para
una infraestructura perimetral)
Red 1 Red 2 Red 3 Normativas de ciberseguridad
192.168.1.X/24 192.168.1.X/24 192.168.3.X/24 Comunicación directa de IT con el backbone industrial y las
máquinas
Propagación de vulnerabilidades e infecciones de IT en el
backbone industrial
Firewall

Propuesta completa: Un backbone industrial con hardware industrial
SCALANCE Red IT SCADA o
SC636/46
OPC Server Diagnóstico SNMP
SCALANCE
DMZ
Gestor de XM400 Segmentación con VLANs y routers
Conexiones
Remotas Red de agregación 1Gbps Hardening de red: Deshabilitar protocolos, puertos, etc
10.0.0.X.24
SINEMA RC Server HRP(OF) Mejora en tiempo de recuperación del sistema
SCALANCE SCALANCE
SCALANCE SCALANCE Tráfico PN no se propaga
S615 S615
S615 SC636
VRRP Tráfico Broadcast controlado
Traducción IP Traducción IP (Router
(NAT) (NAT) redundante) Implementación de Firewall
SCALANCE SCALANCE SCALANCE Posibilidad de traducir direcciones (máquinas en serie)

XC200 XC200 XC200
Demarcación de áreas IT/OT (independencia de operación)
HRP Localización del punto de conexión IT (preparados para
una infraestructura perimetral)
Securización de acceso y comunicación desde IT a través
Red 1 Red 2 Red 3
de DMZ
192.168.1.X/24 192.168.1.X/24 192.168.3.X/24 Topología preparada para la expansión y la integración
vertical y horizontal
Acceso remoto seguro a proveedores y mantenimiento

Networking
Routing

General explanations of terminology
Positioning Industrial Ethernet Switches portfolio
Function
SCALANCE XR-500
SCALANCE XM-400
Layer 2/3
managed
SCALANCE XR-300
SCALANCE X-300
SCALANCE XC-200 SCALANCE XP-200
Layer 2 SCALANCE XF-200
managed SCALANCE X-200
SCALANCE XR-300WG
SCALANCE
XB-200
SCALANCE
SCALANCE SCALANCE
XR-100WG
X005 XC-100
Layer 2
unmanaged Compact SCALANCE
Switch modules XB-000
SCALANCE X-100
media converter
Price

The extreme flexible L3-switch
SCALANCE XM-400
¿Qué nos aporta?
Hasta 24 puertos Gigabit+

Pay as you grow … +
aportan gran capacidad para
Expandir el número de puertos o las estructuras en anillo y uplinks
funcionalidades de Layer 3
Diagnóstico con un Smartphone o +

Reducción del cableado conectando + tablet mediante
hasta 16 dispositivos con NFC (Near Field Communication)
Power-over-Ethernet+
Personaliza los conectores de FO +
Mantenimiento preventivo + obteniendo flexibilidad en función
El reflectómetro includio escanea los cables de cobre y de las preferencias del cliente (SC,
montoriza el estado de la fibra de manera continua ST/BFOC o SFP)

Aplicaciones de telecontrol y acceso remoto por redes públicas
Scalance M800

Industrial security appliances – SCALANCE S
Design and housing variants
Industrial security appliance SCALANCE S
SC632-2C SC636-2C S615 SC642-2C SC646-2C

Network Security – Scalance SC600/S615
Segmentación de célula
• Segmentación para
evitar propagación de fallos
• Firewall para controlar

las comunicaciones
• Enmascaramiento
para estandarizar
• Acceso remoto
seguro
• Gran Ancho de banda
• Integración TIA Portal

ROUTING - ESQUEMA CONFIGURADO
VLAN2 / Subnet B 192.168.1.0/24

PC
IP: 192.168.1.10
GW: 192.168.1.1
IP EXTERNA:
192.168.1.1
IP INTERNA:
192.168.0.254
CPU
IP: 192.168.0.1
GW: 192.168.0.254
VLAN1 / Subnet A 192.168.2.0/24

Source NAT → MASQUERADING
VLAN2 / Subnet B 192.168.1.0/24

PC
IP: 192.168.1.10 Situación inicial:
GW: ?
• Varias CPUS deben iniciar la conexión al PC. El PC no tiene Gateway.

