Hirschmann Tofino Configurator Benutzerhandbuch

Tofino Configurator CNM

Release

V2.00 03/2014

Technische Unterstützung

[email protected]

Tofino Xenon

Tofino Configurator 2.0

Benutzerhandbuch

Die Nennung von geschützten Warenzeichen in diesem Handbuch berechtigt auch ohne beson-

dere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen-

und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann

benutzt werden dürften.

Handbücher sowie Software sind urheberrechtlich geschützt. Alle Rechte bleiben vorbehalten.

Das Kopieren, Vervielfältigen, Übersetzen, Umsetzen in irgendein elektronisches Medium oder

maschinell lesbare Form im Ganzen oder in Teilen ist nicht gestattet. Eine Ausnahme gilt für die

Anfertigungen einer Sicherungskopie der Software für den eigenen Gebrauch zu Sicherungs-

zwecken. Bei Geräten mit eingebetteter Software gilt die Endnutzer-Lizenzvereinbarung auf der

mitgelieferten CD/DVD.

Die beschriebenen Leistungsmerkmale sind nur dann verbindlich, wenn sie bei Vertragsschluss

ausdrücklich vereinbart wurden. Diese Druckschrift wurde von Tofino Security nach bestem

Wissen erstellt. Tofino Security behält sich das Recht vor, den Inhalt dieser Druckschrift ohne

Ankündigung zu ändern. Tofino Security gibt keine Garantie oder Gewährleistung hinsichtlich

der Richtigkeit oder Genauigkeit der Angaben in dieser Druckschrift.

Tofino Security haftet in keinem Fall für irgendwelche Schäden, die in irgendeinem Zusammen-

hang mit der Nutzung der Netzkomponenten oder ihrer Betriebssoftware entstehen. Im Übrigen

verweisen wir auf die im Lizenzvertrag genannten Nutzungsbedingungen.

Die jeweils neueste Version dieses Handbuches finden Sie im Internet auf den Tofino Security-

Produktseiten (www.tofinosecurity.com).

