Router EDGE/GPRS SINAUT MD741-1

Prólogo, contenido
Aplicación y funciones
1
SIMATIC NET
Puesta en servicio
2
Router EDGE/GPRS
SINAUT MD741-1
Configuración
3
Manual de sistema
Interfaz local
4
Interfaz externa
5
Funciones de seguridad
6
Conexiones VPN
7
Accesos remotos
8
Estado, archivo de registro y
diagnóstico
9
C79000-G8978-C236-02
Edición 10/2008
Otras funciones
10
Datos técnicos
11
Normas y homologaciones aplicadas
12
Glosario
Clasificación de las consignas de seguridad
Este manual contiene indicaciones que hay que tener en cuenta para su propia seguridad, así como para evitar
daños materiales. Las indicaciones relativas a su propia seguridad están destacadas mediante un triángulo de
advertencia, las indicaciones que se refieren simplemente a daños materiales no tendrán un triángulo de
advertencia. De acuerdo al grado de peligro las consignas se representan, de mayor a menor peligro, como sigue.
Peligro
!
Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones
corporales graves.
Advertencia
!
Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones
corporales graves.
Precaución
!
Con triángulo de advertencia significa que puede producirse una lesión leve si no se toman las medidas
preventivas adecuadas.
Precaución
Sin triángulo de advertencia significa que, si no se adoptan las medidas preventivas adecuadas, pueden
producirse daños materiales.
Atención
Significa que se puede producir un evento o estado no deseado, si no se toma en consideración la indicación
respectiva.
Si se presentan varios niveles de peligro siempre se utiliza la advertencia del nivel más alto. Si en una consigna
de seguridad con triángulo de advertencia se alarma de posibles daños personales, la misma consigna puede
contener también una advertencia sobre posibles daños materiales.
Personal cualificado
El aparato/sistema correspondiente sólo se puede ajustar y operar en combinación con esta documentación.
Sólo está autorizado a poner en marcha y utilizar este equipo/sistema el personal cualificado. Personal
cualificado, según las indicaciones técnicas de seguridad de este manual, son aquellas personas que tienen la
autorización necesaria para poner en marcha, poner a tierra y marcar aparatos, sistemas y circuitos de acuerdo
con los estándares de la técnica de seguridad.
Uso conforme
Se debe considerar lo siguiente:1
Advertencia
!
El equipo sólo se puede utilizar para los casos de aplicación previstos en el catálogo y en la descripción técnica,
y sólo en combinación con los equipos y componentes de otros fabricantes recomendados y homologados por
Siemens. El funcionamiento correcto y seguro del producto presupone un transporte, un almacenamiento, una
instalación y un montaje adecuados, así como un manejo y un mantenimiento rigurosos.
Marcas
Todas las denominaciones marcadas con el símbolo de protección legal® son marcas registradas de Siemens
AG. Las demás denominaciones en esta documentación pueden ser marcas cuya utilización por parte de
terceros para sus fines, pueden infringir los derechos de los titulares de la marca.
Exención de responsabilidad
Hemos comprobado si el contenido del impreso coincide con el hardware y el software descritos. Sin embargo,
como no pueden excluirse las divergencias, no nos responsabilizamos de la plena coincidencia. El contenido de
esta publicación se revisa periódicamente; si es necesario, las correcciones necesarias se incluyen en la
siguiente edición.
Siemens AG
Automation and Drives
Postfach 48 48
90437 NUREMBERG
ALEMANIA
2
Referencia del documento: C79000-G8978-C236-02
Edición 10/2008
Copyright © Siemens AG 2008.
Sujeto a cambios sin previo aviso
SINAUT MD741-1
C79000-G8978-C236-02
Indicaciones generales acerca del producto
El producto corresponde a la norma europea EN60950 – Seguridad de los equipos
de tecnología de la información.
Antes de utilizar el equipo, lea con atención las instrucciones de instalación.
Mantenga el equipo fuera del alcance de los niños, especialmente de los más
pequeños.
El equipo no se puede instalar ni operar al aire libre ni en recintos húmedos.
No ponga en marcha el equipo si están deteriorados los cables de conexión o el
propio equipo.
Fuente de alimentación externa
Utilice sólo una fuente de alimentación externa que corresponda asimismo a la norma
EN60950. La tensión de salida de la fuente de alimentación externa no debe exceder
los 30 V DC. La salida de la fuente de alimentación externa debe estar protegida
contra cortocircuitos.
!
Advertencia
El SINAUT MD741-1 sólo puede ser abastecido por fuentes de alimentación según la
norma IEC/EN60950-1, sección 2.5 "Fuente de alimentación con potencia limitada".
La fuente de alimentación externa para el SINAUT MD741-1 debe estar en
conformidad con las disposiciones para circuitos eléctricos NEC de clase 2, tal y
como se ha definido en el National Electrical Code ® (ANSI/NFPA 70).
Tenga en cuenta los apartados Alimentación de bornes roscados y reglas de
instalación de la presente documentación (capítulo 2.6), así como los reglamentos de
montaje y utilización de los respectivos fabricantes de la fuente de alimentación,
batería o acumulador.
Tarjeta SIM
Para instalar la tarjeta SIM es preciso abrir el equipo. Antes de abrir el equipo,
desconéctelo de la tensión de alimentación. Las cargas estáticas pueden deteriorar el
equipo cuando esté abierto. Descargue la carga eléctrica de su cuerpo antes de abrir
el equipo. A este efecto, toque una superficie puesta a tierra, p. ej. la carcasa de
metal del armario de distribución. Consulte a este respecto el capítulo 2.6.
Manejo de cables
No desenchufe nunca un conector de cable tirando del cable, sino sujetando el
conector. Los conectores de cable con sujeción por tornillo (D-sub) deben atornillarse
siempre firmemente. No conduzca los cables sobre aristas ni cantos vivos sin
protección de bordes. En caso necesario, vigile que los cables tengan un alivio de
tracción suficiente.
SINAUT MD741-1
C79000-G8978-C236-02
3
Asegúrese de que, por motivos de seguridad, se respete el radio de curvatura de los
cables.
Si no se respetan los radios de curvatura del cable de antena, se menoscabarán las
propiedades de emisión y recepción del equipo. El radio de curvatura mínima no
puede ser inferior a 5 veces el diámetro de cable estáticamente o 15 veces el
diámetro de cable dinámicamente.
Equipo de radio
!
Advertencia
No utilice nunca el equipo en zonas en las que esté prohibida la utilización de equipos
de radio. El equipo incorpora un emisor de radio que podría afectar el funcionamiento
de dispositivos electrónicos médicos tales como audífonos o marcapasos. Consulte
con su médico o el fabricante de dichos dispositivos.
Para que no puedan desmagnetizarse los soportes de datos, no almacene disquetes,
tarjetas de crédito ni otros soportes de datos magnéticos en las proximidades del
equipo.
Montaje de antenas
!
Advertencia
Debe garantizarse la conformidad con los valores límites de radiación recomendados
por la Comisión Alemana de Protección contra Radiaciones (www.ssk.de) del 13/14
de septiembre de 2001.
Montaje de una antena exterior
Precaución
Al instalar una antena al aire libre es imprescindible que ésta sea montada
correctamente por personal técnico especializado.
La antena exterior debe ponerse a tierra para la protección contra rayos. El blindaje
de la antena exterior debe conectarse de forma segura con la tierra de protección.
Al realizar la instalación deben cumplirse las respectivas normas de instalación
nacionales.
En los EE UU, esta norma es el National Electric Code NFPA 70, artículo 810.
En Alemania se aplican las normas VDE 0185 (DIN EN 62305) ,1ª a 4ª parte, en
edificios con pararrayos y las normas VDE 0855 (DIN EN 60728-11) si falta el
pararrayos.
4
SINAUT MD741-1
C79000-G8978-C236-02
Indicaciones y advertencias para la observación de normas de seguridad,
telecomunicaciones, CEM y otras
Precaución
Tenga en cuenta las indicaciones y advertencias contenidas en el capítulo 12 antes
de poner en servicio el SINAUT MD741-1.
Costes de conexión con (E-) GPRS
Precaución
Tenga en cuenta que también al (re)establecer una conexión, al intentar establecer
una conexión con una estación remota (p. ej. servidor apagado, dirección de destino
incorrecta, etc.) así como al mantener la conexión se intercambian paquetes de datos
que deben pagarse.
Firmware con Open Source GPL / LGPL
El firmware de SINAUT MD741-1 contiene software Open Source sujeto a
condiciones GPL / LGPL. De conformidad con la sección 3b de GPL y la sección 6b
de LGPL, ponemos a su disposición el código fuente. Envíe un mensaje de correo
electrónico a
[email protected]
[email protected]
En el asunto del mensaje, introduzca el texto 'Open Source MD741' para poder filtrar
fácilmente su mensaje.
SINAUT MD741-1
C79000-G8978-C236-02
5
Firmware con OpenBSD
El firmware de SINAUT MD741-1 contiene partes del software OpenBSD. La
utilización del software OpenBSD obliga a imprimir la siguiente información de
copyright:
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
*
6
Copyright (c) 1982, 1986, 1990, 1991, 1993
The Regents of the University of California. All rights reserved.
Redistribution and use in source and binary forms, with or without
modification, are permitted provided that the following conditions
are met:
1. Redistributions of source code must retain the above copyright
notice, this list of conditions and the following disclaimer.
2. Redistributions in binary form must reproduce the above copyright
notice, this list of conditions and the following disclaimer in the
documentation and/or other materials provided with the distribution.
3. All advertising materials mentioning features or use of this software
must display the following acknowledgement:
This product includes software developed by the University of
California, Berkeley and its contributors.
4. Neither the name of the University nor the names of its contributors
may be used to endorse or promote products derived from this software
without specific prior written permission.
THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND
ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE
IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR
PURPOSE
ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE
FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR
CONSEQUENTIAL
DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS
OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION)
HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY,
WHETHER IN CONTRACT, STRICT
LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY
OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF
SUCH DAMAGE.
SINAUT MD741-1
C79000-G8978-C236-02
Prólogo
Objetivo de la documentación
Esta documentación le ayudará a utilizar con éxito el módem GPRS/GSM
SINAUT MD741-1. Ofrece una introducción al tema y proporciona una vista
general del campo de aplicación del hardware. Asimismo, explica cómo
poner en servicio y configurar el módem teniendo en cuenta las condiciones
de operación. Esta documentación incluye los datos técnicos, así como las
homologaciones y normas que cumple el módem GPRS/GSM MD741-1.
Ámbito de validez de la documentación
El presente manual es válido para las siguientes versiones del producto:
• Módem GPRS/GSM MD741-1, versión de hardware 2.x
SIMATIC Technical Support
Puede dirigirse al Technical Support (servicio de asistencia técnica) de
todos los productos A&D por:
•
Teléfono: +49 (0) 180 5050 222
•
Fax: +49 (0) 180 5050 223
Para más información sobre el servicio de asistencia técnica, visite la página
web
http://www.siemens.com/automation/service
Service & Support en Internet
Además de nuestra documentación, en Internet ponemos a su disposición
todos nuestro know-how:
http://www.siemens.com/automation/service&support
Allí encontrará:
•
Información de actualidad sobre productos, preguntas frecuentes
(Frequently Asked Questions), descargas, consejos y trucos.
•
El boletín (Newsletter) le mantendrá informado sobre los productos.
•
El Knowledge Manager le ayudará a encontrar los documentos que
necesita.
•
Los usuarios y especialistas de todo el mundo intercambian sus
experiencias en el Forum.
•
Una base de datos en la que podrá encontrar los datos de su persona
de contacto para Industry Automation de su región o localidad.
•
Bajo la rúbrica »Services« encontrará información sobre servicio
técnico, reparaciones, piezas de repuesto etc. de su región.
La versión actual de esta documentación está disponible bajo el ID de
referencia 22550242.
7
SINAUT MD741-1
C79000-G8978-C236-02
Prólogo
¿Tiene más preguntas sobre el uso de los productos descritos en el
manual? En este caso, diríjase al representante de Siemens en las
sucursales u oficinas de su región.
