Prólogo, contenido Aplicación y funciones 1 SIMATIC NET Puesta en servicio 2 Router EDGE/GPRS SINAUT MD741-1 Configuración 3 Manual de sistema Interfaz local 4 Interfaz externa 5 Funciones de seguridad 6 Conexiones VPN 7 Accesos remotos 8 Estado, archivo de registro y diagnóstico 9 C79000-G8978-C236-02 Edición 10/2008 Otras funciones 10 Datos técnicos 11 Normas y homologaciones aplicadas 12 Glosario Clasificación de las consignas de seguridad Este manual contiene indicaciones que hay que tener en cuenta para su propia seguridad, así como para evitar daños materiales. Las indicaciones relativas a su propia seguridad están destacadas mediante un triángulo de advertencia, las indicaciones que se refieren simplemente a daños materiales no tendrán un triángulo de advertencia. De acuerdo al grado de peligro las consignas se representan, de mayor a menor peligro, como sigue. Peligro ! Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones corporales graves. Advertencia ! Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones corporales graves. Precaución ! Con triángulo de advertencia significa que puede producirse una lesión leve si no se toman las medidas preventivas adecuadas. Precaución Sin triángulo de advertencia significa que, si no se adoptan las medidas preventivas adecuadas, pueden producirse daños materiales. Atención Significa que se puede producir un evento o estado no deseado, si no se toma en consideración la indicación respectiva. Si se presentan varios niveles de peligro siempre se utiliza la advertencia del nivel más alto. Si en una consigna de seguridad con triángulo de advertencia se alarma de posibles daños personales, la misma consigna puede contener también una advertencia sobre posibles daños materiales. Personal cualificado El aparato/sistema correspondiente sólo se puede ajustar y operar en combinación con esta documentación. Sólo está autorizado a poner en marcha y utilizar este equipo/sistema el personal cualificado. Personal cualificado, según las indicaciones técnicas de seguridad de este manual, son aquellas personas que tienen la autorización necesaria para poner en marcha, poner a tierra y marcar aparatos, sistemas y circuitos de acuerdo con los estándares de la técnica de seguridad. Uso conforme Se debe considerar lo siguiente:1 Advertencia ! El equipo sólo se puede utilizar para los casos de aplicación previstos en el catálogo y en la descripción técnica, y sólo en combinación con los equipos y componentes de otros fabricantes recomendados y homologados por Siemens. El funcionamiento correcto y seguro del producto presupone un transporte, un almacenamiento, una instalación y un montaje adecuados, así como un manejo y un mantenimiento rigurosos. Marcas Todas las denominaciones marcadas con el símbolo de protección legal® son marcas registradas de Siemens AG. Las demás denominaciones en esta documentación pueden ser marcas cuya utilización por parte de terceros para sus fines, pueden infringir los derechos de los titulares de la marca. Exención de responsabilidad Hemos comprobado si el contenido del impreso coincide con el hardware y el software descritos. Sin embargo, como no pueden excluirse las divergencias, no nos responsabilizamos de la plena coincidencia. El contenido de esta publicación se revisa periódicamente; si es necesario, las correcciones necesarias se incluyen en la siguiente edición. Siemens AG Automation and Drives Postfach 48 48 90437 NUREMBERG ALEMANIA 2 Referencia del documento: C79000-G8978-C236-02 Edición 10/2008 Copyright © Siemens AG 2008. Sujeto a cambios sin previo aviso SINAUT MD741-1 C79000-G8978-C236-02 Indicaciones generales acerca del producto El producto corresponde a la norma europea EN60950 – Seguridad de los equipos de tecnología de la información. Antes de utilizar el equipo, lea con atención las instrucciones de instalación. Mantenga el equipo fuera del alcance de los niños, especialmente de los más pequeños. El equipo no se puede instalar ni operar al aire libre ni en recintos húmedos. No ponga en marcha el equipo si están deteriorados los cables de conexión o el propio equipo. Fuente de alimentación externa Utilice sólo una fuente de alimentación externa que corresponda asimismo a la norma EN60950. La tensión de salida de la fuente de alimentación externa no debe exceder los 30 V DC. La salida de la fuente de alimentación externa debe estar protegida contra cortocircuitos. ! Advertencia El SINAUT MD741-1 sólo puede ser abastecido por fuentes de alimentación según la norma IEC/EN60950-1, sección 2.5 "Fuente de alimentación con potencia limitada". La fuente de alimentación externa para el SINAUT MD741-1 debe estar en conformidad con las disposiciones para circuitos eléctricos NEC de clase 2, tal y como se ha definido en el National Electrical Code ® (ANSI/NFPA 70). Tenga en cuenta los apartados Alimentación de bornes roscados y reglas de instalación de la presente documentación (capítulo 2.6), así como los reglamentos de montaje y utilización de los respectivos fabricantes de la fuente de alimentación, batería o acumulador. Tarjeta SIM Para instalar la tarjeta SIM es preciso abrir el equipo. Antes de abrir el equipo, desconéctelo de la tensión de alimentación. Las cargas estáticas pueden deteriorar el equipo cuando esté abierto. Descargue la carga eléctrica de su cuerpo antes de abrir el equipo. A este efecto, toque una superficie puesta a tierra, p. ej. la carcasa de metal del armario de distribución. Consulte a este respecto el capítulo 2.6. Manejo de cables No desenchufe nunca un conector de cable tirando del cable, sino sujetando el conector. Los conectores de cable con sujeción por tornillo (D-sub) deben atornillarse siempre firmemente. No conduzca los cables sobre aristas ni cantos vivos sin protección de bordes. En caso necesario, vigile que los cables tengan un alivio de tracción suficiente. SINAUT MD741-1 C79000-G8978-C236-02 3 Asegúrese de que, por motivos de seguridad, se respete el radio de curvatura de los cables. Si no se respetan los radios de curvatura del cable de antena, se menoscabarán las propiedades de emisión y recepción del equipo. El radio de curvatura mínima no puede ser inferior a 5 veces el diámetro de cable estáticamente o 15 veces el diámetro de cable dinámicamente. Equipo de radio ! Advertencia No utilice nunca el equipo en zonas en las que esté prohibida la utilización de equipos de radio. El equipo incorpora un emisor de radio que podría afectar el funcionamiento de dispositivos electrónicos médicos tales como audífonos o marcapasos. Consulte con su médico o el fabricante de dichos dispositivos. Para que no puedan desmagnetizarse los soportes de datos, no almacene disquetes, tarjetas de crédito ni otros soportes de datos magnéticos en las proximidades del equipo. Montaje de antenas ! Advertencia Debe garantizarse la conformidad con los valores límites de radiación recomendados por la Comisión Alemana de Protección contra Radiaciones (www.ssk.de) del 13/14 de septiembre de 2001. Montaje de una antena exterior Precaución Al instalar una antena al aire libre es imprescindible que ésta sea montada correctamente por personal técnico especializado. La antena exterior debe ponerse a tierra para la protección contra rayos. El blindaje de la antena exterior debe conectarse de forma segura con la tierra de protección. Al realizar la instalación deben cumplirse las respectivas normas de instalación nacionales. En los EE UU, esta norma es el National Electric Code NFPA 70, artículo 810. En Alemania se aplican las normas VDE 0185 (DIN EN 62305) ,1ª a 4ª parte, en edificios con pararrayos y las normas VDE 0855 (DIN EN 60728-11) si falta el pararrayos. 4 SINAUT MD741-1 C79000-G8978-C236-02 Indicaciones y advertencias para la observación de normas de seguridad, telecomunicaciones, CEM y otras Precaución Tenga en cuenta las indicaciones y advertencias contenidas en el capítulo 12 antes de poner en servicio el SINAUT MD741-1. Costes de conexión con (E-) GPRS Precaución Tenga en cuenta que también al (re)establecer una conexión, al intentar establecer una conexión con una estación remota (p. ej. servidor apagado, dirección de destino incorrecta, etc.) así como al mantener la conexión se intercambian paquetes de datos que deben pagarse. Firmware con Open Source GPL / LGPL El firmware de SINAUT MD741-1 contiene software Open Source sujeto a condiciones GPL / LGPL. De conformidad con la sección 3b de GPL y la sección 6b de LGPL, ponemos a su disposición el código fuente. Envíe un mensaje de correo electrónico a [email protected] [email protected] En el asunto del mensaje, introduzca el texto 'Open Source MD741' para poder filtrar fácilmente su mensaje. SINAUT MD741-1 C79000-G8978-C236-02 5 Firmware con OpenBSD El firmware de SINAUT MD741-1 contiene partes del software OpenBSD. La utilización del software OpenBSD obliga a imprimir la siguiente información de copyright: * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 6 Copyright (c) 1982, 1986, 1990, 1991, 1993 The Regents of the University of California. All rights reserved. Redistribution and use in source and binary forms, with or without modification, are permitted provided that the following conditions are met: 1. Redistributions of source code must retain the above copyright notice, this list of conditions and the following disclaimer. 2. Redistributions in binary form must reproduce the above copyright notice, this list of conditions and the following disclaimer in the documentation and/or other materials provided with the distribution. 3. All advertising materials mentioning features or use of this software must display the following acknowledgement: This product includes software developed by the University of California, Berkeley and its contributors. 4. Neither the name of the University nor the names of its contributors may be used to endorse or promote products derived from this software without specific prior written permission. THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF SUCH DAMAGE. SINAUT MD741-1 C79000-G8978-C236-02 Prólogo Objetivo de la documentación Esta documentación le ayudará a utilizar con éxito el módem GPRS/GSM SINAUT MD741-1. Ofrece una introducción al tema y proporciona una vista general del campo de aplicación del hardware. Asimismo, explica cómo poner en servicio y configurar el módem teniendo en cuenta las condiciones de operación. Esta documentación incluye los datos técnicos, así como las homologaciones y normas que cumple el módem GPRS/GSM MD741-1. Ámbito de validez de la documentación El presente manual es válido para las siguientes versiones del producto: • Módem GPRS/GSM MD741-1, versión de hardware 2.x SIMATIC Technical Support Puede dirigirse al Technical Support (servicio de asistencia técnica) de todos los productos A&D por: • Teléfono: +49 (0) 180 5050 222 • Fax: +49 (0) 180 5050 223 Para más información sobre el servicio de asistencia técnica, visite la página web http://www.siemens.com/automation/service Service & Support en Internet Además de nuestra documentación, en Internet ponemos a su disposición todos nuestro know-how: http://www.siemens.com/automation/service&support Allí encontrará: • Información de actualidad sobre productos, preguntas frecuentes (Frequently Asked Questions), descargas, consejos y trucos. • El boletín (Newsletter) le mantendrá informado sobre los productos. • El Knowledge Manager le ayudará a encontrar los documentos que necesita. • Los usuarios y especialistas de todo el mundo intercambian sus experiencias en el Forum. • Una base de datos en la que podrá encontrar los datos de su persona de contacto para Industry Automation de su región o localidad. • Bajo la rúbrica »Services« encontrará información sobre servicio técnico, reparaciones, piezas de repuesto etc. de su región. La versión actual de esta documentación está disponible bajo el ID de referencia 22550242. 7 SINAUT MD741-1 C79000-G8978-C236-02 Prólogo ¿Tiene más preguntas sobre el uso de los productos descritos en el manual? En este caso, diríjase al representante de Siemens en las sucursales u oficinas de su región. Las direcciones se encuentran en los lugares indicados a continuación: • En Internet: http://www.siemens.com/automation/partner • En Internet: http://www.siemens.com/simatic-net especialmente para productos SIMATIC NET • En el catálogo CA 01 • En el catálogo IK PI (especialmente para productos SIMATIC NET) En la siguiente dirección encontrará artículos, certificados y más información útil acerca del MD741-1: • http://support.automation.siemens.com/WW/view/es/22811843 Centro de formación SIMATIC Para iniciarse en nuestros sistemas, ofrecemos cursos de formación especializados. Diríjase a su centro de formación regional o directamente a la central en D-90327 Nuremberg Teléfono: +49 (911) 895-3200 http://www.sitrain.com Centro de formación SIMATIC NET Para cursos acerca de los productos SIMATIC NET en particular, diríjase a: SIEMENS AG Siemens AG, A&D Informations- und Trainings-Center Dynamostr. 4 D-68165 Mannheim Teléfono: +49 (621) 4 56-23 77 Fax: +49 (621) 4 56-32 68 8 SINAUT MD741-1 C79000-G8978-C236-02 Índice 1 Aplicación y funciones ................................................................................................ 11 1.1 Introducción ....................................................................................................... 11 2 Puesta en servicio ........................................................................................................ 15 2.1 Paso a paso....................................................................................................... 15 2.2 Requisitos para el funcionamiento correcto ...................................................... 16 2.3 Frontal del equipo .............................................................................................. 17 2.4 Pulsador de servicio (SET) ................................................................................ 17 2.5 Indicadores de estado ....................................................................................... 18 2.6 Conectores ........................................................................................................ 19 2.7 Insertar la tarjeta SIM ........................................................................................ 22 2.8 Montaje en un perfil soporte normalizado ......................................................... 23 3 Configuración ............................................................................................................... 24 3.1 Configuración TCP/IP del adaptador de red bajo Windows XP ........................ 25 3.2 Establecer una conexión de configuración........................................................ 26 3.3 Página inicial de la interfaz web ........................................................................ 29 3.4 Selección de idioma........................................................................................... 31 3.5 Realizar la configuración ................................................................................... 32 3.6 Perfiles de configuración ................................................................................... 33 3.7 Cambiar la contraseña....................................................................................... 35 3.8 Rearranque........................................................................................................ 37 3.9 Cargar los ajustes de fábrica............................................................................. 38 4 Interfaz local.................................................................................................................. 39 4.1 Direcciones IP de la interfaz local ..................................................................... 39 4.2 Servidor DHCP a la red local............................................................................. 40 4.3 DNS a la red local.............................................................................................. 43 4.4 Nombre de host local......................................................................................... 45 4.5 Hora de sistema / NTP ...................................................................................... 46 4.6 Rutas internas adicionales ................................................................................ 48 5 Interfaz externa ............................................................................................................. 49 5.1 Parámetros de acceso a EGPRS/GPRS........................................................... 49 5.2 Supervisión de conexiones EGPRS/GPRS....................................................... 51 5.3 Nombre de host vía DynDNS ............................................................................ 54 6 Funciones de seguridad .............................................................................................. 56 6.1 Filtro de paquetes .............................................................................................. 56 6.2 Port Forwarding ................................................................................................. 60 6.3 Funciones de seguridad avanzadas.................................................................. 62 6.4 Archivo de registro del firewall........................................................................... 64 7 Conexiones VPN........................................................................................................... 65 7.1 Modo Roadwarrier VPN..................................................................................... 67 7.2 Modo Standard VPN IPsec................................................................................ 74 9 SINAUT MD741-1 C79000-G8978-C236-02 Índice 7.3 7.4 7.5 7.6 Cargar certificados VPN .................................................................................... 82 Reglas de firewall para túnel VPN..................................................................... 84 Configuración avanzada de conexiones VPN ................................................... 85 Estado de las conexiones VPN ......................................................................... 87 8 Accesos remotos.......................................................................................................... 88 8.1 Acceso remoto HTTPS ...................................................................................... 88 8.2 Acceso remoto SSH .......................................................................................... 90 8.3 Acceso remoto por marcación telefónica .......................................................... 93 9 Estado, archivo de registro y diagnóstico................................................................. 95 9.1 Visualización del estado operativo .................................................................... 95 9.2 Archivo de registro............................................................................................. 99 9.3 Registro remoto ............................................................................................... 102 9.4 Instantánea ...................................................................................................... 103 9.5 Información de hardware ................................................................................. 105 9.6 Información de software .................................................................................. 105 10 Otras funciones .......................................................................................................... 106 10.1 SMS de alarma ................................................................................................ 106 10.2 Actualización de software ................................................................................ 107 11 Datos técnicos ............................................................................................................ 109 12 Normas y homologaciones aplicadas ...................................................................... 112 12.1 Equipo.............................................................................................................. 112 12.2 Declaración de conformidad CE...................................................................... 112 12.3 Conformidad con FM, UL y CSA ..................................................................... 115 12.4 Conformidad con FCC ..................................................................................... 116 13 Glosario ....................................................................................................................... 