Gedruckt in Kanada

Tofino Security

PO Box 178, Unit 2-7217 Lantzville Road

Lantzville, BC, V0R 2H0

Kanada

Rel. V2.00 - 03/2014

Inhalt

Tofino Configurator CNM

Release

V2.00

03/2014

3

Inhalt

Über dieses Handbuch 7

Legende 9

1 Einführung in den Tofino Configurator 11

1.1 Navigieren durch den Tofino Configurator 12

2 9 Schritte zu einem sicheren Steuerungssystem 15

3 Installation des Tofino Configurators 19

3.1 Ausführen des Installationsprogramms für den Tofino

Configurator 20

4Projekte 25

4.1 Neues Projekt anlegen 27

4.2 Öffnen eines bestehenden Projekts 31

4.3 Bearbeiten von Projektdetails 32

4.4 Löschen eines Projekts 35

4.5 Projekt duplizieren 36

5Tofino SAs 37

5.1 Definieren der Tofino SAs 38

5.1.1 Erzeugen einer neuen Tofino SA 39

5.1.2 Erkennen einer vorhandenen Tofino SA 43

5.2 Bearbeiten einer Tofino SA 45

5.3 Löschen einer Tofino SA 47

6Assets 49

6.1 Ressourcenvorlagen 51

6.1.1 Erzeugen einer Asset-Vorlage 52

6.1.2 Löschen einer Asset-Vorlage 56

6.2 Erzeugen von Assets 57

6.2.1 Neuerzeugen eines Assets 57

Inhalt

4

Tofino Configurator CNM

Release

V2.00

03/2014

6.2.2 Erzeugen eines Assets aus einer Vorlage 60

6.3 Editieren eines Assets oder einer Asset-Vorlage 62

6.4 Erzeugen einer Asset-Vorlage aus einem bestehenden

Asset 64

6.5 Löschen eines Assets 65

7 Firewall-Regeln 67

7.1 Erzeugen von Firewall-Regeln 74

7.2 Deep-Packet-Inspection-Firewalls 80

7.2.1 Erzeugen einer Modbus-TCP-Enforcer-Regel 81

7.2.2 Erzeugen einer OPC-Classic-Enforcer-Regel 86

7.2.3 Erzeugen einer EtherNet/IP-Enforcer-Regel 88

7.3 Editieren von Firewall-Regeln 93

7.4 Verwenden des Tofino-Testmodus zur Validierung von

Firewall-Regeln 96

8 Ereignisprotokolle 99

8.1 Einrichten des LSM „Event Logger“ 100

8.2 Abrufen von Protokolldateien 104

9 Anwenden und Überprüfen von Konfigurationen 107

9.1 Anwenden einer Tofino SA 108

9.1.1 Laden der Tofino SA über USB 111

9.2 Überprüfen einer Tofino SA-Konfiguration 114

9.3 Übertragen von Daten Ihrer Tofino SA über USB 117

10 Weiterführender Themenbereich: Protokolle 121

10.1 Erzeugen eines Protokolls 122

10.2 Editieren von Protokollen 124

10.3 Protokoll löschen 127

11 Weiterführender Themenbereich - Vorlagen und

Sicherheitsprofile importieren 129

12 Weiterführender Themenbereich - Regeln auto-

matisch erstellen 131

Inhalt

Tofino Configurator CNM

Release

V2.00

03/2014

5

13 Weiterführender Themenbereich - Tofino

Configurator-Einstellungen 135

13.1 LSM-Lizenzen hinzufügen 136

13.2 Verwalten der Benutzerprotokollierung, des Benutzerzu-

griffs und der Berechtigungen 137

13.2.1 Zugriffsverwaltung für ein Projekt 138

13.2.2 Verwalten der Benutzerprotokollierung und der

Berechtigungen innerhalb eines Projekts 140

13.3 Anpassen der Programmeinstellungen 142

14 Upgrade der Tofino SA 147

14.1 Upgrade über das Netz 148

14.2 Upgrade über USB 150

15 Referenz: Feldbeschreibungen 151

15.1 Felder einer Tofino SA 152

15.2 Asset- und Asset-Vorlage-Felder 158

16 Fehlersuche 163

16.1 Diagnosefunktionen der Tofino SA 164

16.2 Firewall blockiert keinen Verkehr 168

16.3 Empfehlungen zu USB-Speichermedien 169

16.4 Zurücksetzen Ihrer Tofino SA auf die Werkseinstellungen 171

16.5 Spezialregeln 172

16.5.1 Tofino Rapid Network Recovery 172

17 Glossar 175

A Weitere Unterstützung 179

Inhalt

6

Tofino Configurator CNM

Release

V2.00

03/2014

Über dieses Handbuch

Tofino Configurator CNM

Release

V2.00

03/2014

7

Über dieses Handbuch

Das Tofino Firewall Benutzerhandbuch enthält die für den Betrieb des Tofino

Configurator notwendigen Informationen. Sie finden dort Details zur Installa-

tion und Konfiguration Ihrer Tofino Security Appliances. Das Handbuch

enthält die Gerätebeschreibung, Sicherheitshinweise, eine Beschreibung

des Displays und andere Informationen, die Sie für die Installation und

Anwendung des Programms benötigen.

Für ein ausreichendes Verständnis des Tofino Firewall Benutzerhandbuch

ist es erforderlich, dass Sie mit dem Dokument Tofino Firewall Installations-

Handbuch vertraut sind.

 Wartung

Tofino Security arbeitet ständig an der Verbesserung und Weiterentwick-

lung der Software. Prüfen Sie regelmäßig, ob ein neuerer Stand der Soft-

ware Ihnen weitere Vorteile bietet. Informationen und Software-Down-

loads finden Sie auf den Tofino Security-Produktseiten im Internet

(www.tofinosecurity.com).

Über dieses Handbuch

8

Tofino Configurator CNM

Release

V2.00

03/2014

Legende

Tofino Configurator CNM

Release

V2.00

03/2014

9

Legende

Die in diesem Handbuch verwendeten Auszeichnungen haben folgende

Bedeutungen:

 Aufzählung

 Arbeitsschritt



Zwischenüberschrift

Link Querverweis mit Verknüpfung

Anmerkung: Eine Anmerkung betont eine wichtige Tatsache oder lenkt Ihre Aufmerksamkeit

auf eine Abhängigkeit.