Las direcciones se encuentran en los lugares indicados a continuación:
•
En Internet: http://www.siemens.com/automation/partner
•
En Internet: http://www.siemens.com/simatic-net
especialmente para productos SIMATIC NET
•
En el catálogo CA 01
•
En el catálogo IK PI (especialmente para productos SIMATIC NET)
En la siguiente dirección encontrará artículos, certificados y más información
útil acerca del MD741-1:
•
http://support.automation.siemens.com/WW/view/es/22811843
Centro de formación SIMATIC
Para iniciarse en nuestros sistemas, ofrecemos cursos de formación
especializados. Diríjase a su centro de formación regional o directamente a
la central en
D-90327 Nuremberg
Teléfono: +49 (911) 895-3200
http://www.sitrain.com
Centro de formación SIMATIC NET
Para cursos acerca de los productos SIMATIC NET en particular, diríjase a:
SIEMENS AG
Siemens AG, A&D Informations- und Trainings-Center
Dynamostr. 4
D-68165 Mannheim
Teléfono: +49 (621) 4 56-23 77
Fax: +49 (621) 4 56-32 68
8
SINAUT MD741-1
C79000-G8978-C236-02
Índice
1
Aplicación y funciones ................................................................................................ 11
1.1
Introducción ....................................................................................................... 11
2
Puesta en servicio ........................................................................................................ 15
2.1
Paso a paso....................................................................................................... 15
2.2
Requisitos para el funcionamiento correcto ...................................................... 16
2.3
Frontal del equipo .............................................................................................. 17
2.4
Pulsador de servicio (SET) ................................................................................ 17
2.5
Indicadores de estado ....................................................................................... 18
2.6
Conectores ........................................................................................................ 19
2.7
Insertar la tarjeta SIM ........................................................................................ 22
2.8
Montaje en un perfil soporte normalizado ......................................................... 23
3
Configuración ............................................................................................................... 24
3.1
Configuración TCP/IP del adaptador de red bajo Windows XP ........................ 25
3.2
Establecer una conexión de configuración........................................................ 26
3.3
Página inicial de la interfaz web ........................................................................ 29
3.4
Selección de idioma........................................................................................... 31
3.5
Realizar la configuración ................................................................................... 32
3.6
Perfiles de configuración ................................................................................... 33
3.7
Cambiar la contraseña....................................................................................... 35
3.8
Rearranque........................................................................................................ 37
3.9
Cargar los ajustes de fábrica............................................................................. 38
4
Interfaz local.................................................................................................................. 39
4.1
Direcciones IP de la interfaz local ..................................................................... 39
4.2
Servidor DHCP a la red local............................................................................. 40
4.3
DNS a la red local.............................................................................................. 43
4.4
Nombre de host local......................................................................................... 45
4.5
Hora de sistema / NTP ...................................................................................... 46
4.6
Rutas internas adicionales ................................................................................ 48
5
Interfaz externa ............................................................................................................. 49
5.1
Parámetros de acceso a EGPRS/GPRS........................................................... 49
5.2
Supervisión de conexiones EGPRS/GPRS....................................................... 51
5.3
Nombre de host vía DynDNS ............................................................................ 54
6
Funciones de seguridad .............................................................................................. 56
6.1
Filtro de paquetes .............................................................................................. 56
6.2
Port Forwarding ................................................................................................. 60
6.3
Funciones de seguridad avanzadas.................................................................. 62
6.4
Archivo de registro del firewall........................................................................... 64
7
Conexiones VPN........................................................................................................... 65
7.1
Modo Roadwarrier VPN..................................................................................... 67
7.2
Modo Standard VPN IPsec................................................................................ 74
9
SINAUT MD741-1
C79000-G8978-C236-02
Índice
7.3
7.4
7.5
7.6
Cargar certificados VPN .................................................................................... 82
Reglas de firewall para túnel VPN..................................................................... 84
Configuración avanzada de conexiones VPN ................................................... 85
Estado de las conexiones VPN ......................................................................... 87
8
Accesos remotos.......................................................................................................... 88
8.1
Acceso remoto HTTPS ...................................................................................... 88
8.2
Acceso remoto SSH .......................................................................................... 90
8.3
Acceso remoto por marcación telefónica .......................................................... 93
9
Estado, archivo de registro y diagnóstico................................................................. 95
9.1
Visualización del estado operativo .................................................................... 95
9.2
Archivo de registro............................................................................................. 99
9.3
Registro remoto ............................................................................................... 102
9.4
Instantánea ...................................................................................................... 103
9.5
Información de hardware ................................................................................. 105
9.6
Información de software .................................................................................. 105
10
Otras funciones .......................................................................................................... 106
10.1
SMS de alarma ................................................................................................ 106
10.2
Actualización de software ................................................................................ 107
11
Datos técnicos ............................................................................................................ 109
12
Normas y homologaciones aplicadas ...................................................................... 112
12.1
Equipo.............................................................................................................. 112
12.2
Declaración de conformidad CE...................................................................... 112
12.3
Conformidad con FM, UL y CSA ..................................................................... 115
12.4
Conformidad con FCC ..................................................................................... 116
13
Glosario ....................................................................................................................... 118
10
SINAUT MD741-1
C79000-G8978-C236-02
1
Aplicación y funciones
1.1
Introducción
El SINAUT MD741-1 provee una conexión inalámbrica a Internet o a una red
privada. El SINAUT MD741-1 ofrece esta conexión en cualquier lugar en el que
esté disponible una red GSM (Global System for Mobile Communication = Sistema
Global de Comunicación Móvil) que ofrezca los servicios EGPRS (Enhanced
General Packet Radio Service = EDGE) o GPRS (General Packet Radio Service).
Como requisito debe disponerse de una tarjeta SIM de un proveedor de red GSM
con los respectivos servicios habilitados.
El SINAUT MD741-1 conecta de esta manera una aplicación conectada
localmente o una red entera a través de enlaces IP inalámbricos con Internet.
También es posible establecer una conexión directa con una red Intranet a la que,
a su vez, estén conectadas otras estaciones remotas.
A través de la conexión IP inalámbrica, el SINAUT MD741-1 puede establecer una
red privada virtual (VPN = Virtual Private Network) entre una aplicación o una red
conectada localmente y una red externa, así como proteger esta conexión por
medio de IPsec (Internet Protocol Security) contra accesos de terceros.
A este efecto, el equipo incluye las siguientes funciones:
11
●
Módem GPRS para la comunicación de datos flexible vía GPRS
●
Router VPN para la transferencia segura de datos a través de redes públicas
(protocolo IPSec, encriptación de datos 3DES, encriptación AES)
●
Firewall para la protección contra accesos no autorizados. El filtro dinámico de
paquetes examina los paquetes de datos según las direcciones de origen y
destino (stateful packet inspection) y bloquea el tráfico de datos no deseado
(anti-spoofing).
SINAUT MD741-1
C79000-G8978-C236-02
1 Aplicación y funciones
Ejemplos de aplicación típicos de SINAUT
S7-300
CPU
TIM
Posición de
control ST7cc
MD741-1
Router VPN
Módem DSL
INTERNET
(E-)GPRS
APN
Túnel VPN
Figura 1-1
CPU
Conexión entre una CPU y la posición de control
TIM
Po sición de
control STcc
MD741-1
VPN-Tunnel
T IM
Conexión lógica
Mód em DSL
INT ERNET
(E-)G PRS
CPU
MD741-1
TIM
Router VPN
APN
T únel VPN
Figura 1-2
Conexión entre dos CPUs
Configuración
La configuración del equipo se efectúa mediante una interfaz web que puede
visualizarse fácilmente con un navegador web. El acceso puede realizarse a través
de:
12
●
La interfaz local
●
EGPRS/GPRS
●
CSD (Circuit Switched Data = datos conmutados por circuito) del GSM
SINAUT MD741-1
C79000-G8978-C236-02
1 Aplicación y funciones
Conexión ví a
G SM-CSD
PC con
navegador web
MD741-1
PC co n
navegador web
Abbildung 1-3
Conexión ví a
(E-)G PR S
PC con
navegador web
Conexiones de configuración
Funciones VPN
El SINAUT MD741-1 provee las siguientes funciones VPN:
●
Protocolo: IPsec (modo túnel)
●
Encriptación IPsec 3DES de 192 bits
●
Encriptación IPsec AES de 128, 192 y 256 bits
●
Autenticación de paquetes: MD5; SHA-1
●
Internet Key Exchange (IKE) en modo principal y modo agresivo
●
Autenticación: Pre-Shared Key (PSK), certificados X.509v3, CA
●
NAT-T
●
Dead-Peer-Detection (DPD)
Funciones de firewall
El SINAUT MD741-1 provee las siguientes funciones de firewall para proteger la
red local y a sí mismo contra ataques externos:
●
Stateful Inspection Firewall
●
Anti-spoofing
●
Port Forwarding
●
NAT
SINAUT MD741-1
C79000-G8978-C236-02
13
1 Aplicación y funciones
Otras funciones
El SINAUT MD741-1 provee las siguientes funciones adicionales:
14
●
Caché de DNS
●
Servidor DHCP
●
NTP
●
Registro remoto
●
Entrada de conmutación
●
Salida de conmutación
●
Interfaz web para la configuración
●
Envío de SMS de alarma
●
Consola SSH para la configuración
●
Cliente DynDNS
●
Conexión de acceso telefónico para el mantenimiento y la configuración
remota
SINAUT MD741-1
C79000-G8978-C236-02
2
Puesta en servicio
2.1
Paso a paso
Realice los pasos siguientes para la puesta en servicio del SINAUT MD741-1:
Paso
1.
Primero que todo, familiarícese con los requisitos de
funcionamiento del SINAUT MD741-1.
15
Capítulo
2.2
2.
Lea con mucha atención las consignas de seguridad y
demás indicaciones al comienzo de este documento y
cúmplalas en todo caso.
3.
Familiarícese con los elementos de mando, conectores e
indicadores de estado del SINAUT MD741-1.
2.3 - 2.6
4.
Conecte un PC con navegador web (PC de administración)
a la interfaz local (10/100 BASE-T) del SINAUT MD741-1.
3.1, 3.2
5.
A través de la interfaz web del SINAUT MD741-1, introduzca
el PIN (número de identificación personal) de la tarjeta SIM.
5.1
6.
Desconecte el SINAUT MD741-1 de la tensión de
alimentación.
2.6
7.
Inserte la tarjeta SIM en el equipo.
2.6
8.
Conecte la antena.
2.6
9.
Conecte la tensión de alimentación del SINAUT MD741-1.
2.6
10.
Configure el SINAUT MD741-1 conforme a sus exigencias.
3 a 10
11.
Conecte su aplicación local.
2.6
SINAUT MD741-1
C79000-G8978-C236-02
2 Puesta en servicio
2.2
Requisitos para el funcionamiento correcto
Para poder operar el SINAUT MD741-1 es preciso disponer de la información
siguiente y cumplir los requisitos indicados a continuación:
Antena
Una antena ajustada a las bandas de frecuencia del proveedor de red GSM
seleccionado: 850 MHz, 900 MHz, 1800 MHz ó 1900 MHz. Utilice sólo antenas de
los accesorios originales de SINAUT MD741-1.
Consulte el capítulo 2.6.
Fuente de alimentación
Una fuente de alimentación con una tensión comprendida entre 12 VDC y 30 VDC
que suministre suficiente corriente.
Consulte el capítulo 2.6.
Tarjeta SIM
Una tarjeta SIM del proveedor de red GSM seleccionado.
PIN
El PIN (= número de identificación personal) de la tarjeta SIM
Habilitación para EGPRS / GPRS
El proveedor de red GSM seleccionado debe habilitar la tarjeta SIM para los
servicios EGPRS o GPRS.
Se deben conocer los datos de acceso EGPRS / GPRS:
●
Access Point Name (APN)
●
User name (nombre de usuario)
●
Password (contraseña)
Habilitación de 9600 bits/s para CSD
El proveedor de red GSM seleccionado debe habilitar la tarjeta SIM para el
servicio CSD si se desea utilizar la configuración remota por medio de conexiones
de acceso telefónico (consulte el capítulo 8.3).
16
SINAUT MD741-1
C79000-G8978-C236-02
2 Puesta en servicio
2.3
Frontal del equipo
Figura 2-1
2.4
A–
Bornes de conexión de la
fuente de alimentación
B–
Pulsador de servicio (SET)
C–
Conector hembra de
antena tipo SMA
D–
Indicadores de estado S,
Q, C
E–
X1 (servicio; USB) – sin
función
F–
Bornes de conexión de las
entradas y salidas de
conmutación (no
conectados)
G–
X2 (conector hembra RJ45
10/100-Base-T) para
conectar la red local
H–
Indicadores de estado
DC5V, LINK, VPN
Frontal del equipo
Pulsador de servicio (SET)
En el lado frontal del SINAUT MD741-1 hay un orificio pequeño (véase B) rotulado
con SET y detrás del cual se encuentra un pulsador. Utilice un objeto puntiagudo
(p. ej. un clip enderezado) para oprimir el pulsador.
Si oprime el pulsador por más de 5 segundos, el SINAUT MD741-1 realizará un
rearranque y cargará los ajustes de fábrica.