IP: 192.168.1.1
Requerimientos:
SRC IP: 192.168.1.1 • La IP del SCALANCE S615, debe ser Gateway de las CPUs, ya que las CPUs quieren comunicar con un equipo que esta
DST IP: 192.168.1.10 fuera de su red local
Secuencia:
SRC IP: 192.168.0.X
IP: 192.168.0.254
DST IP: 192.168.1.10 • La IP 192.168.1.10 no es local, por lo que el paquete es enviado a la Gateway.
• El SCALANCE S reemplaza la IP origen con su propia IP, y manda el paquete al PC.
• Desde el punto de vista del PC, todos los paquetes de la CPU, ahora vienen de una IP local y pueden ser contestados
directamente.
• La subnet A no es visible externamente.
• En todos los paquetes de respuesta del PC a las PCUs, la IP destino es reemplazada automáticamente por la IP
relevante de la CPU. La asignación está basada en estados ya existentes, una asignación manual, como un destination
CPU CPU2
IP: 192.168.0.1 IP: 192.168.0.2 NAT falla.
GW: 192.168.0.254 GW: 192.168.0.254
VLAN1 / Subnet A 192.168.0.0/24
Pag Restricted | © Siemens 2023 | ES-PA-DI-DCP

e 27
NETMAP / Destination NAT
Situación inicial:
VLAN2 / Subnet B 192.168.1.0/24
PC
IP: 192.168.1.10
El PC debe poder usar funciones de Step 7 en varias CPUs sin utilizar gateway.
GW: ?
(Estas funcionan en una conexión S7, donde el Puerto es TCP: 102 y no se puede cambiar, por
tanto, por el mismo puerto debemos mandar a dos direcciones IP distintas)
IP: 192.168.1.1
Requerimientos:
IPs adicionales: 192.168.1. 2 y 3

Las CPUs deben tener como Gateway la red interna del SCALANCE S615.
SRC IP: 192.168.1.10 SRC IP: 192.168.1.10 Las IPs adicionales no pueden estar usadas en otros dispositivos de la red externa.
DST IP: 192.168.1.2 DST IP: 192.168.1.3
IP: 192.168.0.254
SRC IP: 192.168.1.10 SRC IP: 192.168.1.10 Secuencia:

DST IP: 192.168.0.1 DST IP: 192.168.0.2
Las IPs adicionales de NAT (192.168.1.2 y 192.168.1.3) son ocupadas por el SCALANCE S615.
La CPU2 se direcciona a las Ips locales (por eso no necesita gateway) 192.168.1.2 o 192.168.1.3
como destino.
El SCALANCE S615 reemplaza la IP destino y manda el paquete a la CPU que corresponda.
La IP origen no es cambiada desde el punto de vista de la CPU, el paquete no proviene de la
CPU1 CPU2
subred local, por esto, las CPUs deben tener de Gateway, la IP interna del SCALANCE S615.
IP: 192.168.0.1 IP: 192.168.0.2
GW: 192.168.0.254 GW: 192.168.0.254 En todas las respuestas de la CPU al PC, la IP Fuente es automáticamente reemplazada por
192.168.1.2 o 192.168.1.3
VLAN1 / Subnet A 192.168.2.0/24

¿Qué ruta elegimos?
¿En qué orden elegimos la ruta?
1. Red de destino mas pequeña (máscara

mas restrictiva)
2. Local>static>OSPF>RIP
3. Métrica
4. Load balancing

EJEMPLO RUTAS ESTÁTICAS

EJEMPLO RUTAS ESTÁTICAS

RUTAS ESTÁTICAS

VRRP – VIRTUAL REDUNDANCY ROUTER PROTOCOL
VRRP
10.0.40.1
XM400 XM400
ANILLO MRP
10.0.40.0/24
X200 X200 X200 X200
ANILLO MRP ANILLO MRP

10.0.21.0/24 10.0.22.0/24
ÁREA OSPF
0.0.0.0
VRRP
Demo Routing

Resumen día 1

Esquema inicial día 2

Routing
Distribución VLAN1/VLAN2 hacia S615
• Se debe distribuir VLAN 2 hacia el S615. Asignar el P0.4 a la VLAN2 como “M”, para que así las tramas que
pertenezcan a esta VLAN serán reenviadas con su etiqueta correspondiente. “Layer 2 > VLAN”.