118 10 SINAUT MD741-1 C79000-G8978-C236-02 1 Aplicación y funciones 1.1 Introducción El SINAUT MD741-1 provee una conexión inalámbrica a Internet o a una red privada. El SINAUT MD741-1 ofrece esta conexión en cualquier lugar en el que esté disponible una red GSM (Global System for Mobile Communication = Sistema Global de Comunicación Móvil) que ofrezca los servicios EGPRS (Enhanced General Packet Radio Service = EDGE) o GPRS (General Packet Radio Service). Como requisito debe disponerse de una tarjeta SIM de un proveedor de red GSM con los respectivos servicios habilitados. El SINAUT MD741-1 conecta de esta manera una aplicación conectada localmente o una red entera a través de enlaces IP inalámbricos con Internet. También es posible establecer una conexión directa con una red Intranet a la que, a su vez, estén conectadas otras estaciones remotas. A través de la conexión IP inalámbrica, el SINAUT MD741-1 puede establecer una red privada virtual (VPN = Virtual Private Network) entre una aplicación o una red conectada localmente y una red externa, así como proteger esta conexión por medio de IPsec (Internet Protocol Security) contra accesos de terceros. A este efecto, el equipo incluye las siguientes funciones: 11 ● Módem GPRS para la comunicación de datos flexible vía GPRS ● Router VPN para la transferencia segura de datos a través de redes públicas (protocolo IPSec, encriptación de datos 3DES, encriptación AES) ● Firewall para la protección contra accesos no autorizados. El filtro dinámico de paquetes examina los paquetes de datos según las direcciones de origen y destino (stateful packet inspection) y bloquea el tráfico de datos no deseado (anti-spoofing). SINAUT MD741-1 C79000-G8978-C236-02 1 Aplicación y funciones Ejemplos de aplicación típicos de SINAUT S7-300 CPU TIM Posición de control ST7cc MD741-1 Router VPN Módem DSL INTERNET (E-)GPRS APN Túnel VPN Figura 1-1 CPU Conexión entre una CPU y la posición de control TIM Po sición de control STcc MD741-1 VPN-Tunnel T IM Conexión lógica Mód em DSL INT ERNET (E-)G PRS CPU MD741-1 TIM Router VPN APN T únel VPN Figura 1-2 Conexión entre dos CPUs Configuración La configuración del equipo se efectúa mediante una interfaz web que puede visualizarse fácilmente con un navegador web. El acceso puede realizarse a través de: 12 ● La interfaz local ● EGPRS/GPRS ● CSD (Circuit Switched Data = datos conmutados por circuito) del GSM SINAUT MD741-1 C79000-G8978-C236-02 1 Aplicación y funciones Conexión ví a G SM-CSD PC con navegador web MD741-1 PC co n navegador web Abbildung 1-3 Conexión ví a (E-)G PR S PC con navegador web Conexiones de configuración Funciones VPN El SINAUT MD741-1 provee las siguientes funciones VPN: ● Protocolo: IPsec (modo túnel) ● Encriptación IPsec 3DES de 192 bits ● Encriptación IPsec AES de 128, 192 y 256 bits ● Autenticación de paquetes: MD5; SHA-1 ● Internet Key Exchange (IKE) en modo principal y modo agresivo ● Autenticación: Pre-Shared Key (PSK), certificados X.509v3, CA ● NAT-T ● Dead-Peer-Detection (DPD) Funciones de firewall El SINAUT MD741-1 provee las siguientes funciones de firewall para proteger la red local y a sí mismo contra ataques externos: ● Stateful Inspection Firewall ● Anti-spoofing ● Port Forwarding ● NAT SINAUT MD741-1 C79000-G8978-C236-02 13 1 Aplicación y funciones Otras funciones El SINAUT MD741-1 provee las siguientes funciones adicionales: 14 ● Caché de DNS ● Servidor DHCP ● NTP ● Registro remoto ● Entrada de conmutación ● Salida de conmutación ● Interfaz web para la configuración ● Envío de SMS de alarma ● Consola SSH para la configuración ● Cliente DynDNS ● Conexión de acceso telefónico para el mantenimiento y la configuración remota SINAUT MD741-1 C79000-G8978-C236-02 2 Puesta en servicio 2.1 Paso a paso Realice los pasos siguientes para la puesta en servicio del SINAUT MD741-1: Paso 1. Primero que todo, familiarícese con los requisitos de funcionamiento del SINAUT MD741-1. 15 Capítulo 2.2 2. Lea con mucha atención las consignas de seguridad y demás indicaciones al comienzo de este documento y cúmplalas en todo caso. 3. Familiarícese con los elementos de mando, conectores e indicadores de estado del SINAUT MD741-1. 2.3 - 2.6 4. Conecte un PC con navegador web (PC de administración) a la interfaz local (10/100 BASE-T) del SINAUT MD741-1. 3.1, 3.2 5. A través de la interfaz web del SINAUT MD741-1, introduzca el PIN (número de identificación personal) de la tarjeta SIM. 5.1 6. Desconecte el SINAUT MD741-1 de la tensión de alimentación. 2.6 7. Inserte la tarjeta SIM en el equipo. 2.6 8. Conecte la antena. 2.6 9. Conecte la tensión de alimentación del SINAUT MD741-1. 2.6 10. Configure el SINAUT MD741-1 conforme a sus exigencias. 3 a 10 11. Conecte su aplicación local. 2.6 SINAUT MD741-1 C79000-G8978-C236-02 2 Puesta en servicio 2.2 Requisitos para el funcionamiento correcto Para poder operar el SINAUT MD741-1 es preciso disponer de la información siguiente y cumplir los requisitos indicados a continuación: Antena Una antena ajustada a las bandas de frecuencia del proveedor de red GSM seleccionado: 850 MHz, 900 MHz, 1800 MHz ó 1900 MHz. Utilice sólo antenas de los accesorios originales de SINAUT MD741-1. Consulte el capítulo 2.6. Fuente de alimentación Una fuente de alimentación con una tensión comprendida entre 12 VDC y 30 VDC que suministre suficiente corriente. Consulte el capítulo 2.6. Tarjeta SIM Una tarjeta SIM del proveedor de red GSM seleccionado. PIN El PIN (= número de identificación personal) de la tarjeta SIM Habilitación para EGPRS / GPRS El proveedor de red GSM seleccionado debe habilitar la tarjeta SIM para los servicios EGPRS o GPRS. Se deben conocer los datos de acceso EGPRS / GPRS: ● Access Point Name (APN) ● User name (nombre de usuario) ● Password (contraseña) Habilitación de 9600 bits/s para CSD El proveedor de red GSM seleccionado debe habilitar la tarjeta SIM para el servicio CSD si se desea utilizar la configuración remota por medio de conexiones de acceso telefónico (consulte el capítulo 8.3). 16 SINAUT MD741-1 C79000-G8978-C236-02 2 Puesta en servicio 2.3 Frontal del equipo Figura 2-1 2.4 A– Bornes de conexión de la fuente de alimentación B– Pulsador de servicio (SET) C– Conector hembra de antena tipo SMA D– Indicadores de estado S, Q, C E– X1 (servicio; USB) – sin función F– Bornes de conexión de las entradas y salidas de conmutación (no conectados) G– X2 (conector hembra RJ45 10/100-Base-T) para conectar la red local H– Indicadores de estado DC5V, LINK, VPN Frontal del equipo Pulsador de servicio (SET) En el lado frontal del SINAUT MD741-1 hay un orificio pequeño (véase B) rotulado con SET y detrás del cual se encuentra un pulsador. Utilice un objeto puntiagudo (p. ej. un clip enderezado) para oprimir el pulsador. Si oprime el pulsador por más de 5 segundos, el SINAUT MD741-1 realizará un rearranque y cargará los ajustes de fábrica. SINAUT MD741-1 C79000-G8978-C236-02 17 2 Puesta en servicio 2.5 Indicadores de estado El SINAUT MD741-1 tiene 6 diodos luminosos (LEDs) que indican el estado operativo. Los 3 LEDs en el lado izquierdo del equipo indican el estado del módem de radio EGPRS: LED S (Status) Q (Quality) C (Connect) S, Q, C conjuntament e 18 Estado Significado Parpadeo lento Transmisión de PIN Parpadeo rápido Error de PIN / error de SIM ON Transmisión de PIN correcta OFF No registrado en la red GSM Parpadeo breve Intensidad de señal débil (CSQ < 6) Parpadeo lento Intensidad de señal media (CSQ= 6..10) ON, con interrupciones breves Intensidad de señal buena (CSQ=11-18) ON Intensidad de señal excelente (CSQ > 18) OFF Sin conexión Parpadeo rápido Llamada de servicio vía CSD activa ON, con interrupciones breves Conexión GPRS activa ON Conexión EGPRS activa Running light rápida Running light lenta Parpadeo rápido síncrono Arranque Actualización Error SINAUT MD741-1 C79000-G8978-C236-02 2 Puesta en servicio Los 3 LEDs en el lado derecho del equipo indican el estado de otras funciones del mismo: LED DC 5V LINK VPN 2.6 Estado Significado ON Equipo encendido, tensión de servicio aplicada OFF Equipo apagado, sin tensión de servicio ON Conexión Ethernet establecida con la aplicación local o red local OFF No está establecida ninguna conexión Ethernet con la aplicación local o red local ON, con interrupciones breves Transferencia de datos vía la conexión Ethernet ON Está establecida por lo menos una conexión VPN OFF No está establecida ninguna conexión VPN Conectores Los conectores del MD741-1 se encuentran en el frontal del equipo. X2 (10/100-Base-T) Al conector 10/100-Base-T se conectan la red local y las aplicaciones locales, p. ej. un autómata programable, una máquina con interfaz Ethernet para la supervisión remota, un notebook o un PC. Para configurar el SINAUT MD741-1 conecte aquí el PC de administración con navegador web. La interfaz soporta la autonegociación. Así se detecta automáticamente si en la red Ethernet se utiliza una velocidad de transferencia de 10 Mbit/s o 100 Mbit/s. El cable de conexión utilizado debe tener un conector macho RJ45. Puede ser un cable cruzado (crossover) o patch. X1 (servicio; USB) Esta interfaz carece de función en el SINAUT MD741-1, estando reservada para aplicaciones futuras. No conecte aquí ningún equipo. La operación del SINAUT MD741-1 se podría ver afectada. SINAUT MD741-1 C79000-G8978-C236-02 19 2 Puesta en servicio Conector hembra de antena SMA El SINAUT MD741-1 dispone de un conector hembra de antena tipo SMA para conectar la antena. La antena utilizada debe tener una impedancia de aprox. 50 ohmios. Debe estar definida para GSM 900MHz y DCS 1800MHz, o bien GSM 850 MHz y PCS 1900 MHz, dependiendo de qué bandas de frecuencia utilice el proveedor de red GSM. En Europa y China se utilizan GSM 900MHz y DCS 1800MHz, en los EE UU se utilizan GSM 850 MHz y PCS 1900 MHz. Consulte con su proveedor de red. La adaptación de la antena (VSWR) debe ser 1:2,5 o mejor. Atención: Utilice sólo antenas de los accesorios originales del SINAUT MD741-1. Otras antenas podrían perturbar las características del producto o incluso causar defectos. Al instalar la antena debe existir una intensidad de señal lo suficientemente buena (CSQ > 11). Los diodos luminosos del SINAUT MD741-1 indican la intensidad de señal. Vigile que no haya objetos metálicos grandes (p. ej. hormigón armado) cerca de la antena. Tenga en cuenta las instrucciones de montaje y uso de la antena utilizada. Advertencia: Si la antena se monta al aire libre, es preciso ponerla a tierra para la protección contra rayos. Estos trabajos deben ser realizados por personal técnico cualificado. Tenga en cuenta la advertencia respecto al montaje de antenas al aire libre que aparece al comienzo de este documento. 20 SINAUT MD741-1 C79000-G8978-C236-02 2 Puesta en servicio Alimentación de bornes roscados (24V / 0V) Figura 2-2 Alimentación de bornes roscados (24V 0V) El SINAUT MD741-1 funciona con una tensión continua de 12-30 V DC, nominal 24 V DC. Esta tensión de alimentación se conecta a los bornes roscados en el lado izquierdo del equipo. El consumo de corriente es de aprox. 510 mA a 12 V y 230 mA a 30 V. Advertencia: La fuente de alimentación del SINAUT MD741-1 no tiene aislamiento galvánico. Tenga en cuenta las consignas de seguridad al comienzo del manual. Reglas de instalación Utilice sólo cables de cobre. Hilo: 0,5...3mm2 (AWG 20...18) Conductor flexible: 0,5...2,5mm2 Par de apriete para bornes roscados: 0,6...0,8Nm SINAUT MD741-1 C79000-G8978-C236-02 21 2 Puesta en servicio 2.7 Insertar la tarjeta SIM Atención: Antes de insertar la tarjeta SIM, introduzca el PIN de la misma en el SINAUT MD741-1 a través de la interfaz web. Consulte el capítulo 5.1. Figura 2-3 Bandeja para la tarjeta SIM 1. Tras haber introducido el PIN de la tarjeta SIM, desconecte el SINAUT MD741-1 por completo de la tensión de alimentación. 2. La bandeja para la tarjeta SIM se encuentra en el lado posterior del equipo. En la apertura de la carcasa hay un pulsador amarillo pequeño directamente junto a la bandeja para la tarjeta SIM. Utilice un objeto puntiagudo (p. ej. un lápiz) para oprimir el pulsador. Al oprimir el pulsador, la bandeja para la tarjeta SIM sale de la carcasa. 3. Coloque la tarjeta SIM en la bandeja de manera que permanezcan visibles los contactos dorados. 4. Empuje por completo la bandeja con la tarjeta SIM hacia el interior de la carcasa. Atención: No introduzca ni retire nunca la tarjeta SIM durante el funcionamiento del equipo. La tarjeta SIM y el SINAUT MD741-1 se podrían deteriorar. 22 SINAUT MD741-1 C79000-G8978-C236-02 2 Puesta en servicio 2.8 Montaje en un perfil soporte normalizado El SINAUT MD741-1 está previsto para el montaje en un perfil soporte según la norma DIN EN 50022. La fijación correspondiente se encuentra en el lado posterior del equipo. Figura 2-4 SINAUT MD741-1 C79000-G8978-C236-02 Montaje en un perfil soporte normalizado 23 3 Configuración Las funciones VPN, del router y del firewall pueden configurarse local o remotamente a través de la interfaz web de administración del SINAUT MD741-1. Configuración remota La configuración remota vía HTTPS o CSD sólo es posible si el SINAUT MD741-1 está configurado para accesos remotos. Para configurar el equipo remotamente, proceda de la manera descrita en el capitulo 8. Configuración vía la interfaz local Los requisitos para la configuración vía la interfaz local son: ● ● El ordenador (PC de administración) con el que se realiza la configuración debe estar conectado directamente al conector Ethernet del SINAUT MD741-1 mediante un cable de red, o bien tener acceso directo al SINAUT MD741-1 a través de la red local. El adaptador de red del ordenador (PC de administración) con el que se realiza la configuración debe tener la siguiente configuración TCP/IP: Dirección IP: 192.168.1.2 Máscara de subred: 255.255.255.0 En vez de la dirección IP 192.168.1.2 puede utilizar otras direcciones IP del rango 192.169.1.x. ● Si desea acceder a la red externa también a través del SINAUT MD741-1 con el PC de administración, se requieren los siguientes ajustes adicionales: Puerta de enlace predeterminada: 192.168.1.1 ● 24 Servidor DNS preferido: Dirección del Domain Name Server (Servidor de Nombres de Dominio) SINAUT MD741-1 C79000-G8978-C236-02 3 Configuración 3.1 Configuración TCP/IP del adaptador de red bajo Windows XP Configurar la conexión LAN ● En el menú "Inicio", haga clic en "Conectar a ..." > "Mostrar todas las conexiones…" ● Haga luego clic en la conexión de área local (LAN). ● En el cuadro de diálogo "Propiedades de conexión de área local" , seleccione la ficha "General" y allí la entrada "Protocolo Internet (TCP/IP)". ● Haga clic en el botón "Propiedades" para abrir las propiedades. Aparecerá la ventana "Propiedades de Protocolo Internet TCP/IP" (v. figura 3-1). Nota: La forma de acceder al cuadro de diálogo Propiedades de conexión de área local depende de su configuración de Windows. Si no encuentra el cuadro de diálogo, busque lo siguiente en la Ayuda de Windows: Conexión de área LAN o Propiedades de Protocolo Internet TCP/IP. Figura 3-1 Propiedades de Protocolo Internet en Windows Introduzca los valores siguientes para acceder a la interfaz web del SINAUT MD741-1: SINAUT MD741-1 C79000-G8978-C236-02 25 3 Configuración Dirección IP: 192.168.1.2 Máscara de subred: 255.255.255.0 Además, introduzca los siguientes valores si desea acceder a la red externa con el PC de administración a través del SINAUT MD741-1: Puerta de enlace predeterminada: 192.168.1.1 Servidor DNS preferido: 192.168.1.1 Servidor DNS preferido Si accede a direcciones por medio de un nombre de dominio (p. ej. www.siemens.com), es necesario consultar en un "Domain Name Server" (DNS o Servidor de Nombres de Dominio) qué dirección IP pertenece a ese nombre. Como DNS es posible determinar: ● la dirección DNS del proveedor de red, o bien ● la dirección IP local del SINAUT MD741-1, siempre y cuando éste configurado para resolver nombres de hosts en direcciones IP (consulte el capítulo 4.3; ajuste de fábrica). Para especificar el Domain Name Server en la configuración TCP/IP del adaptador de red utilizado, proceda del modo descrito arriba. 3.2 Establecer una conexión de configuración Configurar el navegador web Proceda del siguiente modo: 1. Inicie un navegador web. (p. ej. MS Internet Explorer a partir de la versión 7 o Mozilla Firefox a partir de la versión 2; el navegador web debe soportar SSL (es decir, HTTPS)). 2. Asegúrese de que el navegador no marque automáticamente una conexión al iniciar. En MS Internet Explorer, configure este ajuste del siguiente modo: Menú Herramientas > Opciones de Internet..., ficha Conexiones: Bajo Configuración de acceso telefónico y de redes privadas virtuales debe estar activada la opción No marcar nunca una conexión. 26 SINAUT MD741-1 C79000-G8978-C236-02 3 Configuración Abrir la página inicial del SINAUT MD741-1 3. En la barra de dirección del navegador, introduzca la dirección IP completa del SINAUT MD741-1. De conformidad con los ajustes de fábrica, esta dirección es: https://192.168.1.1 Resultado: Aparece una alerta de seguridad. Figura 3-2 Confirmar la alerta de seguridad 4. Confirme la alerta de seguridad con "Continuar la carga de esta página…" Nota Puesto que el equipo sólo se puede administrar vía acceso encriptado, se suministra con un certificado autofirmado. En el caso de certificados con firmas que no conozca el sistema operativo, aparece una alerta de seguridad. Puede visualizar el certificado. En el certificado debe estar especificado que ha sido emitido para Siemens AG. La interfaz web se direcciona por medio de una dirección IP y no a través de un nombre. Por este motivo, el nombre indicado en el certificado de seguridad no concuerda con el certificado. SINAUT MD741-1 C79000-G8978-C236-02 27 3 Configuración Introducir el nombre de usuario y la contraseña 5. Se le solicita que introduzca un nombre de usuario y una contraseña. Figura 3-3 Introducir el nombre de usuario y la contraseña El ajuste predeterminado de fábrica es: Nombre de usuario: admin Contraseña: sinaut Nota Es recomendable que cambie la contraseña en todo caso. Muchas personas conocen el ajuste predeterminado de fábrica, por lo que no ofrece protección suficiente. En el capítulo 3.7 se describe cómo cambiar la contraseña. La página inicial se visualiza Tras introducir el nombre de usuario y la contraseña aparece en el navegador web la página inicial del SINAUT MD741-1 con una vista general del estado operativo (consulte el capítulo 3.3). La página inicial no se visualiza Si, a pesar de realizar varios intentos, el navegador web indica que la página no se puede visualizar, intente lo siguiente: ● 28 Verifique la conexión de hardware. En un ordenador con Windows, introduzca lo siguiente en el prompt del DOS (menú Inicio, Programas, Accesorios, Símbolo del sistema): SINAUT MD741-1 C79000-G8978-C236-02 3 Configuración ping 192.168.1.1 ● Si dentro del período predeterminado no aparece el aviso que indica la recepción de los 4 paquetes enviados, compruebe el cable, las conexiones y la tarjeta de red. ● Asegúrese de que el navegador no utiliza un servidor proxy. En MS Internet Explorer (versión 7.0), configure este ajuste del siguiente modo: Menú Herramientas > Opciones de Internet..., ficha Conexiones: Bajo Configuración LAN haga clic en el botón Configuración... y, en el cuadro de diálogo Configuración de la red de área local (LAN), asegúrese de que bajo Servidor proxy no esté activada la entrada Utilizar un servidor proxy para su LAN. ● Si hay conexiones LAN activas en el ordenador, desactívelas mientras realiza la configuración. En Windows, seleccione Inicio, Conectar a ..., Panel de control, Mostrar todas las conexiones y, bajo "LAN o Internet de alta velocidad", haga clic con el botón derecho del ratón en la conexión en cuestión y seleccione el comando Desactivar del menú contextual. ● Introduzca la dirección del SINAUT MD741-1 con barra oblicua: https://192.168.1.1/ 3.3 Página inicial de la interfaz web Tras llamar a la interfaz web del SINAUT MD741-1 e introducir el nombre de usuario y la contraseña, aparece una vista general del estado operativo actual del SINAUT MD741-1. Figura 3-4 SINAUT MD741-1 C79000-G8978-C236-02 Página inicial con la vista general 29 3 Configuración Nota Utilice la función Actualizar del navegador web si desea actualizar los valores representados. Current system time (hora actual de sistema) Muestra la hora actual de sistema del SINAUT MD741-1 en el siguiente formato: Año – mes – día, horas – minutos Connection (conexión) Indica si existe una conexión inalámbrica (y de qué tipo es): ● Conexión EDGE (conexión IP vía EGPRS) ● Conexión GPRS (conexión IP vía GPRS) ● Conexión CSD (conexión de servicio vía CSD) External hostname (nombre de host externo) Muestra el nombre de host (p. ej. md741.mydns.org) del SINAUT MD741-1 si se utiliza un servicio DynDNS. Signal (CSQ level) (señal (nivel CSQ)) Indica la intensidad de la señal GSM como valor CSQ. ● CSQ < 6: Intensidad de señal débil ● CSQ= 6..10: Intensidad de señal media ● CSQ=11-18: Intensidad de señal buena ● CSQ > 18: Intensidad de señal excelente ● CSQ = 99: No hay conexión con la red GSM. Assigned IP address (dirección IP asignada) Muestra la dirección IP bajo la cual se puede acceder al SINAUT MD741-1 en el EGPRS o GPRS. El servicio EGPRS o GPRS asigna esta dirección IP al SINAUT MD741-1. 30 SINAUT MD741-1 C79000-G8978-C236-02 3 Configuración Nota Aunque puede suceder que se visualicen una conexión EDGE (EGPRS) o GPRS y también una dirección IP asignada, es posible que, sin embargo, la calidad de la conexión no sea suficiente para transferir datos. Por este motivo, recomendamos utilizar la supervisión activa de la conexión (consulte el capítulo 5.2). Remote HTTPS (HTTPS remoto) Indica si se permiten accesos remotos a la interfaz web del SINAUT MD741-1 vía EGPRS, GPRS o CSD (consulte el capítulo 8.1). ● Marca de verificación blanca sobre un punto verde: se permite el acceso. ● Cruz blanca sobre un punto rojo: no se permite el acceso. Remote SSH (SSH remoto) Indica si se permiten accesos remotos a la consola SSH del SINAUT MD741-1 vía EGPRS, GPRS o CSD (consulte el capítulo 8.2). ● Marca de verificación blanca sobre un punto verde: se permite el acceso. ● Cruz blanca sobre un punto rojo: no se permite el acceso. CSD Dial-In (marcación CSD) Indica si se permiten llamadas de servicio CSD remotas (consulte el capítulo 8.3). 3.4 ● Marca de verificación blanca sobre un punto verde: se permite el acceso. ● Cruz blanca sobre un punto rojo: no se permite el acceso. Selección de idioma La interfaz web de administración del SINAUT MD741-1 está disponible en inglés y alemán. Figura 3-5 Selección de idioma Automatic (automático) SINAUT MD741-1 C79000-G8978-C236-02 31 3 Configuración De acuerdo con la configuración del navegador web utilizado, el SINAUT MD741-1 selecciona el idioma de la interfaz de administración: ● Alemán si el navegador web está ajustado en alemán ● Inglés en todos los demás casos Deutsch (alemán) El SINAUT MD741-1 utiliza el idioma alemán, independientemente del navegador web utilizado. English (inglés) El SINAUT MD741-1 utiliza el idioma inglés, independientemente del navegador web utilizado. Para cambiar de idioma, haga clic en el botón "GO" y vuelva a cargar la página con el navegador web. 3.5 Realizar la configuración Para configurar el SINAUT MD741-1, proceda del siguiente modo: Realizar la configuración 1. Utilice el menú para acceder al área de ajustes deseada 2. Efectúe las entradas deseadas en la página en cuestión o haga clic en "Reset" para borrar la entrada actual no guardada todavía. 3. Confirme con "Save" (guardar) para que el equipo adopte los ajustes efectuados. 