SINAUT MD741-1
C79000-G8978-C236-02
17
2 Puesta en servicio
2.5
Indicadores de estado
El SINAUT MD741-1 tiene 6 diodos luminosos (LEDs) que indican el estado
operativo.
Los 3 LEDs en el lado izquierdo del equipo indican el estado del módem de radio
EGPRS:
LED
S (Status)
Q (Quality)
C (Connect)
S, Q, C
conjuntament
e
18
Estado
Significado
Parpadeo lento
Transmisión de PIN
Parpadeo rápido
Error de PIN / error de SIM
ON
Transmisión de PIN correcta
OFF
No registrado en la red GSM
Parpadeo breve
Intensidad de señal débil (CSQ < 6)
Parpadeo lento
Intensidad de señal media (CSQ=
6..10)
ON, con
interrupciones breves
Intensidad de señal buena
(CSQ=11-18)
ON
Intensidad de señal excelente (CSQ
> 18)
OFF
Sin conexión
Parpadeo rápido
Llamada de servicio vía CSD activa
ON, con
interrupciones breves
Conexión GPRS activa
ON
Conexión EGPRS activa
Running light rápida
Running light lenta
Parpadeo rápido
síncrono
Arranque
Actualización
Error
SINAUT MD741-1
C79000-G8978-C236-02
2 Puesta en servicio
Los 3 LEDs en el lado derecho del equipo indican el estado de otras funciones del
mismo:
LED
DC 5V
LINK
VPN
2.6
Estado
Significado
ON
Equipo encendido, tensión de
servicio aplicada
OFF
Equipo apagado, sin tensión
de servicio
ON
Conexión Ethernet establecida
con la aplicación local o red local
OFF
No está establecida ninguna
conexión Ethernet con la
aplicación local o red local
ON, con interrupciones
breves
Transferencia de datos vía la
conexión Ethernet
ON
Está establecida por lo menos
una conexión VPN
OFF
No está establecida ninguna
conexión VPN
Conectores
Los conectores del MD741-1 se encuentran en el frontal del equipo.
X2 (10/100-Base-T)
Al conector 10/100-Base-T se conectan la red local y las aplicaciones locales,
p. ej. un autómata programable, una máquina con interfaz Ethernet para la
supervisión remota, un notebook o un PC.
Para configurar el SINAUT MD741-1 conecte aquí el PC de administración con
navegador web.
La interfaz soporta la autonegociación. Así se detecta automáticamente si en la
red Ethernet se utiliza una velocidad de transferencia de 10 Mbit/s o 100 Mbit/s.
El cable de conexión utilizado debe tener un conector macho RJ45. Puede ser un
cable cruzado (crossover) o patch.
X1 (servicio; USB)
Esta interfaz carece de función en el SINAUT MD741-1, estando reservada para
aplicaciones futuras. No conecte aquí ningún equipo. La operación del SINAUT
MD741-1 se podría ver afectada.
SINAUT MD741-1
C79000-G8978-C236-02
19
2 Puesta en servicio
Conector hembra de antena SMA
El SINAUT MD741-1 dispone de un conector hembra de antena tipo SMA para
conectar la antena.
La antena utilizada debe tener una impedancia de aprox. 50 ohmios. Debe estar
definida para GSM 900MHz y DCS 1800MHz, o bien GSM 850 MHz y PCS 1900
MHz, dependiendo de qué bandas de frecuencia utilice el proveedor de red GSM.
En Europa y China se utilizan GSM 900MHz y DCS 1800MHz, en los EE UU se
utilizan GSM 850 MHz y PCS 1900 MHz. Consulte con su proveedor de red.
La adaptación de la antena (VSWR) debe ser 1:2,5 o mejor.
Atención:
Utilice sólo antenas de los accesorios originales del SINAUT MD741-1. Otras
antenas podrían perturbar las características del producto o incluso causar
defectos.
Al instalar la antena debe existir una intensidad de señal lo suficientemente buena
(CSQ > 11). Los diodos luminosos del SINAUT MD741-1 indican la intensidad de
señal. Vigile que no haya objetos metálicos grandes (p. ej. hormigón armado)
cerca de la antena.
Tenga en cuenta las instrucciones de montaje y uso de la antena utilizada.
Advertencia:
Si la antena se monta al aire libre, es preciso ponerla a tierra para la protección
contra rayos. Estos trabajos deben ser realizados por personal técnico cualificado.
Tenga en cuenta la advertencia respecto al montaje de antenas al aire libre que
aparece al comienzo de este documento.
20
SINAUT MD741-1
C79000-G8978-C236-02
2 Puesta en servicio
Alimentación de bornes roscados (24V / 0V)
Figura 2-2
Alimentación de bornes roscados (24V 0V)
El SINAUT MD741-1 funciona con una tensión continua de 12-30 V DC, nominal
24 V DC. Esta tensión de alimentación se conecta a los bornes roscados en el
lado izquierdo del equipo.
El consumo de corriente es de aprox. 510 mA a 12 V y 230 mA a 30 V.
Advertencia:
La fuente de alimentación del SINAUT MD741-1 no tiene aislamiento galvánico.
Tenga en cuenta las consignas de seguridad al comienzo del manual.
Reglas de instalación
Utilice sólo cables de cobre.
Hilo:
0,5...3mm2 (AWG 20...18)
Conductor flexible:
0,5...2,5mm2
Par de apriete para bornes roscados:
0,6...0,8Nm
SINAUT MD741-1
C79000-G8978-C236-02
21
2 Puesta en servicio
2.7
Insertar la tarjeta SIM
Atención:
Antes de insertar la tarjeta SIM, introduzca el PIN de la misma en el SINAUT
MD741-1 a través de la interfaz web. Consulte el capítulo 5.1.
Figura 2-3
Bandeja para la tarjeta SIM
1. Tras haber introducido el PIN de la tarjeta SIM, desconecte el SINAUT
MD741-1 por completo de la tensión de alimentación.
2. La bandeja para la tarjeta SIM se encuentra en el lado posterior del
equipo. En la apertura de la carcasa hay un pulsador amarillo pequeño
directamente junto a la bandeja para la tarjeta SIM. Utilice un objeto
puntiagudo (p. ej. un lápiz) para oprimir el pulsador.
Al oprimir el pulsador, la bandeja para la tarjeta SIM sale de la carcasa.
3. Coloque la tarjeta SIM en la bandeja de manera que permanezcan visibles
los contactos dorados.
4. Empuje por completo la bandeja con la tarjeta SIM hacia el interior de la
carcasa.
Atención:
No introduzca ni retire nunca la tarjeta SIM durante el funcionamiento del equipo.
La tarjeta SIM y el SINAUT MD741-1 se podrían deteriorar.
22
SINAUT MD741-1
C79000-G8978-C236-02
2 Puesta en servicio
2.8
Montaje en un perfil soporte normalizado
El SINAUT MD741-1 está previsto para el montaje en un perfil soporte según la
norma DIN EN 50022. La fijación correspondiente se encuentra en el lado
posterior del equipo.
Figura 2-4
SINAUT MD741-1
C79000-G8978-C236-02
Montaje en un perfil soporte normalizado
23
3
Configuración
Las funciones VPN, del router y del firewall pueden configurarse local o
remotamente a través de la interfaz web de administración del SINAUT MD741-1.
Configuración remota
La configuración remota vía HTTPS o CSD sólo es posible si el SINAUT MD741-1
está configurado para accesos remotos. Para configurar el equipo remotamente,
proceda de la manera descrita en el capitulo 8.
Configuración vía la interfaz local
Los requisitos para la configuración vía la interfaz local son:
●
●
El ordenador (PC de administración) con el que se realiza la configuración
debe
ƒ
estar conectado directamente al conector Ethernet del SINAUT
MD741-1 mediante un cable de red, o bien
ƒ
tener acceso directo al SINAUT MD741-1 a través de la red local.
El adaptador de red del ordenador (PC de administración) con el que se realiza
la configuración debe tener la siguiente configuración TCP/IP:
Dirección IP: 192.168.1.2
Máscara de subred: 255.255.255.0
En vez de la dirección IP 192.168.1.2 puede utilizar otras direcciones IP del
rango 192.169.1.x.
●
Si desea acceder a la red externa también a través del SINAUT MD741-1 con
el PC de administración, se requieren los siguientes ajustes adicionales:
Puerta de enlace predeterminada: 192.168.1.1
●
24
Servidor DNS preferido: Dirección del Domain Name Server (Servidor de
Nombres de Dominio)
SINAUT MD741-1
C79000-G8978-C236-02
3 Configuración
3.1
Configuración TCP/IP del adaptador de red bajo
Windows XP
Configurar la conexión LAN
●
En el menú "Inicio", haga clic en "Conectar a ..." > "Mostrar todas las
conexiones…"
●
Haga luego clic en la conexión de área local (LAN).
●
En el cuadro de diálogo "Propiedades de conexión de área local" , seleccione
la ficha "General" y allí la entrada "Protocolo Internet (TCP/IP)".
●
Haga clic en el botón "Propiedades" para abrir las propiedades.
Aparecerá la ventana "Propiedades de Protocolo Internet TCP/IP" (v. figura 3-1).
Nota:
La forma de acceder al cuadro de diálogo Propiedades de conexión de área local
depende de su configuración de Windows. Si no encuentra el cuadro de diálogo,
busque lo siguiente en la Ayuda de Windows: Conexión de área LAN o
Propiedades de Protocolo Internet TCP/IP.
Figura 3-1
Propiedades de Protocolo Internet en Windows
Introduzca los valores siguientes para acceder a la interfaz web del SINAUT
MD741-1:
SINAUT MD741-1
C79000-G8978-C236-02
25
3 Configuración
Dirección IP: 192.168.1.2
Máscara de subred: 255.255.255.0
Además, introduzca los siguientes valores si desea acceder a la red externa con el
PC de administración a través del SINAUT MD741-1:
Puerta de enlace predeterminada: 192.168.1.1
Servidor DNS preferido: 192.168.1.1
Servidor DNS preferido
Si accede a direcciones por medio de un nombre de dominio (p. ej.
www.siemens.com), es necesario consultar en un "Domain Name Server" (DNS o
Servidor de Nombres de Dominio) qué dirección IP pertenece a ese nombre.
Como DNS es posible determinar:
●
la dirección DNS del proveedor de red, o bien
●
la dirección IP local del SINAUT MD741-1, siempre y cuando éste configurado
para resolver nombres de hosts en direcciones IP (consulte el capítulo 4.3;
ajuste de fábrica).
Para especificar el Domain Name Server en la configuración TCP/IP del adaptador
de red utilizado, proceda del modo descrito arriba.
3.2
Establecer una conexión de configuración
Configurar el navegador web
Proceda del siguiente modo:
1. Inicie un navegador web.
(p. ej. MS Internet Explorer a partir de la versión 7 o Mozilla Firefox a partir de
la versión 2; el navegador web debe soportar SSL (es decir, HTTPS)).
2. Asegúrese de que el navegador no marque automáticamente una conexión al
iniciar.
En MS Internet Explorer, configure este ajuste del siguiente modo: Menú
Herramientas > Opciones de Internet..., ficha Conexiones: Bajo Configuración
de acceso telefónico y de redes privadas virtuales debe estar activada la
opción No marcar nunca una conexión.
26
SINAUT MD741-1
C79000-G8978-C236-02
3 Configuración
Abrir la página inicial del SINAUT MD741-1
3. En la barra de dirección del navegador, introduzca la dirección IP completa del
SINAUT MD741-1. De conformidad con los ajustes de fábrica, esta dirección
es:
https://192.168.1.1
Resultado: Aparece una alerta de seguridad.
Figura 3-2
Confirmar la alerta de seguridad
4. Confirme la alerta de seguridad con "Continuar la carga de esta página…"
Nota
Puesto que el equipo sólo se puede administrar vía acceso encriptado, se
suministra con un certificado autofirmado. En el caso de certificados con firmas
que no conozca el sistema operativo, aparece una alerta de seguridad. Puede
visualizar el certificado.
En el certificado debe estar especificado que ha sido emitido para Siemens AG. La
interfaz web se direcciona por medio de una dirección IP y no a través de un
nombre. Por este motivo, el nombre indicado en el certificado de seguridad no
concuerda con el certificado.
SINAUT MD741-1
C79000-G8978-C236-02
27
3 Configuración
Introducir el nombre de usuario y la contraseña
5. Se le solicita que introduzca un nombre de usuario y una contraseña.
Figura 3-3
Introducir el nombre de usuario y la contraseña
El ajuste predeterminado de fábrica es:
Nombre de usuario:
admin
Contraseña:
sinaut
Nota
Es recomendable que cambie la contraseña en todo caso. Muchas personas
conocen el ajuste predeterminado de fábrica, por lo que no ofrece protección
suficiente. En el capítulo 3.7 se describe cómo cambiar la contraseña.