Routing
Crear subred para la VLAN2
• Para acceder al SCLANCE S615

introducir como usuario “admin”
y contraseña “Siemens1!”.
• Para cada VLAN que se crea se
debe asignar una IP de interfaz.
• Esta configuración se puede
realizar en “Layer 3 (IPv4) >
Subnets”.
• Una vez creada la interfaz para
la VLAN 2, vamos a
configuración e introducimos la
IP y la máscara de subred
correspondiente.

Routing
Nombrar VLANs
• Para facilitar la interpretación de resultados, vamos a nombrar a VLAN1 como Maint y a la VLAN2 como
Automatizacion. Esto se debe realizar en el menú “Layer 3 (IPv4) > Subnets > Configuration”.
Page 42 Restricted | © Siemens 2022 | ES-DI-PA-DCP

Routing
Cuestiones:
• ¿Responde a ping el X200 (192.168.1X2.3)? ¿Y el S7-1200 (192.168.1X2.2)? ¿Por qué?

Routing
Configuración del firewall
• Se deben introducir las siguientes reglas para poder habilitar la comunicación entre las diferentes VLANs:
• Permitiendo así el reenvío de los paquetes entre la VLAN1-VLAN2 y la VLAN2-VLAN3.

Routing
Descubrir equipos DCP VLAN1.
• Se accede al menú “System > DCP

Discovery”
Cuestiones:
• ¿Qué equipos se ven?
IP Address Mask Address Gateway Address

Routing
• Se accede al menú “Layer 3 (IPv4) >

Subnets”.
• Vamos al apartado de
“Configuración”, seleccionamos la
VLAN2 y hacemos clic en “TIA
Interface”.

Routing
• Se accede al menú “System > DCP

Discovery”
Cuestiones:
• ¿Qué equipos se ven?
IP Address Mask Address Gateway Address

Routing
Cuestiones:
• ¿Responde a ping el X200 (192.168.1X2.3)? ¿Y el S7-1200 (192.168.1X2.2)? ¿Por qué?

Routing. Static routes

Routing. Static routes
• Para ser capaces de alcanzar el X200 de otro de los grupos de prácticas, se debe crear una ruta estática
indicando la puerta de enlace que permite llegar la subred a la que pertenece dicho equipo.
• Indicando como red de destino la “192.168.1X2.0/24” y como puerta de enlace el S615 adyacente
“192.168.140.X”.
• Rutas estáticas a introducir por cada grupo:
▪ Destination Network 192.168.122.0, subnet mask 255.255.255.0 con Gateway 192.168.140.2. (Grupo 1)

Firewall
Regla de permiso
De interna a WAN
Bases del firewall (De estado)
• Se crea un estado para cada conexión permitida por una regla de permiso.
Configuración de la conexión Esto contiene al menos la IP/Puerto de origen y destino de ambos nodos
Los paquetes de respuesta pueden ser asignados a un estado existente, y
automáticamente permitidos. Como resultado, solo la configuración inicial de
conexión debe ser habilitada.
• Los estado de una conexión son borrados a la desconexión o después del tiempo
de espera.
• Por ejemplo, sin estados, todas las direcciones deberían ser habilitadas para la
comunicación con Internet.
Paquetes de respuesta del • Como norma, el puerto de origen es dinámico y por lo tanto debe ser
destinatario introducido como * bajo los servicios en el firewall.
Automáticamente permitidos por • El firewall del S615 solo se activa si la función de routing es utilizada.
el estado Un modo bridge no es posible por reglas como vlan1 > vlan1.
Destination NAT NAT:

from NETMAP / NAPT • Un NAT puede afectar a uno o más de los siguientes parámetros simultáneamente
Source IP / destination IP / source port / destination port
Secuencia
Firewall and NAT:

Firewall • No hay activación automática en el firewall, las reglas de permiso del firewall
deben ser creadas de acuerdo con las reglas de NAT.
• La IP/Puerto de destino se traducen antes del firewall.
Consecuentemente, las reglas de firewall deben ser creadas con las Ips/Puertos
Source NAT cambiados.
De source NAT/ NETMAP/ • La IP de origen se traducen después del firewall.
masquerading Por lo tanto, la ya cambiada IP no puede volver a filtrarse por el firewall.