32 SINAUT MD741-1 C79000-G8978-C236-02 3 Configuración Figura 3-6 Barra de menús Indicaciones Dependiendo de cómo configure el SINAUT MD741-1, podría resultar necesario adaptar luego la interfaz de red del ordenador conectado localmente o de la red. Al introducir direcciones IP, introduzca siempre los números parciales de la dirección IP sin ceros iniciales, p. ej.: 192.168.0.8. Entradas erróneas El SINAUT MD741-1 verifica las entradas realizadas. Los errores se detectan al guardar y el campo de entrada en cuestión se destaca. Figura 3-7 3.6 Entrada errónea destacada Perfiles de configuración Los ajustes del SINAUT MD741-1 se pueden guardar en perfiles de configuración (archivos) y volver a cargar en cualquier momento. SINAUT MD741-1 C79000-G8978-C236-02 33 3 Configuración Figura 3-8 Mantenimiento > Perfiles de configuración Upload Profile (cargar perfil) Carga en el SINAUT MD741-1 un perfil de configuración creado anteriormente y guardado en el PC de administración. Los archivos con perfiles de configuración tienen la extensión *.tgz. Con Browse (examinar) puede buscar perfiles de configuración en el PC de administración. Con Submit (enviar) se carga el perfil de configuración en el SINAUT MD741-1. Luego aparece en la tabla de perfiles de configuración guardados. Crear un perfil Guarda los ajustes actuales del SINAUT MD741-1 en un perfil de configuración. En primer lugar, introduzca un nombre para el perfil en el campo de entrada. Con Create (crear) los ajustes se guardan en un perfil con ese nombre, visualizándose luego en la tabla de perfiles de configuración guardados. Saved Configuration Profiles (perfiles de configuración guardados) Download (descargar) Carga el perfil en el PC de administración. Enable (habilitar) El SINAUT MD741-1 aplica los ajustes del perfil de configuración seleccionado y sigue funcionando con estos ajustes. Delete (borrar) El perfil de configuración se borra. 34 SINAUT MD741-1 C79000-G8978-C236-02 3 Configuración El perfil Default configuration (configuración estándar) contiene los ajustes de fábrica y no se puede borrar. 3.7 Cambiar la contraseña El acceso al SINAUT MD741-1 está protegido por contraseña. Esta contraseña protege el acceso vía ● la interfaz local a la interfaz web y ● la interfaz local a la consola SSH y también el acceso a través de ● EGPRS o GPRS vía https a la interfaz web y ● EGPRS o GPRS a la consola SSH Contraseña de acceso (ajuste de fábrica) El ajuste de fábrica para el SINAUT MD741-1 es: ● Contraseña: admin ● Nombre de usuario: sinaut (no se puede modificar) Nota Cambie la contraseña inmediatamente después de la puesta en servicio. Muchas personas conocen el ajuste predeterminado de fábrica, por lo que no ofrece protección suficiente. Nota El nombre de usuario para el acceso SSH es diferente al nombre de usuario de la interfaz web de administración. Nombre de usuario: root (no se puede modificar) La contraseña es igual a la contraseña de acceso para el SINAUT MD741-1, tal y como se ha determinado arriba. Nueva contraseña de acceso (con confirmación) Para cambiar la contraseña, introduzca la nueva contraseña en New access password y confírmela en el campo Retype new access password SINAUT MD741-1 C79000-G8978-C236-02 35 3 Configuración El botón Reset permite descartar las entradas no guardadas aún. Con Save se aplica la nueva contraseña. 36 SINAUT MD741-1 C79000-G8978-C236-02 3 Configuración 3.8 Rearranque Aunque el SINAUT MD741-1 está diseñado para un funcionamiento continuo, en un sistema tan complejo como éste pueden ocurrir fallos causados a menudo por influencias externas. Un rearranque puede corregir estos fallos. El rearranque resetea las funciones del SINAUT MD741-1. Los ajustes actuales correspondientes al perfil de configuración no se modifican. Después del rearranque, el SINAUT MD741-1 continúa funcionando con estos ajustes. Figura 3-9 Mantenimiento > Rearranque Reboot now (rearrancar ahora) El rearranque se ejecuta inmediatamente tras hacer clic en Reboot. Enable daily reboot (habilitar rearranque diario) Si activa esta función con Yes, el rearranque se realiza automáticamente una vez al día. Especifique la Reboot time (hora de rearranque diario). El rearranque se realiza a la hora indicada. Las conexiones existentes se interrumpen. Ajustes de fábrica Habilitar rearranque diario: No Hora del rearranque diario: 01:00 SINAUT MD741-1 C79000-G8978-C236-02 37 3 Configuración 3.9 Cargar los ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 pueden restablecerse de diferentes maneras. Figura 3-10 Mantenimiento > Ajustes de fábrica Reset to factory settings (restablecer los ajustes de fábrica) Haciendo clic en el botón Reset se cargan los ajustes de fábrica, se resetean las contraseñas y se borran los perfiles de configuración guardados y los archivos de registro archivados. Pulsador de servicio (SET) Los ajustes de fábrica también se pueden restablecer por medio del pulsador de servicio (SET) (consulte el capítulo 2.4). Configuración estándar Si sólo deben cargarse los ajustes de fábrica sin borrar los perfiles de configuración ni los archivos de registro archivados, active sólo la configuración estándar de la forma descrita en el capítulo 3.6. 38 SINAUT MD741-1 C79000-G8978-C236-02 4 Interfaz local La interfaz local es la interfaz del SINAUT MD741-1 para conectar la red local. La interfaz está marcada en el equipo con X2. Se trata de una interfaz Ethernet con una velocidad de transferencia de 10Mbit/s o 100Mbit/s. La red local es la red a la que está conectada la interfaz local del SINAUT MD7411. Esta red contiene por lo menos una aplicación local. Las aplicaciones locales son componentes de red en la red local, p. ej. un autómata programable, una máquina con interfaz Ethernet para la supervisión remota, un notebook o un PC, o bien el PC de administración. Configure la interfaz local y las funciones asociadas de acuerdo con sus exigencias tal y como se describe en el presente capítulo. 4.1 Direcciones IP de la interfaz local Aquí se ajustan las direcciones IP y las máscaras de red a través de las cuales las aplicaciones locales acceden al SINAUT MD741-1. Figura 4-1 39 Red local > Ajustes básicos > IPs locales SINAUT MD741-1 C79000-G8978-C236-02 4 Interfaz local Los ajustes de fábrica del SINAUT MD741-1 son: ● IP 192.168.1.1 ● Máscara de red 255.255.255.0 La dirección IP y la máscara de red ajustadas de fábrica pueden modificarse libremente, aunque deben respetar las recomendaciones válidas (RFC 1918). Aplicación lo cal Aplicació n lo cal Aplicación local MD741-1 IP local y m áscara de red PC de ad min istr ación Figura 4-2 Representación de la red local Puede especificar direcciones adicionales a través de las cuales las aplicaciones locales puedan acceder al SINAUT MD741-1. Esto resulta útil p. ej. si la red local se divide en subredes. En este caso, varias aplicaciones locales de distintas subredes pueden acceder al SINAUT MD741-1 bajo diferentes direcciones. New (nuevo) Permite agregar direcciones IP y máscaras de red que, a su vez, se pueden modificar. Delete (borrar) Borra la dirección IP y máscara de red en cuestión. La primera entrada no se puede borrar. 4.2 Servidor DHCP a la red local El SINAUT MD741-1 contiene un servidor DHCP (DHCP = Dynamic Host Configuration Protocol o Protocolo de Configuración Dinámica de Hosts). Si el servidor DHCP está conectado, le asigna automáticamente las direcciones IP, las máscaras de red, el gateway y el servidor DNS a las aplicaciones conectadas a la interfaz local del SINAUT MD741-1. Para esto es necesario que en las aplicaciones locales esté activada la obtención automática de la dirección IP y de los parámetros de configuración vía DHCP. 40 SINAUT MD741-1 C79000-G8978-C236-02 4 Interfaz local Aplicación local Aplicación local Aplicación local MD741-1 Direcciones IP, etc. PC con navegado r web Figura 4-3 Función del servidor DHCP Figura 4-4 Red local > Ajustes básicos > DHCP Start DHCP server (iniciar servidor DHCP) Con Start DHCP server – Yes se conecta el servidor DHCP del SINAUT MD741-1; con No se desconecta. Local netmask (máscara de red local) Introduzca aquí la máscara de red local que debe asignarse a las aplicaciones locales. Default gateway (gateway predeterminado) Introduzca aquí el gateway predeterminado que debe asignarse a las aplicaciones locales. SINAUT MD741-1 C79000-G8978-C236-02 41 4 Interfaz local DNS server (servidor DNS) Introduzca aquí el servidor DNS que debe asignarse a las aplicaciones locales. Enable dynamic IP address pool (habilitar pool de direcciones IP dinámico) Si selecciona Yes, las direcciones IP que asigna el servidor DHCP del SINAUT MD741-1 se extraen de un pool de direcciones dinámico. Si selecciona No, las direcciones IP deben asignarse bajo Static Leases (asignación estática) a las direcciones MAC de las aplicaciones locales. DHCP range start (inicio de rango DHCP) Indica la dirección inicial del pool de direcciones dinámico. DHCP range end (fin de rango DHCP) Indica la dirección final del pool de direcciones dinámico. Static Leases (asignación estática) Aquí es posible asignar direcciones IP correspondientes a las direcciones MAC de las aplicaciones locales. Si una aplicación local solicita vía DHCP la asignación de una dirección IP, la aplicación transfiere su dirección MAC durante la consulta DHCP. Si esta dirección MAC tiene asignada una dirección IP de forma estática, el SINAUT MD741-1 asigna a la aplicación la correspondiente dirección IP. Dirección MAC del cliente – dirección MAC de la aplicación local solicitante Dirección IP del cliente – dirección IP asignada Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: 42 Start DHCP server (iniciar servidor DHCP) No Local netmask (máscara de red local) 255.255.255.0 Default gateway (gateway predeterminado) 192.168.1.1 DNS server (servidor DNS) 192.168.1.1 Enable dynamic IP address pool (habilitar pool de direcciones IP dinámico) No DHCP range start (inicio de rango DHCP) 192.168.1.100 DHCP range end (fin de rango DHCP) 192.168.1.199 SINAUT MD741-1 C79000-G8978-C236-02 4 Interfaz local 4.3 DNS a la red local El SINAUT MD741-1 provee un "Domain Name Server" (DNS o Servidor de Nombres de Dominio) a la red local. Si introduce en la aplicación local la dirección IP del SINAUT MD741-1 como DNS, el SINAUT MD741-1 responde desde su caché a las consultas del DNS. Si no conoce la dirección IP correspondiente a una dirección de dominio, el SINAUT MD741-1 reenvía la consulta a un DNS externo. El intervalo durante el que el SINAUT MD741-1 almacena una dirección de dominio en caché depende del host direccionado. La consulta del DNS a un Servidor de Nombres de Dominio externo devuelve no sólo la dirección IP sino también el período de validez de esta información. Red rem ota DNS del proveedor de red Aplicació n local DNS en In ternet MD741-1 DNS privado Rou ter/ Firewall INTERNET (E-)G PRS APN Con sulta de DNS a MD 741-1 Figura 4-5 Co nsu lta de DNS p or MD 741-1 Función del servidor DNS Como DNS externos pueden utilizarse servidores del proveedor de red, servidores de Internet o servidores de la red externa privada. Figura 4-6 SINAUT MD741-1 C79000-G8978-C236-02 Red local > Ajustes básicos > DNS 43 4 Interfaz local Selected nameserver (servidor de nombres seleccionado) Seleccione el "Domain Name Server" (DNS o Servidor de Nombres de Dominio) al que debe consultar el SINAUT MD741-1: Provider Defined (definido por el proveedor) Al establecer una conexión con el EGPRS o GPRS, el proveedor de red transmite automáticamente una o varias direcciones DNS. Éstas se utilizan entonces. User Defined (definido por el usuario) Seleccione como usuario su(s) DNS preferido(s). Los DNS pueden estar conectados a Internet, o bien puede tratarse de un DNS privado en su red. Servidor de nombres definido por el usuario Si ha seleccionado la opción User Defined (definido por el usuario), introduzca la dirección IP del DNS seleccionado como Server IP Address (dirección IP del servidor). Con New (nuevo) puede agregar más DNS. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: 44 Selected nameserver (servidor de nombres seleccionado) Provider Defined (definido por el proveedor) Servidor de nombres definido por el usuario - Si es una entrada nueva 0.0.0.0 SINAUT MD741-1 C79000-G8978-C236-02 4 Interfaz local 4.4 Nombre de host local El SINAUT MD741-1 puede direccionarse desde la red local, también por medio de un nombre de host. Defina para ello un nombre de host, p. ej. MD741. En este caso, un navegador web puede llamar al SINAUT MD741-1 p. ej. como MD741. Figura 4-7 Red local > Ajustes básicos > DNS Nota El concepto de seguridad del SINAUT MD741-1 exige que se cree una regla de firewall saliente para toda aplicación local que deba utilizar esta función de nombre de host. Consulte el capítulo 6.1. Si no utiliza DHCP (consulte el capítulo 4.2), es preciso introducir manualmente rutas de búsqueda idénticas en el SINAUT MD741-1 y en las aplicaciones locales. Si utiliza DHCP, las aplicaciones locales obtienen vía DHCP la ruta de búsqueda introducida en el SINAUT MD741-1. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Ruta de búsqueda example.local Nombre de host MD741-1 SINAUT MD741-1 C79000-G8978-C236-02 45 4 Interfaz local 4.5 Hora de sistema / NTP La hora de sistema del SINAUT MD741-1 puede ajustarse manualmente o sincronizarse automáticamente con un servidor horario. Figura 4-8 Sistema > Hora de sistema Definir la hora de sistema manualmente Aquí se ajusta la hora de sistema para el SINAUT MD741-1. Esta hora de sistema: ● se utiliza como sello de tiempo para todas las entradas del archivo de registro ● sirve de base de tiempo para todas las funciones controladas por tiempo. Seleccione el año, mes y día, así como las horas y minutos. Activate NTP synchronization (activar sincronización NTP) El SINAUT MD741-1 también puede obtener la hora de sistema vía NTP (= Network Time Protocol) de un servidor horario. En Internet hay numerosos servidores horarios de los que se puede obtener la hora actual muy exactamente vía NTP. Local timezone / region (zona horaria local / región) Los servidores NTP transmiten la hora UTC (= Universal Time Coordinated), es decir, la hora universal coordinada. Para determinar la zona horaria, seleccione una ciudad cercana al lugar donde debe funcionar el SINAUT MD741-1. La hora de esta zona horaria se utilizará entonces como hora de sistema. 46 SINAUT MD741-1 C79000-G8978-C236-02 4 Interfaz local NTP server (servidor NTP) Haga clic en New (nuevo) para agregar un servidor NTP e introduzca la dirección IP del mismo, o bien utilice el servidor NTP predeterminado de fábrica. Es posible indicar paralelamente varios servidores NTP. La dirección NTP no se puede introducir como nombre de host (p. ej. timeserver.org). Poll interval (intervalo de sondeo) La sincronización horaria se realiza de forma cíclica. El SINAUT MD741-1 determina automáticamente el intervalo en el que debe efectuarse la sincronización. Al cabo de 36 horas a más tardar se realiza nuevamente una sincronización. El intervalo de sondeo determina el tiempo mínimo que debe esperar el SINAUT MD741-1 hasta la próxima sincronización. Nota La sincronización de la hora de sistema vía NTP ocasiona tráfico de datos adicional en las interfaces del EGPRS o GPRS. Esto puede causar costes adicionales, dependiendo del contrato concluido con el proveedor de red. Serve system time to local network (aplicar hora de sistema a la red local) A su vez, el SINAUT MD741-1 también puede servir de servidor horario NTP para las aplicaciones conectadas a su interfaz de red local. Si desea activar esta función, seleccione Yes. Al servidor horario NTP del SINAUT MD741-1 se puede acceder a través de la dirección IP local del SINAUT MD741-1 (consulte el capítulo 4.1). Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Zona horaria local UTC Activate NTP synchronization (activar sincronización NTP) No NTP server (servidor NTP) 192.53.103.108 Poll interval (intervalo de sondeo) 1.1 horas Serve system time to local network (aplicar hora de sistema a la red local) No SINAUT MD741-1 C79000-G8978-C236-02 47 4 Interfaz local 4.6 Rutas internas adicionales Si la red local se divide en subredes, es posible definir rutas adicionales. Consulte también el Glosario. Figura 4-9 Red local > Rutas internas adicionales Si desea agregar una ruta adicional a una subred, haga clic en "New" (nuevo). Especifique lo siguiente: ● la dirección IP de la subred (red), así como ● la dirección IP del gateway a través del cual está conectado la subred. Puede determinar un número cualquiera de rutas internas. Si desea borrar una ruta interna, haga clic en Delete (borrar). Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: 48 Rutas internas adicionales - Ajuste predeterminado para rutas nuevas: No Red: 192.168.2.0/24 Gateway: 192.168.0.254 SINAUT MD741-1 C79000-G8978-C236-02 5 Interfaz externa La interfaz externa del SINAUT MD741-1 conecta el SINAUT MD741-1 con la red externa. Para la comunicación se utiliza EGPRS, GPRS o GSM en esta interfaz. Las redes externas son Internet o una Intranet privada. Las estaciones remotas externas son componentes de la red externa, p. ej. servidores web en Internet, routers en una red Intranet, un servidor de empresa central, un PC de administración, etc. Configure la interfaz externa y las funciones relacionadas de acuerdo con sus exigencias tal y como se describe en el presente capítulo. 5.1 Parámetros de acceso a EGPRS/GPRS Para acceder a los servicios EGPRS y GPRS, así como a la red inalámbrica GSM básica se requieren parámetros de acceso que son proporcionados por el proveedor de red GSM. PIN Nombre de usuario APN (pú blico) y contraseña INTERNET Aplicación local MD741-1 SIM (E-)GPRS VPN APN (pú blico ) Figura 5-1 49 Parámetros de acceso SINAUT MD741-1 C79000-G8978-C236-02 5 Interfaz externa El PIN protege la tarjeta SIM contra usos no autorizados. El nombre de usuario y la contraseña protegen el acceso a EGPRS y GPRS, y el APN (Access Point Name o Nombre de Punto de Acceso) define la transición de EGPRS o GPRS a otras redes IP conectadas, p. ej. un APN público a Internet o un APN privado a una VPN (Virtual Private Network o Red Privada Virtual). Figura 5-2 Red externa > EDGE/GPRS PIN Introduzca aquí el PIN de su tarjeta SIM. El proveedor de red le proporciona el PIN. El SINAUT MD741-1 también puede funcionar con tarjetas SIM sin PIN. Introduzca en este caso NONE. El campo de entrada queda entonces vacío. Nota Si no introduce nada, el campo de entrada del PIN aparece enmarcado en rojo después de guardar. User name (nombre de usuario) Introduzca aquí un nombre de usuario para EGPRS y GPRS. Algunos proveedores de red GSM/GPRS renuncian al control de acceso según el nombre de usuario y/o la contraseña. En este caso, introduzca guest (invitado) en el respectivo campo. Password (contraseña) Introduzca aquí una contraseña para EGPRS y GPRS. Algunos proveedores de red GSM/GPRS renuncian al control de acceso según el nombre de usuario y/o la contraseña. En este caso, introduzca guest (invitado) en el respectivo campo. APN Introduzca aquí el nombre de la transición de EGPRS y GPRS a otras redes. Encontrará el APN en la documentación de su proveedor de red GSM/GPRS, en el sitio web de éste, o bien llamando a la hotline del mismo. 50 SINAUT MD741-1 C79000-G8978-C236-02 5 Interfaz externa Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: 5.2 PIN NONE User name (nombre de usuario) guest Password (contraseña) guest APN NONE Supervisión de conexiones EGPRS/GPRS Por medio de la función Connection Check (comprobar conexión), el SINAUT MD741-1 supervisa sus conexiones con los servicios EGPRS o GPRS y con las redes externas conectadas, p. ej. Internet o Intranet. El SINAUT MD741-1 envía para ello paquetes ping (ICMP) a hasta cuatro estaciones remotas (hosts de destino) en intervalos regulares. Esto sucede independientemente de las conexiones de datos útiles. Si el SINAUT MD741-1 recibe una respuesta a uno de dichos pings de por lo menos una estación remota direccionada, significa que el SINAUT MD741-1 está conectado todavía con el EGPRS o GPRS y listo para el servicio. Algunos proveedores de red interrumpen las conexiones en caso de inactividad. Esto también se impide por medio de la función Connection Check (comprobar conexión). H ost de destino en Intern et Ping para supervisar co nexi ones Aplicación lo cal MD741-1 Red rem ota Ho st de destino en Intranet Router/ firewall INT ER NET (E-)G PRS APN Conexión de d ato s útil es Figura 5-3 Supervisión de conexiones Advertencia Debido al envío de paquetes ping (ICMP) aumenta la cantidad de datos enviados y recibidos por EGPRS o GPRS. Esto puede causar costes adicionales. SINAUT MD741-1 C79000-G8978-C236-02 51 5 Interfaz externa Figura 5-4 Red externa > Ajustes avanzados > Comprobar conexión Enable connection check (habilitar comprobación de conexión) Seleccione Yes si desea habilitar la función. Ping Targets – Hostname (destinos de ping – nombre de host) Seleccione hasta cuatro estaciones remotas a las que el SINAUT MD741-1 debe poder acceder por ping. Las estaciones remotas deben estar accesibles permanentemente y responder al ping. Nota Asegúrese de que las estaciones remotas no sean perturbadas. Connection check interval (minutes) (intervalo para comprobar la conexión) (minutos)) Determina el intervalo en el que el SINAUT MD741-1 debe enviar los paquetes ping para supervisar las conexiones. El intervalo se indica en minutos. Allowable number of failures (cantidad de intentos fallidos permitidos) El SINAUT MD741-1 envía simultáneamente paquetes ping a todas las estaciones remotas (hosts de destino) especificadas. Si responde por lo menos una de ellas, significa que se ha aprobado la prueba de conexión. Si no responde ninguna de ellas, se trata de un intento fallido. El proceso se repite una vez transcurrido el intervalo ajustado. Si entonces responde una de las estaciones remotas, se resetea el contador de intentos fallidos. Si se alcanza la cantidad de intentos fallidos permitidos, se dispara la acción definida en caso de conexión errónea. 52 SINAUT MD741-1 C79000-G8978-C236-02 5 Interfaz externa Activity on faulty connection (acción en caso de conexión errónea) Renew connection (renovar conexión) El SINAUT MD741-1 establece nuevamente una conexión con el EGPRS o GPRS si no ha recibido respuesta a los paquetes ping enviados. Reboot MD741-1 (rearrancar MD741-1) El SINAUT MD741-1 efectúa un rearranque si no ha recibido respuesta a los paquetes ping enviados. