Recomendaciones de seguridad para la puesta en marcha de la pasarela PowerTag Link
Cuentas de usuario predeterminadas
Las cuentas de usuario predeterminadas se proporcionan para ayudar a establecer las conexiones iniciales con el producto necesarias para llevar a cabo el procedimiento de puesta en marcha.
 ADVERTENCIA |
|---|
|
RIESGO POTENCIAL PARA LA DISPONIBILIDAD, LA INTEGRIDAD
Y LA CONFIDENCIALIDAD DEL SISTEMA
La primera vez que utilice el sistema, cambie las contraseñas
predeterminadas para evitar el acceso no autorizado a la configuración,
los controles y la información del dispositivo.
Si no se siguen estas instrucciones, pueden producirse lesiones graves, muerte o daños
en el equipo.
|
Las cuentas y las contraseñas asociadas se describen en la documentación del usuario. No es seguro seguir usando estas cuentas durante el funcionamiento.
Durante la fase de puesta en marcha, estas cuentas deberán sustituirse por otras nuevas, destinadas al funcionamiento y mantenimiento habituales del producto. La cuenta deberá estar protegida por una contraseña segura.
Configuración del producto de los servicios de seguridad
La mayoría de los servicios del producto están deshabilitados de forma predeterminada a fin de reducir al mínimo la superficie expuesta a ataques. En consecuencia, se recomienda habilitar únicamente los servicios que sean estrictamente necesarios para el funcionamiento del producto. Si HTTPS está habilitado, todas las comunicaciones que tengan lugar a través del puerto HTTP se redirigirán automáticamente al puerto HTTPS.
Algunos servicios de seguridad, como HTTPS, pueden configurarse para que deshabiliten la capa de seguridad y utilice HTTP estándar sin ningún tipo de comunicación segura, por ejemplo. Esta funcionalidad solo se proporciona para fines de interoperabilidad con dispositivos de red o productos antiguos. Se recomienda encarecidamente no deshabilitar las opciones de seguridad. Si HTTPS está habilitado, todas las comunicaciones que tengan lugar a través del puerto HTTP se redirigirán automáticamente al puerto HTTPS.
Comunicaciones por Modbus TCP
La pasarela PowerTag Link admite comunicaciones de red a través de Modbus TCP. Si está habilitado el servicio Modbus TCP, se recomienda encarecidamente proteger el uso del protocolo activando y configurando el filtrado de Modbus TCP/IP.
Esta función permite restringir el acceso al servicio Modbus PowerTag Link a los únicos puntos finales de la red que se han configurado explícitamente en los filtros.
Certificado de servidor web del producto
Con el fin de garantizar la compatibilidad con comunicaciones seguras HTTP en cuanto se instale el producto, la pasarela PowerTag Link viene equipada con un certificado autofirmado X.509v3 de forma predeterminada.
Este certificado permite configurar una comunicación HTTPS que incluye integridad y confidencialidad pero a la que le faltan determinadas ejecuciones forzosas compatibles con la autenticidad de comunicación completa (según se indica en la mayoría de los navegadores web a través de un mensaje de advertencia de seguridad).
Para las instalaciones de mayor confidencialidad, se recomienda sustituir este certificado e importar la pasarela PowerTag Link con un certificado firmado por una entidad de certificación de confianza.
Comunicaciones seguras con sensores y dispositivos inalámbricos
El control de uso de comunicaciones inalámbricas entre la pasarela PowerTag Link y los sensores y dispositivos inalámbricos se fuerza a través de un mecanismo de emparejamiento. Solo los sensores y dispositivos inalámbricos que se hayan emparejado con la pasarela PowerTag Link podrán unirse a su red inalámbrica.
Además, las comunicaciones inalámbricas están protegidas por mecanismos criptográficos compatibles con la integridad y confidencialidad de los datos intercambiados a través de la red inalámbrica.
Una vez realizado el emparejamiento, se recomienda verificar periódicamente la lista de dispositivos emparejados de la pasarela PowerTag Link para asegurarse de que los dispositivos que figuran en ella no incluyen ningún dispositivo imprevisto o no autorizado.