La página inicial se visualiza
Tras introducir el nombre de usuario y la contraseña aparece en el navegador web
la página inicial del SINAUT MD741-1 con una vista general del estado operativo
(consulte el capítulo 3.3).
La página inicial no se visualiza
Si, a pesar de realizar varios intentos, el navegador web indica que la página no se
puede visualizar, intente lo siguiente:
●
28
Verifique la conexión de hardware. En un ordenador con Windows, introduzca
lo siguiente en el prompt del DOS (menú Inicio, Programas, Accesorios,
Símbolo del sistema):
SINAUT MD741-1
C79000-G8978-C236-02
3 Configuración
ping 192.168.1.1
●
Si dentro del período predeterminado no aparece el aviso que indica la
recepción de los 4 paquetes enviados, compruebe el cable, las conexiones y la
tarjeta de red.
●
Asegúrese de que el navegador no utiliza un servidor proxy. En MS Internet
Explorer (versión 7.0), configure este ajuste del siguiente modo: Menú
Herramientas > Opciones de Internet..., ficha Conexiones: Bajo Configuración
LAN haga clic en el botón Configuración... y, en el cuadro de diálogo
Configuración de la red de área local (LAN), asegúrese de que bajo Servidor
proxy no esté activada la entrada Utilizar un servidor proxy para su LAN.
●
Si hay conexiones LAN activas en el ordenador, desactívelas mientras realiza
la configuración.
En Windows, seleccione Inicio, Conectar a ..., Panel de control, Mostrar todas
las conexiones y, bajo "LAN o Internet de alta velocidad", haga clic con el
botón derecho del ratón en la conexión en cuestión y seleccione el comando
Desactivar del menú contextual.
●
Introduzca la dirección del SINAUT MD741-1 con barra oblicua:
https://192.168.1.1/
3.3
Página inicial de la interfaz web
Tras llamar a la interfaz web del SINAUT MD741-1 e introducir el nombre de
usuario y la contraseña, aparece una vista general del estado operativo actual del
SINAUT MD741-1.
Figura 3-4
SINAUT MD741-1
C79000-G8978-C236-02
Página inicial con la vista general
29
3 Configuración
Nota
Utilice la función Actualizar del navegador web si desea actualizar los valores
representados.
Current system time (hora actual de sistema)
Muestra la hora actual de sistema del SINAUT MD741-1 en el siguiente formato:
Año – mes – día, horas – minutos
Connection (conexión)
Indica si existe una conexión inalámbrica (y de qué tipo es):
●
Conexión EDGE (conexión IP vía EGPRS)
●
Conexión GPRS (conexión IP vía GPRS)
●
Conexión CSD (conexión de servicio vía CSD)
External hostname (nombre de host externo)
Muestra el nombre de host (p. ej. md741.mydns.org) del SINAUT MD741-1 si se
utiliza un servicio DynDNS.
Signal (CSQ level) (señal (nivel CSQ))
Indica la intensidad de la señal GSM como valor CSQ.
●
CSQ < 6:
Intensidad de señal débil
●
CSQ= 6..10:
Intensidad de señal media
●
CSQ=11-18:
Intensidad de señal buena
●
CSQ > 18:
Intensidad de señal excelente
●
CSQ = 99:
No hay conexión con la red GSM.
Assigned IP address (dirección IP asignada)
Muestra la dirección IP bajo la cual se puede acceder al SINAUT MD741-1 en el
EGPRS o GPRS. El servicio EGPRS o GPRS asigna esta dirección IP al SINAUT
MD741-1.
30
SINAUT MD741-1
C79000-G8978-C236-02
3 Configuración
Nota
Aunque puede suceder que se visualicen una conexión EDGE (EGPRS) o GPRS y
también una dirección IP asignada, es posible que, sin embargo, la calidad de la
conexión no sea suficiente para transferir datos. Por este motivo, recomendamos
utilizar la supervisión activa de la conexión (consulte el capítulo 5.2).
Remote HTTPS (HTTPS remoto)
Indica si se permiten accesos remotos a la interfaz web del SINAUT MD741-1 vía
EGPRS, GPRS o CSD (consulte el capítulo 8.1).
●
Marca de verificación blanca sobre un punto verde: se permite el acceso.
●
Cruz blanca sobre un punto rojo: no se permite el acceso.
Remote SSH (SSH remoto)
Indica si se permiten accesos remotos a la consola SSH del SINAUT MD741-1 vía
EGPRS, GPRS o CSD (consulte el capítulo 8.2).
●
Marca de verificación blanca sobre un punto verde: se permite el acceso.
●
Cruz blanca sobre un punto rojo: no se permite el acceso.
CSD Dial-In (marcación CSD)
Indica si se permiten llamadas de servicio CSD remotas (consulte el capítulo 8.3).
3.4
●
Marca de verificación blanca sobre un punto verde: se permite el acceso.
●
Cruz blanca sobre un punto rojo: no se permite el acceso.
Selección de idioma
La interfaz web de administración del SINAUT MD741-1 está disponible en inglés y
alemán.
Figura 3-5
Selección de idioma
Automatic (automático)
SINAUT MD741-1
C79000-G8978-C236-02
31
3 Configuración
De acuerdo con la configuración del navegador web utilizado, el SINAUT MD741-1
selecciona el idioma de la interfaz de administración:
●
Alemán si el navegador web está ajustado en alemán
●
Inglés en todos los demás casos
Deutsch (alemán)
El SINAUT MD741-1 utiliza el idioma alemán, independientemente del navegador
web utilizado.
English (inglés)
El SINAUT MD741-1 utiliza el idioma inglés, independientemente del navegador
web utilizado.
Para cambiar de idioma, haga clic en el botón "GO" y vuelva a cargar la página
con el navegador web.
3.5
Realizar la configuración
Para configurar el SINAUT MD741-1, proceda del siguiente modo:
Realizar la configuración
1. Utilice el menú para acceder al área de ajustes deseada
2. Efectúe las entradas deseadas en la página en cuestión o haga clic en "Reset"
para borrar la entrada actual no guardada todavía.
3. Confirme con "Save" (guardar) para que el equipo adopte los ajustes
efectuados.
32
SINAUT MD741-1
C79000-G8978-C236-02
3 Configuración
Figura 3-6
Barra de menús
Indicaciones
Dependiendo de cómo configure el SINAUT MD741-1, podría resultar necesario
adaptar luego la interfaz de red del ordenador conectado localmente o de la red.
Al introducir direcciones IP, introduzca siempre los números parciales de la
dirección IP sin ceros iniciales, p. ej.: 192.168.0.8.
Entradas erróneas
El SINAUT MD741-1 verifica las entradas realizadas. Los errores se detectan al
guardar y el campo de entrada en cuestión se destaca.
Figura 3-7
3.6
Entrada errónea destacada
Perfiles de configuración
Los ajustes del SINAUT MD741-1 se pueden guardar en perfiles de configuración
(archivos) y volver a cargar en cualquier momento.
SINAUT MD741-1
C79000-G8978-C236-02
33
3 Configuración
Figura 3-8
Mantenimiento > Perfiles de configuración
Upload Profile (cargar perfil)
Carga en el SINAUT MD741-1 un perfil de configuración creado anteriormente y
guardado en el PC de administración. Los archivos con perfiles de configuración
tienen la extensión *.tgz.
Con Browse (examinar) puede buscar perfiles de configuración en el PC de
administración. Con Submit (enviar) se carga el perfil de configuración en el
SINAUT MD741-1.
Luego aparece en la tabla de perfiles de configuración guardados.
Crear un perfil
Guarda los ajustes actuales del SINAUT MD741-1 en un perfil de configuración.
En primer lugar, introduzca un nombre para el perfil en el campo de entrada. Con
Create (crear) los ajustes se guardan en un perfil con ese nombre, visualizándose
luego en la tabla de perfiles de configuración guardados.
Saved Configuration Profiles (perfiles de configuración guardados)
Download (descargar)
Carga el perfil en el PC de administración.
Enable (habilitar)
El SINAUT MD741-1 aplica los ajustes del perfil de configuración seleccionado y
sigue funcionando con estos ajustes.
Delete (borrar)
El perfil de configuración se borra.
34
SINAUT MD741-1
C79000-G8978-C236-02
3 Configuración
El perfil Default configuration (configuración estándar) contiene los ajustes de
fábrica y no se puede borrar.
3.7
Cambiar la contraseña
El acceso al SINAUT MD741-1 está protegido por contraseña. Esta contraseña
protege el acceso vía
●
la interfaz local a la interfaz web y
●
la interfaz local a la consola SSH
y también el acceso a través de
●
EGPRS o GPRS vía https a la interfaz web y
●
EGPRS o GPRS a la consola SSH
Contraseña de acceso (ajuste de fábrica)
El ajuste de fábrica para el SINAUT MD741-1 es:
●
Contraseña: admin
●
Nombre de usuario: sinaut (no se puede modificar)
Nota
Cambie la contraseña inmediatamente después de la puesta en servicio. Muchas
personas conocen el ajuste predeterminado de fábrica, por lo que no ofrece
protección suficiente.
Nota
El nombre de usuario para el acceso SSH es diferente al nombre de usuario de la
interfaz web de administración.
Nombre de usuario: root (no se puede modificar)
La contraseña es igual a la contraseña de acceso para el SINAUT MD741-1, tal y
como se ha determinado arriba.
Nueva contraseña de acceso (con confirmación)
Para cambiar la contraseña, introduzca la nueva contraseña en New access
password y confírmela en el campo Retype new access password
SINAUT MD741-1
C79000-G8978-C236-02
35
3 Configuración
El botón Reset permite descartar las entradas no guardadas aún. Con Save se
aplica la nueva contraseña.
36
SINAUT MD741-1
C79000-G8978-C236-02
3 Configuración
3.8
Rearranque
Aunque el SINAUT MD741-1 está diseñado para un funcionamiento continuo, en
un sistema tan complejo como éste pueden ocurrir fallos causados a menudo por
influencias externas. Un rearranque puede corregir estos fallos.
El rearranque resetea las funciones del SINAUT MD741-1. Los ajustes actuales
correspondientes al perfil de configuración no se modifican. Después del
rearranque, el SINAUT MD741-1 continúa funcionando con estos ajustes.
Figura 3-9
Mantenimiento > Rearranque
Reboot now (rearrancar ahora)
El rearranque se ejecuta inmediatamente tras hacer clic en Reboot.
Enable daily reboot (habilitar rearranque diario)
Si activa esta función con Yes, el rearranque se realiza automáticamente una vez
al día.
Especifique la Reboot time (hora de rearranque diario). El rearranque se realiza a
la hora indicada. Las conexiones existentes se interrumpen.
Ajustes de fábrica
Habilitar rearranque diario:
No
Hora del rearranque diario:
01:00
SINAUT MD741-1
C79000-G8978-C236-02
37
3 Configuración
3.9
Cargar los ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 pueden restablecerse de diferentes
maneras.
Figura 3-10
Mantenimiento > Ajustes de fábrica
Reset to factory settings (restablecer los ajustes de fábrica)
Haciendo clic en el botón Reset se cargan los ajustes de fábrica, se resetean las
contraseñas y se borran los perfiles de configuración guardados y los archivos de
registro archivados.
Pulsador de servicio (SET)
Los ajustes de fábrica también se pueden restablecer por medio del pulsador de
servicio (SET) (consulte el capítulo 2.4).
Configuración estándar
Si sólo deben cargarse los ajustes de fábrica sin borrar los perfiles de
configuración ni los archivos de registro archivados, active sólo la configuración
estándar de la forma descrita en el capítulo 3.6.
38
SINAUT MD741-1
C79000-G8978-C236-02
4
Interfaz local
La interfaz local es la interfaz del SINAUT MD741-1 para conectar la red local. La
interfaz está marcada en el equipo con X2. Se trata de una interfaz Ethernet con
una velocidad de transferencia de 10Mbit/s o 100Mbit/s.
La red local es la red a la que está conectada la interfaz local del SINAUT MD7411. Esta red contiene por lo menos una aplicación local.
Las aplicaciones locales son componentes de red en la red local, p. ej. un
autómata programable, una máquina con interfaz Ethernet para la supervisión
remota, un notebook o un PC, o bien el PC de administración.
Configure la interfaz local y las funciones asociadas de acuerdo con sus
exigencias tal y como se describe en el presente capítulo.
4.1
Direcciones IP de la interfaz local
Aquí se ajustan las direcciones IP y las máscaras de red a través de las cuales las
aplicaciones locales acceden al SINAUT MD741-1.