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Enable connection check (habilitar comprobación de conexión) No (desactivado) Nombre de host - Connection check interval (intervalo para comprobar la conexión) 5 (minutos) Allowable number of failures (cantidad de intentos fallidos permitidos) 3 (intentos fallidos) Activity on faulty connection (acción en caso de conexión errónea) Renew connection (renovar conexión) SINAUT MD741-1 C79000-G8978-C236-02 53 5 Interfaz externa 5.3 Nombre de host vía DynDNS Los servidores de nombres de dominio dinámicos (DynDNS) permiten acceder a las aplicaciones de Internet a través de un nombre de host (p. ej. myHost.org), aunque éstas no tengan una dirección IP fija y el nombre de host no esté registrado. Si inicia la sesión con el SINAUT MD741-1 en un servicio DynDNS, podrá acceder al SINAUT MD741-1 desde la red externa también bajo un nombre de host, p. ej. mySINAUT.dyndns.org. Red externa DynDNS INFO: dirección IP y nombre de host Aplicación local Consulta: IP a nombre de host MD741-1 IP de respuesta INTERNET (E-)GPRS APN Router/ firewall Conexión de datos útiles Abbildung 5-5 Enlace Dyn-DNS Para más información acerca de DynDNS, consulte el Glosario.. Figura 5-6 Red externa > Ajustes avanzados > DynDNS Log this SINAUT MD741-1 on to a DynDNS server (iniciar la sesión de este MD741-1 en un servidor DynDNS) Seleccione Yes si desea utilizar un servicio DynDNS. 54 SINAUT MD741-1 C79000-G8978-C236-02 5 Interfaz externa Proveedor de DynDNS El SINAUT MD741-1 es compatible con dyndns.org. DynDNS username / password (nombre de usuario / contraseña DynDNS) Introduzca aquí el nombre de usuario y la contraseña que le autorizan a utilizar el servicio DynDNS. Consulte estos datos con su proveedor de DynDNS. DynDNS hostname (nombre de host DynDNS) Introduzca aquí el nombre de host que ha convenido para el SINAUT MD741-1 con su proveedor de DynDNS, p. ej. mySINAUT.dyndns.org. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Log this SINAUT MD741-1 on to a DynDNS server (iniciar la sesión de este MD741-1 en un servidor DynDNS) No (desactivado) DynDNS username (nombre de usuario DynDNS) guest DynDNS password (contraseña DynDNS) guest DynDNS hostname (nombre de host DynDNS) myname.dyndns.org SINAUT MD741-1 C79000-G8978-C236-02 55 6 Funciones de seguridad 6.1 Filtro de paquetes El SINAUT MD741-1 incluye un "Stateful Inspection Firewall". "Stateful Inspection Firewall" es un método para filtrar paquetes. Los filtros de paquetes sólo dejan pasar paquetes IP si ésto se ha definido previamente por reglas de firewall. En las reglas de firewall se define lo siguiente: ● qué protocolo (TCP, UDP, ICMP) puede pasar, ● el origen permitido para los paquetes IP (From IP / From port) (De IP / de puerto)) ● el destino permitido para los paquetes IP (To IP / To port) (A IP / a puerto)) Asimismo se define qué debe suceder con los paquetes IP que no puedan pasar, p. ej. si se deben descartar o rechazar. En un filtro de paquetes simple es preciso crear siempre dos reglas de firewall para una conexión: ● una regla para el sentido de consulta del origen al destino y ● otra regla para el sentido de respuesta del destino al origen. Esto es diferente en el SINAUT MD741-1, ya que utiliza un "Stateful Inspection Firewall". Aquí se crea sólo una regla de firewall para el sentido de consulta del origen al destino. La regla de firewall para el sentido de respuesta del destino al origen resulta del análisis de los datos enviados antes. La regla de firewall para las respuestas se vuelve a cerrar tras recibir las respuestas o al cabo de un período breve. Por tanto, las respuestas sólo pueden pasar si ha habido previamente una consulta. De esta manera, la regla de respuesta no puede utilizarse para accesos no autorizados. Además, hay métodos especiales que permiten el paso de datos UDP y ICMP sin haberlos solicitado antes. 56 SINAUT MD741-1 C79000-G8978-C236-02 6 Funciones de seguridad Figura 6-1 Seguridad > Filtro de paquetes Firewall Rules (Incoming) (reglas de firewall de entrada) Mediante las reglas de firewall de entrada se define qué debe suceder con los paquetes IP recibidos vía EGPRS o GPRS desde redes externas (p. ej. Internet). El origen es el remitente de estos paquetes IP. El destino son las aplicaciones locales en el SINAUT MD741-1. De conformidad con los ajustes de fábrica, no se ha definido inicialmente ninguna regla de firewall de entrada, por lo que no puede pasar ningún paquete IP. New (nuevo) Agrega una nueva regla de firewall que se puede rellenar luego. Delete (borrar) Borra reglas de firewall que se hayan creado. Protocol (protocolo) Seleccione el protocolo para el que debe valer esta regla. Puede seleccionar TCP, UDP o ICMP. Si selecciona All (todos), esta regla será válida para los tres protocolos. From IP (de IP) Introduzca la dirección IP de la estación remota externa que debe poder enviar los paquetes IP a la red local. Introduzca la dirección IP o un rango IP de la estación remota. 0.0.0.0/0 significa todas las direcciones. Para indicar un rango, utilice la notación CIDR (consulte el glosario) From port (de puerto) Introduzca el puerto desde el que la estación remota externa puede enviar paquetes IP (se evalúa sólo en los protocolos TCP y UDP). SINAUT MD741-1 C79000-G8978-C236-02 57 6 Funciones de seguridad To IP (a IP) Especifique a qué dirección IP de la red local pueden enviarse paquetes IP. A este efecto, introduzca la dirección IP o un rango IP de la aplicación en la red local. 0.0.0.0/0 significa todas las direcciones. Para indicar un rango, utilice la notación CIDR (consulte el Glosario). To port (a puerto) Introduzca el puerto al que la estación remota externa puede enviar paquetes IP. Action (acción) Seleccione qué debe suceder con los paquetes IP entrantes: Accept (aceptar): los paquetes de datos pueden pasar. Reject (rechazar): los paquetes de datos se rechazan y el remitente obtiene un aviso correspondiente. Drop (descartar): los paquetes de datos se descartan sin que el remitente obtenga un aviso al respecto. Firewall Rules (Outgoing) (reglas de firewall de salida) Con las reglas de firewall de salida se define qué debe suceder con los paquetes IP recibidos de la red local. El origen es una aplicación en la red local. El destino es una estación remota externa, p. ej. en Internet o una red privada. Conforme a los ajustes de fábrica no se ha definido inicialmente ninguna regla de firewall de salida, por lo que no puede pasar ningún paquete IP. New (nuevo) Agrega una nueva regla de firewall que se puede rellenar luego. Protocol (protocolo) Seleccione el protocolo para el que debe valer esta regla. Puede seleccionar TCP, UDP o ICMP. Si selecciona All (todos), esta regla será válida para los tres protocolos. From IP (de IP) Introduzca la dirección IP de la aplicación local que debe poder enviar los paquetes IP a la red externa. A este efecto, introduzca la dirección IP o un rango IP de la aplicación local. 0.0.0.0/0 significa todas las direcciones. Para indicar un rango, utilice la notación CIDR (consulte el Glosario). 58 SINAUT MD741-1 C79000-G8978-C236-02 6 Funciones de seguridad From port (de puerto) Introduzca el puerto al que la aplicación local puede enviar paquetes IP. Introduzca para ello el número de puerto. (se evalúa sólo en los protocolos TCP y UDP) Action (acción) Seleccione qué debe suceder con los paquetes IP salientes: Accept (aceptar): los paquetes de datos pueden pasar. Reject (rechazar): los paquetes de datos se rechazan y el remitente obtiene un aviso correspondiente. Drop (descartar): los paquetes de datos se descartan sin que el remitente obtenga un aviso al respecto. Firewall Rules Incoming / Outgoing (reglas de firewall de entrada / salida) Log (registro) Para cada regla de firewall es posible determinar si el evento se debe ● registrar - en este caso, ajuste Log a Yes ● o no - en este caso, ajuste Log a No (ajuste de fábrica predeterminado) El informe se escribe en el archivo de registro del firewall (consulte el capítulo 6.4). Log Unknown Connection Attempts (registrar intentos de conexión desconocidos) Con esto se registran todos los intentos de conexión que no sean cubiertos por las reglas definidas. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Firewall de entrada Firewall Rules (Incoming) (reglas de firewall de entrada) - (todo bloqueado) Protocol (protocolo) Todos From IP (de IP) 0.0.0.0/0 From port (de puerto) Cualquiera To IP (a IP) 0.0.0.0/0 SINAUT MD741-1 C79000-G8978-C236-02 59 6 Funciones de seguridad To port (a puerto) Cualquiera Action (acción) Aceptar Log (registro) No (desactivado) Log Unknown Connection Attempts (registrar intentos de conexión desconocidos) No (desactivado) Log Unknown Connection Attempts (registrar intentos de conexión desconocidos) No (desactivado) Firewall de salida 6.2 Firewall Rules (Outgoing) (reglas de firewall de salida) - (todo bloqueado) Protocol (protocolo) Todos From IP (de IP) 0.0.0.0/0 From port (de puerto) Cualquiera To IP (a IP) 0.0.0.0/0 To port (a puerto) Cualquiera Action (acción) Aceptar Log (registro) No (desactivado) Log Unknown Connection Attempts (registrar intentos de conexión desconocidos) No (desactivado) Port Forwarding Si se ha definido una regla para "Port Forwarding", se reenvían los paquetes de datos recibidos en un puerto IP determinado del SINAUT MD741-1 procedentes de una red externa. Los paquetes de datos entrantes se reenvían entonces a una dirección IP y un número de puerto determinado de la red local. El "Port Forwarding" se puede configurar para TCP o UDP. En el "Port Forwarding" sucede lo siguiente: Las cabeceras de paquetes de datos entrantes de la red externa dirigidos a la dirección IP externa del SINAUT MD7411 y a un puerto en particular se reescriben de manera que sean enviados a un puerto específico de un determinado ordenador de la red interna. Por tanto, se modifican la dirección IP y el número de puerto en la cabecera de los paquetes de datos entrantes. Este proceso también se denomina "Destination NAT" o "Port Forwarding". 60 SINAUT MD741-1 C79000-G8978-C236-02 6 Funciones de seguridad Nota Para poder reenviar los paquetes de datos entrantes a la dirección IP determinada en la red local, es preciso configurar en el filtro de paquetes una regla de firewall de entrada para esta dirección IP. Consulte el capítulo 6.1. Figura 6-2 Seguridad > Port Forwarding New (nuevo) Agrega una nueva regla de firewall de reenvío que se puede rellenar luego. Delete (borrar) Borra reglas de firewall de reenvío que se hayan creado. Protocol (protocolo) Indique aquí el protocolo (TCP o UDP) al que debe referirse la regla. Destination port (puerto de destino) Introduzca aquí el número de puerto (p. ej. 80) al que llegan los paquetes de datos de la red externa que deben reenviarse. Forward to IP (reenviar a IP) Especifique aquí la dirección IP en la red local a la que deben reenviarse los paquetes de datos entrantes. Forward to port (reenviar a puerto) Especifique aquí el número de puerto (p. ej. 80) de la dirección IP en la red local al que deben reenviarse los paquetes de datos entrantes. SINAUT MD741-1 C79000-G8978-C236-02 61 6 Funciones de seguridad Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: 6.3 Reglas de reenvío - Protocol (protocolo) Todos Forward to IP (reenviar a IP) 127.0.0.1 Forward to port (reenviar a puerto) 80 Log (registro) No (desactivado) Funciones de seguridad avanzadas Las funciones de seguridad avanzadas sirven para proteger el SINAUT MD741-1 y las aplicaciones locales contra ataques. Para la protección se asume que sólo un determinado número de conexiones o paquetes ping recibidos se admite y se desea durante la operación normal y que, al producirse una acumulación repentina, se trata de un ataque. Figura 6-3 Seguridad > Avanzada Maximum number (número máximo) … Las entradas 62 ● Maximum number of parallel connections (número máximo de conexiones paralelas) ● Maximum number of new incoming TCP connections per second (número máximo de nuevas conexiones TCP entrantes por segundo) ● Maximum number of new outgoing TCP connections per second (número máximo de nuevas conexiones TCP salientes por segundo) SINAUT MD741-1 C79000-G8978-C236-02 6 Funciones de seguridad ● Maximum number of new incoming ping packets per second (número máximo de nuevos paquetes ping entrantes por segundo) ● Maximum number of new outgoing ping packets per second (número máximo de nuevos paquetes ping salientes por segundo) determinan límites superiores. Los ajustes predeterminados (v. figura) se han seleccionado de manera que no se alcancen nunca en la práctica normal. En cambio, tratándose de un ataque, pueden alcanzarse fácilmente, por lo que esta limitación ofrece una protección adicional. Si en su entorno de trabajo existen exigencias especiales, puede modificar los valores conforme a ello. External ICMP to the SINAUT MD741-1 (ICMP externo al SINAUT MD741-1) Con esta opción puede influenciar el comportamiento al recibir paquetes ICMP enviados desde la red externa hacia el SINAUT MD741-1. Tiene las siguientes posibilidades: ● Drop (rechazar): se rechazan todos los paquetes ICMP enviados al SINAUT MD741-1. ● Allow Ping (permitir ping): se aceptan sólo los paquetes ping (ICMP tipo 8) enviados al SINAUT MD741-1. ● Accept (aceptar): se aceptan todos los tipos de paquetes ICMP enviados al SINAUT MD741-1. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Maximum number of parallel connections (número máximo de conexiones paralelas) 4096 Maximum number of new incoming TCP connections per second (número máximo de nuevas conexiones TCP entrantes por segundo) 25 Maximum number of new outgoing TCP connections per second (número máximo de nuevas conexiones TCP salientes por segundo) 75 Maximum number of new incoming ping packets per second (número máximo de nuevos paquetes ping entrantes por segundo) 3 Maximum number of new outgoing ping packets per second (número máximo de nuevos paquetes ping salientes por segundo) 5 External ICMP to the SINAUT MD741-1 (ICMP externo al SINAUT MD741-1) Descartar SINAUT MD741-1 C79000-G8978-C236-02 63 6 Funciones de seguridad 6.4 Archivo de registro del firewall En el archivo de registro del firewall se registra cuándo se han aplicado las distintas reglas del firewall. A este efecto, la función LOG debe estar activada para las distintas funciones del firewall. Figura 6-4 Seguridad > Archivo de registro del firewall Nota El archivo de registro del firewall se pierde al realizar un rearranque. 64 SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN El SINAUT MD741-1 permite conectar la red local a una red remota segura a través de un túnel VPN. Los paquetes de datos IP intercambiados entre ambas redes se encriptan y, gracias al túnel VPN, están protegidos contra manipulaciones no autorizadas. Gracias a ello, es posible utilizar redes públicas no protegidas (p. ej. Internet) para transportar los datos, sin poner en peligro la confidencialidad ni integridad de los mismos. Figura 7-1 IPSec VPN > Conexiones Para que el SINAUT MD741-1 pueda establecer un túnel VPN, la red remota debe disponer de un gateway VPN como estación remota del SINAUT MD741-1. Red remota Red local PC de administración Admin- PC MD741-1 Gateway VPN Aplicación local INTERNET (E-)GPRS APN Estaciones remotas externas Aplicación local Túnel VPN Figura 7-2 65 Conexión VPN SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN El SINAUT MD741-1 utiliza para el túnel VPN el método IPsec en modo túnel. Los paquetes de datos IP a transferir se encriptan por completo y se proveen de una nueva cabecera antes de ser enviados al gateway VPN de la estación remota. Allá se desencriptan los paquetes de datos recibidos y se transforman en los paquetes de datos originales. Éstos se reenvían luego al destino en la red remota. Se diferencia entre dos modos para las conexiones VPN: ● En el modo "Roadwarrier" VPN, el SINAUT MD741-1 puede aceptar conexiones VPN de estaciones remotas con dirección desconocida. Éstas pueden ser p. ej. estaciones remotas móviles que obtienen su dirección IP de forma dinámica. La estación remota debe establecer la conexión VPN. En el modo "Roadwarrier" se permite sólo una conexión VPN. Las conexiones VPN en modo "Standard" pueden funcionar simultáneamente con ésta. ● En el modo VPN "Standard" debe conocerse la dirección (IP o nombre de host) del gateway VPN de la estación remota para poder establecer la conexión VPN. La conexión VPN puede ser establecida bien sea por el SINAUT MD741-1, o bien por el gateway VPN de la estación remota. El establecimiento de la conexión VPN comprende dos fases. Inicialmente, en la 1ª fase (ISAKMP = Internet Security Association and Key Management Protocol) se establece la asociación de seguridad (SA = Security Association) para el intercambio de claves entre el SINAUT MD741-1 y el gateway VPN de la estación remota. Luego, en la 2ª fase (IPsec = Internet Protocol Security) se establece la asociación de seguridad (SA = Security Association) para la conexión IPsec en sí entre el SINAUT MD741-1 y el gateway VPN de la estación remota. Requisitos del gateway VPN de la red remota Para poder establecer correctamente una conexión IPsec, la estación remota VPN debe soportar IPsec con la siguiente configuración: 66 ● Autenticación por medio de certificados X.509, certificados CA o clave previamente compartida (PSK = Pre-Shared Key) ● ESP ● Grupo Diffie-Hellman 1, 2 ó 5 ● Encriptación 3DES ó AES ● Algoritmos hash MD5 ó SHA-1 ● Modo túnel ● Modo rápido ● Modo principal SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN ● Período de validez de la SA (Security Association o asociación de seguridad) (1 segundo a 24 horas) Si la estación remota es un ordenador con Windows 2000, debe estar instalado también Microsoft Windows 2000 High Encryption Pack o por lo menos el Service Pack 2. Si la estación remota está del otro lado de un router NAT, debe soportar también NAT-T, o el router NAT debe conocer el protocolo IPsec (IPsec/VPN Passthrough). 7.1 Modo Roadwarrier VPN El modo Roadwarrier permite al SINAUT MD741-1 VPN aceptar una conexión VPN iniciada por una estación remota con dirección IP desconocida. La estación remota debe autenticarse correctamente. No obstante, en esta conexión VPN se renuncia a identificar la estación remota por medio de su dirección IP o nombre de host. Figura 7-3 IPSec VPN > Modo Roadwarrier Configure el SINAUT MD741-1 según lo convenido con el administrador de sistema de la estación remota. SINAUT MD741-1 C79000-G8978-C236-02 67 7 Conexiones VPN Modo Roadwarrier - Editar la configuración Figura 7-4 Modo Roadwarrier > Editar la configuración Authentication method (método de autenticación) Seleccione el método de autenticación según lo convenido con el administrador de sistema de la estación remota. El SINAUT MD741-1 soporta tres métodos, a saber: ● Certificado X.509 ● Certificado CA ● Pre-Shared Key (clave previamente compartida) Certificado X.509, certificado CA En los métodos de autenticación "Certificado X.509" y "Certificado CA" se utilizan para la autenticación claves firmadas previamente por una autoridad certificadora (CA = Certification Authority). Estos métodos se consideran especialmente seguros. Una CA puede ser un prestador de servicios, pero también p. ej. el administrador de sistema de su proyecto, si éste dispone de las herramientas de software necesarias. La CA crea un archivo de certificado (PKCS12) con la extensión *p12 para cada una de ambas estaciones remotas de una conexión VPN. Este archivo de certificado contiene las claves pública y privada de la propia estación, el certificado firmado por la CA y la clave pública de la CA. En el método de autenticación X.509 existe además para cada una de ambas estaciones remotas un archivo de clave (*.pem, *.cer ó *.crt) que contiene la clave pública de la propia estación. 68 SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN Certificado X.509 El intercambio de claves públicas (archivo con la extensión *.pem, *.cer ó *.crt) entre el SINAUT MD741-1 y el gateway VPN de la estación remota se efectúa manualmente, p. ej. mediante un CD-ROM o por correo electrónico. Para más información sobre cómo cargar el certificado, consulte el capítulo 7.3. Certificado CA El intercambio de claves públicas entre el SINAUT MD741-1 y el gateway VPN de la estación remota se realiza vía la conexión de datos al establecer la conexión VPN. No es necesario intercambiar manualmente los archivos de clave. Pre-Shared Secret Key (PSK o clave secreta previamente compartida) Este método es soportado principalmente por implementaciones de IPsec antiguas. La autenticación se realiza con una secuencia de caracteres convenida previamente. Para alcanzar un nivel de seguridad elevado, la secuencia de caracteres debería comprender aprox. 