Courier ASCII-Darstellung in der grafischen Benutzeroberfläche

Legende

10

Tofino Configurator CNM

Release

V2.00

03/2014

Einführung in den Tofino Configurator

Tofino Configurator CNM

Release

V2.00

03/2014

11

1 Einführung in den Tofino

Configurator

Die Lösung Tofino Industrial Security ist ein umfassendes Paket zur Siche-

rung von industriellen Steuerungssystemen, insbesondere auf LAN-Ebene

(Local Area Network). Das System umfasst 3 Hauptkomponenten:

 Tofino Security Appliance: Diese robusten Geräte für den Einsatz in

anspruchsvollen Industrieumgebungen werden vor einzelnen und/oder

Gruppen von Mensch-Maschine-Schnittstellen (HMI), verteilten Steue-

rungssystemen (DCS), speicherprogrammierbaren Steuerungen (SPS)

oder Steuerungsgeräten für Fernwirkstationen (RTU) installiert, die

Schutz erfordern.

 Ladbare Sicherheitsmodule (LSMs) von Tofino: Verschiedene Soft-

ware-Module, die Sicherheitsdienste wie z. B. Firewalls und Ereignis-

Logger bereitstellen. Jedes LSM wird auf den betreffenden Tofino SAs

aktiviert. Je nach Anforderungen des Leitsystems können Sie so die

Sicherheitsfunktionen der Firewalls bedarfsgerecht anpassen. LSMs

werden werkseitig vorinstalliert oder im Feld über das Tofino-Kunden-

portal hinzugefügt.

 Tofino Configurator: Ein Windows-basiertes Managementsystem zur

Konfiguration jedes Tofino SA-Gerätes.

Verwenden Sie den Tofino Configurator auf Ihrem PC, um die Konfigurati-

onsdaten für jede Tofino SA in Ihrem Werk zu definieren. Nachdem Sie die

Bearbeitung der Konfiguration abgeschlossen haben, können Sie die Konfi-

gurationsdaten an die Tofino SAs übertragen. Weiterhin können Sie die

Konfigurationsdetails aus einer Tofino SA abrufen, um zu verifizieren, ob im

Feld die korrekte Konfiguration verwendet wird.

Der Tofino Configurator läuft auf den folgenden Microsoft-Betriebssystemen:

Windows XP, Windows 7 (32 und 64 Bit) und Windows Server 2003, 2008

und 2008 SR2. Für den Betrieb des Tofino Configurator sind keine weiteren

Anwendungen oder Dienste (z. B. Java, NET oder Flash) erforderlich.

Einführung in den Tofino Configurator

12

1.1

Navigieren durch den Tofino

Configurator

Tofino Configurator CNM

Release

V2.00

03/2014

1.1 Navigieren durch den Tofino

Configurator

Der Tofino Configurator wurde in Bezug auf die Gestaltung und den Betrieb

in Anlehnung an Windows Explorer konzipiert, den Sie auf Ihrem Rechner für

die Navigation durch Dateien und Ordner verwenden. Wenn Sie mit den

grundlegenden Windows-Funktionen vertraut sind, können Sie den Tofino

Configurator umgehend nutzen. Die Hauptansicht ist in 2 Abschnitte geglie-

dert:

 1 – Project-Explorer -Ansicht: Tofino SA, Asset-Vorlagen, Assets, Proto-

kolle und Spezialregeln sind ähnlich wie die im Windows Explorer ange-

zeigten Dateien im Baumformat aufgeführt. Sie können Objekte in der

Projekt-Explorer-Ansicht anklicken und die zugehörigen Informationen in

der Ansicht „Details“ anzeigen. Durch einen Klick auf den Stammordner

wird eine Tabelle der definierten Objekte vom jeweiligen Typ angezeigt.

Klicken auf den Ordner „Assets“ führt zur Anzeige einer Tabelle mit den

in dem Projekt definierten Assets.

 2 – Detailansicht: Die Einzelheiten zu den in der Projekt-Explorer-Ansicht

ausgewählten Optionen werden hier angezeigt. In diesem Bereich bear-

beiten Sie die einzelnen Werte für ein Objekt.

