Utilisation et propriétés
1.4 Industrial Ethernet Security
Fonctions de sécurité du CP
L'utilisation du CP comme module de sécurité permet à la station S7-1200 de bénéficier des
fonctions de sécurité suivantes au niveau de l'interface vers le réseau externe :
● Pare-feu
– Pare-feu IP avec Stateful Packet Inspection (couches 3 et 4)
– Pare-feu également pour trames Ethernet "non IP" selon IEEE 802.3 (couche 2)
– Limitation de la vitesse de transmission ("Limitation de largeur de bande")
– Règles de pare-feu globales
● Communication sécurisée par tunnel IPsec (VPN)
La communication par tunnel VPN permet d'établir des tunnels IPSec sécurisés pour la
communication avec un ou plusieurs modules de sécurité.
Le CP peut être configuré avec d'autres modules pour former des groupes VPN. Des
tunnels IPsec (VPN) sont alors établis entre tous les modules de sécurité. La
communication entre tous les nœuds internes de ces modules de sécurité est sécurisée
par ces tunnels.
● Journalisation
Des évènements peuvent être enregistrés, à des fins de surveillance, dans des fichiers
journal que l'outil de configuration permet de lire ou d'envoyer automatiquement à un
serveur Syslog.
● NTP (secure)
Pour la transmission sécurisée lors de la synchronisation d'horloge
● SNMPv3
Pour la transmission à l'abri des écoutes d'informations d'analyse de réseau
● Protection des appareils et segments de réseau
La fonction de sécurité du pare-feu peut s'étendre à un appareil, à plusieurs appareils ou
à des segments de réseau complets.
Remarque
Installations critiques sur le plan de la sécurité - Recommandation
Exploitez les possibilités suivantes :
• Utilisez, dans les installations devant répondre à de sévères critères de sécurité, les
protocoles sécurisés NTP (secure), HTTPS et SNMPv3.
• En cas de connexion à des réseaux publics, activez le pare-feu. Evaluez le pour et le
contre des services par lesquels vous voulez permettre l'accès à la station via les
réseaux publics. Exploitez la possibilité de "limitation de largeur de bande" offerte par le
pare-feu pour restreindre les attaques par flooding ou déni de service.
Voir chapitre Recommandations de sécurité (Page 37).
Concernant la configuration des fonctions de sécurité, voir chapitre Security (Page 52).
Pour plus de détails sur la fonctionnalité et la configuration des fonctions de sécurité, veuillez
vous référer au système d'information STEP 7 et au manuel /4/ (Page 122).
16
Instructions de service, 12/2016, C79000-G8977-C365-02
CP 1243-1