30 caracteres (mayúsculas, minúsculas y cifras) seleccionados al azar. Remote certificate (certificado remoto) Si se ha seleccionado el método de autenticación "Certificado X.509", aparece aquí la lista de estaciones remotas que ya se han cargado en el SINAUT MD7411. Aquí se debe seleccionar el certificado para la conexión VPN. Remote ID, Local ID (ID remota, ID local) IPsec utiliza las IDs local y remota para identificar unívocamente las estaciones remotas al establecer la conexión VPN. La ID local propia debe ser igual a la ID remota en la estación remota, y viceversa. En la autenticación con el certificado X.509 o el certificado CA: ● Si se conserva el ajuste de fábrica NONE, los Distinguished Names (nombres distintivos) del propio certificado y del certificado de la estación remota se utilizan automáticamente como ID local e ID remota. ● Si se modifica manualmente la entrada de la ID local o remota, es preciso adaptar las entradas correspondientes en la estación remota. La entrada manual de la ID local y remota debe efectuarse en formato ASN.1, p. ej. "C=XY/O=XY Org/CN=xy.org.org" En la autenticación con Pre-Shared Secret Key (PSK): ● En modo Roadwarrier es preciso introducir manualmente la ID remota. La ID remota debe tener el formato de un nombre de host (p. ej. RemoteStation.com), o bien de una dirección de correo electrónico ([email protected]) y, además, concordar con la ID local de la estación remota. El ajuste de la ID local se puede dejar en NONE. En este caso, la dirección IP SINAUT MD741-1 C79000-G8978-C236-02 69 7 Conexiones VPN se utiliza como dirección IP local. Si se introduce una ID local, ésta debe tener el formato de un nombre de host (p. ej. RemoteStation.com), o bien de una dirección de correo electrónico ([email protected]) y, además, concordar con la ID ramota de la estación remota. Modo Roadwarrier - Editar la IKE Aquí puede definir las propiedades de la conexión VPN conforme a sus exigencias y según lo convenido con el administrador de sistema de la estación remota. Figura 7-5 Modo Roadwarrier > Editar la configuración ISAKMP-SA encryption (encriptación de SA ISAKMP), IPsec-SA encryption (encriptación de SA IPsec) Campo para seleccionar el método de encriptación para la SA ISAKMP y SA IPSec convenido con el administrador de sistema de la estación remota. El SINAUT MD741-1 soporta los métodos siguientes: 70 ● 3DES-168 ● AES-128 ● AES-192 ● AES-256 SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN 3DES-168 es un método utilizado con frecuencia, por lo que aparece ajustado por defecto. El método puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. Nota: Cuantos más bits tenga un algoritmo de encriptación (lo que se indica por el número anexado), tanto más seguro será. Por tanto, el método AES-256 es el más seguro. No obstante, el proceso de encriptación tarda más tiempo y necesita más potencia de cálculo cuanto más larga sea la clave. ISAKMP-SA hash, IPsec-SA hash Campo para seleccionar el método a utilizar para calcular las sumas de verificación / los hashes durante las fases ISAKMP e IPSec. Puede seleccionar entre: ● MD5 o SHA-1 (detección automática) ● MD5 ● SHA-1 El método puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. ISAKMP-SA mode (modo de SA ISAKMP) Campo para seleccionar el método a utilizar para negociar la SA ISAKMP. Puede seleccionar entre: ● Main Mode (modo principal) ● Aggressive Mode (modo agresivo) Nota: Si se utiliza el método de autenticación Pre-Shared Key, es preciso ajustar el "Aggressive Mode" en el modo Roadwarrier. ISAKMP-SA lifetime (período de validez de SA ISAKMP), IPsec-SA lifetime (período de validez de SA IPsec) Las claves de una conexión IPsec se renuevan en determinados intervalos, con objeto de dificultar aún más los ataques a una conexión IPsec. Campo de entrada para determinar el período de validez (en segundos) de las claves convenidas para la SA ISAKMP y la SA IPSec. SINAUT MD741-1 C79000-G8978-C236-02 71 7 Conexiones VPN El período de validez puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. NAT-T Es posible que exista un router NAT entre el SINAUT MD741-1 y el gateway VPN de la red remota. No todos los routers NAT dejan pasar paquetes de datos IPsec. Por este motivo podría resultar necesario encapsular los paquetes de datos IPsec en paquetes UPD para poder pasar el router NAT. On Si el SINAUT MD741-1 detecta un router NAT que no deje pasar los paquetes IPsec, se inicia automáticamente la encapsulación UDP. Force (forzar) Al negociar los parámetros de la conexión VPN se exige que los paquetes de datos se transfieran encapsulados durante la conexión. Off La función NAT-T está desactivada. Enable dead peer detection (habilitar Dead Peer Detection) Si la estación remota soporta el protocolo Dead Peer Detection (DPD), los respectivos interlocutores pueden detectar si la conexión IPsec es válida aún o si debe establecerse de nuevo. Dependiendo de la configuración, sin DPD es necesario esperar hasta que finalice el período de validez de la SA (asociación de seguridad) o reiniciar la conexión manualmente. Para comprobar si la conexión IPsec es válida aún, la Dead Peer Detection envía consultas DPD a la estación remota. Si no hay respuesta, la conexión IPsec se considera interrumpida al cabo del número permitido de intentos fallidos. Advertencia Debido al envío de consultas DPD aumenta la cantidad de datos enviados y recibidos por EGPRS o GPRS. Esto puede causar costes adicionales. Sí La Dead Peer Detection está activada. El SINAUT MD741-1 detecta – independientemente de la transferencia de datos útiles – la interrupción de la conexión y, en este caso, espera a que las estaciones remotas vuelvan a establecer la conexión. No La Dead Peer Detection está desactivada. 72 SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN DPD - delay (seconds) (retardo de DPD en segundos) Período en segundos al cabo del cual deben enviarse consultas DPD. Estas consultas comprueban si la estación remota está disponible todavía. DPD - timeout (seconds) (timeout de DPD en segundos) Período en segundos al cabo del cual debe considerarse no válida la conexión con la estación remota si no se recibe una respuesta a las consultas DPD. DPD - maximum failures (intentos fallidos máx. de DPD) Cantidad de intentos fallidos admisibles antes de considerarse interrumpida la conexión IPsec. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Nombre Cualquiera Activado No (desactivado) Authentication method (método de autenticación) Certificado X.509 ID remota NONE ID local NONE Remote certificate (certificado remoto) - Encriptación de SA ISAKMP 3DES-168 Encriptación de SA IPSec 3DES-168 Hash de SA ISAKMP MD5 Hash de SA IPSec MD5 ISAKMP-SA mode (modo de SA ISAKMP) Main Período de validez de SA ISAKMP (segundos) 86400 Período de validez de SA IPSec (segundos) 86400 NAT-T On Enable dead peer detection (habilitar Dead Peer Detection) Sí DPD - delay (seconds) (retardo de DPD en segundos) 150 DPD - timeout (seconds) (timeout de DPD en segundos) 60 DPD - maximum failures (intentos fallidos máx. de DPD) 5 SINAUT MD741-1 C79000-G8978-C236-02 73 7 Conexiones VPN 7.2 Modo Standard VPN IPsec Aquí se visualizan las conexiones VPN ya creadas. Es posible habilitar (Enabled = Yes) o deshabilitar (Enabled = No) cada conexión por separado. Puede utilizar New (nuevo) para agregar conexiones VPN, Edit Settings (editar configuración) e IKE Settings (configuración IKE) para configurarlas, así como Delete para borrarlas. Figura 7-6 IPSec VPN > Modo Standard Modo Standard VPN - Editar la configuración Figura 7-7 74 Modo Standard VPN > Editar la configuración SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN Connection name (nombre de conexión) Introduzca aquí un nombre para la nueva conexión. Address of the remote site's VPN gateway (dirección del gateway VPN de la estación remota) Campo de entrada para la dirección de la estación remota, bien sea como nombre de host (p. ej. myadress.com) o dirección IP. Red local Red remota PC de administración Direcció n d e la estación remota MD741-1 PC de administración Gateway VPN Aplicación local INTERNET (E-)GPRS APN Estaciones remotas externas Aplicación local Túnel VPN Figura 7-8 Host remoto > Dirección de la estación remota Certificado X.509, certificado CA En los métodos de autenticación "Certificado X.509" y "Certificado CA" se utilizan para la autenticación claves firmadas previamente por una autoridad certificadora (CA = Certification Authority). Estos métodos se consideran especialmente seguros. Una CA puede ser un prestador de servicios, pero también p. ej. el administrador de sistema de su proyecto, si éste dispone de las herramientas de software necesarias. La CA crea un archivo de certificado (PKCS12) con la extensión *p12 para cada una de ambas estaciones remotas de una conexión VPN. Este archivo de certificado contiene las claves pública y privada de la propia estación, el certificado firmado por la CA y la clave pública de la CA. En el método de autenticación X.509 existe además para cada una de ambas estaciones remotas un archivo de clave (*.pem, *.cer ó *.crt) que contiene la clave pública de la propia estación. Certificado X.509 El intercambio de claves públicas (archivo con la extensión *.pem, *.cer ó *.crt) entre el SINAUT MD741-1 y el gateway VPN de la estación remota se efectúa manualmente, p. ej. mediante un CD-ROM o por correo electrónico. Para más información sobre cómo cargar el certificado, consulte el capítulo 7.3. Certificado CA El intercambio de claves públicas entre el SINAUT MD741-1 y el gateway VPN de la estación remota se realiza vía la conexión de datos al establecer la conexión VPN. No es necesario intercambiar manualmente los archivos de clave. SINAUT MD741-1 C79000-G8978-C236-02 75 7 Conexiones VPN Pre-Shared Secret Key (PSK o clave secreta previamente compartida) Este método es soportado principalmente por implementaciones de IPsec antiguas. La autenticación se realiza con una secuencia de caracteres convenida previamente. Para alcanzar un nivel de seguridad elevado, la secuencia de caracteres debería comprender aprox. 30 caracteres (mayúsculas, minúsculas y cifras) seleccionados al azar. Remote ID, Local ID (ID remota, ID local) IPsec utiliza las IDs local y remota para identificar unívocamente las estaciones remotas al establecer la conexión VPN. En la autenticación con el certificado X.509 o el certificado CA: ● Si se conserva el ajuste de fábrica NONE, los Distinguished Names (nombres distintivos) del propio certificado y del certificado de la estación remota se adoptan y se utilizan automáticamente como ID local e ID remota. ● Si se modifica manualmente la entrada de la ID local o remota, es preciso adaptar las entradas correspondientes en la estación remota. La ID local propia debe ser igual a la ID remota en la estación remota, y viceversa. Las entradas para la ID local y remota deben efectuarse en formato ASN.1, p. ej. "C=XY/O=XY Org/CN=xy.org.org" En la autenticación con Pre-Shared Secret Key (PSK): ● Si se conserva el ajuste de fábrica NONE, se adoptan automáticamente la dirección IP propia como ID local y la dirección IP de la estación remota como ID remota. ● Si las entradas de la ID local o remota se modifican manualmente, estas entradas deben tener el formato de un nombre de host (p. ej. RemoteStation.com), o bien de una dirección de correo electrónico (p. ej. [email protected]). La ID local propia debe ser igual a la ID remota en la estación remota, y viceversa. Nota: Si la dirección IP no se utiliza como ID remota en la Pre-Shared Secret Key (PSK), es preciso ajustar el "Aggressive Mode" como modo de la SA ISAKMP. Scalance S ID Si ha cargado el certificado de una Scalance S en el SINAUT MD741-1, la ID remota se puede leer del certificado haciendo clic en el botón Scalance S ID. El valor leído se introduce entonces como ID remota. 76 SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN Wait for remote connection (esperar conexión remota) Sí El SINAUT MD741-1 espera hasta que el gateway VPN de la red remota inicie el establecimiento de la conexión VPN. No El SINAUT MD741-1 inicia el establecimiento de la conexión. Remote net address (dirección de la red remota) Campo para introducir la dirección IP (p. ej. 123.123.123.123) de la red remota. La red remota también puede ser un solo ordenador. Red local Red remo ta Dirección d e la red local Dirección de la red rem ota PC de administración PC de adm inistració n MD741-1 Gateway VPN Aplicaci ón lo cal INTERNET (E-)GPRS A PN Estaciones remotas externas Aplicaci ón lo cal Túnel VPN Figura 7-9 Dirección de la red remota Remote subnet mask (máscara de subred remota) Campo para introducir la máscara de subred (p. ej. 255.255.255.0) de la red remota. La red remota también puede ser un solo ordenador. Local net address (dirección de la red local) Campo para introducir la dirección IP (p. ej. 123.123.123.123) de la red local. La red local también puede ser un solo ordenador. Local subnet mask (máscara de subred local) Campo para introducir la máscara de subred (p. ej. 255.255.255.0) de la red local. La red local también puede ser un solo ordenador. SINAUT MD741-1 C79000-G8978-C236-02 77 7 Conexiones VPN Reglas de firewall para túnel VPN Consulte el capítulo 7.4. Modo Standard VPN - Editar IKE Aquí puede definir las propiedades de la conexión VPN conforme a sus exigencias y según lo convenido con el administrador de sistema de la estación remota. Figura 7-10 Modo Standard VPN > Editar IKE ISAKMP-SA encryption (encriptación de SA ISAKMP), IPsec-SA encryption (encriptación de SA IPsec) Campo para seleccionar el método de encriptación que debe utilizarse para la SA ISAKMP y SA IPSec. El SINAUT MD741-1 soporta los métodos siguientes: 78 ● 3DES-168 ● AES-128 ● AES-192 ● AES-256 SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN 3DES-168 es un método utilizado con frecuencia, por lo que aparece ajustado por defecto. El método puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. Nota: Cuantos más bits tenga un algoritmo de encriptación (lo que se indica por el número anexado), tanto más seguro será. Por tanto, el método AES-256 es el más seguro. No obstante, el proceso de encriptación tarda más tiempo y necesita más potencia de cálculo cuanto más larga sea la clave. ISAKMP-SA hash, IPsec-SA hash Campo para seleccionar el método a utilizar para calcular las sumas de verificación / los hashes durante las fases ISAKMP e IPSec. Puede seleccionar entre: ● MD5 o SHA-1 (detección automática) ● MD5 ● SHA-1 El método puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. ISAKMP-SA mode (modo de SA ISAKMP) Campo para seleccionar el método de negociación de la SA ISAKMP. Puede seleccionar entre: ● Main Mode (modo principal) ● Aggressive Mode (modo agresivo) DH/PFS group (grupo DH/PFS) Campo para seleccionar el grupo DH utilizado para el intercambio de claves. ISAKMP-SA lifetime (período de validez de SA ISAKMP), IPsec-SA lifetime (período de validez de SA IPsec) Las claves de una conexión IPsec se renuevan en determinados intervalos, con objeto de dificultar aún más los ataques a una conexión IPsec. Campo de entrada para determinar el período de validez (en segundos) de las claves convenidas para la SA ISAKMP y la SA IPSec. El período de validez puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. SINAUT MD741-1 C79000-G8978-C236-02 79 7 Conexiones VPN NAT-T Es posible que exista un router NAT entre el SINAUT MD741-1 y el gateway VPN de la red remota. No todos los routers NAT dejan pasar paquetes de datos IPsec. Por este motivo podría resultar necesario encapsular los paquetes de datos IPsec en paquetes UPD para poder pasar el router NAT. On Si el SINAUT MD741-1 detecta un router NAT que no deje pasar los paquetes IPsec, se inicia automáticamente la encapsulación UDP. Force (forzar) Al negociar los parámetros de la conexión VPN se exige que los paquetes de datos se transfieran encapsulados durante la conexión. Off La función NAT-T está desactivada. Enable dead peer detection (habilitar Dead Peer Detection) Si la estación remota soporta el protocolo Dead Peer Detection (DPD), los respectivos interlocutores pueden detectar si la conexión IPsec es válida aún o si debe establecerse de nuevo. Dependiendo de la configuración, sin DPD es necesario esperar hasta que finalice el período de validez de la SA (asociación de seguridad) o reiniciar la conexión manualmente. Para comprobar si la conexión IPsec es válida aún, la Dead Peer Detection envía consultas DPD a la estación remota. Si no hay respuesta, la conexión IPsec se considera interrumpida al cabo del número permitido de intentos fallidos. Advertencia Debido al envío de consultas DPD aumenta la cantidad de datos enviados y recibidos por EGPRS o GPRS. Esto puede causar costes adicionales. Sí La Dead Peer Detection está activada. Independientemente de la transferencia de datos útiles, se intenta volver a establecer la conexión IPsec, si está se ha declarado interrumpida. No La Dead Peer Detection está desactivada. DPD - delay (seconds) (retardo de DPD en segundos) Período en segundos al cabo del cual deben enviarse consultas DPD. Estas consultas comprueban si la estación remota está disponible todavía. 80 SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN DPD - timeout (seconds) (timeout de DPD en segundos) Período en segundos al cabo del cual se considera interrumpida la conexión con la estación remota si no se recibe una respuesta a las consultas DPD. DPD - maximum failures (intentos fallidos máx. de DPD) Cantidad de intentos fallidos admisibles antes de considerarse interrumpida la conexión IPsec. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Nombre NewConnection Activado No (desactivado) Authentication method (método de autenticación) X.509 ID remota NONE ID local NONE Remote certificate (certificado remoto) - Wait for remote connection (esperar conexión remota) No Remote net address (dirección de la red remota) 192.168.2.1 Remote subnet mask (máscara de subred remota) 255.255.255.0 Local net address (dirección de la red local) 192.168.1.1 Local subnet mask (máscara de subred local) 255.255.255.0 Encriptación de SA ISAKMP 3DES-168 Encriptación de SA IPSec 3DES-168 Hash de SA ISAKMP MD5 Hash de SA IPSec MD5 DH/PFS group (grupo DH/PFS) DH-2 1024 ISAKMP-SA mode (modo de SA ISAKMP) Main Período de validez de SA ISAKMP (segundos) 86400 Período de validez de SA IPSec (segundos) 86400 NAT-T On SINAUT MD741-1 C79000-G8978-C236-02 81 7 Conexiones VPN 7.3 Enable dead peer detection (habilitar Dead Peer Detection) Sí DPD - delay (seconds) (retardo de DPD en segundos) 150 DPD - timeout (seconds) (timeout de DPD en segundos) 60 DPD - maximum failures (intentos fallidos máx. de DPD) 5 Cargar certificados VPN Cargar y gestionar certificados y claves Figura 7-11 IPSec VPN > Certificados Upload remote certificate (cargar certificado remoto) Campo para cargar los archivos clave (*.pem,*.cer o *.crt) con certificados remotos y claves públicas de estaciones remotas en el SINAUT MD741-1. Los archivos deben estar almacenados en el PC de administración. Los certificados remotos sólo se necesitan para el método de autenticación con certificado X.509. Upload PKCS12 file (.p12) (cargar archivo PKCS12 (.p12)) Campo para cargar en el SINAUT MD741-1 el archivo de certificado (archivo PKCS12) con la extensión .p12 . Este archivo debe estar almacenado en el PC de administración. 82 SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN Atención Si el equipo ya contiene un archivo de certificado, éste se debe borrar antes de cargar el nuevo archivo. Password (contraseña) El archivo de certificado (archivo PKCS12) está protegido por contraseña. En este campo se debe introducir la contraseña del archivo de certificado. Remote certificates (certificados remotos) (*.pem,*.cer, *.crt) Aquí se visualiza una lista de todos los certificados remotos que se han cargado. Con Delete (borrar) es posible borrar los certificados remotos que no se necesiten más. Device certificates (certificados propios) (.p12) Aquí se visualiza el nombre y estado del archivo de certificado cargado (archivo PKCS12). Una marca de verificación blanca sobre un punto verde indica que existe el respectivo componente del archivo de certificado. Una cruz blanca sobre un punto rojo indica que falta el respectivo componente o que se ha introducido una contraseña incorrecta. SINAUT MD741-1 C79000-G8978-C236-02 83 7 Conexiones VPN 7.4 Reglas de firewall para túnel VPN La ventana para configurar las reglas de firewall para el túnel VPN se encuentra bajo "IPsec VPN > Connections": Figura 7-12 Reglas de firewall para túnel VPN IPsec VPN – Edit Firewall Rules (editar reglas de firewall) Figura 7-13 84 IPsec VPN > Editar reglas de firewall SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN Función En principio, la conexión VPN IPsec se considera segura. Por este motivo, el tráfico de datos a través de esta conexión no está limitado por defecto. Sin embargo, es posible definir reglas de firewall para la conexión VPN. El procedimiento para definir las reglas de firewall para la conexión VPN equivale a la configuración de la función de filtro de paquetes del firewall general (consulte el capítulo 6.1). No obstante, las reglas definidas aquí son válidas sólo para la respectiva conexión VPN. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Reglas de firewall para túnel VPN 7.5 Sin limitaciones Configuración avanzada de conexiones VPN Configuración de funciones especiales, timeouts e intervalos de conexiones VPN. Figura 7-14 IPSec VPN > Avanzado NAT-T keepalive interval (seconds) (intervalo keepalive NAT-T en segundos) Si NAT-T está habilitado (consulte el capítulo 7.2) el SINAUT MD741-1 envía periódicamente paquetes de datos keepalive por la conexión VPN. Así se impide que un router NAT ubicado entre el SINAUT MD741-1 y la estación remota interrumpa la conexión en fases de inactividad (sin tráfico de datos). El intervalo entre los paquetes keepalive se puede modificar aquí. Phase 1 timeout (seconds) (timeout de 2ª fase en segundos) El timeout de la 1ª fase determina cuánto tiempo debe esperar el SINAUT MD7411 hasta que concluya un proceso de autenticación de la SA ISAKMP. Si se excede el timeout ajustado, se cancela el proceso de autenticación y se reinicia luego. SINAUT MD741-1 C79000-G8978-C236-02 85 7 Conexiones VPN El timeout se puede modificar aquí. Phase 2 timeout (seconds) (timeout de 2ª fase en segundos) El timeout de la 2ª fase determina cuánto tiempo debe esperar el SINAUT MD7411 hasta que concluya un proceso de autenticación de la SA IPsec. Si se excede el timeout ajustado, se cancela el proceso de autenticación y se reinicia luego. El timeout se puede modificar aquí. DynDNS tracking (seguimiento DynDNS) Si el gateway VPN de la estación remota obtiene la dirección IP de un servicio DynDNS y no se utiliza la Dead Peer Detection, es recomendable que el SINAUT MD741-1 compruebe con regularidad si dicho gateway sigue estando accesible. El "DynDNS tracking" (seguimiento DynDNS) se encarga de realizar esta función. Yes activa esta función, No la desactiva. DynDNS tracking interval (minutes) (intervalo de seguimiento DynDNS en segundos) Ajuste aquí en qué intervalo se debe comprobar si la estación remota está accesible todavía. