15

© Siemens AG 2016

IT Security

15/2 Industrial Security

15/6 SIMATIC Logon

Siemens ST PCS 7 · 2016

 © Siemens AG 2016

IT Security
Industrial Security

■ Sinopsis
Web client ERP Domain controller
- OS
- Maintenance
- Information
Virus scan WSUS
server server

Ethernet, office LAN

Front-end
Domain MES/MIS COMOS plant firewall
controller SIMATIC IT lifecycle management

Web OpenPCS 7 Central archive

Back-end
server server
firewall

OS clients Domain controller

Engineering
station
Terminal bus

Plant bus

Ejemplo de una arquitectura de seguridad escalonada
Con el avance de la estandarización, la abertura y la interco-
nexión en redes han aumentado enormemente los riesgos de
seguridad a que están expuestos los sistemas de instrumenta-
ción y control. El potencial de peligro que proviene de progra-
mas nocivos, tales como virus informáticos, gusanos y troyanos,
o bien de personas sin autorización, puede reflejarse en redes
sobrecargadas o caídas, espionaje de contraseñas y datos, o
bien accesos no autorizados a la automatización de procesos.
Además de daños materiales, el sabotaje premeditado puede
tener graves consecuencias para las personas y el medio am-
biente.
15 El sistema de seguridad desarrollado para SIMATIC PCS 7
ofrece la posibilidad de proteger ampliamente la planta de con-
trol de todos estos peligros. Siemens le ayuda en la medida de
sus necesidades con prestaciones adicionales para el análisis,
la implementación y la gestión de la seguridad durante el funcio-
namiento de la planta (más detalles en el capítulo "Servicios",
sección "Plant Security Services).
Filosofía de seguridad de SIMATIC PCS 7
La filosofía de seguridad de SIMATIC PCS 7 descrita detallada-
mente en el manual "Sistema de seguridad PCS 7 y documenta-
ción básica de WinCC" y también en la documentación deta-
llada, proporciona recomendaciones (mejores prácticas) para
proteger una planta de control de procesos basándose en una
arquitectura del sistema con niveles de seguridad de tipo de-
fensa en profundidad (defense in depth). No se limita al uso de
métodos o dispositivos de seguridad independientes entre sí
(como p. ej. el cifrado o los cortafuegos). El secreto de este sis-
tema de seguridad global es la combinación de varias medidas
de seguridad distintas en un complejo de instalaciones.
G_PCS7_XX_00145
• Creación de una arquitectura de red con niveles de seguridad
escalonados (defense in depth), combinada con la segmen-
tación de la instalación en células de seguridad
• Administración de red, asignación de direcciones IP y división
en subredes
• Funcionamiento de instalaciones en dominios Windows
(Active Directory)
• Administración de los derechos de acceso de Windows y de
los derechos de acceso deSIMATIC PCS 7; integración de los
derechos de acceso de SIMATIC PCS 7 en la administración
de Windows
• Control absoluto de la sincronización horaria
• Gestión de los parches de seguridad para los productos de
Microsoft
• Uso de antivirus, listas blancas y cortafuegos
• Configuración y funcionamiento de accesos al soporte
técnico y accesos remotos (VPN, IPSec)
El manual "Sistema de seguridad PCS 7 y documentación bá-
sica de WinCC" está disponible en Internet en "Documentación
técnica SIMATIC" - "Manuales SIMATIC PCS 7" - "Manuales
SIMATIC PCS 7 V8.2":
www.siemens.com/simatic-docu

