EcoStruxure Panel Server – Guía de ciberseguridad PDF
DOCA0211ES-11

Seguridad de red

Introducción

El EcoStruxure Panel Server no está diseñado para soportar la exposición directa al Internet público. Debe instalarse como mínimo tras la traducción de direcciones de red (NAT) o, preferiblemente, tras varios cortafuegos. Si desea más información, consulte los siguientes sitios web:

Segmentación de red

El EcoStruxure Panel Server es una pasarela. Crea un puente entre redes distintas. La segmentación de la red ayuda a garantizar la ciberdefensa. Para mejorar la segmentación de la red, Panel Server Universal y Advanced disponen de dos puertos Ethernet. Se pueden emplear de forma independiente para tener un puerto dedicado a las tecnologías de la información (TI) y otro a la tecnología operativa (OT). La segmentación de la red le permite mantener segmentadas las redes OT y de TI, ya que los paquetes de red no se reenvían de un lado al otro.

Se recomienda configurar la red por separado (para obtener más información acerca de los ajustes de red, consulte DOCA0172•• EcoStruxure Panel Server - Guía del usuario).

Esto le permite conectar Panel Server a lo siguiente:

  • Dispositivos OT aguas abajo a través de Modbus TCP en un puerto Ethernet.

  • PC de TI aguas arriba con SCADA y puesta en marcha de aplicaciones de software en el otro puerto Ethernet.

HTTPS y Modbus están disponibles en las interfaces Ethernet de Panel Server (ETH1, ETH2) y Wi-Fi.

La siguiente tabla presenta la configuración predeterminada para cada interfaz:

Interfaz

Modbus

Ethernet en topología conmutada

Activada

Ethernet en topología independiente

Puerto ETH1

Activado

Puerto ETH2

Desactivado

Infraestructura Wi-Fi

Desactivado

Punto de acceso Wi-Fi

No disponible

Se recomienda inhabilitar el servicio Modbus en las redes donde no se utiliza. Para obtener más información acerca de la activación del servicio, consulte DOCA0172••EcoStruxure Panel Server - Guía del usuario.

Certificado de servidor web del producto

Para admitir comunicaciones HTTP seguras, EcoStruxure Panel Server tiene un certificado X.509v3 de forma predeterminada. Este certificado contribuye a garantizar la integridad y la confidencialidad a la hora de configurar la comunicación HTTPS.

Los navegadores solo reconocen certificados para sitios web públicos. Como Panel Server se instala en una red de área local (LAN), los navegadores no pueden distinguir un Panel Server de otro. Por lo tanto, aparece un mensaje de seguridad en el navegador al conectarse a Panel Server.

Una conexión con cable directa ayuda a proteger la vía de comunicación con Panel Server. Para obtener más información sobre el primer acceso a las páginas web de EcoStruxure Panel Server desde el PC, consulte DOCA0172•• EcoStruxure Panel Server - Guía del usuario.

Huella digital de la clave del servidor SFTP

Si publica sus datos en un servidor SFTP, asegúrese de que la huella digital de la clave, que se muestra al configurar la dirección del servidor, coincida con la clave SFTP del servidor.

Si renueva la clave SFTP en el servidor, el Panel Server no podrá enviar los archivos, ya que la conexión no se autenticará. Debe volver a configurar la publicación del Panel Server para grabar la nueva huella digital de la clave SFTP.

Red inalámbrica

Los protocolos de radio son vulnerables a las infracciones de la seguridad física. Por ejemplo, un ataque por denegación de servicio puede interferir intencionadamente con la señal de radio mediante un emisor de radio potente situado cerca.

Por lo tanto, se recomienda adaptar la seguridad física a la importancia de la información que depende de los protocolos de radio. Para ello, las redes inalámbricas (Wi-Fi e IEEE 802.15.4) se pueden desactivar de forma permanente en el Panel Server. Si cree que nunca necesitará redes inalámbricas (Wi-Fi e IEEE 802.15.4), únicamente en este caso podrá desactivarlas de forma permanente. Para obtener más información sobre la desactivación permanente y concurrente de las redes inalámbricas, consulte DOCA0172•• EcoStruxure Panel Server - Guía del usuario.

NOTA: Los modelos Wired by Design (WD) de Panel Server le permiten cumplir políticas no inalámbricas, ya que no contienen ningún chipset inalámbrico.

Se recomienda realizar la puesta en marcha de los dispositivos inalámbricos IEEE 802.15.4 en un lugar protegido de los transmisores de radio no autorizados, como una sala de administración.

Para la red Wi-Fi, se recomienda utilizar el protocolo WPA2 (Wi-Fi Protected Access versión 2).

NOTA: El Protocolo de integridad de clave temporal (TKIP) no es compatible.

Acceso remoto (VPN)

El Panel Server proporciona una función de acceso remoto que permite al centro de atención al cliente (CCC) de Schneider Electric conectarse a las páginas web de Panel Server.

El acceso no está habilitado de forma predeterminada y requiere que el firewall habilite la conexión. Para obtener más información, consulte Extremos esperados.

La función de acceso remoto se basa en una VPN de capa 3 que, por diseño, no proporciona acceso a la red, sino solo a Panel Server. Además, solo HTTPS está autorizado para ser tunelizado a través de esta VPN.

Dispositivos conectados

Se recomienda comprobar periódicamente la lista de dispositivos conectados a la red IEEE 802.15.4 del Panel Server . Si hay un dispositivo conectado desconocido, localícelo y quítelo. También puede reconstruir la red y reconectar solo los dispositivos identificados.

QR Code is a registered trademark of DENSO WAVE INCORPORATED in Japan and other countries.

¿Le ha resultado útil?

Información de contacto
Información legal
Privacy Policy
Change your cookie settings