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: 86 NAT-T keepalive interval (seconds) (intervalo keepalive NAT-T en segundos) 60 Phase 1 timeout (seconds) (timeout de 2ª fase en segundos) 15 Phase 2 timeout (seconds) (timeout de 2ª fase en segundos) 10 DynDNS tracking (seguimiento DynDNS) Sí DynDNS tracking interval (minutes) (intervalo de seguimiento DynDNS en segundos) 5 SINAUT MD741-1 C79000-G8978-C236-02 7 Conexiones VPN 7.6 Estado de las conexiones VPN Visualización del estado de las conexiones VPN habilitadas y posibilidad de cargar un archivo de informe en el PC de administración. Figura 7-15 IPSec VPN > Estado Enabled VPN Connections (conexiones VPN habilitadas) Una marca de verificación blanca sobre un punto verde indica que se ha establecido correctamente la asociación de seguridad (SA = Security Association). Una cruz blanca sobre un punto rojo indica que no está establecida la asociación de seguridad. Download VPN protocol (descargar protocolo VPN) Esta función sirve para descargar el archivo de informe VPN al PC de administración. SINAUT MD741-1 C79000-G8978-C236-02 87 8 Accesos remotos 8.1 Acceso remoto HTTPS El acceso remoto HTTPS (= HyperText Transfer Protocol Secure) permite acceder de forma segura vía EGPRS, GPRS o CSD desde una red externa a la interfaz web del SINAUT MD741-1. La configuración del SINAUT MD741-1 vía el acceso remoto HTTPS se realiza de la misma manera que la configuración con un navegador web a través de la interfaz local (consulte el capítulo 3). Figura 8-1 Acceso > HTTPS Enable HTTPS remote access (habilitar acceso remoto HTTPS) Sí El acceso remoto vía HTTPS a la interfaz web del SINAUT MD741-1 está permitido desde una red externa. No No se permite el acceso vía HTTPS. HTTPS remote access port (puerto de acceso remoto HTTPS) Estándar: 443 (ajuste de fábrica) 88 SINAUT MD741-1 C79000-G8978-C236-02 8 Accesos remotos Es posible definir un puerto diferente. No obstante, si se define un puerto diferente, en la estación remota que efectúa el acceso remoto debe indicarse la dirección IP seguida del número de puerto. Ejemplo: Si el SINAUT MD741-1 está accesible en la dirección 192.144.112.5 vía Internet y se ha definido el número de puerto 442 para el acceso remoto, en la estación remota debe introducirse lo siguiente en la barra de dirección del navegador web: https://192.144.112.5:442 Firewall rules for HTTPS remote access (reglas de firewall para el acceso remoto HTTPS) New (nuevo) Agrega una nueva regla de firewall para el acceso remoto HTTPS que se debe rellenar luego. Delete (borrar) Permite borrar una regla de firewall creada para el acceso remoto HTTPS. From IP (external) (de IP (externo)) Campo para introducir la(s) dirección (direcciones) del (de los) ordenador(es) autorizado(s) para el acceso remoto. Las indicaciones posibles son: Dirección IP o rango de direcciones IP: 0.0.0.0/0 significa todas las direcciones. Para indicar un rango, utilice la notación CIDR. Action (acción) Campo para seleccionar qué acción debe realizarse en caso de accesos al puerto HTTPS indicado: Accept (aceptar) significa que los paquetes de datos pueden pasar. Reject (rechazar) significa que los paquetes de datos se rechazan y el remitente obtiene un aviso respecto al rechazo. Drop (descartar) significa que los paquetes de datos no pueden pasar. Se descartan sin que el remitente obtenga un aviso sobre qué ha sucedido con ellos. Log (registro) Para cada regla de firewall es posible determinar si el evento se debe registrar - en este caso, ajuste Log a Yes o no - ajuste Log a No (ajuste de fábrica predeterminado). El informe se escribe en el archivo de registro del firewall (consulte el capítulo 6.4). SINAUT MD741-1 C79000-G8978-C236-02 89 8 Accesos remotos Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Enable HTTPS remote access (habilitar acceso remoto HTTPS) No (desactivado) HTTPS remote access port (puerto de acceso remoto HTTPS) 443 Ajuste predeterminado para reglas nuevas: 8.2 From IP (external) (de IP (externo)) 0.0.0.0/0 Action (acción) Aceptar Log (registro) No (desactivado) Acceso remoto SSH El acceso remoto SSH (= Secured SHell) permite acceder de forma segura vía EGPRS, GPRS o CSD desde una red externa al sistema de archivos del SINAUT MD741-1. Para esto es preciso establecer una conexión de la estación remota al SINAUT MD741-1 mediante un programa apto para SSH. El acceso remoto SSH debería ser utilizado sólo por usuarios familiarizados con el sistema operativo LINUX. Esta opción está desactivada de fábrica. Figura 8-2 Acceso > SSH Precaución A través del acceso remoto SSH es posible cometer errores de configuración tan graves que podría resultar necesario enviar el equipo al servicio de asistencia técnica. 90 SINAUT MD741-1 C79000-G8978-C236-02 8 Accesos remotos Enable SSH remote access (habilitar acceso remoto SSH) Sí El acceso al sistema de archivos del SINAUT MD741-1 está permitido desde una red externa. No No se permite el acceso vía SSH. SSH remote access port (puerto de acceso remoto SSH) Estándar: 22 (ajuste de fábrica) Es posible definir un puerto diferente. No obstante, si se define un puerto diferente, en la estación remota que efectúa el acceso remoto se debe indicar el número de puerto seguido de la dirección IP. Ejemplo: Si el SINAUT MD741-1 está accesible en la dirección 192.144.112.5 y se ha definido el número de puerto 22222 para el acceso remoto, en la estación remota debe introducirse este número de puerto en el cliente SSH (p. ej. PUTTY): ssh -p 22222 192.144.112.5 Firewall rules for SSH remote access (reglas de firewall para el acceso remoto SSH) New (nuevo) Agrega una nueva regla de firewall para el acceso remoto SSH que se debe rellenar luego. Delete (borrar) Permite borrar una regla de firewall creada para el acceso remoto SSH. From IP (external) (de IP (externo)) Campo para introducir la(s) dirección (direcciones) del (de los) ordenador(es) autorizado(s) para el acceso remoto. Las indicaciones posibles son: Dirección IP o rango de direcciones IP: 0.0.0.0/0 significa todas las direcciones. Para indicar un rango, utilice la notación CIDR. Action (acción) Campo para seleccionar qué acción debe realizarse en caso de accesos al puerto SSH indicado: Accept (aceptar) significa que los paquetes de datos pueden pasar. SINAUT MD741-1 C79000-G8978-C236-02 91 8 Accesos remotos Reject (rechazar) significa que los paquetes de datos se rechazan y el remitente obtiene un aviso respecto al rechazo. Drop (descartar) significa que los paquetes de datos no pueden pasar. Se descartan sin que el remitente obtenga un aviso sobre qué ha sucedido con ellos. Log (registro) Para cada regla de firewall es posible determinar si el evento se debe registrar - en este caso, ajuste Log a Yes o no - ajuste Log a No (ajuste de fábrica predeterminado). El informe se escribe en el archivo de registro del firewall (consulte el capítulo 6.4). Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Enable SSH remote access (habilitar acceso remoto SSH) No (desactivado) SSH remote access port (puerto de acceso remoto SSH) 22 Ajuste predeterminado para reglas nuevas: 92 From IP (external) (de IP (externo)) 0.0.0.0/0 Action (acción) Aceptar Log (registro) No (desactivado) SINAUT MD741-1 C79000-G8978-C236-02 8 Accesos remotos 8.3 Acceso remoto por marcación telefónica El acceso por marcación CSD (CSD = Circuit Switched Data = datos conmutados por circuito) permite acceder a la interfaz web del SINAUT MD741-1 vía una conexión telefónica. Para ello se debe llamar al SINAUT MD741-1 con un módem analógico al número de llamada de datos, o bien con un módem GSM al número de llamada de voz y datos de su tarjeta SIM. Figura 8-3 Acceso > Marcación CSD El SINAUT MD741-1 acepta la llamada si ● el número de teléfono del abonado que efectúa la llamada está guardado en la lista de números autorizados en el SINAUT MD741-1 y ● el número de teléfono es transmitido por la red telefónica (función CLIP) La marcación debe realizarse con un cliente PPP. Enable CSD dial-in (habilitar marcación CSD) Sí El acceso por marcación telefónica a la interfaz web del SINAUT MD741-1 está permitido desde una red externa. No No se permite el acceso por marcación telefónica. SINAUT MD741-1 C79000-G8978-C236-02 93 8 Accesos remotos PPP username / password (nombre de usuario / contraseña PPP) Campos para introducir el nombre de usuario y contraseña con los que debe iniciar la sesión un cliente PPP (p. ej. conexión de acceso telefónico de Windows) en el SINAUT MD741-1. El cliente PPP debe utilizar el mismo nombre de usuario y la misma contraseña. Approved Call Numbers (números de teléfono aprobados) Campo para introducir el número de teléfono del abonado que establece la conexión. El teléfono debe soportar la transmisión del número llamante (CLIP – Calling Line Identification Presentation) y esta función debe estar activada. El número de teléfono introducido en el SINAUT MD741-1 debe concordar exactamente con el número de teléfono registrado y, en caso necesario, incluir también el identificador de país y el prefijo, p. ej. +494012345678. Si deben tener acceso varios números de teléfono de una central privada, el carácter * (asterisco) se puede utilizar como comodín, p. ej. +49401234*. En este caso se aceptan todos los números de teléfono que comiencen con +49401234. Nota Las reglas de firewall definidas para el acceso HTTPS y/o SSH también son aplicables al acceso CSD. Como dirección IP de origen ("From IP") para el acceso CSD se ha definido 10.99.99.2 New (nuevo) Agrega un número de teléfono permitido para el acceso remoto CSD que se debe rellenar luego. Delete (borrar) Borra un número de teléfono para el acceso remoto CSD. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: 94 Enable CSD dial-in (habilitar marcación CSD) No (desactivado) Nombre de usuario PPP service Contraseña PPP service Approved Call Numbers (números de teléfono aprobados) * SINAUT MD741-1 C79000-G8978-C236-02 Estado, archivo de registro y diagnóstico 9.1 9 Visualización del estado operativo Figura 9-1 Sistema > Estado Nota Utilice la función Actualizar del navegador web si desea actualizar los valores representados. Current system time (hora actual de sistema) Muestra la hora actual de sistema del SINAUT MD741-1 en el siguiente formato: Año – mes – día, horas – minutos 95 SINAUT MD741-1 C79000-G8978-C236-02 9 Estado, archivo de registro y diagnóstico Connection (conexión) Indica qué conexión inalámbrica existe: ● Conexión EDGE (conexión IP vía EGPRS) ● Conexión GPRS (conexión IP vía GPRS) ● Conexión CSD (conexión de servicio vía CSD) Nota Aunque puede suceder que se visualicen una conexión EDGE (EGPRS) o GPRS y también una dirección IP asignada, es posible que, sin embargo, la calidad de la conexión no sea suficiente para transferir datos. Por este motivo, recomendamos utilizar la supervisión activa de la conexión (consulte el capítulo 5.2). Connected since (conectado desde) Indica desde cuándo existe la conexión actual con el EGPRS o GPRS. Used APN (APN utilizado) Muestra el APN (= Access Point Name o nombre del punto de acceso) utilizado del EGPRS o GPRS. External hostname (nombre de host externo) Muestra el nombre de host (p. ej. MD741.mydns.org) del SINAUT MD741-1 si se utiliza un servicio DynDNS. DynDNS Indica si está activado un servicio DynDNS. ● Marca de verificación blanca sobre un punto verde: servicio DynDNS activado. ● Cruz blanca sobre un punto rojo: servicio DynDNS no activado. Assigned IP address (dirección IP asignada) Muestra la dirección IP bajo la cual se puede acceder al SINAUT MD741-1 en el EGPRS o GPRS. El servicio EGPRS o GPRS asigna esta dirección IP al SINAUT MD741-1. Signal (CSQ level) (señal (nivel CSQ)) Indica la intensidad de la señal GSM como valor CSQ. ● 96 CSQ < 6: Intensidad de señal débil SINAUT MD741-1 C79000-G8978-C236-02 9 Estado, archivo de registro y diagnóstico ● CSQ= 6..10: Intensidad de señal media ● CSQ=11-18: Intensidad de señal buena ● CSQ > 18: Intensidad de señal excelente ● CSQ = 99: No hay conexión con la red GSM. IMSI Muestra la identificación del abonado guardada en la tarjeta SIM utilizada. Conforme a la IMSI (= International Mobile Subscriber Identity o Identidad Internacional del Abonado a un Móvil), el proveedor de red GSM detecta las autorizaciones y los servicios contratados para la tarjeta SIM. IMEI Indica el número de serie del SINAUT MD741-1 como equipo inalámbrico GSM. El número IMEI (= International Mobile Equipment Identity o Identidad Internacional de Equipo Móvil) se asigna unívocamente a nivel mundial. Bytes sent / Bytes received (bytes enviados / bytes recibidos) Indica la cantidad de bytes que se han enviado y recibido durante la conexión actual con el GPRS. Los contadores se resetean cada vez se establece una nueva conexión. Nota Estos números sirven tan sólo de referencia para el volumen de datos, pudiendo divergir considerablemente de la cuenta del proveedor de red GSM. Bytes sent / Bytes received since initial operation (bytes enviados / bytes recibidos desde la puesta en servicio) Indica la cantidad de bytes que se han enviado y recibido vía GPRS desde la última vez que se cargaron los ajustes de fábrica. Los contadores se resetean cuando se cargan los ajustes de fábrica. Remote HTTPS (HTTPS remoto) Indica si se permiten accesos remotos a la interfaz web del SINAUT MD741-1 vía EGPRS o GPRS. ● Marca de verificación blanca sobre un punto verde: se permite el acceso. ● Cruz blanca sobre un punto rojo: no se permite el acceso. SINAUT MD741-1 C79000-G8978-C236-02 97 9 Estado, archivo de registro y diagnóstico Remote SSH (SSH remoto) Indica si se permiten accesos remotos a consola SSH del SINAUT MD741-1 vía EGPRS o GPRS. ● Marca de verificación blanca sobre un punto verde: se permite el acceso. ● Cruz blanca sobre un punto rojo: no se permite el acceso. CSD Dial-In (marcación CSD) Indica si se permiten llamadas de servicio CSD remotas. ● Marca de verificación blanca sobre un punto verde: se permiten llamadas de servicio CSD. ● Cruz blanca sobre un punto rojo: no se permiten llamadas de servicio CSD. Number of active firewall rules (número de reglas de firewall activas) Indica cuántas reglas de firewall están activas. Current system version (versión actual del sistema) Visualiza el número de versión de software del SINAUT MD741-1. 98 SINAUT MD741-1 C79000-G8978-C236-02 9 Estado, archivo de registro y diagnóstico 9.2 Archivo de registro Figura 9-2 Sistema > Archivo de registro Archivo de registro En el archivo de registro se guardan los eventos importantes que han ocurrido durante la operación del SINAUT MD741-1: ● Rearranque ● Cambios de configuración ● Establecimiento de conexiones ● Interrupción de conexiones ● Intensidad de señal ● Avisos de servicio El archivo de registro se almacena en el fichero histórico del SINAUT MD741-1 cuando su tamaño alcance 1MByte, o a más tardar al cabo de 24 horas. Download current logfile (descargar archivo de registro actual) Download (descargar) - el archivo de registro actual se carga en el PC de administración. El usuario puede seleccionar el directorio en el que debe guardarse el archivo y visualizar allí el archivo. SINAUT MD741-1 C79000-G8978-C236-02 99 9 Estado, archivo de registro y diagnóstico Log archive (fichero histórico) Download (descargar) - los archivos de registro archivados en el fichero histórico se cargan en el PC de administración. El usuario puede seleccionar el directorio en el que deben guardarse los archivos y visualizarlos allí. Ejemplo: Figura 9-3 Ejemplo - Archivo de registro Entradas del archivo de registro Columna A: Sello de tiempo Columna B: Número de producto 3173xx Columna C: Intensidad de señal (valor CSQ) Columna D: Estado de registro GSM STAT = --- = función no iniciada aún STAT = 1 = registrado en la red de origen 100 SINAUT MD741-1 C79000-G8978-C236-02 9 Estado, archivo de registro y diagnóstico STAT = 2 = no registrado; búsqueda de red STAT = 3 = registro rechazado STAT = 5 = registrado en una red de terceros ("roaming") Columna E: Indicación de la identificación del proveedor de red con código de país de 3 dígitos (MCC) y código de proveedor de red de 2 o 3 dígitos (MNC). Ejemplo: 26201 (262 = código de país / 01 = código de proveedor de red) Columna F: Estado operativo codificado (para el servicio de asistencia técnica) Columna G: Categoría del aviso del archivo de registro (para el servicio de asistencia técnica) Columna H: Origen interno del aviso del archivo de registro (para el servicio de asistencia técnica) Columna I: Número de aviso interno (para el servicio de asistencia técnica) Columna J: Aviso del archivo de registro en forma de texto Columnas K a P: Información adicional acerca del aviso de texto, p. ej.: ● Cell-ID (número de identificación de la celda GSM activa) ● Versión de software ● TXS, RXS (paquetes IP transferidos durante la conexión actual) ● TX, RX (paquetes IP transferidos desde la última carga de los ajustes de fábrica) SINAUT MD741-1 C79000-G8978-C236-02 101 9 Estado, archivo de registro y diagnóstico 9.3 Registro remoto El SINAUT MD741-1 puede transferir una vez al día el archivo de registro del sistema vía FTP (= File Transfer Protocol) a un servidor FTP. Se transfieren tanto el archivo de registro actual, como los archivos de registro contenidos en el fichero histórico. Tras concluir la transferencia correctamente, los archivos de registro transferidos se borran del SINAUT MD741-1. Si falla la transferencia, el SINAUT MD741-1 intenta volver a transferir los datos al cabo de 24 horas. Figura 9-4 Mantenimiento > Registro remoto Enable remote logging (FTP upload) (habilitar registro remoto (carga FTP)) Seleccione Yes si desea habilitar la función. Time (hora) Especifica la hora a la que deben transferirse los archivos de registro. FTP Server (servidor FTP) Define la dirección del servidor FTP al que deben transferirse los archivos de registro. La dirección puede indicarse como nombre de host (p. ej. ftp.server.com) o como dirección IP. User name (nombre de usuario) Especifica el nombre de usuario para iniciar la sesión en el servidor FTP. 102 SINAUT MD741-1 C79000-G8978-C236-02 9 Estado, archivo de registro y diagnóstico Password (contraseña) Especifica la contraseña para iniciar la sesión en el servidor FTP. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: 9.4 Enable remote logging (FTP upload) (habilitar registro remoto (carga FTP)) No (desactivado) Time (hora) 00:00 FTP Server (servidor FTP) NONE User name (nombre de usuario) guest Password (contraseña) guest Instantánea Esta función sirve para fines de soporte. La instantánea de servicio guarda en un archivo la configuración actual del equipo y archivos de registro que pudieran ser importantes para el diagnóstico de errores. Figura 9-5 Mantenimiento > Instantánea Si, debido a un problema con el SINAUT MD741-1, se dirige a nuestro servicio de asistencia técnica, es posible que éste le solicite el archivo de instantánea. Nota Este archivo contiene los parámetros de acceso a EGPRS y GPRS, así como las direcciones de la estación remota. No contiene el nombre de usuario ni la contraseña para acceder al SINAUT MD741-1. SINAUT MD741-1 C79000-G8978-C236-02 103 9 Estado, archivo de registro y diagnóstico Download service snapshot (descargar instantánea de servicio) Haga clic en "Download" (descargar). Puede seleccionar en qué ruta del PC de administración debe guardarse el archivo de instantánea. El nombre del archivo de instantánea tiene la estructura siguiente: <nombre de host>_Snapshot_<código de fecha y hora>.tgz Ejemplo: md741_Snapshot_200711252237.tgz Advanced diagnosis (diagnóstico avanzado) Active el diagnóstico avanzado sólo cuando se lo solicite el servicio de asistencia técnica. Si está activado el diagnóstico avanzado, se escribe información con mayor frecuencia en los archivos de registro de diagnóstico. Además, se guarda información adicional. Ésto ayuda a analizar los problemas más concretamente. Nota Debido a los accesos de escritura frecuentes a la memoria no volátil del SINAUT MD741-1 estando activado el diagnóstico avanzado, podría reducirse la vida útil del equipo. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: Advanced diagnosis (diagnóstico avanzado) 104 Off (activar) SINAUT MD741-1 C79000-G8978-C236-02 9 Estado, archivo de registro y diagnóstico 9.5 Información de hardware Muestra información importante acerca de la identificación del hardware. Figura 9-6 9.6 Información de hardware Información de software Muestra información importante acerca de la identificación del software. Además, se visualizan las actualizaciones planificadas. Consulte también el capítulo 10.2. Figura 9-7 SINAUT MD741-1 C79000-G8978-C236-02 Información de software 105 Otras funciones 10.1 10 SMS de alarma El SINAUT MD741-1 puede enviar mensajes de alarma cortos vía SMS (= Short Message Service) de la red GSM. Un evento puede disparar el envío de un mensaje de alarma vía SMS: ● Evento 1: no hay conexión GPRS Para el evento se puede indicar un número de teléfono propio al que debe enviarse el mensaje de alarma. Además, el texto del mensaje de alarma se puede definir libremente. Es posible utilizar los caracteres siguientes: A-Z a-z 0123456789,!? Figura 10-1 Mantenimiento > SMS de alarma Alarm SMS Event 1 (SMS de alarma para el evento 1): no hay conexión GPRS Evento 1: la conexión GPRS no se establece a pesar de realizar varios intentos. Como consecuencia de ello, el SINAUT MD741-1 envía un mensaje de alarma. 