Routing
• Esta configuración se realiza en

el menú “Layer (IPv4) > Static
Routes”.
• Una vez realizada la

configuración, realizar ping
desde el X200 de tu maqueta al
X200 del grupo vecino
(192.168.1Y2.3).

Network Address Translation (NAT)
• Accedemos al SCALANCE S615 vía pagina web.

• Se activa la opción de “Announce alias IP addresses”. Esta opción permite anunciar la dirección IP a la
red, siendo así capaces el resto de dispositivos de actualizar sus tablas ARP. Esto se va a producir
durante el arranque del equipo o cuando una regla NAT se este configurando.

Masquerading (Source NAT) VLAN2
• Al habilitar esta opción, todos los equipos

conectados a la interfaz VLAN2 del SCALANCE
S615 verán como IP de origen (Source IP) de
paquetes salientes la dirección IP del propio
SCALANCE S615 (192.168.1X2.1).
• ¿Ahora el S7-1200 responde a ping? ¿Puedes
abrir su página WEB?

Masquerading (Source NAT) VLAN2

Destination NAT
• Desde NETMAP configurad un Destination NAT

1:1 entre la VLAN1 y la VLAN2, para ser capaces
de llegar al S7-1200 por la IP
“192.168.1X1.100/32”.
• Se debe realizar la configuración siguiendo los
pasos que se muestran en la imagen.
• ¿Puedes ver al S7-1200 por la
192.168.1X1.100?

Destination NAT

Firewall
• Modificamos las reglas del firewall para que todos los paquetes sean descartados, si se trata de establecer
comunicación entre la VLAN2 y la VLAN3.
• Cambiar los niveles de registro de “none” a “warning”, para poder así tener trazabilidad de los intentos de
comunicación.
• Estas configuraciones se realizan en el menú “Security > Firewall > IP Rules”, sobre las reglas ya creadas.
Una vez modificadas hacer clic en “Set Values”.

Firewall
Cuestiones:
• ¿Eres capaz de llegar por ping al X200 de otro grupo? ¿Por qué?
• Para poder ver mas información de lo que está ocurriendo, se puede acceder al menú “Information > Log
Tables > Firewall Log” y filtrar por “Warning”.

Firewall
• Crear una nueva regla que permita el acceso web vía https entre la VLAN1 y la VLAN2.
• Primero debemos crear el servicio IP. Accedemos al menú “Security > Firerwall > IP Services” se debe crear
un servicio con el nombre “HTTPS” con los puertos correspondientes.

Firewall
• Una vez creado el servicio IP

“HTTPS”, se debe crear la regla
en el firewall que permita el
acceso web entre la VLAN1 y la
VLAN2.
• Para ello se debe acceder al
menú “Security > Firewall > IP
Rules” y modificar las reglas
existentes a como se muestra en
la imagen.
• ¿Con esta nueva configuración eres capaz de llegar por ping al X200 de tu maqueta (192.168.1X2.3)?
¿Eres capaz de acceder vía página web al X200 de tu maqueta?

Firewall
• Crear una nueva regla que permita la comunicación mediante ping entre la VLAN2 y la VLAN3.
• Primero debemos crear el servicio ICMP. Accedemos al menú “Security > Firerwall > ICMP Services” se debe
crear un servicio con el nombre “Ping”.
• Un vez creado se debe seleccionar “Echo Request (8)”.

Firewall
• Volver a permitir todos los

servicios entre la VLAN1 y
VLAN2.
• Crear la regla en el firewall que
acepte el servicio ICMP “Ping”
entre la VLAN2 y la VLAN3.
• Acceder al menú “Security >
Firewall > IP Rules” modificar las
dos primeras reglas y crear dos
nuevas reglas siguiendo la
configuración de la imagen.
• ¿Con esta nueva configuración eres capaz de llegar por ping del X200 de tu maqueta al X200 de otro
grupo? ¿Por qué?

Firewall
Modificación del orden de las

reglas:
• Se puede cambiar el orden

de las reglas simplemente
cambiando el valor de la
misma en el cuadro de
prioridades “Precedence” y
haciendo clic en “Set Values”.
• ¿Con esta nueva configuración eres capaz de llegar por ping del X200 de tu maqueta al X200 de otro
grupo? ¿Por qué?

