Configuración NAPT, NETMAP, Source NAT y Masquerading

Configuración de los diferentes tipos de NAT

con SCALANCE S615

Página 1 Comunicación Industrial - SIMATIC NET Industry Sector

ÍNDICE

1. Esquema inicial
2. Configurar IP y Gateway del PC
3. Configurar IP de las 2 interfaces
4. Configurar IP y Gateway de la CPU
5. NAPT
6. NETMAP / Destination NAT
7. Source NAT
8. Masquerading

Página 2 Comunicación Industrial - SIMATIC NET Industry Sector

ESQUEMA INICIAL

VLAN2 / Subnet B 192.168.1.0/24

PC
IP: 192.168.1.10
GW: 192.168.1.1

IP: 192.168.1.1

S615

IP: 192.168.0.254

CPU
IP: 192.168.0.1
GW: 192.168.0.254

VLAN1 / Subnet A 192.168.0.0/24

Página 3 Comunicación Industrial - SIMATIC NET Industry Sector

Configurar IP y Gateway del PC

Página 4 Comunicación Industrial - SIMATIC NET Industry Sector

 Configurar IP de las 2 interfaces

Página 5 Comunicación Industrial - SIMATIC NET Industry Sector

Configurar IP y Gateway de la CPU

Página 6 Comunicación Industrial - SIMATIC NET Industry Sector

Aplicación de reglas de firewall con NAT

Accept rule
Internal to WAN

Connection setup Esta imagen muestra como se aplican las reglas de firewall con el NAT activado.
La secuencia es la siguiente:
-El origen (A) envía un paquete con destino el Firewall(F).
A F B
-Con el paquete recibido, el Firewall(F) realiza la traducción siendo la
dirección de origen A o F según utilicemos NAPT o Source NAT y la
dirección de destino será B. Es aquí cuando se aplica la regla de
Response packets from the
destination
Firewall. Por ello, la dirección de destino que debe aparecer en la
Automatically allowed by state regla de Firewall es la dirección traducida del NAT, en este caso B.

Destination NAT -Para el camino de vuelta no es necesario configurar nada dado que
from NETMAP / NAPT el Firewall es statefull.

A continuación se muestra la configuración de Firewall para nuestro

Sequence

ejemplo del PC y el PLC.

Firewall

Source NAT
from source NAT/ NETMAP/
masquerading

Página 7 Comunicación Industrial - SIMATIC NET Industry Sector

Definir servicio IP

Página 8 Comunicación Industrial - SIMATIC NET Industry Sector

Crear regla de Firewall

La dirección de destino que debe permitir la

regla de Firewall es la dirección traducida
(192.168.0.1) y no a la que vamos a atacar
nosotros (192.168.1.1)

Página 9 Comunicación Industrial - SIMATIC NET Industry Sector

 Activar Firewall

Página 10 Comunicación Industrial - SIMATIC NET Industry Sector

 NAPT
Network Address Port Translation

Página 11 Comunicación Industrial - SIMATIC NET Industry Sector

 NAPT- OBJETIVO

VLAN2 / Subnet B 192.168.1.0/24

PC
IP: 192.168.1.10
GW: ?

El objetivo será que el PC pueda comunicarse con la CPU, que está en otra
subred, sin la necesidad de tener el Gateway configurado.
Para ello, utilizaremos una redirección de puertos en el SCALANCE S615 y
IP: 192.168.1.1 atacaremos a este para que redirija la comunicación hacia la CPU.
Para ello realizamos al siguiente configuración.

S615

IP: 192.168.0.254

CPU
IP: 192.168.0.1
GW: 192.168.0.254

VLAN1 / Subnet A 192.168.0.0/24

Página 12 Comunicación Industrial - SIMATIC NET Industry Sector

 Configuración web

El PC envía el paquete a la dirección 192.168.1.1 por el puerto 102; y el SCALANCE S traduce esta dirección
como 192.168.0.1 por el mismo puerto 102.

Página 13 Comunicación Industrial - SIMATIC NET Industry Sector

 NAPT CONFIGURADO

VLAN2 / Subnet B 192.168.1.0/24

PC
IP: 192.168.1.10
GW: ? Con el NAPT configurado, a atacar al SCALANCE S615 a la IP 192.168.1.1 y puerto 102, el
SCALANCE S615 con la configuración que hemos hecho, lo que hará será redirigir a la IP
192.168.0.1 y puerto 102 la comunicación, con lo cual ya podemos comunicarnos con la CPU
sin necesidad de tener Gateway en el PC
IP: 192.168.1.1

SRC IP: 192.168.1.10

DST IP: 192.168.1.1
DST port: 102

SRC IP: 192.168.1.10

IP: 192.168.0.254

DST IP: 192.168.0.1 DST port:

102

CPU
IP: 192.168.0.1
GW: 192.168.0.254

VLAN1 / Subnet A 192.168.0.0/24

Página 14 Comunicación Industrial - SIMATIC NET Industry Sector

 Buscar PLC con NAPT

Atacamos a la dirección del SCALANCE S615 en lugar

de atacar directamente al PLC, para que este nos
redireccione al PLC mediante el NAPT configurado
anteriormente

Página 15 Comunicación Industrial - SIMATIC NET Industry Sector

 PLC encontrado

Como podemos observar, hemos encontrado

el PLC a través de la IP del SCALANCE S615

Página 16 Comunicación Industrial - SIMATIC NET Industry Sector

 Conexión establecida

Página 17 Comunicación Industrial - SIMATIC NET Industry Sector

 Ventajas, desventajas y casos de uso

VENTAJAS

-No se requiere de ningún Gateway en el PC

DESVENTAJAS

-Sólo se puede establecer una conexión simultánea del PC a la CPU. Cada puerto sólo puede ser
redireccionado una vez

-Los puertos redireccionados no pueden ser usados por el SCALANCE S615.

-No se recomienda su uso por temas de seguridad. Si alguien puede acceder al s615 y ataca al
puerto redireccionado, podrá atacar directamente al PLC

CASOS DE USO

-Redirección de puertos para acceso a plataformas seguras. Ej, SINEMA RC

- Limitación del uso de direcciones IP en la interfaz externa del S615

Página 18 Comunicación Industrial - SIMATIC NET Industry Sector

 NETMAP / Destination NAT
Network Mapping

Página 19 Comunicación Industrial - SIMATIC NET Industry Sector

 NETMAP / Destination NAT- OBJETIVO

VLAN2 / Subnet B 192.168.1.0/24

PC
IP: 192.168.1.10
El objetivo será que el PC pueda comunicarse con el PLC sin la
GW: ?
necesidad de configurar Gateway en el PC y sin la necesidad de
conocer la IP real del PLC.
Para ello utilizaremos NETMAP en el SCALANCE S615 creando una IP
virtual a propósito para acceder al PLC.
Atacaremos a esta nueva dirección en lugar de la dirección real del PLC
IP: 192.168.1.1

IP: 192.168.0.254

CPU1
IP: 192.168.0.1
GW: 192.168.0.254

VLAN1 / Subnet A 192.168.2.0/24

Página 20 Comunicación Industrial - SIMATIC NET Industry Sector

Página 21 Comunicación Industrial - SIMATIC NET Industry Sector
 NETMAP/Destination NAT- Esquema configurado

VLAN2 / Subnet B 192.168.1.0/24

PC
IP: 192.168.1.10
GW: ?

Con el NETMAP configurado, ahora podemos atacar al SCALANCE

S615 a la IP 192.168.1.2, para que este traduzca la dirección de
IP: 192.168.1.1 IP adicional: 192.168.1. 2 destino a la del PLC y conecte con él como se muestra en la imagen.
SRC IP: 192.168.1.10
DST IP: 192.168.1.2

SRC IP: 192.168.1.10

IP: 192.168.0.254 DST IP: 192.168.0.1

CPU1
IP: 192.168.0.1
GW: 192.168.0.254

VLAN1 / Subnet A 192.168.2.0/24

Página 22 Comunicación Industrial - SIMATIC NET Industry Sector

 PLC encontrado

Como podemos observar, hemos encontrado el PLC a

través de la IP virtual creada en el SCALANCE S615.
192.168.1.2

Página 23 Comunicación Industrial - SIMATIC NET Industry Sector

 Conexión establecida

Página 24 Comunicación Industrial - SIMATIC NET Industry Sector

 Ventajas, desventajas y casos de uso

VENTAJAS

-No se requiere Gateway en la estación de ingeniería

-Al utilizar una IP adicional, todos los puertos pueden ser redireccionados o utilizados

-Permite la comunicación entre equipos con IPs idénticas

DESVENTAJAS

-Requiere IPs adicionales

-La conexión sólo puede iniciarse desde el PC a la CPU. Para poder iniciar la conexión en sentido contrario,
habría que realizar una configuración similar pero en sentido contario.

CASOS DE USO

-Máquinas con IPs idénticas

- No configurar Gateway en las estaciones de ingenería

Página 25 Comunicación Industrial - SIMATIC NET Industry Sector

 Source NAT
Source Network Address Translation

Página 26 Comunicación Industrial - SIMATIC NET Industry Sector

 Source NAT- OBJETIVO

VLAN2 / Subnet B 192.168.1.0/24

PC
IP: 192.168.1.10
GW: 192.168.1.1 El objetivo será que el PC pueda conectar con el PLC sin que este tenga Gateway configurado.
Para ello configuraremos el Source NAT, para que la CPU pueda responder al PC a pesar de
no tener Gateway.

