S7 1500 ve SCALANCE S615 ile Endüstriyel Güvenlik Uygulaması Nasıl Yapılır?

Bu bölümde, Endüstriyel Ethernet Güvenliği SCALANCE S615’i yapılandırmayı ve bir S7-1500 kontrol cihazının diğer ağlara güvenli bir şekilde bağlanması ile ilgili uygulama yapılmıştır. Bu bölüm, SCALANCE  S615 İçin Endüstriyel Güvenlik Konfigürasyonu Nasıl Yapılır? bölümüne dayanmaktadır. Bu bölümdeki işi gerçekleştirmek için projesi kullanılabilir, örneğin:

“SCE_EN_092-300_OPC_UA_S7-1500_R1807.zap15”.

Uygulama için Gerekli Donanım ve Yazılım

  1. Mühendislik istasyonu: Gereksinimler donanım ve işletim sistemini içerir (ek bilgi için, TIA Portal Kurulum DVD’lerinde BeniOku’ya bakın)
  2. SIMATIC STEP 7 TIA Portal’da profesyonel yazılım – V15.1 veya üstü
  3. SIMATIC S7-1500 kontrolör, örn. CPU 1516F-3 PN/DP –Hafıza kartı ile Firmware V2.1 veya üzeri
  4. Endüstriyel Ethernet Güvenliği SCALANCE S615
  5. Mühendislik istasyonu ile SCALANCE S615 ve kontrol ile SCALANCE S615 arasında Ethernet bağlantısı

Planlamanın nasıl yapılacağına ilişkin talimatları aşağıda bulabilirsiniz. Aşağıda gösterilen talimatların adımlarını takip etmeniz yeterlidir.

Daha Önceden Var Olan Proje Nasıl Kurtarılır?

-> “SCE_EN_092-300 OPC UA S7-1500_R1807.zap15” projesini “SCE_EN_092-300 OPC UA S7-1500″ bölümünden genişletmeden önce, onu arşivden alınması gerekir.

-> Arşivlenmiş mevcut bir projeyi geri almak için, proje görünümünden -> Proje(Project) -> Al(Retrieve) altında ilgili arşiv seçilmelidir. Yapılan seçim”Aç(Open)” ile onaylanır. (-> Proje(Project) -> Al(Retrieve) -> Bir .zap arşivi seçin … -> Aç(Open))

-> Bir sonraki adım olarak, alınan projenin saklanacağı hedef dizini seçilmelidir. Seçiminizi “Tamam(OK)” ile onaylanır. (-> Hedef dizin…(Target Directory…) -> Klasör seçin(Select Folder))

-> Kurtarılan ve açılan projeyi 142-200_Industrial_Security_with_S615 adı altında kaydedilir. (-> Proje(Project) -> Farklı kaydet …(Save As…) -> 142-200_Industrial_Security_with_S615 -> Kaydet(Save))

SCALANCE S615’in IP Adresi Nasıl Ayarlanır?

-> Programlama cihazı SCALANCE S615’in 4 numaralı bağlantı noktasına bağlanır.

-> SCALANCE S615’e diğer tüm bağlantılar ayrılır.

-> Programlama cihazınızın 192.168.1.0/24 alt ağında olduğundan emin olunmalıdır.

-> Erişilebilir cihazlar için arama açılır. (->   )

-> PN/IE arayüzü seçilir ve arama başlatılır. (-> )

-> SCALANCE S-600’ü seçilir ve “Göster(Show)”e tıklanır. (-> )

-> “Çevrimiçi erişim(Online acces)” altında, görüntülenen cihazın “Çevrimiçi ve teşhis(Online & Diagnostic)” öğesi açılır.

-> IP adresi 192.168.1.254/24 olarak ayarlanır. (-> Fonksiyonlar(Functions) -> IP adresi ata(Assign IP Adress) -> IP adresi(IP Adress): 192.168.1.254 -> Alt ağ maskesi(Subnet mask): 255.255.255.0 -> )

SCALANCE S615’in Temel Konfigürasyonu Nasıl Yapılır?

-> Tarayıcıda, SCALANCE S615 web arayüzü açılır (-> https://192.168.1.254).

-> SCALANCE S615’in web arayüzü, kendinden imzalı bir sertifika ile korunmaktadır. Devam etmek için istisna onaylanır.

Not: Tarayıcıya bağlı olarak, sertifikanın onayı biraz farklı görünür.