15/2 Siemens ST PCS 7 · 2016

 © Siemens AG 2016

IT Security
Industrial Security

■ Diseño
Por el lado del sistema, SIMATIC PCS 7 respalda la aplicación Gracias a los mecanismos de seguridad integrados, el CP 1628
de las normas y recomendaciones del sistema de seguridad puede proteger tanto las estaciones PCS 7 y su comunicación
mediante: de datos dentro de una red de automatización, como también el
• Compatibilidad con las actuales versiones de los programas acceso remoto a través de Internet. Permite un acceso seguro a
antivirus Trend Micro OfficeScan, Symantec Norton AntiVirus estaciones individuales o células de automatización completas
y McAfee VirusScan que están protegidas por módulos Security. En este caso es po-
sible combinar distintas medidas de seguridad como firewall y
• Aplicación de los cortafuegos locales de Windows VPN mediante túneles IPsec.
• Configuración automática de los parámetros relacionados
con la seguridad (por ejemplo, DCOM, el Registro y el corta- Encontrará información adicional y los datos técnicos del mó-
fuegos de Windows) ya desde el momento de la instalación dulo de comunicación CP 1628 en el catálogo IK PI, capítulo
Industrial Ethernet, dentro de Conexiones de sistema, Conexio-
• Gestión y autentificación de usuarios en SIMATIC Logon nes de sistema para PG/PC/IPC.
(los detalles los encontrará en la sección "SIMATIC Logon",
pág. 15/6)
• Módulo de comunicación CP 1628 con funciones de
seguridad integradas (Firewall, VPN) como alternativa a la
conexión Industrial Ethernet de SIMATIC PCS 7 Industrial
Workstations
• Integración de los módulos Industrial Security SCALANCE
S602, S612, S623 z S627-2M
• Automation Firewall
• Lista blanca de aplicaciones (Application Whitelisting)

Módulo Industrial Security SCALANCE S

Módulo de comunicación CP 1628
Módulo de comunicación CP 1628
El CP 1628 es una tarjeta PCI Express (PCIe x1) con micropro-
cesador propio y switch de 2 puertos integrado
(2 conexiones RJ45, 10/100/1000 Mbits/s) que sirve para la co-
nexión de SIMATIC PCS 7 Workstations a Industrial Ethernet.
A diferencia del CP 1623 equiparable, dispone de funciones de
seguridad adicionales:
• Stateful Inspection Firewall para filtrar la comunicación
tomando como base direcciones IP/de puerto
• Limitación del ancho de banda para evitar sobrecarga por
comunicación
• Comunicación segura a través de Virtual Private Network
(VPN) mediante túneles IPsec
• Transferencia segura de datos de análisis de red al sistema
de gestión de red (SNMP V3)
• Transferencia segura de hora (NTP V3)
• Vigilancia por medio de archivos de informe y su evaluación
mediante el servidor Syslog
Módulo Industrial Security SCALANCE S
Los módulos Industrial Security SCALANCE S ofrecen funciones
de seguridad escalables como firewall, filtro de puertos, NAT,
conversión de direcciones NAPT, servidor DHCP (S602, S612,
S623 y S627-2M), así como autenticación y cifrado de datos con
Virtual Private Network (VPN) mediante túneles IPsec (S623 y
S623). Se pueden utilizar, por ejemplo, para proteger el inter-
cambio de datos entre los componentes de automatización y los
del sistema de control de procesos cubriendo todas las celdas.
Dado que pueden funcionar tanto en modo de puente como en
modo de router, se pueden utilizar también directamente en lími-
tes de subred IP.
Los módulos Industrial Security SCALANCE S presentan un di-
seño robusto apto para entornos industriales. Para la conexión
a Industrial Ethernet disponen de 2 puertos (S602 y S612) o 3
puertos (S623 y S627-2M) a 10/100/1000 Mbits/s (RJ45). Ade-
más, el S627-2M dispone de dos slots para módulos de medio
de 2 puertos opcionales (eléctricos u ópticos; ver los datos de
15
pedido en SCALANCE X-300).

