mWatcher: seguro sistema
de gestão de acesso remoto
a máquinas e instalações
La red de la fábrica es otra red privada (p. ej. la 192.168.1.x). Aquí se conectan máquinas, equipos y ordenadores,
impresoras, etc. La configuración de esta red no debe importarnos. Eso sí, esta debe tener un punto de acceso al exterior
mediante una IP pública que suele gestionar un router corporativo (Gateway). Este router suele además funcionar como
firewall para controlar y bloquear las conexiones externas hacia la red interna.
Los usuarios del acceso remoto pueden estar igualmente conectados a una red local, hacerlo a través de una conexión
con un módem 3G u otro tipo de conexión.
Objetivo final
El objetivo de un acceso remoto consiste en establecer una conexión mediante un canal seguro que permita al usuario
comunicarse con la red final como si estuviera directamente conectado a ella.
O mWatcher (machine
Watcher) é um sistema de
gestão de acessos remotos
seguros.
IP PÚBLICA VARIABLE
88.90.X.X
Esta solução desenhada pela Weidmüller preCANA
L SEG
IP LAN
URO
tende gerir acessos remotos de uma forma
IP LAN
MÁQUINA PRIVADA
MÁQUINA
192.168.100.101
rápida, simples e segura com base em rouPRIVADA
192.168.100.1
ters Ethernet industrial. O mWatcher permite
HMI
aceder às instalações remotas como se estiPLC
véssemos diretamente ligados a elas, garanIP PÚBLICA FIJA
IP
PÚBLICA
FIJA
IP
PRIVADA
tindo a todo o momento uma total segurança
IP PRIVADA
IP PRIVADA
54.42.89.90
67.122.97.45
192.168.1.124
IP LAN
192.168.1.1
10.0.6.1
MÁQUINA PRIVADA
e privacidade, garantindo-o com as últimas
192.168.100.105
tecnologias do mercado.
Com o mWatcher é possível resolver
problemas técnicos a partir de qualquer loURO
L SEG
CANA
calização, realizar manutenções preventivas,
avaliações online, comprovar o estado da
instalação. Assim não há a necessidade de
viagens desnecessárias, poupando-se temIP PRIVADA
IP PRIVADA
IP PRIVADA
IP PRIVADA
IP PRIVADA
po e dinheiro, conseguindo a total satisfação
10.0.6.60
10.0.6.54
192.168.1.82
192.168.1.84
192.168.1.120
dos clientes ao oferecer o valor acrescentado
que supõe um serviço técnico imediato e proEsta conexión
debe realizarse
conextensão
mecanismos
de seguridad
túnel) que eviten cualquier tipo de intrusión,
rede
que permitem
uma
segura
da (encriptado,
cação, uma
das partes atua como cliente e
fissional. Inicialmente, existia um IP público
garantizando una comunicación protegida frente a terceras personas u otros ataques.
rede local sobre uma rede pública não conoutra como servidor e, assim, a privacidade
versus um IP privado numa rede interna de
Además debe
comportarse
de forma que
usuario
remoto se sienta
como si estuviera
conectado
a la e
trolada.
O sistema
OpenVPN
é elum
software
é fundamental
num
sistemadirectamente
de certificados
máquina e com utilizadores com acesso rered de la instalación final. Esto quiere decir que tiene que ser capaz de interactuar con el equipamiento de la red remota de la
vVPN
de código
aberto
e que
está baseado
na utilização
de chaves similares.
moto. Com o mWatcher estabelecemos um
misma forma
que lo haría
si estuviera
conectado
localmente a la máquina
o instalación.
no protocolo SSL, o mesmo utilizado para o
A aplicação OpenVPN reconhece os dacanal seguro e o utilizador final está dentro
comércio eletrónico seguro e que funciona
dos a enviar por um dos utilizadores e decida LAN remota.
Situación
inicial privadas virtuais (Virtual Privamediante uma codificação de chaves privafra-os antes de os enviar. No outro extremo
As redes
das
e
públicas.
Neste
sistema
de
comunida comunicação, o mesmo programa encarte
Network)
são
uma
série
de
tecnologias
de
Generalmente el escenario que se plantea cuando queremos realizar un acceso remoto es el mostrado en la siguiente
mWatcher. Cómo funciona. Sujeto a modificaciones técnicas sin aviso previo · Editado en España · Versiónrega-se
1 · 10/2013 de os receber e de os descodificar.
figura:
Weidmüller, S.A. Narcís Monturiol11-13, Pol. Ind. Sudoeste, 08960 Sant Just Desvern, Barcelona. T +34 934 803 386. F +34 933 718 055. www.weidmuller.es. [email protected]
Todos os dados são decifrados e encriptados
para que se estabeleça um canal seguro. O
OpenVPN, uma entidade certificadora que
IP PÚBLICA VARIABLE
gera certificados, é autenticado pelo stan88.90.X.X
dard SSL, o mesmo que o comércio eletrónico, e comprova que os certificados provêm
da mesma CA e caso isso não ocorra não se
IP LAN
IP LAN
MÁQUINA PRIVADA
MÁQUINA
estabelece um canal.