Einführung in den Tofino Configurator

Tofino Configurator CNM

Release

V2.00

03/2014

1.1

Navigieren durch den Tofino

Configurator

13

Der Tofino Configurator verfügt über eine Werkzugleiste, über die Sie Akti-

onen für ein Objekt in einem Projekt ausführen können.

Die Werkzeugleiste enthält 3 Abschnitte:

 1 – Projektbearbeitungs-Befehle: Dieser Bereich wird links außen in der

Werkzeugleiste angezeigt und ist für Befehle im Zusammenhang mit der

Verwaltung von Projektdateien und den zugehörigen Dateien bestimmt.

Dazu gehören:

 Neue Projekte, Assets, Asset-Vorlagen, Protokolle oder Tofino SAs

unter Verwendung eines Assistenten erzeugen

 Bestehendes Projekt öffnen

 Ein Projekt speichern

Einführung in den Tofino Configurator

14

1.1

Navigieren durch den Tofino

Configurator

Tofino Configurator CNM

Release

V2.00

03/2014

 Vordefinierte Asset-Vorlagen, Protokolle, Spezialregeln und Sicher-

heitsprofile importieren

 Objekte und Felder ausschneiden, kopieren, einfügen und löschen

 2 – Kontextbefehle: Dieser Bereich wird in der Mitte der Werkzeugleiste

angezeigt und enthält Befehle, die sich auf die aktuell bearbeiteten Inhalte

beziehen. Je nach Objekttyp, der in der Projekt-Explorer-Ansicht ausge-

wählt wurde, werden in diesem Bereich verschiedene Befehle angezeigt.

 3 -– Hilfe- und Konfigurationsbefehle: Dieser Bereich wird rechts außen

in der Werkzeugleiste angezeigt und umfasst:

 Prüfprotokolle: Anzeigen und Verwalten des Prüfsystems

 Einstellungen: Bearbeiten der Konfigurationen, z. B. Speicherort der

Prüfdatei

 Lizenzen: Verwalten Ihrer Tofino Configurator- und LSM-Lizenzen

 Hilfe: Anzeige der Online-Hilfe und Produktinformationen zum Tofino

Configurator

9 Schritte zu einem sicheren Steue-

rungssystem

Tofino Configurator CNM

Release

V2.00

03/2014

15

2 9 Schritte zu einem sicheren

Steuerungssystem

Der Tofino Configurator ist so konzipiert, dass er Ihnen die Installation von

Sicherheits-Firewalls in einem industriellen Leitsystem so einfach wie

möglich macht. Die folgenden 9 Schritte beschreiben die Vorgehensweise

zur Installation und Konfiguration Ihrer Tofino Industrial Security-Lösung.

 Installieren Sie die Tofino Configurator auf Ihrem Rechner.

 Erzeugen Sie ein Projekt.

9 Schritte zu einem sicheren Steue-

rungssystem

16

Tofino Configurator CNM

Release

V2.00

03/2014

 Definieren Sie die Tofino SAs für Ihr Projekt.

Diese Informationen werden zur Konfiguration der Tofino SAs verwendet,

die in Ihrem Netz installiert werden.

 Definieren Sie Assets für Ihr Projekt.

Diese Objekte stellen sowohl physische Netzinstanzen innerhalb Ihres

Netzes (z. B. HMIs und SPS) als auch virtuelle Instanzen (z. B. Broad-

cast-Adressen) dar. Sie verwenden diese, um unterschiedliche Aufgaben

(wie das Erzeugen von Firewall-Regeln) einfacher zu bewerkstelligen.

 Definieren Sie Firewall-Regeln für die Tofino SAs.

Diese verwenden die von Ihnen erzeugten Assets sowie die mit dem

Tofino Configurator ausgelieferten vordefinierten Protokolle und Spezial-

regeln, um festzulegen, welchen Netzverkehr die Tofino SA zulässt oder

blockiert. Auf die verschiedenen DPI-Enforcer-Module (DPI: Deep Packet

Inspection – umfassende Paketinspektion) wird durch die Firewall-

Auswahl zugegriffen.

 Konfigurieren Sie den Event Logger (optional).