IP: 192.168.1.1

IP: 192.168.0.254

CPU
IP: 192.168.0.1
GW: ??

VLAN1 / Subnet A 192.168.0.0/24

Página 27 Comunicación Industrial - SIMATIC NET Industry Sector

 Configuración web

La dirección de origen 0.0.0.0 equivale a

hacer masquerading que se explicará más
adelante

Página 28 Comunicación Industrial - SIMATIC NET Industry Sector

 Esquema configurado

VLAN2 / Subnet B 192.168.1.0/24

PC
IP: 192.168.1.10 Con el esquema configurado, ahora los paquetes que vayan desde el SCALANCE
GW: 192.168.1.1
S615 hacia el PLC, irán con la dirección de origen la del SCALANCE S615, de
manera que el PLC recibirá los paquetes desde un dispositivo de su misma subred,
pudiendo responder sin necesidad de tener Gateway

IP: 192.168.1.1

SRC IP: 192.168.1.1

DST IP: 192.168.1.10

SRC IP: 192.168.0.254

DST IP: 192.168.1.10

IP: 192.168.0.254

CPU
IP: 192.168.0.1
GW: ??

VLAN1 / Subnet A 192.168.0.0/24

Página 29 Comunicación Industrial - SIMATIC NET Industry Sector

 PLC encontrado

Página 30 Comunicación Industrial - SIMATIC NET Industry Sector

 PLC Online

Página 31 Comunicación Industrial - SIMATIC NET Industry Sector

 Ventajas, desventajas y casos de uso

Ventajas

- No se requiere Gateway en el/los PLCs

- No requiere IPs adicionales

Desventajas

-La conexión sólo puede hacerse desde el PC al PLC. En el sentido contrario habría que realizar una
configuración similar.

En caso de tener varios PCs, debido a que la dirección de origen se traduce por la misma dirección sea
el dispositivo que sea el que inicie la conexión, desde el PLC no estaría claro desde que PC recibe el
paquete

CASOS DE USO

-No configuración de Gateway en los PLC

Página 32 Comunicación Industrial - SIMATIC NET Industry Sector

 Masquerading
Un caso particular de SOURCE NAT

Página 33 Comunicación Industrial - SIMATIC NET Industry Sector

 Masquerading-Objetivo

VLAN2 / Subnet B 192.168.1.0/24

PC
IP: 192.168.1.10 Al igual que en Source NAT, el objetivo será que el PC pueda conectar con
GW: 192.168.1.1
el PLC sin que este tenga Gateway configurado.
Para ello configuraremos el Masquerading, para que la CPU pueda
responder al PC a pesar de no tener Gateway.

IP: 192.168.1.1

IP: 192.168.0.254

CPU
IP: 192.168.0.1
GW: ??

VLAN1 / Subnet A 192.168.0.0/24

Página 34 Comunicación Industrial - SIMATIC NET Industry Sector

 Configuración web

En este caso habilitamos el masquerading en

la interfaz interna para que la traducción se
produzca en la dirección de la interfaz interna
del SCALANCE S615 (192.168.0.254)

Página 35 Comunicación Industrial - SIMATIC NET Industry Sector

 Esquema configurado

VLAN2 / Subnet B 192.168.1.0/24

PC
IP: 192.168.1.10 Con el esquema configurado, ahora los paquetes que vayan desde el SCALANCE
GW: 192.168.1.1
S615 hacia el PLC, irán con la dirección de origen la del SCALANCE S615, de
manera que el PLC recibirá los paquetes desde un dispositivo de su misma subred,
pudiendo responder sin necesidad de tener Gateway
IP: 192.168.1.1

SRC IP: 192.168.1.10

DST IP: 192.168.0.1

SRC IP: 192.168.0.254

DST IP: 192.168.0.1

IP: 192.168.0.254

CPU1
IP: 192.168.0.1
GW: ?

VLAN1 / Subnet A 192.168.0.0/24

Página 36 Comunicación Industrial - SIMATIC NET Industry Sector

 PLC encontrado

Página 37 Comunicación Industrial - SIMATIC NET Industry Sector

 PLC Online

Página 38 Comunicación Industrial - SIMATIC NET Industry Sector

 Ventajas, desventajas y casos de uso

Ventajas

- No se requiere Gateway en el/los PLCs

- No requiere IPs adicionales

Desventajas

-La conexión sólo puede hacerse desde el PC al PLC. En el sentido contrario habría que realizar una
configuración similar.

En caso de tener varios PCs, debido a que la dirección de origen se traduce por la misma dirección sea
el dispositivo que sea el que inicie la conexión, desde el PLC no estaría claro desde que PC recibe el
paquete

Página 39 Comunicación Industrial - SIMATIC NET Industry Sector