192.168.100.101
PRIVADA
192.168.100.1
HMI
Criptação OpenVPN
PLC
IP PRIVADA
10.0.6.1
IP PRIVADA
10.0.6.60
IP PÚBLICA FIJA
67.122.97.45
IP PRIVADA
10.0.6.54
IP PÚBLICA FIJA
54.42.89.90
IP PRIVADA
192.168.1.1
IP PRIVADA
192.168.1.124
IP PRIVADA
192.168.1.82
IP LAN
MÁQUINA PRIVADA
192.168.100.105
IP PRIVADA
192.168.1.84
IP PRIVADA
192.168.1.120
A chave encontra-se dividida em 2, a chave
pública interliga-se entre o servidor e a chave individual, secreta. É criptada com a chave
pública do destino e encriptada com a chave privada local. Por exemplo, o João (cliente) pretende que a Maria (servidor) lhe envie
uma carta de uma forma totalmente segura.
O João escolhe um código (chave pública),
deixa-o aberto, guarda o seu código (chave
privada) e envia o mesmo (chave pública) a
Maria. A Maria coloca a carta numa caixa e
3
Al principio de la negociación (autenticación) para establecer la VPN, se comprueba que los certificados del cliente y
del servidor están firmados por la misma autoridad de certificación. Un cliente cuyo certificado no posea la misma
clave de entidad certificadora que el servidor no podrá establecer la conexión.
Por ello el primer paso en una conexión VPN consiste en que el cliente y el servidor se intercambien los certificados de
forma que ambos comprueben que han sido creados por la misma entidad.
En el siguiente esquema se detalla el proceso de una autenticación correcta:
CLIENTE
ENVÍO DEL CERTIFICADO CLIENTE AL SERVIDOR
SERVIDOR
VERIFICACIÓN DEL
CERTIFICADO CLIENTE
CON CERTIFICADO CA
CERTIFICADO VÁLIDO
ENVÍO DEL CERTIFICADO SERVIDOR AL CLIENTE
VERIFICACIÓN DEL
CERTIFICADO SERVIDOR
CON CERTIFICADO CA
CERTIFICADO VÁLIDO
Con el sistema mWatcher se crea una entidad certificadora exclusiva (CA) para cada cuenta. Con ella se generan los
distintos certificados para los usuarios y routers. Solamente Weidmüller en el momento de crear la cuenta es quien tiene
fecha-a com o código (chave
pública)
por que
umnadie
sistema
de segurança
baseado
na (ydetalhadas
de cada
um dos equipamentos fiacceso a esta
entidad,que
garantizando
más pueda
generar y obtener
certificados
por tanto acceder
al
y equipos
de los que se ponen
a disposición del propietario
de la cuenta.nais para ter toda a informação disponível. Há
lhe foi enviado por João.sistema
Qualquer
umremotos)
visu- aparte
identificação
de equipamentos
e que é gerido
aliza a caixa mas não possui o código que
de forma simples. Há uma máxima segurancópias periódicas de backup dos servidores
a abre (chave privada), não tendo acesso ao
ça no acesso remoto com base no OpenVPN
para solucionar qualquer problema e o serviseu interior. O João abre a caixa com o seu
com gestão de certificação SSL/TLS e com
ço técnico é ótimo com a garantia da marca
código (chave privada) e acede à informação
os mais robustos métodos de autentificação
Weidmüller e está disponível a qualquer utimWatcher.
Cómo
funciona.
Sujeto a modificaciones
técnicas
sin aviso previo · Editado
en España
· Versión
1 · 10/2013
4
que existe no seu interior.
Com
o
mWatcher
e
encriptação
(RSA
de
2048
bits
e
criptagem
lizador.
Weidmüller, S.A. Narcís Monturiol11-13, Pol. Ind. Sudoeste, 08960 Sant Just Desvern, Barcelona. T +34 934 803 386. F +34 933 718 055. www.weidmuller.es. [email protected]
o servidor Cloud faz uma gestão através da
AES-256). Esta é uma entidade certificada
Weidmüller, com cópias de segurança, um
exclusiva com certificados únicos para cada
software de gestão, ligação VPNs, gestão de
cliente. Na instalação, o router e o software
Router, switches e equipamentos
routers e utilizadores, guarda configurações.
utilizam os portos mais comuns (TCP 443 e
Os routers industriais da Weidmüller configuNo caso do router do cliente não necessita
UDP 1194) para uma fácil instalação (apenas
ram-se diretamente desde o software de forde ter firewall e nem de redirecionar e a conuma das portas de saída deve estar aberma simples e sem necessidade de entrar em
figuração é facilitada. O utilizador tem um PC
ta na instalação para o router para um funnenhum menu ou interface web. Junta o rouindependente com a possibilidade de ter múlcionamento correto). Na instalação há uma
ter na conta, introduz os parâmetros necestiplos utilizadores e ligações simultâneas.
programação automática do router mediansários e segue as instruções. Estes routers
te uma simples configuração passo a pasindustriais Weidmüller caraterizam-se pelas
so, sem complicações. Caso queira alterar o
interfaces Gigabit, uma gama de temperatura
Caraterísticas mWatcher
seu computador ou adicionar um novo é tão
estendida (-20 a +70º C), uma gestão de VPNs
O sistema mWatcher baseia-se num sistema
simples como instalar o software do cliente.