106 SINAUT MD741-1 C79000-G8978-C236-02 10 Otras funciones SMS service center call number (número de teléfono del centro de asistencia técnica SMS) Para que la función SMS funcione de forma segura, introduzca aquí el número de teléfono del centro de asistencia técnica. Si no introduce nada aquí, se utiliza el centro de asistencia técnica predeterminado de SMS de su proveedor de red. Ajustes Enable (habilitar) Seleccione Yes si el mensaje de alarma debe enviarse cuando ocurra el evento, o bien No en caso contrario. Call number (número de teléfono) Introduzca aquí el número de teléfono del equipo terminal al que debe enviarse el mensaje de alarma vía SMS. El equipo terminal debe soportar la recepción de SMS vía GSM o red fija. Text (texto) Introduzca aquí el texto que debe enviarse como mensaje de alarma. Ajustes de fábrica Los ajustes de fábrica del SINAUT MD741-1 son: 10.2 SMS service center call number (número de teléfono del centro de asistencia técnica SMS) - Alarm SMS Event 1 (SMS de alarma para el evento 1): no hay conexión GPRS No (desactivado) Call number (número de teléfono) - Text (texto) - Actualización de software Con la función de actualización puede cargar y activar una nueva versión de software en el SINAUT MD741-1. En caso de una actualización inmediata, se descomprime el nuevo software. Este proceso puede tardar varios minutos. Luego comienza la actualización en sí que se indica mediante un efecto "running light" de los LEDs. Los ajustes del SINAUT MD741-1 se aplican siempre y cuando éstos tengan el mismo efecto en la nueva versión de software que antes de realizar la actualización. SINAUT MD741-1 C79000-G8978-C236-02 107 10 Otras funciones Figura 10-2 Mantenimiento > Actualización Define the update time (definir la fecha y hora de actualización) No Actualización inmediata: el nuevo software de operación se activa directamente tras cargarlo y hacer clic en el botón Submit (enviar). Sí Actualización controlada por tiempo: el nuevo software de operación se activa en la fecha y hora de actualización definida. Para ello es preciso haber cargado el software previamente. Define the update time (definir la fecha y hora de actualización) Si desea realizar la actualización de forma controlada por tiempo, especifique la fecha y la hora a la que debe activarse el nuevo software. Especifique el año – mes – día, horas – minutos Select update file (seleccionar el archivo de actualización) Utilice el botón Browse (examinar) para buscar el archivo que contiene el nuevo software de operación, p. ej.: MD741_v1.024-v1.027.tgz Haga clic en Open (abrir) para cargar el firmware en el equipo. Submit (enviar) Haciendo clic en Submit (enviar), el software de operación se activa inmediatamente, o bien en la fecha y hora especificadas. 108 SINAUT MD741-1 C79000-G8978-C236-02 11 Datos técnicos Interfaces Interfaz de aplicación Interfaz de servicio Funciones de seguridad Otras funciones Gestión Conexión inalámbrica EDGE / GPRS Coding schemes Módulos GSM EDGE (EGPRS) GPRS EDGE / GPRS CSD / MTC SMS (TX) 109 10/100 Base-T (RJ45 plug) Ethernet IEEE802 10/100 Mbit/s USB-A (reservada para aplicaciones posteriores) VPN IPSec Stateful Inspection Firewall Anti-spoofing Port Forwarding Caché de DNS, servidor DHCP, NTP, registro remoto, supervisión de conexiones, SMS de alarma Interfaz web de administración, consola SSH EDGE Multislot class 12 / EDGE Multislot class 12 CS-1, CS-2, CS-3, CS-4 EGPRS (EDGE) / Quad band Multislot Class 12 Mobile Station Class B Modulation and Coding Scheme MCS 1 – 9 Multislot Class 12 Full PBCCH support Mobile Station Class B Coding Scheme 1 – 4 Durante la transferencia de datos vía EGPRS o GPRS, el equipo selecciona automáticamente una de las clases siguientes: de EGPRS Multislot Class 12 (4Tx slots) a EGPRS Multislot Class 10 (2Tx slots), de EGPRS Multislot Class 10 (2Tx slots) a EGPRS Multislot Class 8 (1Tx), de GPRS Multislot Class 12 (4Tx slots) a GPRS Multislot Class 8 (1Tx) de GPRS Multislot Class 10 (2Tx slots) a GPRS Multislot Class 8 (1Tx) V.110, RLP, no transparente 2.4, 4.8, 9.6, 14.4 Kbit/s Punto a punto, MO (saliente) SINAUT MD741-1 C79000-G8978-C236-02 11 Datos técnicos Potencia de transmisión máx. (según salida 99, V5) Condiciones ambientales Carcasa Conformidad Alimentación de tensión Conexión de antena Rango de temperatura Humedad del aire Ejecución Material Clase de protección Dimensiones Peso CE MóduloGSM/EG PRS Medio ambiente Tensión de entrada Potencia absorbida Consumo de corriente 110 Clase 4 (+33dBm ±2dB) para EGSM850 Clase 4 (+33dBm ±2dB) para EGSM900 Clase 1 (+30dBm ±2dB) para GSM1800 Clase 1 (+30dBm ±2dB) para GSM1900 Clase E2 (+27dBm ± 3dB) para GSM 850 8-PSK Clase E2 (+27dBm ± 3dB) para GSM 900 8-PSK Clase E2 (+26dBm +3 /-4dB) para GSM 1800 8-PSK Clase E2 (+26dBm +3 /-4dB) para GSM 1900 8-PSK Impedancia nominal: 50 ohmios, enchufe: SMA Servicio: -20 °C a +60 °C Almacenamiento: -40 °C a +70 °C 0-95 %, sin condensación Carcasa para montaje en perfil soporte Plástico IP20 114 mm x 45 mm x 99 mm aprox. 280g Sí Conforme con GCF, PTCRB El equipo corresponde con las directivas europeas ROHS y WEEE. 12 - 30 V DC (24 V DC nominal) Típ. 4,4 W a 12 V Típ. 4,0 W a 24 V Típ. 3,5 W a 30 V Consulte la tabla más abajo. SINAUT MD741-1 C79000-G8978-C236-02 11 Datos técnicos Característica de la intensidad de entrada [mA] IBurst at 12V 1400 1200 1000 800 600 400 200 [ms] 10 20 30 40 50 60 70 80 90 70 80 90 100 4,62ms burst repeat rate [mA] IBurst at 24V 800 600 400 200 [ms] 10 20 30 40 50 60 100 4,62ms burst repeat rate Consum o de corriente (3) Tensión de entrada Conectado, sin transferencia de datos Transferencia de datos continua con intensidad de señal baja (1) Transferencia de datos continua con intensidad de señal media (2) Burst Modo de operación [V] [mA] [mA] [mA] [mA] GSM-CSD 12 174 315 263 1000 24 97 168 137 450 30 82 137 116 360 12 174 365 282 1260 24 97 182 147 550 30 82 150 121 420 EGPRS/G PRS (1) Medido a GSM900 Power Level 5 (potencia de transmisión: 33dBm) (2) Medido a GSM900 Power Level 10 (potencia de transmisión: 23dBm) (3) Medido sin utilizar la interfaz USB SINAUT MD741-1 C79000-G8978-C236-02 111 Normas y homologaciones aplicadas 12.1 12 Equipo Denominación del producto SINAUT MD741-1 Fabricante Siemens Aktiengesellschaft, Industry Automation Uso previsto Router (E-)GPRS-VPN para aplicaciones industriales 12.2 Declaración de conformidad CE Identificación Directivas europeas aplicadas Si se utiliza para su fin previsto, el producto cumple las siguientes directivas europeas: • 112 Directiva 1999/5/CE (R&TTE) del Parlamento Europeo y del Consejo del 9 de marzo de 1999 sobre equipos radioeléctricos y equipos terminales de telecomunicación y reconocimiento mutuo de su conformidad SINAUT MD741-1 C79000-G8978-C236-02 12 Normas y homologaciones aplicadas • Directiva 2006/95/CE (directiva de baja tensión) del Parlamento Europeo y del Consejo del 12 de diciembre de 2006 relativa a la aproximación de las legislaciones de los Estados miembros sobre el material eléctrico destinado a utilizarse con determinados límites de tensión • Directiva 2004/108/CE (CEM) del Parlamento Europeo y del Consejo del 15 de diciembre de 2004 relativa a la aproximación de las legislaciones de los Estados miembros en materia de compatibilidad electromagnética y por la que se deroga la Directiva 89/336/CEE • Directiva 94/9/CE (ATEX) del Parlamento Europeo y del Consejo del 23 de marzo de 1994 relativa a la aproximación de las legislaciones de los Estados miembros sobre los aparatos y sistemas de protección para uso en atmósferas potencialmente explosivas Directiva 1999/5/CE (R&TTE) Normas aplicadas • EN301 511: v.9.0.2 • 3GPP TS 51.010-1: v. 5.10.0 Clasificación Equipo terminal de telecomunicaciones Equipo de radio Clase de equipo 1 Directiva 2006/95/CE (directiva de baja tensión) Normas aplicadas • EN 60950:2006 Directiva 2004/108/EC (CEM) Normas aplicadas • EN55022: 2006, clase de valor límite A • EN55024:1998 + A1 : 2001 + A2 : 2003 • EN61000-6-2: 2001 SINAUT MD741-1 C79000-G8978-C236-02 113 12 Normas y homologaciones aplicadas Precaución El SINAUT MD741-1 es un equipo de la clase A. Es probable que este equipo cause interferencias si se utiliza en áreas residenciales; en tal caso, será obligación del usuario tomar todas las medidas necesarias para corregir este problema. Directiva 94/9/EC (ATEX) Additional marking (sample) 6NH9741-1AA00, SINAUT MD741-1 GSM/GPRS Router Applied standards ● EN60079-15 (Type of protection “n”) Classification Group II, Category 3, Gas Atmosphere, Non-sparking equipment, Temperature class T4, Ambient temperature range: -20°C … +60°C Specific Conditions of Use: 1. The SINAUT MD741-1 shall be installed in an Enclosure which maintains an ingress protection rating of IP54; meets the enclosure requirements of EN60079-0 and is only accessible with the use of a tool. 2. The USB (X1) port shall not be used. 3. On installation the SINAUT MD741-1 shall be provided with supply transient protection external to the apparatus such that the voltage at the supply terminals of the SINAUT MD741-1 shall not exceed 42 V. 4. When the Antenna is mounted external to the final Enclosure it shall be mounted and connected in a manner which maintains an ingress protection rating of IP54 and meets the enclosure requirements of EN60079-0 You can download the ATEX marking by follow the link: http://support.automation.siemens.com/WW/view/de/30088716 114 SINAUT MD741-1 C79000-G8978-C236-02 12 Normas y homologaciones aplicadas 12.3 Conformidad con FM, UL y CSA FM certification Marking (sample) Applied standards ● Factory Mutual Approval Standard Class Number 3611 Classification Class I, Division 2, Group A, B, C, D, Temperature class T4, Ambient temperature range: -20°C … +60°C Class I, Zone 2, Group IIC, 135°C maximum surface temperature, Ambient temperature range: -20°C … +60°C You can download the FM marking by follow the link: http://support.automation.siemens.com/WW/view/de/30087869 Certificación UL/CSA Identificación Normas aplicadas • UL 60950, 1ª edición • CSA C22.2 No.60950 SINAUT MD741-1 C79000-G8978-C236-02 115 12 Normas y homologaciones aplicadas 12.4 Conformidad con FCC Identificación SINAUT MD741-1 FCC ID: LYHMD741-1 contains MC75 FCC ID: QIPMC75 Normas aplicadas • FCC Parte 15 • FCC Parte 15.19 • FCC Parte 15.21 Indicaciones obligatorias FCC Parte 15 El equipo cumple los límites establecidos para dispositivos digitales de clase A, de conformidad con la parte 15 de la Normativa de la FCC. Estos límites se han establecido con el objetivo de aportar una protección razonable contra interferencias perjudiciales cuando el equipo se utiliza en áreas residenciales. Este equipo genera, utiliza y puede emitir energía de radiofrecuencia. A menos que se instale y se utilice de acuerdo con el manual de instrucciones, puede provocar interferencias perjudiciales en las comunicaciones por radio. Sin embargo, no puede garantizarse que estas interferencias perjudiciales no se produzcan en determinadas instalaciones, aunque éstas se realicen de conformidad con las instrucciones. Si el equipo produce interferencias perjudiciales en la recepción de radio o televisión, lo cual puede probarse encendiendo y apagando el equipo, se recomienda al usuario corregir dichas interferencias tomando una o varias de las siguientes medidas. 116 • Cambie la orientación o ubicación de la antena de recepción. • Aumente la separación entre el y el receptor de radio o televisión. • Conecte el equipo a una toma de corriente que se encuentre en un circuito diferente al del receptor. • Consulte con un distribuidor o a un técnico especialista en radio y televisión para obtener ayuda. SINAUT MD741-1 C79000-G8978-C236-02 12 Normas y homologaciones aplicadas FCC Parte 15.19 Este equipo cumple lo establecido en la parte 15 de la Normativa de la FCC. Su funcionamiento está sujeto a las dos condiciones siguientes: 1. Este equipo no causa posiblemente interferencias electromagnéticas perjudiciales y 2. este equipo tolera cualquier interferencia recibida, incluidas las interferencias que puedan provocar un funcionamiento no deseado. FCC Parte 15.21 Las modificaciones del equipo no aprobadas expresamente por el fabricante pueden cancelar la autoridad del usuario para operar este equipo. El SINAUT MD741-1 sólo se puede operar con una antena de los accesorios originales de SINAUT MD741-1. Sólo el personal técnico especializado puede instalar el SINAUT MD741-1 y su antena, así como realizar trabajos de mantenimiento. Al realizar trabajos en la antena, o a distancias más próximas de las indicadas abajo, es preciso desconectar el emisor. ID de FCC utilizada: QIRMC75 (módulo GSM) Este equipo incluye funciones GSM, GPRS clase 12 y EGPRS clase 10 en una banda de 900 y 1800 MHz que no pueden utilizarse en los territorios de los EE UU. Este equipo puede utilizarse para aplicaciones móviles e instaladas fijamente. Las antenas internas / externas utilizadas con este equipo deben estar separadas por lo menos 20 cm de personas y no pueden ubicarse ni operarse de manera que trabajen en conjunto con una antena diferente o un emisor diferente. Los usuarios y técnicos de instalación deben obtener las instrucciones de instalación de la antena y las condiciones de operación de la estación emisora que deben cumplirse para satisfacer la exposición a altas frecuencias admisible. Las antenas del módulo OEM utilizado no deben exceder una ganancia de 8.4dBi (GSM 1900) y 2.9dBi (GSM 850) en la configuración de operación de aplicaciones móviles y fijamente instaladas. Está permitido integrar el equipo como módulo en otros dispositivos. SINAUT MD741-1 C79000-G8978-C236-02 117 Glosario AES Acrónimo de "Advanced Encrypting Standard" o Norma de Encriptación Avanzada. El NIST (National Institute of Standards and Technology) viene desarrollando desde hace varios años la norma de encriptación AES conjuntamente con empresas industriales. Esta Æ encriptación simétrica suplantará la norma DES existente hasta ahora. La norma AES especifica tres tamaños diferentes de claves de 128, 192 y 256 bits. En 1997, el NIST inició la iniciativa de AES y publicó sus condiciones para el algoritmo. De los algoritmos de encriptación propuestos, el NIST seleccionó cinco finalistas, siendo éstos los algoritmos MARS, RC6, Rijndael, Serpent y Twofish. En octubre de 2000 se decidió que se utilizaría el algoritmo de encriptación Rijndael. APN (Access Point Name) (Nombre de punto de acceso). Las conexiones entre distintas redes, p. ej. de la red GPRS a Internet, se crean en la red GPRS mediante APNs. APN (pu blico) Ap licación l ocal INT ERN ET pub lico MD741-1 (E-)G PRS pr ivates INT RANET APN (p rivad o) Un equipo terminal que desea establecer una conexión a través de la red GPRS indica por medio del APN a qué red quiere conectarse: bien sea a Internet, o bien a una red privada (Intranet) conectada vía una línea dedicada. El APN designa el punto de transferencia a la otra red. El proveedor de red se lo comunica al usuario. 118 SINAUT MD741-1 C79000-G8978-C236-02 Glosario Certificado X.509 SINAUT MD741-1 C79000-G8978-C236-02 Designa una especie de "sello" que certifica la autenticidad de una clave pública (Æ encriptación asimétrica) y los datos asociados. Para que el usuario de la clave pública – que sirve para encriptar los datos – pueda estar seguro de que la clave pública que le ha sido transmitida proviene realmente del verdadero emisor, es decir, de la instancia que debe recibir los datos a ser enviados, existe la posibilidad de utilizar una certificación. La verificación de la autenticidad de la clave pública y la consiguiente vinculación de la identidad del emisor con su clave es realizada por una autoridad certificadora (Certification Authority - CA). Esto se realiza según las reglas de la CA, de manera que el emisor de la clave pública debe p. ej. comparecer personalmente. Una vez certificada la autenticidad correctamente, la CA firma la clave pública con su firma (digital) o firma electrónica. El resultado es un certificado. Por tanto, un certificado X.509(v3) incluye una clave pública, información acerca del propietario de la clave (indicada como "Distinguished Name" (DN) o nombre distintivo), los usos permitidos, etc., así como la firma digital de la CA. La firma digital se crea como se indica a continuación: A partir de la secuencia de bits de la clave pública, los datos de su propietario y otros datos más, la CA genera el valor HASH, siendo éste una secuencia de bits individual que puede tener una longitud de hasta 160 bits. La CA encripta el valor HASH con su clave privada y lo agrega al certificado. La encriptación con la clave privada de la CA prueba la autenticidad del certificado, es decir, la secuencia de caracteres HASH encriptada es la firma digital (o firma electrónica) de la CA. Si los datos del certificado se alteran sin autorización, el valor HASH dejará de ser correcto y el certificado perderá su validez. El valor HASH se denomina también "huella digital" o "fingerprint". Puesto que está encriptado con la clave privada de la CA, toda persona que tenga en su poder la clave pública correspondiente puede desencriptar la secuencia de bits y, de esta manera, verificar la autenticidad de esa huella digital o firma. Gracias a que se recurre a autoridades certificadoras, un propietario de la clave no debe conocer a todos los demás propietarios, sino sólo a la autoridad certificadora. La información adicional acerca de la clave simplifica además la administración de la clave. Los certificados X.509 se utilizan p. ej. para la encriptación del correo electrónico por medio de S/MIME o IPsec. 119 Glosario CIDR Classless InterDomain Routing (enrutamiento interdominio sin clases) Las máscaras de red IP y CIDR son notaciones que agrupan varias direcciones IP en un área de direcciones. Un rango de direcciones consecutivas se trata como una red. El método CIDR reduce p. ej. las tablas de enrutamiento guardadas en routers mediante un sufijo en la dirección IP. Con este sufijo es posible designar en conjunto una red y todas las redes subordinadas. Este método está descrito en RFC 1518. Para indicar al SINAUT MD741-1 un rango de direcciones IP (p. ej. al configurar el firewall) puede ser necesario especificar el área de direcciones en notación CIDR. La tabla siguiente muestra la máscara de red IP en el lado izquierdo y la correspondiente notación CIDR en el extremo derecho. Máscara de red IP Binario CIDR 255.255.255.255 255.255.255.254 255.255.255.252 255.255.255.248 255.255.255.240 255.255.255.224 255.255.255.192 255.255.255.128 11111111 11111111 11111111 11111111 11111111 11111111 11111111 11111110 11111111 11111111 11111111 11111100 11111111 11111111 11111111 11111000 11111111 11111111 11111111 11110000 11111111 11111111 11111111 11100000 11111111 11111111 11111111 11000000 11111111 11111111 11111111 10000000 32 31 30 29 28 27 26 25 255.255.255.0 255.255.254.0 255.255.252.0 255.255.248.0 255.255.240.0 255.255.224.0 255.255.192.0 255.255.128.0 11111111 11111111 11111111 00000000 11111111 11111111 11111110 00000000 11111111 11111111 11111100 00000000 11111111 11111111 11111000 00000000 11111111 11111111 11110000 00000000 11111111 11111111 11100000 00000000 11111111 11111111 11000000 00000000 11111111 11111111 10000000 00000000 24 23 22 21 20 19 18 17 255.255.0.0 255.254.0.0 255.252.0.0 255.248.0.0 255.240.0.0 255.224.0.0 255.192.0.0 255.128.0.0 11111111 11111111 00000000 00000000 11111111 11111110 00000000 00000000 11111111 11111100 00000000 00000000 11111111 11111000 00000000 00000000 11111111 11110000 00000000 00000000 11111111 11100000 00000000 00000000 11111111 11000000 00000000 00000000 11111111 10000000 00000000 00000000 16 15 14 13 12 11 10 9 255.0.0.0 254.0.0.0 252.0.0.0 248.0.0.0 240.0.0.0 224.0.0.0 192.0.0.0 128.0.0.0 11111111 00000000 00000000 00000000 11111110 00000000 00000000 00000000 11111100 00000000 00000000 00000000 11111000 00000000 00000000 00000000 11110000 00000000 00000000 00000000 11100000 00000000 00000000 00000000 11000000 00000000 00000000 00000000 10000000 00000000 00000000 00000000 8 7 6 5 4 3 2 1 0.0.0.0 00000000 00000000 00000000 00000000 0 Ejemplo: 192.168.1.0 / 255.255.255.0 equivale en CIDR a: 192.168.1.0/24 120 SINAUT MD741-1 C79000-G8978-C236-02 Glosario Cliente / servidor En un entorno cliente / servidor, un servidor es un programa u ordenador que recibe y responde consultas de programas u ordenadores cliente. En la comunicación de datos, un ordenador que establece una conexión con un servidor (o host) también se denomina cliente. En otras palabras, el cliente es el ordenador que llama y, el servidor (o host) es al que se llama. CSD 9600 CSD (9600) es el acrónimo de "Circuit Switched Data" (Datos Conmutados por Circuito). Aquí se establece una conexión entre dos interlocutores (los extremos de la conexión), de manera similar a una llamada telefónica en la red telefónica pública. El interlocutor 1 llama al número de teléfono del interlocutor 2. La red le indica la llamada al interlocutor 2, el interlocutor 2 acepta la llamada y la red establece la conexión hasta que la finalice uno de los interlocutores. En la red GSM, este servicio se denomina CSD, permitiendo transferir datos a 9600 bit/s o 14400 bit/s. La transferencia de datos puede realizarse de forma segura o insegura. Es posible conectar un módem GSM a otro módem GSM, un módem analógico a un módem GSM, o bien un módem RDSI a un módem GSM. CSQ / RSSI El valor CSQ es un valor definido en la norma GSM para especificar la intensidad de señal. Los valores CSQ corresponden a la intensidad de señal del receptor RSSI (= Received Signal Strength Indication): CSQ <6 6…10 11…18 > 18 99 DES / 3DES SINAUT MD741-1 C79000-G8978-C236-02 RSSI < -101 dBm -101…-93 dBm -91…-77 dBm > 75 dBm No registrado El algoritmo de encriptación simétrica DES (Æ encriptación simétrica), desarrollado originalmente por IBM y comprobado por la NSA, fue especificado en 1977 por el National Bureau of Standards estadounidense, predecesor del actual National Institute of Standards and Technology (NIST), como norma para instituciones gubernamentales estadounidenses. Puesto que este fue el primer algoritmo de encriptación estandarizado, se impuso rápidamente en la industria y, con ello, también en el exterior de los EE UU. DES utiliza una clave de 56 bits de longitud que, en vista del aumento de la potencia de cálculo de los ordenadores desde 1977, ya no se considera segura. 3DES es una variante de DES. Utiliza claves 3 veces más grandes, es decir, con una longitud de 168 bits. Aún se considera segura y también forma parte del estándar IPsec, entre otros. 