Firewall
• Modificar las reglas del firewall relativas a la VLAN1 y la VLAN2 de “Accept” a “Drop” y hacer clic en “Set
Values”.
• ¿Con esta nueva configuración podemos acceder al PLC a través de la dirección IP NAT (192.168.1X1.100)?

Firewall
• Vamos al menú “Layer 3 (IPv4) > NAT >

NETMAP” y seleccionamos la regla que se creo
con anterioridad y pulsar el botón de borrar.
• Una vez borrada esta regla, se creará una
nueva con la opción de “Auto Firewall Rule”
seleccionada.
• Seguir los pasos indicados en la imagen.
• ¿Con esta nueva configuración podemos acceder al PLC a través de la dirección IP NAT
(192.168.1X1.100)?

OPCIONAL
NAT
Page 67 Restricted | © Siemens 20XX | Author | Department | YYYY-MM-DD

Opcional: Firewall
Antes de hacer la parte opcional dejad el firewall con accept entre

VLAN1-VLAN2 Y VLAN2-VLAN3

Opcional
• Para que cada grupo pueda acceder al X200 perteneciente a la VLAN2 del grupo vecino, se va a hacer
uso de NAT. Con ello conseguimos, que a través de una IP de nuestra propia subred, ser capaces de
acceder al equipo del grupo adyacente.
• Cada grupo va a configurar dos Destination NAT 1:1 entre las VLANs 2 y 3.
Grupo 1:
Type Source Int. Dest. Int. Source IP Destination IP Trans. Destination
IP
Destination vlan2 (Automatizacion) vlan3 (Routing) 0.0.0.0/0 192.168.112.4/32 192.168.140.12/32
Grupo 2:
IP
Destination vlan3 (Routing) vlan2 (Automatizacion) 0.0.0.0/0 192.168.140.12/32 192.168.122.3/32

Opcional

Opcional
Grupo 1:
IP
Grupo 2:
IP

Opcional
Grupo 3:
IP
Grupo 4:
IP

Opcional
• Para realizar las configuraciones

mostradas en las tabla, accedemos al
menú “Layer 3 (IPv4) > NAT >
NETMAP” y completamos los campos.
• Comprobar el correcto funcionamiento
tratando de llegar por ping del X200 de
tu maqueta al X200 del grupo vecino
(192.168.1X2.4).

Sinema RC Acceso
Remoto

Comunicación Servicio técnico 1
SINEMA
Servicio técnico 2
Máquina 2
Remota Remote Connect
Conexión
Internet
Cliente
OpenVPN
Servicio técnico 3
Máquina 3
Centro de Servicio
Red Móvil Cliente

Máquina OpenVPN
1,2,3
Acceso remoto de alta seguridad
(VPN) a "cosas" para mantenimiento
y solución de problemas
Conexión Máquina 3
Internet
Fácil integración en redes de planta
existentes y configuración
automática Máquina 2
Oficina Fábrica
Interfaz de usuario estándar y
administración flexible Máquina 1
Ethernet Industrial Túnel VPN

Diferentes necesidades – Misma solución integral

Teoría SINEMA RC
1 2 3
1. SINEMA RC Server 2. SCALANCE S615 3 .SINEMA RC Client
CONCENTRADOR
SCALANCE SC600
TÚNELES VPN
Servidor SINEMA RC
SCALANCE M800
INTERNET INTERNET INTERNET

SINEMA REMOTE CONNECT
Un único sistema estándar para el acceso remoto a plantas
FIREWALL Red IT
PERIMETRAL
DMZ
SCALANCE
XM400
SINEMA RC
Server
1
Conexiones VPN
2
SCALANCE SCALANCE
USUARIOS
S615 SC636 SINEMA RC 3
HRP
Red 1 Red 2 Red 3

192.168.1.X/24 192.168.1.X/24 192.168.3.X/24

SINEMA REMOTE CONNECT
Un único sistema estándar para el acceso remoto a plantas
Red IT
DMZ
SCALANCE
SINEMA XM400
REMOTE
CONNECT
Conexiones VPN
SCALANCE SCALANCE
S615 SC636
HRP
Red 1 Red 2 Red 3

192.168.1.X/24 192.168.1.X/24 192.168.3.X/24

Aplicaciones de seguridad industrial
Firewall SCALANCE S
SCALANCE S
SC632-2C SC636-2C S615 SC642-2C SC646-2C