Siemens ST PCS 7 · 2016 15/3

 © Siemens AG 2016

IT Security
Industrial Security

■ Diseño (continuación)
Variantes de productos: Automation Firewall
• Módulo Industrial Security SCALANCE S602 El Automation Firewall (ver el capítulo "Arquitectura y configura-
- Protege segmentos de red contra accesos no autorizados ción" del catálogo ST PCS 7 AO) o cortafuegos para automati-
con Stateful Inspection Firewall zación está dotado de Stateful Inspection Paket Filter, Applica-
- "Modo Ghost" para la protección de dispositivos indivi- tion Layer Firewall, funcionalidad VPN Gateway, filtrado de URL,
duales, incluso distintos, gracias a la adopción dinámica de Web Proxy y prevención de intrusiones. Dependiendo de la en-
la dirección IP vergadura de la instalación, se puede utilizar como cortafuegos
• Módulo Industrial Security SCALANCE S612 frontal y posterior o en una configuración "three homed". Así pro-
- Con Stateful Inspection Firewall y funcionalidad VPN (Virtual tege el punto de acceso al entorno de la producción (por ejem-
Private Network) protege contra accesos no autorizados, plo, desde las redes de oficina o intranet). El cortafuegos para
manipulación de datos y espionaje automatización se entrega preinstalado.
- Posibilidad de usar hasta 128 túneles IPsec simultáneos Automation Firewall incrementa su valor gracias también a los
• Módulo Industrial Security SCALANCE S623 servicios integrados; por ejemplo:
- Con Stateful Inspection Firewall y funcionalidad VPN (Virtual • Asistencia telefónica
Private Network) protege contra accesos no autorizados,
manipulación de datos y espionaje • Servicio de sustitución
- Posibilidad de usar hasta 128 túneles IPsec simultáneos • Servicio de actualización del software
- Puerto RJ45 DMZ adicional (amarillo) para crear una "zona
desmilitarizada" (DMZ); puede terminar VPN y está La oferta se completa con servicios adicionales, como son
asegurado por firewalls hacia el puerto rojo y verde las soluciones personalizadas de firewall o la integración de
- Protección redundante de células de automatización firewalls en las instalaciones del cliente.
mediante redundancia de router y firewall, así como acopla- Lista blanca de aplicaciones (Application Whitelisting)
miento stand-by del dispositivo redundante a través del
puerto amarillo Los mecanismos de protección llamados Whitelisting o listas
• Módulo Industrial Security SCALANCE S627-2M blancas garantizan que en una estación del sistema de control
- Con Stateful Inspection Firewall y funcionalidad VPN (Virtual de procesos SIMATIC PCS 7 se ejecuten únicamente aplicacio-
Private Network) protege contra accesos no autorizados, nes y programas de confianza. Es decir, impiden que se ejecute
manipulación de datos y espionaje software no autorizado y que se modifiquen las aplicaciones ins-
- Posibilidad de usar hasta 128 túneles IPsec simultáneos taladas, ofreciendo así una protección adicional contra el
- Puerto RJ45 DMZ adicional (amarillo) para crear una "zona malware (software malicioso). Este tipo de protección se puede
desmilitarizada" (DMZ); puede terminar VPN y está implementar instalando aplicaciones adicionales como, por
asegurado por firewalls hacia el puerto rojo y verde ejemplo, McAfee Application Control V5.1.
- Protección redundante de células de automatización
mediante redundancia de router y firewall, así como modo
stand-by del dispositivo redundante; comparación del
estado del firewall a través de un cable de sincronización
entre los puertos amarillos
- Dos slots adicionales para un módulo de medio de 2 puertos
por slot (ver en SCALANCE X-300) para la integración
directa en topologías en anillo y redes de FO con dos
puertos conmutados por módulo, de color rojo o verde
- Superación de grandes longitudes de cable; aprovecha-
miento de los cables a 2 hilos ya existentes mediante los
módulos de medio MM992-2VD (distancia variable)
Nota:
La herramienta Security Configuration Tool (SCT) suministrada
con el producto permite crear y configurar con toda facilidad los
módulos Security que van a comunicarse entre sí de forma se-
gura. Para esta tarea no se requieren conocimientos especiales
15 en TI.
Toda la configuración puede guardarse en el soporte de datos
intercambiable C-PLUG (opcional; debe pedirse por separado)
y transferirse a otro módulo Security. Así es posible sustituir los
módulos de forma rápida y sencilla en caso de fallos.
Encontrará información adicional y los datos técnicos de los
módulos Security SCALANCE S en el catálogo IK PI, capítulo
"Industrial Ethernet", apartado "Industrial Ethernet Security".