Figura 4-1
39
Red local > Ajustes básicos > IPs locales
SINAUT MD741-1
C79000-G8978-C236-02
4 Interfaz local
Los ajustes de fábrica del SINAUT MD741-1 son:
●
IP
192.168.1.1
●
Máscara de red
255.255.255.0
La dirección IP y la máscara de red ajustadas de fábrica pueden modificarse
libremente, aunque deben respetar las recomendaciones válidas (RFC 1918).
Aplicación
lo cal
Aplicació n
lo cal
Aplicación
local
MD741-1
IP local y
m áscara
de red
PC
de ad min istr ación
Figura 4-2
Representación de la red local
Puede especificar direcciones adicionales a través de las cuales las aplicaciones
locales puedan acceder al SINAUT MD741-1. Esto resulta útil p. ej. si la red local
se divide en subredes. En este caso, varias aplicaciones locales de distintas
subredes pueden acceder al SINAUT MD741-1 bajo diferentes direcciones.
New (nuevo)
Permite agregar direcciones IP y máscaras de red que, a su vez, se pueden
modificar.
Delete (borrar)
Borra la dirección IP y máscara de red en cuestión. La primera entrada no se
puede borrar.
4.2
Servidor DHCP a la red local
El SINAUT MD741-1 contiene un servidor DHCP (DHCP = Dynamic Host
Configuration Protocol o Protocolo de Configuración Dinámica de Hosts). Si el
servidor DHCP está conectado, le asigna automáticamente las direcciones IP, las
máscaras de red, el gateway y el servidor DNS a las aplicaciones conectadas a la
interfaz local del SINAUT MD741-1. Para esto es necesario que en las
aplicaciones locales esté activada la obtención automática de la dirección IP y de
los parámetros de configuración vía DHCP.
40
SINAUT MD741-1
C79000-G8978-C236-02
4 Interfaz local
Aplicación
local
Aplicación
local
Aplicación
local
MD741-1
Direcciones IP, etc.
PC con navegado r web
Figura 4-3
Función del servidor DHCP
Figura 4-4
Red local > Ajustes básicos > DHCP
Start DHCP server (iniciar servidor DHCP)
Con Start DHCP server – Yes se conecta el servidor DHCP del SINAUT MD741-1;
con No se desconecta.
Local netmask (máscara de red local)
Introduzca aquí la máscara de red local que debe asignarse a las aplicaciones
locales.
Default gateway (gateway predeterminado)
Introduzca aquí el gateway predeterminado que debe asignarse a las aplicaciones
locales.
SINAUT MD741-1
C79000-G8978-C236-02
41
4 Interfaz local
DNS server (servidor DNS)
Introduzca aquí el servidor DNS que debe asignarse a las aplicaciones locales.
Enable dynamic IP address pool (habilitar pool de direcciones IP dinámico)
Si selecciona Yes, las direcciones IP que asigna el servidor DHCP del SINAUT
MD741-1 se extraen de un pool de direcciones dinámico.
Si selecciona No, las direcciones IP deben asignarse bajo Static Leases
(asignación estática) a las direcciones MAC de las aplicaciones locales.
DHCP range start (inicio de rango DHCP)
Indica la dirección inicial del pool de direcciones dinámico.
DHCP range end (fin de rango DHCP)
Indica la dirección final del pool de direcciones dinámico.
Static Leases (asignación estática)
Aquí es posible asignar direcciones IP correspondientes a las direcciones MAC de
las aplicaciones locales.
Si una aplicación local solicita vía DHCP la asignación de una dirección IP, la
aplicación transfiere su dirección MAC durante la consulta DHCP. Si esta dirección
MAC tiene asignada una dirección IP de forma estática, el SINAUT MD741-1
asigna a la aplicación la correspondiente dirección IP.
Dirección MAC del cliente – dirección MAC de la aplicación local solicitante
Dirección IP del cliente – dirección IP asignada
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
42
Start DHCP server (iniciar servidor DHCP)
No
Local netmask (máscara de red local)
255.255.255.0
Default gateway (gateway predeterminado)
192.168.1.1
DNS server (servidor DNS)
192.168.1.1
Enable dynamic IP address pool (habilitar pool de
direcciones IP dinámico)
No
DHCP range start (inicio de rango DHCP)
192.168.1.100
DHCP range end (fin de rango DHCP)
192.168.1.199
SINAUT MD741-1
C79000-G8978-C236-02
4 Interfaz local
4.3
DNS a la red local
El SINAUT MD741-1 provee un "Domain Name Server" (DNS o Servidor de
Nombres de Dominio) a la red local.
Si introduce en la aplicación local la dirección IP del SINAUT MD741-1 como DNS,
el SINAUT MD741-1 responde desde su caché a las consultas del DNS. Si no
conoce la dirección IP correspondiente a una dirección de dominio, el SINAUT
MD741-1 reenvía la consulta a un DNS externo.
El intervalo durante el que el SINAUT MD741-1 almacena una dirección de
dominio en caché depende del host direccionado. La consulta del DNS a un
Servidor de Nombres de Dominio externo devuelve no sólo la dirección IP sino
también el período de validez de esta información.
Red rem ota
DNS del
proveedor de red
Aplicació n
local
DNS en
In ternet
MD741-1
DNS
privado
Rou ter/
Firewall
INTERNET
(E-)G PRS
APN
Con sulta de DNS
a MD 741-1
Figura 4-5
Co nsu lta de DNS
p or MD 741-1
Función del servidor DNS
Como DNS externos pueden utilizarse servidores del proveedor de red, servidores
de Internet o servidores de la red externa privada.
Figura 4-6
SINAUT MD741-1
C79000-G8978-C236-02
Red local > Ajustes básicos > DNS
43
4 Interfaz local
Selected nameserver (servidor de nombres seleccionado)
Seleccione el "Domain Name Server" (DNS o Servidor de Nombres de Dominio) al
que debe consultar el SINAUT MD741-1:
Provider Defined (definido por el proveedor)
Al establecer una conexión con el EGPRS o GPRS, el proveedor de red transmite
automáticamente una o varias direcciones DNS. Éstas se utilizan entonces.
User Defined (definido por el usuario)
Seleccione como usuario su(s) DNS preferido(s). Los DNS pueden estar
conectados a Internet, o bien puede tratarse de un DNS privado en su red.
Servidor de nombres definido por el usuario
Si ha seleccionado la opción User Defined (definido por el usuario), introduzca la
dirección IP del DNS seleccionado como Server IP Address (dirección IP del
servidor).
Con New (nuevo) puede agregar más DNS.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
44
Selected nameserver (servidor de nombres
seleccionado)
Provider Defined (definido
por el proveedor)
Servidor de nombres definido por el usuario
-
Si es una entrada nueva
0.0.0.0
SINAUT MD741-1
C79000-G8978-C236-02
4 Interfaz local
4.4
Nombre de host local
El SINAUT MD741-1 puede direccionarse desde la red local, también por medio de
un nombre de host. Defina para ello un nombre de host, p. ej. MD741.
En este caso, un navegador web puede llamar al SINAUT MD741-1 p. ej. como
MD741.
Figura 4-7
Red local > Ajustes básicos > DNS
Nota
El concepto de seguridad del SINAUT MD741-1 exige que se cree una regla de
firewall saliente para toda aplicación local que deba utilizar esta función de nombre
de host. Consulte el capítulo 6.1.
Si no utiliza DHCP (consulte el capítulo 4.2), es preciso introducir manualmente
rutas de búsqueda idénticas en el SINAUT MD741-1 y en las aplicaciones locales.
Si utiliza DHCP, las aplicaciones locales obtienen vía DHCP la ruta de búsqueda
introducida en el SINAUT MD741-1.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Ruta de búsqueda
example.local
Nombre de host
MD741-1
SINAUT MD741-1
C79000-G8978-C236-02
45
4 Interfaz local
4.5
Hora de sistema / NTP
La hora de sistema del SINAUT MD741-1 puede ajustarse manualmente o
sincronizarse automáticamente con un servidor horario.
Figura 4-8
Sistema > Hora de sistema
Definir la hora de sistema manualmente
Aquí se ajusta la hora de sistema para el SINAUT MD741-1. Esta hora de sistema:
●
se utiliza como sello de tiempo para todas las entradas del archivo de registro
●
sirve de base de tiempo para todas las funciones controladas por tiempo.
Seleccione el año, mes y día, así como las horas y minutos.
Activate NTP synchronization (activar sincronización NTP)
El SINAUT MD741-1 también puede obtener la hora de sistema vía NTP (=
Network Time Protocol) de un servidor horario. En Internet hay numerosos
servidores horarios de los que se puede obtener la hora actual muy exactamente
vía NTP.
Local timezone / region (zona horaria local / región)
Los servidores NTP transmiten la hora UTC (= Universal Time Coordinated), es
decir, la hora universal coordinada. Para determinar la zona horaria, seleccione
una ciudad cercana al lugar donde debe funcionar el SINAUT MD741-1. La hora
de esta zona horaria se utilizará entonces como hora de sistema.
46
SINAUT MD741-1
C79000-G8978-C236-02
4 Interfaz local
NTP server (servidor NTP)
Haga clic en New (nuevo) para agregar un servidor NTP e introduzca la dirección
IP del mismo, o bien utilice el servidor NTP predeterminado de fábrica. Es posible
indicar paralelamente varios servidores NTP.
La dirección NTP no se puede introducir como nombre de host (p. ej.
timeserver.org).
Poll interval (intervalo de sondeo)
La sincronización horaria se realiza de forma cíclica. El SINAUT MD741-1
determina automáticamente el intervalo en el que debe efectuarse la
sincronización. Al cabo de 36 horas a más tardar se realiza nuevamente una
sincronización. El intervalo de sondeo determina el tiempo mínimo que debe
esperar el SINAUT MD741-1 hasta la próxima sincronización.
Nota
La sincronización de la hora de sistema vía NTP ocasiona tráfico de datos
adicional en las interfaces del EGPRS o GPRS. Esto puede causar costes
adicionales, dependiendo del contrato concluido con el proveedor de red.
Serve system time to local network (aplicar hora de sistema a la red local)
A su vez, el SINAUT MD741-1 también puede servir de servidor horario NTP para
las aplicaciones conectadas a su interfaz de red local. Si desea activar esta
función, seleccione Yes.
Al servidor horario NTP del SINAUT MD741-1 se puede acceder a través de la
dirección IP local del SINAUT MD741-1 (consulte el capítulo 4.1).
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Zona horaria local
UTC
Activate NTP synchronization (activar
sincronización NTP)
No
NTP server (servidor NTP)
192.53.103.108
Poll interval (intervalo de sondeo)
1.1 horas
Serve system time to local network (aplicar hora
de sistema a la red local)
No
SINAUT MD741-1
C79000-G8978-C236-02
47
4 Interfaz local
4.6
Rutas internas adicionales
Si la red local se divide en subredes, es posible definir rutas adicionales. Consulte
también el Glosario.
Figura 4-9
Red local > Rutas internas adicionales
Si desea agregar una ruta adicional a una subred, haga clic en "New" (nuevo).
Especifique lo siguiente:
●
la dirección IP de la subred (red), así como
●
la dirección IP del gateway a través del cual está conectado la subred.
Puede determinar un número cualquiera de rutas internas. Si desea borrar una
ruta interna, haga clic en Delete (borrar).
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
48
Rutas internas adicionales
-
Ajuste predeterminado para rutas nuevas:
No
Red:
192.168.2.0/24
Gateway:
192.168.0.254
SINAUT MD741-1
C79000-G8978-C236-02
5
Interfaz externa
La interfaz externa del SINAUT MD741-1 conecta el SINAUT MD741-1 con la red
externa. Para la comunicación se utiliza EGPRS, GPRS o GSM en esta interfaz.
Las redes externas son Internet o una Intranet privada.
Las estaciones remotas externas son componentes de la red externa, p. ej.
servidores web en Internet, routers en una red Intranet, un servidor de empresa
central, un PC de administración, etc.
Configure la interfaz externa y las funciones relacionadas de acuerdo con sus
exigencias tal y como se describe en el presente capítulo.
5.1
Parámetros de acceso a EGPRS/GPRS
Para acceder a los servicios EGPRS y GPRS, así como a la red inalámbrica GSM
básica se requieren parámetros de acceso que son proporcionados por el
proveedor de red GSM.