-> Önce kullanıcı arayüzünün dili İngilizce olarak değiştirilir. (-> İngilizce(English) -> Git(Go))

-> Ardından “admin” kullanıcısı ve “admin” şifr-> Ardından “admin” kullanıcısı ve “admin” şifresi ile oturum açılabilir. (-> İsim(Name): admin -> Şifre(Password): admin-> Giriş(Login))

->Varsayılan erişim, ilk oturum açmadan önce değiştirilmelidir. (-> tamam(OK))

-> Önce eski parolayı “admin” ve ardından iki kez yeni bir parola girilir.

-> Mevcut kullanıcı adı: admin

-> Yeni şifre(New password): ***

-> Şifreyi onaylayın(Confirm password): ***

-> Ayarları uygula(Apply settings)

Not: Yeni şifre için en az sekiz karakter, bir sayı, bir büyük harf ve bir özel karakter gerekir!

-> Erişim verileri ve oturum açma başarıyla değiştirildiğinde, cihaza DCP erişimine yalnızca salt okunur modda izin verilir. (-> Tamam(OK))

-> Aşağıdaki yapılandırma sihirbazında, VLAN 2’yi 10.0.0.254/24 statik adresine ayarlanır ve “İleri(Forward)”ye tıklanır. (Harici (vlan2) -> DHCP -> IP Adresi(IP Adress): 10.0.0.254 -> Alt Ağ Maskesi(Subnet Mask): 255.255.255.0 -> Sonraki(Next))

-> Tanımlama verileri gerektiği gibi doldurulur ve “İleri(Next)”ye tıklanır.

(-> Sistem Adı(System Name): … -> Sistem Konumu(System Location): … -> Sistem İletişimi(Sistem Contact): … -> Sonraki(Next))

-> Bilgisayar saati kabul edilir ve “İleri”ye tıklanır. (->PC Zamanını Kullan(Use PC time) -> Sonraki(Next))

-> “İleri(Next)” ile dinamik DNS ayarları atlanır. (-> Sonraki(Next))

-> “İleri(Next)” ile SINEMA RC ayarları atlanır. (-> Sonraki(Next))

-> Özetteki tüm ayarları tekrar kontrol edilir ve konfigürasyon onaylanır. (-> Değerleri Ayarla(Set Values))

-> Ayarlar kabul edildikten sonra, kullanıcı SCALANCE S615’in son web arayüzüne yönlendirilecektir.

DHCP Sunucusunun Konfigürasyonu Nasıl Yapılır?

Tesis ağına bağlantıyı servis teknisyeni için ve daha sonra testler sırasında mümkün olduğunca kolaylaştırmak için SCALANCE S615’e hem güvenli hem de güvenli olmayan aralıkta dinamik adresler atanır.

->Menü sisteminde DHCP sunucu ayarlarına gidilir. (-> Sistem(System) -> DHCP -> DHCP Sunucusu(DHCP Server))

->Önce yeni bir IP adresi havuzu oluşturulur. (-> Oluştur(Create))

-> Arayüz için vlan1’i seçilir. (-> Arayüz: vlan1 (INT)(Interface: vlan1 (INT)))

-> Doğru alt ağ ayarlanır. (-> Alt ağ: 192.168.1.0/24( Subnet: 192.168.1.0/24))

-> İlk IP adresi ayarlanır. (-> Alt IP Adresi: 192.168.1.208(Subnet IP Adress: 192.168.1.208))

-> Son IP adresini ayarlanır. (-> Üst IP Adresi: 192.168.108.223)

-> Ayarlar uygulanır. (-> Değerleri Ayarla(Set Values))

-> Başka bir IP adresi havuzu oluşturulur (-> Oluştur(Create))

-> Arayüz için vlan2 seçilir. (-> Arayüz: vlan2 (EXT))

-> Doğru alt ağı ayarlanır. (-> Alt ağ: 10.0.0.0/24)

-> İlk IP adresini ayarlanır. (-> Alt IP Adresi: 10.0.0.1)

-> Son IP adresini ayarlanır. (-> Üst IP Adresi: 10.0.0.127)

-> DHCP Seçenekleri sekmesine gidilir (-> DHCP Seçenekleri(DHCP Options))

-> Her iki havuzda da seçenek 3 için arayüz IP’si kullanılır ve ayarlar kabul edilir.