(OpenVPN e IPSec cliente e servidor), prograde redes privadas virtuais OpenVPN e numa
Os dados da conta serão atualizados no momação de NAT/Port-Forwarding e funções de
base de dados MySQL. A Weidmüller ficará
mento.
firewall.
responsável pela manutenção do servidor na
O servidor na nuvem é exclusivo para
Existem dois tipos de utilizadores, os adnuvem (cloud computer) exclusivamente para
cada licença com o fornecedor de serviços
ministradores e os utilizadores. No Painel de
cada cliente. Este sistema é uma simples aplide cloud computing. O nível SLA do forneceAdministrador, a partir do painel de adminiscação de software de PC para aceder a instador é de 99,5% que garante um funcionamentrador são geridas as licenças (através de um
lações em qualquer parte do mundo. Adicione
to durante todo o ano com uma interrupção
IP único para cada ordenador ter acesso ao
gradualmente instalações remotas de forma
máxima de 4 horas. A largura de banda apesistema e todo o computador que não está na
gradual, incluindo descrições e informações:
nas é limitada pela velocidade de ligação do
listagem e com a sua licença não tem acesso
a licença mWatcher tem até 250 routers e 64
utilizador e da instalação final. Cada servidor
ao ID e password), grupos e utilizadores (são
utilizadores sem limite de ligações em simuldispõe de 100 Mbps para realizar múltiplas
criados diferentes grupos onde se podem
tâneo, permite aceder à gestão de utilizadoligações em simultâneo, e com a máxima
criar diferentes utilizadores para cada um),
res e grupos, o software pode ser instalado
velocidade. A informação é armazenada no
configuração (a partir do menu de configuranos computadores que desejar e como deservidor exclusivo; o software é instalado e
ções os routers são programados de forma
sejar e atualiza-se automaticamente. Esta
desinstalado nos ordenadores onde faz falta
automática). No Painel de Utilizador podem
Encriptación en OpenVPN
é a solução indicada uma vez que o acesso
e assim a informação estará sempre disponívisualizar-se todos os routers e as suas desEl encriptado
de datos
se realiza
cone un
sistema de claves asimétricas. Cada usuario disponecrições
de una clave
con dos se pode estabelecer uma
remoto é 100% seguro com
uma gestão
fácil
vel
atualizada.
e também
partes (privada y pública) que van emparejadas. Durante la fase de autenticación el cliente y el servidor
e conveniente e que se adapta
ao
número
de
O
software
é
simples,
gráfico
e
intuitivo
ligação
com
router que se deseje mediante
intercambian sus claves públicas, mientras que las privadas se mantienen en secreto y no se transmiten bajooningún
instalações e técnicos. concepto.
para a gestão de equipamentos e ligações
um canal seguro VPN.
Em termos de segurança
existe
uma los
base
protegido
com que
umhasistema
deservidor
utilizadores
e Estos datos llegan al
El cliente
encripta
datos con
la clave pública
recibido del
y los envía.
que utiliza
clave privada
para decodificarlos.
En elgrupos
sentido inverso
de la comunicación,
el servidor
de dados em MySQL comservidor
um sistema
desuutipasswords.
Permite gerir
de routers
e
Weidmüller
– Sistemas de Interface, S.A.
encripta los datos con la clave pública del cliente que los desencripta con su clave privada. Aunque alguien se
lizadores e passwords. O haga
acesso
está
utilizadores
através
determinadas
+351
214 459 191 · Fax: +351 214 455 871
en poder
derestrinlos datos durante
el trayecto nunca
podráde
decodificarlos
mientraspermisno disponga de laTel.:
clave
privada
necesaria. aprovados
gido apenas aos computadores
sões e ainda guardar arquivos e informações
[email protected] · www.weidmuller.pt
En el siguiente esquema podemos ver el funcionamiento de la comunicación:
CODIFICACIÓN DE DATOS
CON LA CLAVE PÚBLICA
DEL SERVIDOR
ENVÍO DE DATOS CODIFICADOS
DECODIFICACIÓN DE DATOS
CON LA CLAVE PRIVADA
DEL SERVIDOR
DECODIFICACIÓN DE DATOS
CON LA CLAVE PRIVADA
DEL CLIENTE
ENVÍO DE DATOS CODIFICADOS
CODIFICACIÓN DE DATOS
CON LA CLAVE PÚBLICA
DEL CLIENTE