PIN
Nombre de usuario APN
(pú blico)
y contraseña
INTERNET
Aplicación
local
MD741-1
SIM
(E-)GPRS
VPN
APN
(pú blico )
Figura 5-1
49
Parámetros de acceso
SINAUT MD741-1
C79000-G8978-C236-02
5 Interfaz externa
El PIN protege la tarjeta SIM contra usos no autorizados. El nombre de usuario y la
contraseña protegen el acceso a EGPRS y GPRS, y el APN (Access Point Name o
Nombre de Punto de Acceso) define la transición de EGPRS o GPRS a otras
redes IP conectadas, p. ej. un APN público a Internet o un APN privado a una VPN
(Virtual Private Network o Red Privada Virtual).
Figura 5-2
Red externa > EDGE/GPRS
PIN
Introduzca aquí el PIN de su tarjeta SIM. El proveedor de red le proporciona el
PIN.
El SINAUT MD741-1 también puede funcionar con tarjetas SIM sin PIN. Introduzca
en este caso NONE. El campo de entrada queda entonces vacío.
Nota
Si no introduce nada, el campo de entrada del PIN aparece enmarcado en rojo
después de guardar.
User name (nombre de usuario)
Introduzca aquí un nombre de usuario para EGPRS y GPRS. Algunos proveedores
de red GSM/GPRS renuncian al control de acceso según el nombre de usuario y/o
la contraseña. En este caso, introduzca guest (invitado) en el respectivo campo.
Password (contraseña)
Introduzca aquí una contraseña para EGPRS y GPRS. Algunos proveedores de
red GSM/GPRS renuncian al control de acceso según el nombre de usuario y/o la
contraseña. En este caso, introduzca guest (invitado) en el respectivo campo.
APN
Introduzca aquí el nombre de la transición de EGPRS y GPRS a otras redes.
Encontrará el APN en la documentación de su proveedor de red GSM/GPRS, en el
sitio web de éste, o bien llamando a la hotline del mismo.
50
SINAUT MD741-1
C79000-G8978-C236-02
5 Interfaz externa
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
5.2
PIN
NONE
User name (nombre de usuario)
guest
Password (contraseña)
guest
APN
NONE
Supervisión de conexiones EGPRS/GPRS
Por medio de la función Connection Check (comprobar conexión), el SINAUT
MD741-1 supervisa sus conexiones con los servicios EGPRS o GPRS y con las
redes externas conectadas, p. ej. Internet o Intranet. El SINAUT MD741-1 envía
para ello paquetes ping (ICMP) a hasta cuatro estaciones remotas (hosts de
destino) en intervalos regulares. Esto sucede independientemente de las
conexiones de datos útiles. Si el SINAUT MD741-1 recibe una respuesta a uno de
dichos pings de por lo menos una estación remota direccionada, significa que el
SINAUT MD741-1 está conectado todavía con el EGPRS o GPRS y listo para el
servicio.
Algunos proveedores de red interrumpen las conexiones en caso de inactividad.
Esto también se impide por medio de la función Connection Check (comprobar
conexión).
H ost de destino
en Intern et
Ping para
supervisar co nexi ones
Aplicación
lo cal
MD741-1
Red rem ota
Ho st de destino
en Intranet
Router/
firewall
INT ER NET
(E-)G PRS
APN
Conexión de d ato s útil es
Figura 5-3
Supervisión de conexiones
Advertencia
Debido al envío de paquetes ping (ICMP) aumenta la cantidad de datos enviados y
recibidos por EGPRS o GPRS. Esto puede causar costes adicionales.
SINAUT MD741-1
C79000-G8978-C236-02
51
5 Interfaz externa
Figura 5-4
Red externa > Ajustes avanzados
> Comprobar conexión
Enable connection check (habilitar comprobación de conexión)
Seleccione Yes si desea habilitar la función.
Ping Targets – Hostname (destinos de ping – nombre de host)
Seleccione hasta cuatro estaciones remotas a las que el SINAUT MD741-1 debe
poder acceder por ping. Las estaciones remotas deben estar accesibles
permanentemente y responder al ping.
Nota
Asegúrese de que las estaciones remotas no sean perturbadas.
Connection check interval (minutes) (intervalo para comprobar la conexión)
(minutos))
Determina el intervalo en el que el SINAUT MD741-1 debe enviar los paquetes
ping para supervisar las conexiones. El intervalo se indica en minutos.
Allowable number of failures (cantidad de intentos fallidos permitidos)
El SINAUT MD741-1 envía simultáneamente paquetes ping a todas las estaciones
remotas (hosts de destino) especificadas. Si responde por lo menos una de ellas,
significa que se ha aprobado la prueba de conexión. Si no responde ninguna de
ellas, se trata de un intento fallido. El proceso se repite una vez transcurrido el
intervalo ajustado. Si entonces responde una de las estaciones remotas, se
resetea el contador de intentos fallidos. Si se alcanza la cantidad de intentos
fallidos permitidos, se dispara la acción definida en caso de conexión errónea.
52
SINAUT MD741-1
C79000-G8978-C236-02
5 Interfaz externa
Activity on faulty connection (acción en caso de conexión errónea)
Renew connection (renovar conexión)
El SINAUT MD741-1 establece nuevamente una conexión con el EGPRS o GPRS
si no ha recibido respuesta a los paquetes ping enviados.
Reboot MD741-1 (rearrancar MD741-1)
El SINAUT MD741-1 efectúa un rearranque si no ha recibido respuesta a los
paquetes ping enviados.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Enable connection check (habilitar comprobación
de conexión)
No (desactivado)
Nombre de host
-
Connection check interval (intervalo para
comprobar la conexión)
5 (minutos)
Allowable number of failures (cantidad de intentos
fallidos permitidos)
3 (intentos fallidos)
Activity on faulty connection (acción en caso de
conexión errónea)
Renew connection (renovar
conexión)
SINAUT MD741-1
C79000-G8978-C236-02
53
5 Interfaz externa
5.3
Nombre de host vía DynDNS
Los servidores de nombres de dominio dinámicos (DynDNS) permiten acceder a
las aplicaciones de Internet a través de un nombre de host (p. ej. myHost.org),
aunque éstas no tengan una dirección IP fija y el nombre de host no esté
registrado. Si inicia la sesión con el SINAUT MD741-1 en un servicio DynDNS,
podrá acceder al SINAUT MD741-1 desde la red externa también bajo un nombre
de host, p. ej. mySINAUT.dyndns.org.
Red externa
DynDNS
INFO: dirección IP y
nombre de host
Aplicación
local
Consulta: IP
a nombre
de host
MD741-1
IP de respuesta
INTERNET
(E-)GPRS
APN
Router/
firewall
Conexión de datos útiles
Abbildung 5-5
Enlace Dyn-DNS
Para más información acerca de DynDNS, consulte el Glosario..
Figura 5-6
Red externa > Ajustes avanzados > DynDNS
Log this SINAUT MD741-1 on to a DynDNS server (iniciar la sesión de este
MD741-1 en un servidor DynDNS)
Seleccione Yes si desea utilizar un servicio DynDNS.
54
SINAUT MD741-1
C79000-G8978-C236-02
5 Interfaz externa
Proveedor de DynDNS
El SINAUT MD741-1 es compatible con dyndns.org.
DynDNS username / password (nombre de usuario / contraseña DynDNS)
Introduzca aquí el nombre de usuario y la contraseña que le autorizan a utilizar el
servicio DynDNS. Consulte estos datos con su proveedor de DynDNS.
DynDNS hostname (nombre de host DynDNS)
Introduzca aquí el nombre de host que ha convenido para el SINAUT MD741-1
con su proveedor de DynDNS, p. ej. mySINAUT.dyndns.org.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Log this SINAUT MD741-1 on to a DynDNS
server (iniciar la sesión de este MD741-1 en un
servidor DynDNS)
No (desactivado)
DynDNS username (nombre de usuario DynDNS)
guest
DynDNS password (contraseña DynDNS)
guest
DynDNS hostname (nombre de host DynDNS)
myname.dyndns.org
SINAUT MD741-1
C79000-G8978-C236-02
55
6
Funciones de seguridad
6.1
Filtro de paquetes
El SINAUT MD741-1 incluye un "Stateful Inspection Firewall".
"Stateful Inspection Firewall" es un método para filtrar paquetes. Los filtros de
paquetes sólo dejan pasar paquetes IP si ésto se ha definido previamente por
reglas de firewall. En las reglas de firewall se define lo siguiente:
●
qué protocolo (TCP, UDP, ICMP) puede pasar,
●
el origen permitido para los paquetes IP (From IP / From port) (De IP / de
puerto))
●
el destino permitido para los paquetes IP (To IP / To port) (A IP / a puerto))
Asimismo se define qué debe suceder con los paquetes IP que no puedan pasar,
p. ej. si se deben descartar o rechazar.
En un filtro de paquetes simple es preciso crear siempre dos reglas de firewall
para una conexión:
●
una regla para el sentido de consulta del origen al destino y
●
otra regla para el sentido de respuesta del destino al origen.
Esto es diferente en el SINAUT MD741-1, ya que utiliza un "Stateful Inspection
Firewall". Aquí se crea sólo una regla de firewall para el sentido de consulta del
origen al destino. La regla de firewall para el sentido de respuesta del destino al
origen resulta del análisis de los datos enviados antes. La regla de firewall para las
respuestas se vuelve a cerrar tras recibir las respuestas o al cabo de un período
breve. Por tanto, las respuestas sólo pueden pasar si ha habido previamente una
consulta. De esta manera, la regla de respuesta no puede utilizarse para accesos
no autorizados. Además, hay métodos especiales que permiten el paso de datos
UDP y ICMP sin haberlos solicitado antes.
56
SINAUT MD741-1
C79000-G8978-C236-02
6 Funciones de seguridad
Figura 6-1
Seguridad > Filtro de paquetes
Firewall Rules (Incoming) (reglas de firewall de entrada)
Mediante las reglas de firewall de entrada se define qué debe suceder con los
paquetes IP recibidos vía EGPRS o GPRS desde redes externas (p. ej. Internet).
El origen es el remitente de estos paquetes IP. El destino son las aplicaciones
locales en el SINAUT MD741-1.
De conformidad con los ajustes de fábrica, no se ha definido inicialmente ninguna
regla de firewall de entrada, por lo que no puede pasar ningún paquete IP.
New (nuevo)
Agrega una nueva regla de firewall que se puede rellenar luego.
Delete (borrar)
Borra reglas de firewall que se hayan creado.
Protocol (protocolo)
Seleccione el protocolo para el que debe valer esta regla. Puede seleccionar TCP,
UDP o ICMP. Si selecciona All (todos), esta regla será válida para los tres
protocolos.
From IP (de IP)
Introduzca la dirección IP de la estación remota externa que debe poder enviar los
paquetes IP a la red local. Introduzca la dirección IP o un rango IP de la estación
remota. 0.0.0.0/0 significa todas las direcciones.
Para indicar un rango, utilice la notación CIDR (consulte el glosario)
From port (de puerto)
Introduzca el puerto desde el que la estación remota externa puede enviar
paquetes IP
(se evalúa sólo en los protocolos TCP y UDP).
SINAUT MD741-1
C79000-G8978-C236-02
57
6 Funciones de seguridad
To IP (a IP)
Especifique a qué dirección IP de la red local pueden enviarse paquetes IP. A este
efecto, introduzca la dirección IP o un rango IP de la aplicación en la red local.
0.0.0.0/0 significa todas las direcciones.
Para indicar un rango, utilice la notación CIDR (consulte el Glosario).
To port (a puerto)
Introduzca el puerto al que la estación remota externa puede enviar paquetes IP.
Action (acción)
Seleccione qué debe suceder con los paquetes IP entrantes:
Accept (aceptar): los paquetes de datos pueden pasar.
Reject (rechazar): los paquetes de datos se rechazan y el remitente obtiene un
aviso correspondiente.
Drop (descartar): los paquetes de datos se descartan sin que el remitente obtenga
un aviso al respecto.
Firewall Rules (Outgoing) (reglas de firewall de salida)
Con las reglas de firewall de salida se define qué debe suceder con los paquetes
IP recibidos de la red local. El origen es una aplicación en la red local. El destino
es una estación remota externa, p. ej. en Internet o una red privada.
Conforme a los ajustes de fábrica no se ha definido inicialmente ninguna regla de
firewall de salida, por lo que no puede pasar ningún paquete IP.
New (nuevo)
Agrega una nueva regla de firewall que se puede rellenar luego.
Protocol (protocolo)
Seleccione el protocolo para el que debe valer esta regla. Puede seleccionar TCP,
UDP o ICMP. Si selecciona All (todos), esta regla será válida para los tres
protocolos.
From IP (de IP)
Introduzca la dirección IP de la aplicación local que debe poder enviar los
paquetes IP a la red externa. A este efecto, introduzca la dirección IP o un rango
IP de la aplicación local. 0.0.0.0/0 significa todas las direcciones.