(-> Havuz Kimliği: 1(Pool ID: 1 ) -> Seçenek değeri: 3(Option Code: 3 ) -> Arayüz IP’sini Kullan(Use Interface IP))

(-> Havuz Kimliği: 2 (Pool ID: 2 )-> Seçenek değeri: 3(Option Code: 3 ) -> Arayüz IP’sini Kullan(Use Interface IP))

(-> Değerleri Ayarla(Set Values))

->DHCP sunucusuna geri dönülür. (-> DHCP Sunucusu(DHCP Server))

->DHCP sunucusunu seçilir. (-> DHCP Sunucusu(DHCP Server)))

-> İki havuzu seçilir. (-> Seç(Select))

-> Ayarlar uygulanır (-> Değerleri Ayarlayın(Set Value))

Not: S615 daha sonra adresleri 192.168.1.0/24 alt ağından 1 – 4 arasındaki bağlantı noktalarına ve 10.0.0.0/24 ağından bağlantı noktası 5’e dağıtır. Her durumda, ağ geçidi olarak kendi IP’sini sağlar..

-> Statik yapılandırma yerine IP adresi otomatik olarak alınır.

(-> Otomatik olarak bir IP adresi edinilir -> Otomatik olarak DNS sunucu adresi edinilir)

-> Değişiklikleri onaylanır ve ağ bağlantılarında bağlantının durumu açılır. (-> LAN bağlantısı (LAN connection)-> Durum(State))

-> Ayrıntılar(Details) tıklanır. (-> Ayrıntılar(Details))

-> Programlama cihazına uygun bir IP adresi ve bir ağ geçidi atandığından emin olunmalıdır.

Güvenlik Duvarı Nasıl Kurulur?

Fabrika yapılandırmasında SCALANCE S615, iki VLAN arasındaki bağlantılara izin vermez. 1 ila 4 numaralı bağlantı noktalarındaki cihazlar, 5 numaralı bağlantı noktalarındaki cihazlarla iletişim kuramaz ve bunun tersi de geçerlidir. Bu bağlantı, örneğin şirket ağındaki cihazların CPU’nun OPC UA sunucusuna erişebilmesi için serbest bırakılmalıdır.

-> Güvenlik menüsünde güvenlik duvarı ayarları açılır. (-> Güvenlik(Security) -> Güvenlik Duvarı(Firewall))

->Öntanımlı IPv4 Kuralları sekmesine gidilir. (-> Önceden tanımlanmış IPv4 kuralları(Predefined IPv4 Rules))

-> S615’e HTTPS ve Ping yoluyla harici erişime izin verilir ve ayarlar kabul edilir. (-> vlan2 (EXT) -> HTTPS -> Ping)

Not: HTTPS için onay kutusunun seçilmesi, yapılandırma arayüzüne harici erişime izin verir ve gerekli değerlendirme yapılmadan yapılmamalıdır. Ancak, bu erişime daha sonra S615’te kimlik doğrulama için ihtiyacımız olacak. Harici olarak bağlı şirket ağı bir kamu ağı olmadığı için buradaki risk nispeten düşüktür. İnternete bağlı bir SCALANCE S615 yalnızca harici IPsec VPN, ping ve yapılandırmaya bağlı olarak DHCP’ye izin vermelidir.

-> IP Hizmetleri sekmesine gidilir. (-> IP Hizmetleri(IP Services))

-> CPU’nun web sunucusu için yeni bir hizmet oluşturulur.

(-> Hizmet Adı(Servive Name): https -> Oluştur(Create))

-> Hedef bağlantı noktası olarak HTTPS bağlantı noktası girilir ve ayarlar uygulanır.

(-> Hedef Bağlantı Noktası: 443 -> Değerleri Ayarla(Set Values))

-> IP Kuralları sekmesine gidilir. (-> IP Kuralları(IP Rules))

-> Yeni bir kural oluşturulur. (-> Oluştur(Create))

-> Eylemi Kabul Et olarak ayarlanır. (-> Eylem: Kabul Et(Action: Accept ))

-> Kaynak arayüzü olarak vlan2 seçilir. (-> Gönderen(From): vlan2 (EXT))

-> Hedef arayüz olarak vlan1 seçilir. (-> Kime(To): vlan1 (INT))

-> Kaynak ağ olarak şirket alt ağı 10.0.0.0/24 girilir. (-> Kaynak(Source): 10.0.0.0/24)

-> S7-1500’ün X2 IP’sini hedef olarak belirlenir. (-> Hedef(Target): 192.168.1.1/32)

-> Hizmet olarak, az önce oluşturulan HTTPS hizmeti seçilir. (-> Hizmet(Service): https)

-> Ayarlar uygulanır. (-> Değerleri Ayarla(Set Values))

Hizmet Kullanıcısının Ayarlanması Nasıl Yapılır?