Aplicaciones de telecontrol y acceso remoto por redes públicas
Scalance M800
SCALANCE M

SINEMA Remote Connect
Relaciones de comunicación (Por parte del profesor)
Establecimiento de conexiones y permisos de los usuarios
1 Manufacturer 1
Section 1 1
2
• Machine 1
• User 1 • Machine 2 Machine 1
User 1 • User 3 • ….
• ….
Machine 2
User 2
Manufacturer 2 Section 2
• User 2 • Machine 3
• User 3 • Machine 4
• …. • ….
Machine 3
User 3
Internal
• User 4 Machine 4
Special
• ….
User 4 • Machine 5
• ….
Machine manufacturer A
Machine manufacturer B
Machine 5
End customer

Varias subredes dentro del mismo equipo
Control absoluto de acceso (DDA)

Resumen día 2

Nuevo servidor SINEMA RC

SINEMA RC (Por parte del profesor)
• Añadir SCALANCE S615 a SINEMA RC Server.

• Se debe configurar un nombre de dispositivo y una
contraseña.
• Una vez introducidos estos datos debemos
configurar las subredes.
• Debemos nombrar cada una de las subredes.

• Una vez nombradas ambas subredes, se debe

introducir la IP y máscara de la misma.

SINEMA RC
• Abrir SINEA RC Client e introducir los siguientes datos:

▪ SINEMA RC URL:
siemenscomunicaciones.dynalias.org:6444
▪ User: GX_MAINT
▪ Password: Siemens1!
▪ ¿Se encuentra el dispositivo online en SINEMA RC

Client?

SCALANCE S615. SINEMA RC
• Se debe introducir la información del equipo

añadido a SINEMA RC Server.
• La información a cumplimentar es:
▪ SINEMA RC Address.
▪ SHA256-Fingerprint.
▪ Device ID.
▪ Device Password.
• Una vez completada la información, marcamos
“Enable SINEMA RC” y hacemos clic en “Set
Values”.
• ¿Se encuentra el dispositivo online en SINEMA RC
Client?

SINEMA RC
Configuración NTP Client
• Para ser capaces de recibir tramas NTP,

habilitar la entrada “System Time” en el
menú “Security > Firewall > Predefined”.
• Crear cliente NTP en el menú “System
Time > NTP Client”.

SINEMA RC
• Configurar NTP Client, indicando

como IP del servidor NTP la
dirección “192.168.140.254”. Una
vez introducida la dirección hacer clic
en “Set Values”.
• Una vez introducida la información
del servidor, marcar “NTP Client” y
hacer clic en “Set Values”.

SINEMA RC
• Para que el SCALANCE S615 vuelva a renegociar el túnel

VPN con la nueva configuración, debemos deshabilitar y
volver a habilitar SINEM RC en el dispositivo. Para ello ir a
“System > SINEMA RC”.
• ¿Se encuentra el dispositivo online en SINEMA RC Client?
• ¿Esta información, relativa al estado de la conexión con

SINEMA RC, es mostrada en este dispositivo?

Nuevo servidor SINEMA RC

SINEMA RC
• ¿El S7-1200 (192.168.1X1.100 y 192.168.1X2.2) responde a ping? ¿Puedes abrir su página WEB?
• ¿El X200 (192.168.1X2.3) responde a ping? ¿Puedes abrir su página WEB?

SINEMA RC
Loggeate en SINEMA RC Client con el nuevo usuario:

User: GX_TOTAL
• ¿El S7-1200 (192.168.1X1.100 y 192.168.1X2.2) responde a ping? ¿Puedes abrir su página WEB?
• ¿El X200 (192.168.1X2.3) responde a ping? ¿Puedes abrir su página WEB?

Masquerading
• Borrar masquerading en la VLAN2 en el SCALANCE S615

(192.168.1X1.1).
• ¿El S7-1200 (192.168.1X2.2) responde a ping? ¿Puedes abrir
su página WEB?
• Seleccionamos en SINEMA RC “Device as a

network Gateway”, con esta opción se fuerza el uso
de Source NAT.
• ¿Ahora el S7-1200 responde a ping? ¿Puedes abrir
su página web?