Geben Sie die Daten des Syslog-Servers ein, an den die Tofino SA

Alarm- und Ereignismeldungen senden soll. Alternativ können Sie die

Tofino SA dahingehend konfigurieren, dass sie die Protokolle lokal in der

Tofino SA speichert, damit Sie diese später auf einen USB-Speicher

übertragen können.

 Installieren Sie die Tofino SA-Hardware.

DieTofino SA wird zwischen einem oder mehreren zu schützenden

Geräten und dem übrigen Netz installiert.

 Wenden Sie die Konfigurationseinstellungen auf die Tofino SAs im

Feld an.

Abhängig von den erworbenen Optionen können Sie die Konfigurations-

daten vom Tofino Configurator über das Netz oder mithilfe eines USB-

Speichers an die Tofino SA(s) übertragen.

 Überprüfen Sie die Konfiguration.

Auf diese Weise rufen Sie die Konfigurations-Ladeprotokolle über das

Netz oder vom USB-Speicher ab, mit dem Sie die Ladekonfigurationen in

eine oder mehrere Tofino SAs geladen haben. So erhalten Sie die

Möglichkeit, Konfiguration der Tofino SAs im Feld aufzuzeichnen und in

Ihrem Projekt zu speichern.

Sie haben nun die Tofino Industrial Security-Lösung installiert und damit die

Sicherheit Ihres Prozesssteuerungsnetzes erheblich verbessert.

9 Schritte zu einem sicheren Steue-

rungssystem

Tofino Configurator CNM

Release

V2.00

03/2014

17

Anmerkung: Während der Erstkonfiguration oder während der Aktualisie-

rung der Konfiguration lässt die Tofino SA den Netzverkehr ohne Einschrän-

kungen passieren. Die Firewall-Regeln werden nach Abschluss der Erstkon-

figuration oder der Aktualisierung der Tofino SA wirksam; d. h. der

Netzbetrieb wird erst beeinflusst, wenn Sie den vollständigen Regelsatz

geladen haben. Das Laden einer durchschnittlichen Konfiguration nimmt

etwa 30 Sekunden in Anspruch.

9 Schritte zu einem sicheren Steue-

rungssystem

18

Tofino Configurator CNM

Release

V2.00

03/2014

Installation des Tofino Configurators

Tofino Configurator CNM

Release

V2.00

03/2014

19

3 Installation des Tofino

Configurators

Dieser Abschnitt enthält detaillierte Informationen zur Installation des Tofino

Configurator auf einem Rechner, auf dem bislang noch kein Tofino

Configuratorinstalliert war.

Halten Sie für die Installation der Tofino Configurator-Software Folgendes

bereit:

 Tofino Configurator Installations-CD

 Lizenz-Aktivierungsschlüssel (eine Zeichenfolge aus 25 Buchstaben und

Ziffern, wie z. B. X4QP9-RMNRQ-B59SD-AG5H6-KSFRW).

Installation des Tofino Configurators

20

3.1

Ausführen des Installationspro-

gramms für den Tofino Configurator

Tofino Configurator CNM

Release

V2.00

03/2014

3.1 Ausführen des Installations-

programms für den Tofino

Configurator

Das Ausführen des Installationsprogramms für den Tofino Configurator

startet den Installationsassistenten. Führen Sie die Schritte des Assistenten

zur Konfiguration der Installation aus, stimmen Sie der Lizenzvereinbarung

zu, und aktivieren Sie Ihre Lizenz.

Für die Installation des Tofino Configurator benötigen Sie ein Windows-

Benutzerkonto mit Administratorrechten.

 Starten Sie das Installationsprogramm für den Tofino Configurator von

der CD.

 Folgen Sie den Bildschirmanweisungen, um den Tofino Configurator zu

installieren.

Der Installationsassistent für den Tofino Configurator führt Sie durch die

Schritte zur Konfiguration Ihrer Installation.

 Der Lizenzvereinbarung zustimmen

 Installationsart festlegen

 Zielordner auswählen

 Programmsymbole zu spezifischen Ordnern hinzufügen

 Verknüpfungssymbole erzeugen

Seite laden ...

Hirschmann Tofino Configurator Benutzerhandbuch

Hirschmann Tofino Configurator Benutzerhandbuch

Verwandte Papiere

Sonstige Unterlagen