Para indicar un rango, utilice la notación CIDR (consulte el Glosario).
58
SINAUT MD741-1
C79000-G8978-C236-02
6 Funciones de seguridad
From port (de puerto)
Introduzca el puerto al que la aplicación local puede enviar paquetes IP.
Introduzca para ello el número de puerto.
(se evalúa sólo en los protocolos TCP y UDP)
Action (acción)
Seleccione qué debe suceder con los paquetes IP salientes:
Accept (aceptar): los paquetes de datos pueden pasar.
Reject (rechazar): los paquetes de datos se rechazan y el remitente obtiene un
aviso correspondiente.
Drop (descartar): los paquetes de datos se descartan sin que el remitente obtenga
un aviso al respecto.
Firewall Rules Incoming / Outgoing (reglas de firewall de entrada / salida)
Log (registro)
Para cada regla de firewall es posible determinar si el evento se debe
●
registrar - en este caso, ajuste Log a Yes
●
o no - en este caso, ajuste Log a No (ajuste de fábrica predeterminado)
El informe se escribe en el archivo de registro del firewall (consulte el capítulo 6.4).
Log Unknown Connection Attempts (registrar intentos de conexión
desconocidos)
Con esto se registran todos los intentos de conexión que no sean cubiertos por las
reglas definidas.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Firewall de entrada
Firewall Rules (Incoming) (reglas de firewall de
entrada)
- (todo bloqueado)
Protocol (protocolo)
Todos
From IP (de IP)
0.0.0.0/0
From port (de puerto)
Cualquiera
To IP (a IP)
0.0.0.0/0
SINAUT MD741-1
C79000-G8978-C236-02
59
6 Funciones de seguridad
To port (a puerto)
Cualquiera
Action (acción)
Aceptar
Log (registro)
No (desactivado)
Log Unknown Connection Attempts (registrar
intentos de conexión desconocidos)
No (desactivado)
Log Unknown Connection Attempts (registrar
intentos de conexión desconocidos)
No (desactivado)
Firewall de salida
6.2
Firewall Rules (Outgoing) (reglas de firewall de
salida)
- (todo bloqueado)
Protocol (protocolo)
Todos
From IP (de IP)
0.0.0.0/0
From port (de puerto)
Cualquiera
To IP (a IP)
0.0.0.0/0
To port (a puerto)
Cualquiera
Action (acción)
Aceptar
Log (registro)
No (desactivado)
Log Unknown Connection Attempts (registrar
intentos de conexión desconocidos)
No (desactivado)
Port Forwarding
Si se ha definido una regla para "Port Forwarding", se reenvían los paquetes de
datos recibidos en un puerto IP determinado del SINAUT MD741-1 procedentes de
una red externa. Los paquetes de datos entrantes se reenvían entonces a una
dirección IP y un número de puerto determinado de la red local. El "Port
Forwarding" se puede configurar para TCP o UDP.
En el "Port Forwarding" sucede lo siguiente: Las cabeceras de paquetes de datos
entrantes de la red externa dirigidos a la dirección IP externa del SINAUT MD7411 y a un puerto en particular se reescriben de manera que sean enviados a un
puerto específico de un determinado ordenador de la red interna.
Por tanto, se modifican la dirección IP y el número de puerto en la cabecera de los
paquetes de datos entrantes.
Este proceso también se denomina "Destination NAT" o "Port Forwarding".
60
SINAUT MD741-1
C79000-G8978-C236-02
6 Funciones de seguridad
Nota
Para poder reenviar los paquetes de datos entrantes a la dirección IP determinada
en la red local, es preciso configurar en el filtro de paquetes una regla de firewall
de entrada para esta dirección IP. Consulte el capítulo 6.1.
Figura 6-2
Seguridad > Port Forwarding
New (nuevo)
Agrega una nueva regla de firewall de reenvío que se puede rellenar luego.
Delete (borrar)
Borra reglas de firewall de reenvío que se hayan creado.
Protocol (protocolo)
Indique aquí el protocolo (TCP o UDP) al que debe referirse la regla.
Destination port (puerto de destino)
Introduzca aquí el número de puerto (p. ej. 80) al que llegan los paquetes de datos
de la red externa que deben reenviarse.
Forward to IP (reenviar a IP)
Especifique aquí la dirección IP en la red local a la que deben reenviarse los
paquetes de datos entrantes.
Forward to port (reenviar a puerto)
Especifique aquí el número de puerto (p. ej. 80) de la dirección IP en la red local al
que deben reenviarse los paquetes de datos entrantes.
SINAUT MD741-1
C79000-G8978-C236-02
61
6 Funciones de seguridad
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
6.3
Reglas de reenvío
-
Protocol (protocolo)
Todos
Forward to IP (reenviar a IP)
127.0.0.1
Forward to port (reenviar a puerto)
80
Log (registro)
No (desactivado)
Funciones de seguridad avanzadas
Las funciones de seguridad avanzadas sirven para proteger el SINAUT MD741-1 y
las aplicaciones locales contra ataques. Para la protección se asume que sólo un
determinado número de conexiones o paquetes ping recibidos se admite y se
desea durante la operación normal y que, al producirse una acumulación
repentina, se trata de un ataque.
Figura 6-3
Seguridad > Avanzada
Maximum number (número máximo) …
Las entradas
62
●
Maximum number of parallel connections (número máximo de conexiones
paralelas)
●
Maximum number of new incoming TCP connections per second (número
máximo de nuevas conexiones TCP entrantes por segundo)
●
Maximum number of new outgoing TCP connections per second (número
máximo de nuevas conexiones TCP salientes por segundo)
SINAUT MD741-1
C79000-G8978-C236-02
6 Funciones de seguridad
●
Maximum number of new incoming ping packets per second (número máximo
de nuevos paquetes ping entrantes por segundo)
●
Maximum number of new outgoing ping packets per second (número máximo
de nuevos paquetes ping salientes por segundo)
determinan límites superiores. Los ajustes predeterminados (v. figura) se han
seleccionado de manera que no se alcancen nunca en la práctica normal. En
cambio, tratándose de un ataque, pueden alcanzarse fácilmente, por lo que esta
limitación ofrece una protección adicional. Si en su entorno de trabajo existen
exigencias especiales, puede modificar los valores conforme a ello.
External ICMP to the SINAUT MD741-1 (ICMP externo al SINAUT MD741-1)
Con esta opción puede influenciar el comportamiento al recibir paquetes ICMP
enviados desde la red externa hacia el SINAUT MD741-1. Tiene las siguientes
posibilidades:
●
Drop (rechazar): se rechazan todos los paquetes ICMP enviados al SINAUT
MD741-1.
●
Allow Ping (permitir ping): se aceptan sólo los paquetes ping (ICMP tipo 8)
enviados al SINAUT MD741-1.
●
Accept (aceptar): se aceptan todos los tipos de paquetes ICMP enviados al
SINAUT MD741-1.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Maximum number of parallel connections (número
máximo de conexiones paralelas)
4096
Maximum number of new incoming TCP
connections per second (número máximo de
nuevas conexiones TCP entrantes por segundo)
25
Maximum number of new outgoing TCP
connections per second (número máximo de
nuevas conexiones TCP salientes por segundo)
75
Maximum number of new incoming ping packets
per second (número máximo de nuevos paquetes
ping entrantes por segundo)
3
Maximum number of new outgoing ping packets
per second (número máximo de nuevos paquetes
ping salientes por segundo)
5
External ICMP to the SINAUT MD741-1 (ICMP
externo al SINAUT MD741-1)
Descartar
SINAUT MD741-1
C79000-G8978-C236-02
63
6 Funciones de seguridad
6.4
Archivo de registro del firewall
En el archivo de registro del firewall se registra cuándo se han aplicado las
distintas reglas del firewall. A este efecto, la función LOG debe estar activada para
las distintas funciones del firewall.
Figura 6-4
Seguridad > Archivo de registro del firewall
Nota
El archivo de registro del firewall se pierde al realizar un rearranque.
64
SINAUT MD741-1
C79000-G8978-C236-02
7
Conexiones VPN
El SINAUT MD741-1 permite conectar la red local a una red remota segura a
través de un túnel VPN. Los paquetes de datos IP intercambiados entre ambas
redes se encriptan y, gracias al túnel VPN, están protegidos contra manipulaciones
no autorizadas. Gracias a ello, es posible utilizar redes públicas no protegidas (p.
ej. Internet) para transportar los datos, sin poner en peligro la confidencialidad ni
integridad de los mismos.
Figura 7-1
IPSec VPN > Conexiones
Para que el SINAUT MD741-1 pueda establecer un túnel VPN, la red remota debe
disponer de un gateway VPN como estación remota del SINAUT MD741-1.
Red remota
Red local
PC de administración
Admin- PC
MD741-1
Gateway VPN
Aplicación
local
INTERNET
(E-)GPRS
APN
Estaciones
remotas
externas
Aplicación
local
Túnel VPN
Figura 7-2
65
Conexión VPN
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
El SINAUT MD741-1 utiliza para el túnel VPN el método IPsec en modo túnel. Los
paquetes de datos IP a transferir se encriptan por completo y se proveen de una
nueva cabecera antes de ser enviados al gateway VPN de la estación remota. Allá
se desencriptan los paquetes de datos recibidos y se transforman en los paquetes
de datos originales. Éstos se reenvían luego al destino en la red remota.
Se diferencia entre dos modos para las conexiones VPN:
●
En el modo "Roadwarrier" VPN, el SINAUT MD741-1 puede aceptar
conexiones VPN de estaciones remotas con dirección desconocida. Éstas
pueden ser p. ej. estaciones remotas móviles que obtienen su dirección IP de
forma dinámica.
La estación remota debe establecer la conexión VPN. En el modo
"Roadwarrier" se permite sólo una conexión VPN. Las conexiones VPN en
modo "Standard" pueden funcionar simultáneamente con ésta.
●
En el modo VPN "Standard" debe conocerse la dirección (IP o nombre de
host) del gateway VPN de la estación remota para poder establecer la
conexión VPN. La conexión VPN puede ser establecida bien sea por el
SINAUT MD741-1, o bien por el gateway VPN de la estación remota.
El establecimiento de la conexión VPN comprende dos fases. Inicialmente, en la 1ª
fase (ISAKMP = Internet Security Association and Key Management Protocol) se
establece la asociación de seguridad (SA = Security Association) para el
intercambio de claves entre el SINAUT MD741-1 y el gateway VPN de la estación
remota.
Luego, en la 2ª fase (IPsec = Internet Protocol Security) se establece la asociación
de seguridad (SA = Security Association) para la conexión IPsec en sí entre el
SINAUT MD741-1 y el gateway VPN de la estación remota.
Requisitos del gateway VPN de la red remota
Para poder establecer correctamente una conexión IPsec, la estación remota VPN
debe soportar IPsec con la siguiente configuración:
66
●
Autenticación por medio de certificados X.509, certificados CA o clave
previamente compartida (PSK = Pre-Shared Key)
●
ESP
●
Grupo Diffie-Hellman 1, 2 ó 5
●
Encriptación 3DES ó AES
●
Algoritmos hash MD5 ó SHA-1
●
Modo túnel
●
Modo rápido
●
Modo principal
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
●
Período de validez de la SA (Security Association o asociación de seguridad)
(1 segundo a 24 horas)
Si la estación remota es un ordenador con Windows 2000, debe estar instalado
también Microsoft Windows 2000 High Encryption Pack o por lo menos el Service
Pack 2.
Si la estación remota está del otro lado de un router NAT, debe soportar también
NAT-T, o el router NAT debe conocer el protocolo IPsec (IPsec/VPN Passthrough).
7.1
Modo Roadwarrier VPN
El modo Roadwarrier permite al SINAUT MD741-1 VPN aceptar una conexión
VPN iniciada por una estación remota con dirección IP desconocida. La estación
remota debe autenticarse correctamente. No obstante, en esta conexión VPN se
renuncia a identificar la estación remota por medio de su dirección IP o nombre de
host.
Figura 7-3
IPSec VPN > Modo Roadwarrier
Configure el SINAUT MD741-1 según lo convenido con el administrador de
sistema de la estación remota.
SINAUT MD741-1
C79000-G8978-C236-02
67
7 Conexiones VPN
Modo Roadwarrier - Editar la configuración
Figura 7-4
Modo Roadwarrier > Editar la configuración
Authentication method (método de autenticación)
Seleccione el método de autenticación según lo convenido con el administrador de
sistema de la estación remota.