SINEC NMS
Networking
© Siemens 2020 | ES-DI PA CI| 16-12-2020

Valor añadido de SINEC NMS
Backups Actualizaciones Topologías

programados de firmware masivas personalizadas
Eventos de red Reportes del estado Configuración

de red Políticas / backups

SINEC NMS – Gestión de firmwares
Gestión centralizada de versiones de firmware
FW V4.2
!
FW V4.1
! !
FW 4.0
!
FW 4.1
!
FW 4.2

!
FW V4.2
!
FW V4.1
!
FW 4.0
!
FW 4.1
!
FW 4.2

Select policies easily via drag-and-drop Smart roll-outs thanks to rules and tasks
Rule 2: Activate firmware

SINEC NMS – Gestión de backups
Guardar / cargar / editar y comparar ficheros de configuración
CONFIG CONFIG CONFIG CONFIG

FILE FILE FILE FILE

SINEC NMS – Gestión de backups
Guardar / cargar / editar y comparar ficheros de configuración
CONFIG
FILE
V1
CONFIG
FILE
V2

Muchas gracias
Itziar González-Longoria Merino
Emilio Sánchez Cozar
Published by Siemens S.A.
Page 106 © Siemens 2023 | DI PA DCP

Ciberseguridad Workshop Siemens Parte2

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Ciberseguridad Workshop Siemens Parte2

Cargado por

Copyright:

Formatos disponibles

Digital Connectivity

© Siemens 2022 | DI PA DCP

Page 4 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Gran carga de red por tráfico Broadcast: caídas PN

Lenta recuperación del sistema

Difícil crecimiento de la red

Page 5 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Segmentación con VLANs

Hardening de red: Deshabilitar protocolos, puertos, etc.

Mejora en el tiempo de recuperación del sistema

SCALANCE SCALANCE SCALANCE Propagación de bucles

Page 6 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Page 7 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Page 8 Restricted | © Siemens 2023 | ES-PA-DI-DCP

SC632-2C SC636-2C S615 SC642-2C SC646-2C

© Siemens | Digitalization in Automation: Industry 4.0 | Noviembre 2022

• Integración TIA Portal

Mejora en el tiempo de recuperación

HRP Dependencia de IT para la comunicación horizontal

Tiempo de respuesta ante fallos

Deslocalización del punto de conexión a IT

Page 11 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Page 12 Restricted | © Siemens 2023 | ES-PA-DI-DCP

SCALANCE SCALANCE SCALANCE Posibilidad de traducir direcciones (máquinas en serie)

Page 14 Restricted | © Siemens 2023 | ES-PA-DI-DCP

SCALANCE SCALANCE SCALANCE Posibilidad de traducir direcciones (máquinas en serie)

Page 15 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Page 16 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Page 17 Restricted | © Siemens 2023 | ES-PA-DI-DCP

¿Qué nos aporta?

Hasta 24 puertos Gigabit+

Diagnóstico con un Smartphone o +

Page 18 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Page 20 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Industrial security appliance SCALANCE S

SC632-2C SC636-2C S615 SC642-2C SC646-2C

Page 21 Restricted | © Siemens 2023 | ES-PA-DI-DCP

• Firewall para controlar

• Integración TIA Portal

VLAN2 / Subnet B 192.168.1.0/24

VLAN1 / Subnet A 192.168.2.0/24

Page 26 Restricted | © Siemens 2023 | ES-PA-DI-DCP

VLAN2 / Subnet B 192.168.1.0/24

• Varias CPUS deben iniciar la conexión al PC. El PC no tiene Gateway.

VLAN1 / Subnet A 192.168.0.0/24

Pag Restricted | © Siemens 2023 | ES-PA-DI-DCP

IPs adicionales: 192.168.1. 2 y 3

SRC IP: 192.168.1.10 SRC IP: 192.168.1.10 Secuencia:

Page 28 Restricted | © Siemens 2023 | ES-PA-DI-DCP

¿En qué orden elegimos la ruta?

1. Red de destino mas pequeña (máscara

Page 29 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Page 30 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Page 31 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Page 32 Restricted | © Siemens 2023 | ES-PA-DI-DCP

X200 X200 X200 X200

ANILLO MRP ANILLO MRP

Page 35 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Page 36 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Page 39 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Distribución VLAN1/VLAN2 hacia S615

Page 40 Restricted | © Siemens 2023 | ES-PA-DI-DCP

Crear subred para la VLAN2