121 Glosario Datagrama En el protocolo de transmisión TCP/IP, los datos se envían en forma de paquetes denominados "datagramas IP". Un datagrama IP tiene la siguiente estructura: 1. Cabecera IP 2. Cabecera TCP/UDP 3. Datos (payload o carga) La cabecera IP contiene: • la dirección IP de origen (source IP address) • la dirección IP de destino (destination IP address) • el número del protocolo de la capa de protocolo directamente superior (según el modelo de capas OSI) • la suma de verificación (checksum) de la cabecera IP para comprobar la integridad de la misma en la recepción. La cabecera TCP/UDP contiene la siguiente información: DHCP 122 • el puerto de origen (source port) • el puerto de destino (destination port) • una suma de verificación de la cabecera TCP e información acerca de la cabecera IP (p. ej. las direcciones IP de origen y destino) El "Dynamic Host Configuration Protocol" o Protocolo de Configuración Dinámica de Hosts (DHCP) asigna automáticamente de forma dinámica direcciones IP y otros parámetros en una red. El "Dynamic Host Configuration Protocol" utiliza UDP. Fue definido en el RFC 2131 y se le asignaron los puertos UDP 67 y 68. DHCP utiliza el método cliente / servidor. El servidor asigna las direcciones IP al cliente. SINAUT MD741-1 C79000-G8978-C236-02 Glosario Dirección IP Todo host o router conectado a Internet / Intranet tiene una dirección IP unívoca (IP = Internet Protocol o Protocolo de Internet). La dirección IP tiene una longitud de 32 bits (= 4 bytes) y se escribe en forma de 4 números (cada uno de ellos en el rango comprendido entre 0 y 255), separados entre sí por puntos. Una dirección IP comprende 2 partes, a saber: la dirección de la red y la dirección del host. Todos los hosts de una red tienen la misma dirección de red, pero diferentes direcciones de host. Dependiendo del tamaño de la respectiva red – se distingue entre redes de las clases A, B y C – las dos partes de la dirección pueden tener diferentes tamaños: Clase A Clase B Clase C 1. byte Dir. red 2. byte Dir. red Dir. red 3. byte 4º byte Dir. host Dir. host Dir. host El primer byte de la dirección IP indica si ésta designa un equipo en una red de la clase A, B o C . Está especificado lo siguiente: Valor del 1er. byte Clase A Clase B Clase C 1-126 128-191 192-223 Bytes para la dirección de red 1 2 3 Bytes para la dirección de host 3 2 1 Desde el punto de vista matemático, pueden existir como máximo 126 redes de clase A a nivel mundial, abarcando cada una de ellas como máximo 256 x 256 x 256 hosts (3 bytes de área de direccionamiento). Además, pueden existir 64 x 256 redes de clase B, abarcando cada una de ellas como máximo 65.536 hosts (2 bytes de área de direccionamiento: 256 x 256). Las redes de clase C pueden existir 32 x 256 x 256 veces, abarcando cada una de ellas como máximo 256 hosts (1 byte de área de direccionamiento). DNS En principio, el direccionamiento en redes IP se efectúa por medio de direcciones IP. No obstante, en general se prefiere especificar el direccionamiento en forma de dirección de dominio (p. ej. www.abc.xyz.com). Si el direccionamiento se realiza por medio de la dirección de dominio, el remitente envía primero la dirección de dominio a un "Domain Name Server" o Servidor de Nombres de Dominio (DNS) y recibe la dirección IP correspondiente. Tan sólo entonces, el remitente direcciona sus datos a esa dirección IP. EDGE EDGE (= Enhanced Data Rates for GSM Evolution o velocidades de transferencia datos mejoradas para la evolución de GSM) designa una técnica en la que las velocidades de transferencia de datos en redes de telefonía móvil GSM se incrementan gracias a la introducción de un proceso de modulación adicional. Por medio de EDGE, GPRS se amplía a EGPRS (Enhanced GPRS) y HSCSD a ECSD. SINAUT MD741-1 C79000-G8978-C236-02 123 Glosario EGPRS EGPRS es el acrónimo de "Enhanced General Packet Radio Service" (servicio general de radio por paquetes mejorado). Describe un servicio de datos orientado a paquetes basado en GPRS y que se acelera mediante la tecnología EDGE. Encriptación asimétrica En la encriptación asimétrica, los datos se encriptan con una clave y se desencriptan con otra clave. Ambas claves se adecúan para encriptar y desencriptar datos. Una de las claves es mantenida en secreto por su propietario (clave privada o "Private Key"). La otra se comunica al público (clave pública o "Public Key"), es decir, a los posibles interlocutores. Un mensaje encriptado con la clave pública sólo puede ser desencriptado y leído por el destinatario que tenga en su poder la clave privada correspondiente. Un mensaje encriptado con la clave privada puede ser desencriptado y leído por todo destinatario que tenga en su poder la clave pública correspondiente. La encriptación con la clave privada demuestra que el mensaje proviene realmente del propietario de la clave pública correspondiente. Por tanto, también se denomina firma digital o firma electrónica. No obstante, los métodos de encriptación asimétricos tales como RSA son lentos y susceptibles a determinados ataques. Por este motivo, se combinan a menudo con un método simétrico (Æ encriptación simétrica). Por otra parte, también son posibles los conceptos que evitan la administración compleja de claves asimétricas. Encriptación simétrica En el caso de la encriptación simétrica, los datos se encriptan y desencriptan con una misma clave. DES y AES son ejemplos de algoritmos de encriptación simétrica. Aunque son rápidos, su administración es compleja al aumentar el número de usuarios. GPRS GPRS es el acrónimo de "General Packet Radio Service" (servicio general de radio por paquetes). Designa un sistema de transferencia de datos de los sistemas de telefonía móvil GSM2+. Los sistemas GPRS utilizan las estaciones de base de las redes GSM para la técnica inalámbrica y una infraestructura propia para el acoplamiento a otras redes IP como p. ej. Internet. Los datos se transmiten de forma orientada a paquetes vía Protocolo de Internet (IP). GPRS provee velocidades de transferencia de datos de hasta 115,2 Kbit/s. GSM GSM (= Global System for Mobile Communication o sistema global para las comunicaciones móviles) es una norma de telefonía móvil digital utilizada en el mundo entero. GSM soporta no sólo el servicio de voz para la telefonía, sino también distintos servicios de datos tales como fax, SMS, CSD y GPRS. Dependiendo de las disposiciones legales en los diferentes países, se utilizan las bandas de frecuencia 900 MHz, 1800 MHz ó 850 MHz y 1900 MHz. 124 SINAUT MD741-1 C79000-G8978-C236-02 Glosario HTTPS HTTPS (= HyperText Transfer Protocol Secure o Protocolo Seguro de Transferencia de Hipertexto) es una variante del protocolo HTTP que utiliza todo navegador web para intercambiar datos y navegar en Internet. En HTTPS se ha agregado al protocolo original un componente adicional para proteger los datos. En tanto que con el protocolo HTTP los datos se transfieren en forma de texto y sin protección, en el protocolo HTTPS se transfieren de forma encriptada tan sólo después de haber intercambiado certificados de seguridad. IPsec IP security (IPsec) es una norma que utiliza la encriptación para asegurar en los datagramas IP la autenticidad del remitente, la confidencialidad y la integridad de los datos. Los componentes de IPsec son el "Authentication Header" (AH o cabecera de autenticación), la "Encapsulating Security Payload" (ESP o encapsulación segura del campo de carga), la "Security Association" (SA o asociación de seguridad), el "Security Parameter Index" (SPI o índice de parámetros de seguridad) y el "Internet Key Exchange" (IKE o intercambio de claves en Internet). Al inicio de la comunicación, los ordenadores que deben comunicarse determinan el proceso a utilizar y sus implicaciones (p. ej. modo transporte o modo túnel). En modo transporte se inserta una cabecera IPsec entre la cabecera IP y la cabecera TCP o UDP de todo datagrama IP. Puesto que la cabecera IP no se modifica, este modo sólo es apropiado para una conexión host-host. En modo túnel se antepone una cabecera IPsec y una nueva cabecera IP al datagrama IP entero. Por consiguiente, el datagrama original se encripta en su totalidad, integrándose en la carga ("payload") del nuevo datagrama. El modo túnel se utiliza en VPN. Los dispositivos ubicados en los extremos del túnel se encargan de encriptar y desencriptar los datagramas. En el tramo del túnel, es decir, en la vía de transmisión a través de la red pública, los datagramas en sí permanecen protegidos por completo. SINAUT MD741-1 C79000-G8978-C236-02 125 Glosario NAT (Network Address En la "Network Address Translation" (NAT o Traducción de Dirección de Red) – denominada a menudo también enmascaramiento IP – una Translation) red entera se "oculta" detrás de un único dispositivo: el router NAT. Los ordenadores internos de la red local permanecen ocultos con sus respectivas direcciones IP al comunicarse hacia el exterior vía el router NAT. Los interlocutores externos sólo ven el router NAT con su propia dirección IP. No obstante, para que los ordenadores internos puedan comunicarse directamente con ordenadores externos (en Internet), el router NAT debe modificar los datagramas IP que pasan hacia afuera desde los ordenadores internos y desde afuera hacia los ordenadores internos. Si un datagrama IP se envía desde la red interna hacia afuera, el router NAT modifica las cabeceras IP y TCP del datagrama. Sustituye la dirección IP de origen y el puerto de origen por la propia dirección IP oficial y un puerto propio, hasta ahora no utilizado. Para ello gestiona una tabla que establece la asignación entre los valores originales y los valores nuevos. Al recibir un datagrama de respuesta, el router NAT reconoce gracias al puerto de destino indicado que el datagrama está destinado en realidad para un ordenador interno. Utilizando la tabla, el router NAT sustituye la dirección IP de destino y el puerto de destino y reenvía el datagrama a la red interna. Máscara de red / máscara de subred Normalmente, a una red empresarial con acceso a Internet se le asigna oficialmente sólo una dirección IP, p. ej. 134.76.0.0. El 1er. byte de esta dirección de ejemplo muestra que esta red empresarial es una red de clase B, es decir, los últimos 2 bytes pueden utilizarse libremente para direccionar los hosts. Desde el punto de vista matemático, resulta de ello un área de direccionamiento de 65.536 hosts posibles (256 x 256). Obviamente, una red tan enorme es poco práctica. De esto surge la necesidad de crear subredes. La respuesta a esta necesidad es la máscara de subred. Al igual que una dirección IP, esta máscara tiene una longitud de 4 bytes. Cada uno de los bytes que representan la dirección de red tienen asignado el valor 255. El objetivo principal de esta máscara es "pedir prestada" una parte del área de direccionamiento de hosts con objeto de utilizarla para direccionar las subredes. Tomando como ejemplo la máscara de subred 255.255.255.0 en una red de clase B (2 bytes para la dirección de red, 2 bytes para la dirección del host), el 3er. byte – previsto inicialmente para la dirección del host – puede utilizarse ahora para el direccionamiento de la subred. Desde el punto de vista matemático, podrían configurarse así 256 subredes con 256 hosts cada una. Número de puerto El número de puerto es un campo de 2 bytes en las cabeceras UDP y TCP. La asignación de números de puerto sirve para identificar los distintos flujos de datos que son procesados simultáneamente por los protocolos UDP/TCP. A través de estos números de puerto se realiza todo el intercambio de datos entre UDP/TCP y los procesos de aplicación. La asignación de números de puerto a los procesos de aplicación se realiza de forma dinámica y aleatoria. Hay números de puerto asignados fijamente a determinados procesos de aplicación utilizados con frecuencia. Éstos se denominan "Assigned Numbers" (números asignados). 126 SINAUT MD741-1 C79000-G8978-C236-02 Glosario Paquete IP Véase "Datagrama" PPPoE Acrónimo de "Point-to-Point Protocol over Ethernet" (Protocolo Punto a Punto sobre Ethernet). Este protocolo se basa en los estándares PPP y Ethernet. PPPoE es una especificación que define cómo conectar usuarios vía Ethernet con Internet a través de un medio de banda ancha utilizado conjuntamente, como p. ej. DSL, Wireless LAN o módem de cable. PPTP Acrónimo de "Point-to-Point Tunneling Protocol" (Protocolo de Túnel Punto a Punto). Este protocolo fue desarrollado por Microsoft, U.S. Robotics y otros para transferir datos de forma segura entre dos nodos VPN (Æ VPN) a través de una red pública. Private Key (clave privada), Public Key (clave pública); certificación (X.509) Los algoritmos de encriptación asimétrica utilizan 2 claves, a saber: una clave privada (Private Key) y una pública (Public Key). La clave pública sirve para encriptar datos y, la clave privada, para desencriptarlos. La clave pública es puesta a la disposición por el futuro destinatario de los datos a los remitentes que le enviarán los datos de forma encriptada. La clave privada está sólo en poder del destinatario. Sirve para desencriptar los datos recibidos. Certificación: Para que el usuario de la clave pública (que sirve para encriptar los datos) pueda estar seguro de que la clave pública que le ha sido transmitida proviene realmente de la instancia que debe recibir los datos a ser enviados, existe la posibilidad de utilizar una certificación. La verificación de la autenticidad de la clave pública y la consiguiente vinculación de la identidad del remitente con su respectiva clave es realizada por una autoridad certificadora (Certification Authority - CA). Esto se realiza según las reglas de la CA, de manera que el remitente debe p. ej. comparecer personalmente. Una vez certificada la autenticidad correctamente, la CA firma la clave pública del remitente con su firma (digital). El resultado es un certificado. Un certificado X.509 crea un enlace entre una identidad en forma de un 'X.500 Distinguished Name' (DN o nombre distintivo) y una clave pública que es certificado por la firma digital de una autoridad certificadora (CA) X.509. La firma - una encriptación con la clave de firma – se puede comprobar con la clave pública que la CA le entrega al propietario del certificado. Protocolo, protocolo de Los equipos que se comunican entre sí deben utilizar las mismas reglas, es decir, deben "hablar el mismo idioma". Estas reglas y comunicación estándares se denominan protocolos o protocolos de comunicación. Algunos de los protocolos utilizados con más frecuencia son p. ej. IP, TCP, PPP, HTTP o SMTP. TCP/IP es el término genérico de todos los protocolos basados en IP. SINAUT MD741-1 C79000-G8978-C236-02 127 Glosario Proveedor de DynDNS Denominado también proveedor de DNS dinámico. Todo ordenador conectado a Internet tiene una dirección IP (IP = Internet Protocol o Protocolo de Internet). Una dirección IP comprende 4 números de tres dígitos como máximo, separados entre sí por puntos. Si el ordenador está conectado online a través de la red telefónica – por módem, RDSI o ADSL – el proveedor de servicios de Internet le asigna dinámicamente una dirección IP, es decir, la dirección cambia de una sesión a otra. Incluso si el ordenador está online sin interrupción las 24 horas del día (p. ej. en caso de una tarifa plana), la dirección IP se cambia de vez en cuando. Si un ordenador local debe estar accesible a través de Internet, la estación remota externa debe conocer su dirección. Sólo de esta manera puede establecer una conexión con el ordenador local. Sin embargo, esto no es posible si la dirección del ordenador local cambia constantemente. A menos que el usuario del ordenador local tenga una cuenta con un proveedor de DNS dinámico (DNS = "Domain Name Server" o Servidor de Nombres de Dominio). En este caso, puede especificar allí un nombre de host con el cual se deba poder acceder al ordenador en el futuro, p. ej. www.xyz.abc.com. Además, el proveedor de DNS dinámico provee un pequeño programa que se debe instalar y ejecutar en el ordenador en cuestión. En cada sesión de Internet del ordenador local, esta herramienta le comunica al proveedor de DNS dinámico qué dirección IP tiene el ordenador en ese momento. Este servidor de nombres de dominio registra la asignación actual de nombre de host – dirección IP y se la comunica a los demás servidores de nombres de dominio en Internet. Si un ordenador externo desea establecer ahora una conexión con el ordenador local registrado en el proveedor de DNS dinámico, el ordenador externo utiliza como dirección el nombre de host del ordenador local. Así se crea una conexión con el respectivo DNS (Domain Name Server o Servidor de Nombres de Dominio) para buscar allí la dirección IP asignada actualmente a ese nombre de host. La dirección IP se envía al ordenador externo y éste la utiliza entonces como dirección de destino. Ésta conduce ahora directamente al ordenador local deseado. En principio, todas las direcciones de Internet se basan en este procedimiento. Primero se crea una conexión con el DNS para consultar la dirección IP asignada a este nombre de host. A continuación, por medio de la dirección IP "consultada" se crea una conexión con la estación remota deseada que puede ser un sitio web cualquiera. Proveedor de servicios Oferente, empresa o institución que provee acceso a los usuarios a Internet o a un servicio online. Spoofing, anti-spoofing En la terminología de Internet, "spoofing" significa indicar una dirección falsa. Por medio de la dirección de Internet falsa, alguien simula ser un usuario autorizado. Por "anti-spoofing" se entienden los mecanismos que descubren o impiden el "spoofing". 128 SINAUT MD741-1 C79000-G8978-C236-02 Glosario SSH SSH (Secure SHell) es un protocolo que permite intercambiar datos de forma segura y encriptada entre ordenadores. SSH se utiliza para el acceso remoto a la consola de entrada de máquinas basadas en LINUX. Stateful Inspection Firewall "Stateful Inspection Firewall" es un método para filtrar paquetes. Los filtros de paquetes sólo dejan pasar paquetes IP si ésto se ha definido previamente por reglas de firewall. En las reglas de firewall se define lo siguiente: • • • qué protocolo (TCP, UDP, ICMP) puede pasar, el origen permitido para los paquetes IP (From IP / From port) (De IP / de puerto)) el destino permitido para los paquetes IP (To IP / To port) (A IP / a puerto)) Asimismo se define qué debe suceder con los paquetes IP que no puedan pasar, p. ej. si se deben descartar o rechazar. En un filtro de paquetes simple es preciso crear siempre dos reglas de firewall para una conexión: • • una regla para el sentido de consulta del origen al destino y otra regla para el sentido de respuesta del destino al origen. Ésto es diferente en un "Stateful Inspection Firewall". Aquí se crea sólo una regla de firewall para el sentido de consulta del origen al destino. La regla de firewall para el sentido de respuesta del destino al origen resulta del análisis de los datos enviados antes. La regla de firewall para las respuestas se vuelve a cerrar tras recibir las respuestas o al cabo de un período breve. Por tanto, las respuestas sólo pueden pasar si ha habido previamente una consulta. De esta manera, la regla de respuesta no puede utilizarse para accesos no autorizados. Además, hay métodos especiales que permiten el paso de datos UDP y ICMP sin haberlos solicitado antes. SINAUT MD741-1 C79000-G8978-C236-02 129 Glosario TCP/IP TCP/IP es el acrónimo de "Transmission Control Protocol / Internet Protocol" (Protocolo de Control de Transmisión / Protocolo Internet). Estos protocolos de red se utilizan para conectar dos ordenadores en Internet. IP es el protocolo básico. UDP se basa en IP y envía paquetes individuales. El destinatario puede recibir estos paquetes en un orden diferente al que han sido enviados o incluso pueden perderse paquetes. TCP sirve para asegurar la conexión y garantiza p. ej. que los paquetes de datos se envíen en el orden correcto a la aplicación. UDP y TCP proveen, además de las direcciones IP, números de puerto comprendidos entre 1 y 65535, mediante los cuales se distinguen los distintos servicios. Otros protocolos se basan asimismo en UDP y TCP, como p. ej. HTTP (Hyper Text Transfer Protocol), HTTPS (Secure Hyper Text Transfer Protocol), SMTP (Simple Mail Transfer Protocol), POP3 (Post Office Protocol, versión 3), DNS (Domain Name Service). ICMP se basa en IP y contiene mensajes de control. SMTP es un protocolo de correo electrónico basado en TCP. IKE es un protocolo IPsec basado en UDP. ESP es un protocolo IPsec basado en IP. En un PC con Windows, el archivo WINSOCK.DLL (o WSOCK32.DLL) gestiona ambos protocolos. (Æ Datagrama) UDP Véase TCP/IP VPN (Virtual Private Network) VPN es el acrónimo de "Virtual Private Network" (Red Privada Virtual). Una VPN conecta varias redes privadas separadas (subredes) con una red pública (p. ej. Internet) para formar una red conjunta. Gracias a la utilización de protocolos criptográficos se garantiza la confidencialidad y autenticidad. Por tanto, a la hora de crear una red empresarial supraregional, una VPN ofrece una alternativa económica a las líneas dedicadas. 130 SINAUT MD741-1 C79000-G8978-C236-02 Glosario El esquema siguiente muestra cómo pueden estar distribuidas las direcciones IP en una red local con subredes, qué direcciones de red resultan de ello y cómo podría especificarse una ruta interna adicional. Rutas internas adicionales Dirección externa del MD7411: (asignada por el proveedo r) p.ej. 80.81.1 92.37 MD741-1 Dirección interna del MD7 41-1: 192.168.11.1 (E-)GPRS APN Switch R outer A1 A2 R ed A D irec. de red: 19 2.168.11.0 / 24 Máscara de red: 255.255.255.0 A3 A4 A5 IP externa: 192.168.11.2 Router IP interna: 192.168.15.254 Másc. de red: 255.255.255.0 Switch Red B Direc. de red: 192.168.15.0 / 24 Máscara de red: 255.255.25 5.0 Ro uter B1 B2 B3 B4 IP externa: 192.168.15.1 Router IP interna 192.168.27.254 Másc. de red: 255.2 55 .255.0 Switch R ed C D irec. de red: 19 2.168.27.0 / 24 Máscara de red: 255.255.255.0 Rutas internas adicionales C1 C2 C3 C4 La red A está conectada al SINAUT MD741-1 y, a través de éste, también a una red remota. Las rutas internas adicionales señalan la ruta a otras redes (redes B, C), conectadas entre sí por medio de gateways (routers). En el ejemplo, el SINAUT MD741-1 puede acceder tanto a la red B como a la red C vía el gateway 192.168.11.2 y la dirección de red 192.168.11.0/24. SINAUT MD741-1 C79000-G8978-C236-02 131 Glosario Red A Ordenador A1 Dirección 192.168.11.3 IP Máscara 255.255.255.0 de red Red B A2 192.168.11.4 A3 192.168.11.5 A4 192.168.11.6 A5 192.168.11.7 255.255.255.0 255.255.255.0 255.255.255.0 255.255.255.0 Ordenador B1 Dirección 192.168.15.3 IP Máscara 255.255.255.0 de red Red C B2 192.168.15.4 B3 192.168.15.5 B4 192.168.15.6 255.255.255.0 255.255.255.0 255.255.255.0 Ordenador C1 Dirección 192.168.27.3 IP Máscara 255.255.255.0 de red C2 192.168.27.4 C3 192.168.27.5 C4 192.168.27.6 Rutas internas adicionales: Red: 192.168.15.0/24 Gateway: 192.168.11.2 Red: 192.168.27.0/24 Gateway: 192.168.11.2 255.255.255.0 255.255.255.0 255.255.255.0 132 SINAUT MD741-1 C79000-G8978-C236-02