Web sunucusuna harici erişim kurulduktan sonra, bir sonraki adımda sisteme bir kullanıcı ile giriş yapılarak etkinleştirilen belirli kurallar oluşturulur.

-> Yerel kullanıcı yönetimi açılır. (-> Güvenlik(Security) -> Kullanıcılar(Users) -> Yerel Kullanıcılar(Local Users))

-> Yeni bir kullanıcı adı belirtilir. (-> Kullanıcı hesabı: destek(User account: support))

-> Bir şifre girilir. (-> Şifre(Password): *** -> Şifreyi onaylayın(Confirm password ): ***)

-> Rol olarak “kullanıcı(User)” seçilir. (-> Rol: kullanıcı(Role: user) )

-> Oluştur’a tıklanır. (-> Oluştur(Create))

-> Uzaktan erişim olarak “yalnızca” seçilir (-> destek (support)-> Uzaktan erişim: yalnızca(Remote access: only))

-> Ayarları uygulanır. (-> Değerleri Ayarla(Set Value))

-> Güvenlik duvarı altında, Kullanıcıya Özel sekmesine geçilir. (-> Güvenlik(Security) -> Güvenlik Duvarı(Firewall) -> Kullanıcıya Özel(User Specific))

-> Yeni bir kural seti “support_rules” eklenir. (-> Kural Kümesi(Rule Set) -> Ad: support_rules(Name: support_rules ) -> Oluştur(Create))

->”support_rules” kural kümesini “support” kullanıcısına atanır. (-> Kural Kümesi Atama(Rule Set Assignment) -> destek(Support) -> Kural Kümesi: support_rules(Rule Set: support_rules))

-> Yeni ayarlar uygulanır. (-> Değerleri Ayarla(Set Value))

Not: Bu, sisteme başarılı bir şekilde giriş yaptıktan sonra “support” kullanıcısının bilgisayarına “support_rules” ek kural kümesi uygulanır.

-> IP Kuralları sekmesine gidilir. (-> Güvenlik(Security) -> Güvenlik Duvarı(Firewall) -> IP Kuralları(IP Rules))

-> Yeni bir kural oluşturulur. (-> Oluştur(Create))

-> Eylemi Kabul Et olarak ayarlanır. (-> Eylem: Kabul Et(Action: Accept))

-> Kaynak arayüzü olarak vlan2 seçilir. (-> Gönderen(From): vlan2 (EXT))

-> Hedef arayüz olarak vlan1 seçilir. (-> Kime(TO): vlan1 (INT))

-> Kaynak ağ olarak “DYNAMIC” girilir. (-> Kaynak(Sorce): DİNAMİK(DYNAMIC))

-> S7-1500’ün X2 IP’sini hedef olarak girilir. (-> Hedef(Target): 192.168.1.1/32)

-> Hizmet olarak “tümü(All)”nü seçilir. (-> Servis: hepsi(Service: All))

-> Ayarlar uygulanır. (-> Değerleri Ayarla(Set Values))

-> Ardından, kural kümesi altında “support_rules” öğesi seçilir. (-> Kural Kümesi(Rule Set): support_rules -> hepsini göster(Show all))

-> Yeni oluşturduğunuz kuralda “Şuraya ata(Assign to)” onay kutusu seçilir. (-> ata(Assign to))

-> Ayarlar uygulanır. -> Değerleri Ayarla(Set Values))

Not: DYNAMIC yer tutucusu, oturum açma sırasında oturum açmış kullanıcının IP’si ile değiştirilir. Kuralın “support_rules” kural kümesine atanması nedeniyle, bu kural yalnızca ilgili kullanıcı oturum açtıktan sonra etkinleşir.

CPU 1516F Yapılandırması Nasıl Yapılır?

Ağ yapılandırması daha sonra uyarlanmalı ve CPU 1516F’ye aktarılmalıdır.

-> CPU 1516F-3 PN/DP’nin X2 arayüzünü SCALANCE S615’in 1 numaralı bağlantı noktasına bağlanır.