15/4 Siemens ST PCS 7 · 2016

 © Siemens AG 2016

IT Security
Industrial Security

■ Datos de pedido Referencia Referencia

Módulo Industrial Security SITOP compact 24 V/0,6 A 6EP1331-5BA00

SCALANCE S
SCALANCE S602
Módulo Industrial Security con
Stateful Inspection Firewall;
2 puertos de 10/100/1000 Mbits/s
SCALANCE S612
Módulo Industrial Security con
Stateful Inspection Firewall y funcio-
nalidad VPN (Virtual Private Net-
work); hasta un máximo de
128 túneles IPsec simultáneos;
2 puertos a 10/100/1000 Mbits/s
SCALANCE S623
Módulo Industrial Security con
Stateful Inspection Firewall y funcio-
nalidad VPN (Virtual Private Net-
work); hasta un máximo de
128 túneles IPsec simultáneos;
3 puertos a 10/100/1000 Mbits/s,
de ellos 1 puerto DMZ
SCALANCE S627-2M
hasta 128 túneles VPN simultánea-
mente; puerto RJ45 DMZ adicional;
dos slots adicionales, cada uno
para un módulo de medio de
2 puertos
Módulo de comunicación
CP 1628
Tarjeta PCI Express x1 para la
conexión a Industrial Ethernet
(10/100/1000 Mbits/s), con switch
de 2 puertos (RJ45) y funciones de
seguridad integradas (firewall,
VPN)
Accesorios
C-PLUG
Soporte de datos (cartucho) inter-
cambiable para sustituir fácilmente
los equipos en caso de fallo; para
almacenar datos de configuración y
de aplicación, utilizable en produc-
tos SIMATIC NET con slot C-PLUG
6GK5602-0BA10-2AA3
6GK5612-0BA10-2AA3
6GK5623-0BA10-2AA3
6GK5627-2BA10-2AA3
6GK1162-8AA00
6GK1900-0AB00
Fuente de alimentación monofá-
sica con entrada de rango amplio
85 ... 264 V AC/110 ... 300 V DC,
tensión de salida estabilizada 24 V,
intensidad nominal de salida 0,6 A,
diseño estrecho
Automation Firewall
Ver los datos para pedidos del
Automation Firewall en el capítulo
"Arquitectura y configuración" del
catálogo ST PCS 7 AO.
Lista blanca de aplicaciones
(Application Whitelisting)
McAfee Application Control for 9AS1425-1AA11-1BA1
fixed Devices
McAfee Application Control for 9AS1425-1AA11-1BC1
Server
Plant Security Services
Ver los datos para pedidos de los
Plant Security Services en el capí-
tulo "Servicios"
Nota:
Para otros componentes y accesorios, sobre todo los material
de cables, conectores, herramientas y materiales adicionales
para conectorizar los componentes, ver el capítulo "Comunica-
ción - Industrial Ethernet - Componentes de red pasivos", sec-
ciones "FastConnect", "Cables y conectores ITP" y "Cables de
fibra óptica", así como el catálogo IK PI.

■ Más información
Siemens comercializa productos de automatización y acciona-
mientos con funciones de Industrial Security que contribuyen al
funcionamiento seguro de la instalación o máquina. Estos son
un bloque importante de un sistema Industrial Security integral.
Atendiendo a este punto de vista, los productos son objeto de
mejoras continuas. Recomendamos informarse periódicamente
de las actualizaciones de nuestros productos. Encontrará más
información y la newsletter respectiva en:
http://support.automation.siemens.com
Para el funcionamiento seguro de una máquina o instalación, es
necesario tomar medidas de seguridad adecuadas (p. ej., sis-
tema de protección de células) e integrar los componentes de 15
automatización y accionamiento en un sistema Industrial Secu-
rity integral para toda la instalación o máquina que responda a
los últimos avances tecnológicos. También hay que tener en
cuenta los productos de terceros que tenga instalados. Encon-
trará más información en
www.siemens.com/industrialsecurity

Siemens ST PCS 7 · 2016 15/5