-> TIA Portalında CPU_1516F’nin X2 arayüzünün özelliklerini açın.(-> CPU_1516F -> X2 -> Özellikler(Properties))

-> IP yapılandırmasına gidilir. (-> Ethernet adresleri(Ethernet Adress) -> IP protokolü(IP Protocol))

-> S615’in IP adresini yönlendirici olarak ayarlanır. (-> Yönlendirici kullan(Use Router) -> Yönlendirici adresi(Router Adress): 192.168.1.254)

->CPU 1516F-3 PN/DP’nin web sunucusunun özellikleri açılır.(-> CPU_1516F -> Özellikler(Properties) ->Web sunucusu(Web Server))

-> Web sunucusu etkinleştirilir. (-> Genel (General)->Bu modülde web sunucusu etkinleştirilir)

-> HTTPS’ye erişim kısıtlanır. (-> Genel(General) ->Yalnızca HTTPS ile erişime izin verilir)

-> Yeni bir kullanıcı oluşturulur. (-> Kullanıcı yönetimi (User Managing)-> İsim(Name): admin -> Şifre(Password): ***)

-> Yeni kullanıcının erişim düzeyini Yönetici olarak ayarlanır. (-> Kullanıcı yönetimi(User managing)-> yönetici(Manager) -> Erişim düzeyi(Accesing level) -> İdari(Administrative))

-> X2 arayüzünde web sunucusu etkinleştirilir. (-> Arayüzlere genel bakış(Overview of interfaces ) -> PROFINET interface_2)

-> Yapılandırma CPU’ya indirilir. (-> CPU_1516F-> -> )

-> İndirirken, şimdi X2 arayüzüne bağlı olunduğundan emin olunur (-> Arayüze/alt ağa bağlantı: Doğrudan ‘1 X2’ yuvasında(Connection to interface/subnet: Direct at slot ‘1 X2’))

Kural Seti Nasıl  Test Edilir?

-> Bilgisayarı SCALANCE S615 üzerindeki bağlantı noktası 5’e bağlanır.

-> Bilgisayarın SCALANCE S615’ten 10.0.0.0/24 alt ağında yeni bir adres aldığından emin olunur. (-> LAN bağlantısı(LAN Connection) -> Durum(State))

-> Tarayıcı ile CPU 1516F-3 PN/DP’nin web sunucusu açılır. (-> https://192.168.1.1)

-> TIA Portal ile CPU 1516F-3 PN/DP ile çevrimiçi bir bağlantı kurmaya çalışılır. (-> TIA Portal-> CPU_1516F->)

Not: CPU_1516F ile bağlantı kurulumu şu anda mümkün olmamalıdır, çünkü yalnızca 443 ve 4840 bağlantı noktası etkinleştirilmiştir.

-> Tarayıcıda SCALANCE S615’in web arayüzü açılır. Bu sefer cihazın harici tarafında olduğunuz için cihazın harici IP adresi kullanılır. (-> https://10.0.0.254)

-> Güvenlik duvarı girişine gidilir. (-> Güvenlik duvarı girişine geçilir)

-> “destek” kullanıcısı ile oturum açılır. (-> İsim: destek(Name: Support) -> Şifre: ***(Password: **))

-> Giriş Yap’a tıklanır. (-> Giriş Yap(Login))

-> Güvenlik duvarı kuralı seti “support_rules” daha sonra 30 dakika süreyle etkinleştirilmelidir.

Not: “Zaman Aşımını Sıfırla” butonu ile kural setlerinin geçerliliğini 30 dakikaya sıfırlayabilirsiniz. Oturumu Kapat’a tıklandığında, tüm kural kümeleri yeniden sonlandırılır.

-> TIA Portal da CPU 1516F-3 PN/DP ile çevrimiçi bağlantı kurma tekrar denenebilir.(-> TIA Portal-> CPU_1516F->)

Not: Bu sefer, bağlantı kurulumu ek kural kümesi aracılığıyla düzgün çalışmalıdır.

KAYNAKÇA:

https://new.siemens.com/global/en/company/sustainability/education/sce/learning-training-documents.html

HAZIRLAYAN:Mehmet Berat Şen

linkedin.com/in/mehmet-berat-şen-583108167

KURSLARIMIZ

BLOG KATEGORİLERİ

SON YAZILAR

Mesajınız için teşekkür ederiz. Size en kısa sürede ulaşacağız.
Mesajınızı gönderirken bir hata oluştu. Lütfen tekrar deneyin.

İletişim Bilgilerinizi Bırakın Biz Sizi Arayalım!

Sizin memnuniyetiniz, bizim mutluluğumuzdur…

Mesajınız için teşekkür ederiz. Gönderildi.
Mesajınızı gönderirken bir hata oluştu. Lütfen tekrar deneyin.