El SINAUT MD741-1 soporta tres métodos, a saber:
●
Certificado X.509
●
Certificado CA
●
Pre-Shared Key (clave previamente compartida)
Certificado X.509, certificado CA
En los métodos de autenticación "Certificado X.509" y "Certificado CA" se utilizan
para la autenticación claves firmadas previamente por una autoridad certificadora
(CA = Certification Authority). Estos métodos se consideran especialmente
seguros. Una CA puede ser un prestador de servicios, pero también p. ej. el
administrador de sistema de su proyecto, si éste dispone de las herramientas de
software necesarias. La CA crea un archivo de certificado (PKCS12) con la
extensión *p12 para cada una de ambas estaciones remotas de una conexión
VPN. Este archivo de certificado contiene las claves pública y privada de la propia
estación, el certificado firmado por la CA y la clave pública de la CA. En el método
de autenticación X.509 existe además para cada una de ambas estaciones
remotas un archivo de clave (*.pem, *.cer ó *.crt) que contiene la clave pública de
la propia estación.
68
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
Certificado X.509
El intercambio de claves públicas (archivo con la extensión *.pem, *.cer ó *.crt)
entre el SINAUT MD741-1 y el gateway VPN de la estación remota se efectúa
manualmente, p. ej. mediante un CD-ROM o por correo electrónico. Para más
información sobre cómo cargar el certificado, consulte el capítulo 7.3.
Certificado CA
El intercambio de claves públicas entre el SINAUT MD741-1 y el gateway VPN de
la estación remota se realiza vía la conexión de datos al establecer la conexión
VPN. No es necesario intercambiar manualmente los archivos de clave.
Pre-Shared Secret Key (PSK o clave secreta previamente compartida)
Este método es soportado principalmente por implementaciones de IPsec
antiguas. La autenticación se realiza con una secuencia de caracteres convenida
previamente. Para alcanzar un nivel de seguridad elevado, la secuencia de
caracteres debería comprender aprox. 30 caracteres (mayúsculas, minúsculas y
cifras) seleccionados al azar.
Remote certificate (certificado remoto)
Si se ha seleccionado el método de autenticación "Certificado X.509", aparece
aquí la lista de estaciones remotas que ya se han cargado en el SINAUT MD7411. Aquí se debe seleccionar el certificado para la conexión VPN.
Remote ID, Local ID (ID remota, ID local)
IPsec utiliza las IDs local y remota para identificar unívocamente las estaciones
remotas al establecer la conexión VPN. La ID local propia debe ser igual a la ID
remota en la estación remota, y viceversa.
En la autenticación con el certificado X.509 o el certificado CA:
●
Si se conserva el ajuste de fábrica NONE, los Distinguished Names (nombres
distintivos) del propio certificado y del certificado de la estación remota se
utilizan automáticamente como ID local e ID remota.
●
Si se modifica manualmente la entrada de la ID local o remota, es preciso
adaptar las entradas correspondientes en la estación remota. La entrada
manual de la ID local y remota debe efectuarse en formato ASN.1,
p. ej. "C=XY/O=XY Org/CN=xy.org.org"
En la autenticación con Pre-Shared Secret Key (PSK):
●
En modo Roadwarrier es preciso introducir manualmente la ID remota. La ID
remota debe tener el formato de un nombre de host (p. ej.
RemoteStation.com), o bien de una dirección de correo electrónico
([email protected]) y, además, concordar con la ID local de la estación
remota.
El ajuste de la ID local se puede dejar en NONE. En este caso, la dirección IP
SINAUT MD741-1
C79000-G8978-C236-02
69
7 Conexiones VPN
se utiliza como dirección IP local. Si se introduce una ID local, ésta debe tener
el formato de un nombre de host (p. ej. RemoteStation.com), o bien de una
dirección de correo electrónico ([email protected]) y, además, concordar
con la ID ramota de la estación remota.
Modo Roadwarrier - Editar la IKE
Aquí puede definir las propiedades de la conexión VPN conforme a sus exigencias
y según lo convenido con el administrador de sistema de la estación remota.
Figura 7-5
Modo Roadwarrier > Editar la configuración
ISAKMP-SA encryption (encriptación de SA ISAKMP), IPsec-SA encryption
(encriptación de SA IPsec)
Campo para seleccionar el método de encriptación para la SA ISAKMP y SA
IPSec convenido con el administrador de sistema de la estación remota. El
SINAUT MD741-1 soporta los métodos siguientes:
70
●
3DES-168
●
AES-128
●
AES-192
●
AES-256
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
3DES-168 es un método utilizado con frecuencia, por lo que aparece ajustado por
defecto. El método puede definirse de forma diferente para la SA ISAKMP y la SA
IPSec.
Nota:
Cuantos más bits tenga un algoritmo de encriptación (lo que se indica por el
número anexado), tanto más seguro será. Por tanto, el método AES-256 es el más
seguro. No obstante, el proceso de encriptación tarda más tiempo y necesita más
potencia de cálculo cuanto más larga sea la clave.
ISAKMP-SA hash, IPsec-SA hash
Campo para seleccionar el método a utilizar para calcular las sumas de
verificación / los hashes durante las fases ISAKMP e IPSec. Puede seleccionar
entre:
●
MD5 o SHA-1 (detección automática)
●
MD5
●
SHA-1
El método puede definirse de forma diferente para la SA ISAKMP y la SA IPSec.
ISAKMP-SA mode (modo de SA ISAKMP)
Campo para seleccionar el método a utilizar para negociar la SA ISAKMP. Puede
seleccionar entre:
●
Main Mode (modo principal)
●
Aggressive Mode (modo agresivo)
Nota:
Si se utiliza el método de autenticación Pre-Shared Key, es preciso ajustar el
"Aggressive Mode" en el modo Roadwarrier.
ISAKMP-SA lifetime (período de validez de SA ISAKMP), IPsec-SA lifetime
(período de validez de SA IPsec)
Las claves de una conexión IPsec se renuevan en determinados intervalos, con
objeto de dificultar aún más los ataques a una conexión IPsec.
Campo de entrada para determinar el período de validez (en segundos) de las
claves convenidas para la SA ISAKMP y la SA IPSec.
SINAUT MD741-1
C79000-G8978-C236-02
71
7 Conexiones VPN
El período de validez puede definirse de forma diferente para la SA ISAKMP y la
SA IPSec.
NAT-T
Es posible que exista un router NAT entre el SINAUT MD741-1 y el gateway VPN
de la red remota. No todos los routers NAT dejan pasar paquetes de datos IPsec.
Por este motivo podría resultar necesario encapsular los paquetes de datos IPsec
en paquetes UPD para poder pasar el router NAT.
On
Si el SINAUT MD741-1 detecta un router NAT que no deje pasar los paquetes
IPsec, se inicia automáticamente la encapsulación UDP.
Force (forzar)
Al negociar los parámetros de la conexión VPN se exige que los paquetes de
datos se transfieran encapsulados durante la conexión.
Off
La función NAT-T está desactivada.
Enable dead peer detection (habilitar Dead Peer Detection)
Si la estación remota soporta el protocolo Dead Peer Detection (DPD), los
respectivos interlocutores pueden detectar si la conexión IPsec es válida aún o si
debe establecerse de nuevo. Dependiendo de la configuración, sin DPD es
necesario esperar hasta que finalice el período de validez de la SA (asociación de
seguridad) o reiniciar la conexión manualmente. Para comprobar si la conexión
IPsec es válida aún, la Dead Peer Detection envía consultas DPD a la estación
remota. Si no hay respuesta, la conexión IPsec se considera interrumpida al cabo
del número permitido de intentos fallidos.
Advertencia
Debido al envío de consultas DPD aumenta la cantidad de datos enviados y
recibidos por EGPRS o GPRS. Esto puede causar costes adicionales.
Sí
La Dead Peer Detection está activada. El SINAUT MD741-1 detecta –
independientemente de la transferencia de datos útiles – la interrupción de la
conexión y, en este caso, espera a que las estaciones remotas vuelvan a
establecer la conexión.
No
La Dead Peer Detection está desactivada.
72
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
DPD - delay (seconds) (retardo de DPD en segundos)
Período en segundos al cabo del cual deben enviarse consultas DPD. Estas
consultas comprueban si la estación remota está disponible todavía.
DPD - timeout (seconds) (timeout de DPD en segundos)
Período en segundos al cabo del cual debe considerarse no válida la conexión con
la estación remota si no se recibe una respuesta a las consultas DPD.
DPD - maximum failures (intentos fallidos máx. de DPD)
Cantidad de intentos fallidos admisibles antes de considerarse interrumpida la
conexión IPsec.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Nombre
Cualquiera
Activado
No (desactivado)
Authentication method (método de autenticación)
Certificado X.509
ID remota
NONE
ID local
NONE
Remote certificate (certificado remoto)
-
Encriptación de SA ISAKMP
3DES-168
Encriptación de SA IPSec
3DES-168
Hash de SA ISAKMP
MD5
Hash de SA IPSec
MD5
ISAKMP-SA mode (modo de SA ISAKMP)
Main
Período de validez de SA ISAKMP (segundos)
86400
Período de validez de SA IPSec (segundos)
86400
NAT-T
On
Enable dead peer detection (habilitar Dead Peer
Detection)
Sí
DPD - delay (seconds) (retardo de DPD en segundos)
150
DPD - timeout (seconds) (timeout de DPD en segundos)
60
DPD - maximum failures (intentos fallidos máx. de DPD)
5
SINAUT MD741-1
C79000-G8978-C236-02
73
7 Conexiones VPN
7.2
Modo Standard VPN IPsec
Aquí se visualizan las conexiones VPN ya creadas. Es posible habilitar (Enabled =
Yes) o deshabilitar (Enabled = No) cada conexión por separado. Puede utilizar
New (nuevo) para agregar conexiones VPN, Edit Settings (editar configuración) e
IKE Settings (configuración IKE) para configurarlas, así como Delete para
borrarlas.
Figura 7-6
IPSec VPN > Modo Standard
Modo Standard VPN - Editar la configuración
Figura 7-7
74
Modo Standard VPN > Editar la configuración
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
Connection name (nombre de conexión)
Introduzca aquí un nombre para la nueva conexión.
Address of the remote site's VPN gateway (dirección del gateway VPN de la
estación remota)
Campo de entrada para la dirección de la estación remota, bien sea como nombre
de host (p. ej. myadress.com) o dirección IP.
Red local
Red remota
PC de administración
Direcció n d e
la estación
remota
MD741-1
PC de
administración
Gateway VPN
Aplicación
local
INTERNET
(E-)GPRS
APN
Estaciones
remotas
externas
Aplicación
local
Túnel VPN
Figura 7-8
Host remoto > Dirección de la estación remota
Certificado X.509, certificado CA
En los métodos de autenticación "Certificado X.509" y "Certificado CA" se utilizan
para la autenticación claves firmadas previamente por una autoridad certificadora
(CA = Certification Authority). Estos métodos se consideran especialmente
seguros. Una CA puede ser un prestador de servicios, pero también p. ej. el
administrador de sistema de su proyecto, si éste dispone de las herramientas de
software necesarias. La CA crea un archivo de certificado (PKCS12) con la
extensión *p12 para cada una de ambas estaciones remotas de una conexión
VPN. Este archivo de certificado contiene las claves pública y privada de la propia
estación, el certificado firmado por la CA y la clave pública de la CA. En el método
de autenticación X.509 existe además para cada una de ambas estaciones
remotas un archivo de clave (*.pem, *.cer ó *.crt) que contiene la clave pública de
la propia estación.
Certificado X.509
El intercambio de claves públicas (archivo con la extensión *.pem, *.cer ó *.crt)
entre el SINAUT MD741-1 y el gateway VPN de la estación remota se efectúa
manualmente, p. ej. mediante un CD-ROM o por correo electrónico. Para más
información sobre cómo cargar el certificado, consulte el capítulo 7.3.
Certificado CA
El intercambio de claves públicas entre el SINAUT MD741-1 y el gateway VPN de
la estación remota se realiza vía la conexión de datos al establecer la conexión
VPN. No es necesario intercambiar manualmente los archivos de clave.
SINAUT MD741-1
C79000-G8978-C236-02
75
7 Conexiones VPN
Pre-Shared Secret Key (PSK o clave secreta previamente compartida)
Este método es soportado principalmente por implementaciones de IPsec
antiguas. La autenticación se realiza con una secuencia de caracteres convenida
previamente. Para alcanzar un nivel de seguridad elevado, la secuencia de
caracteres debería comprender aprox. 30 caracteres (mayúsculas, minúsculas y
cifras) seleccionados al azar.
Remote ID, Local ID (ID remota, ID local)
IPsec utiliza las IDs local y remota para identificar unívocamente las estaciones
remotas al establecer la conexión VPN.
En la autenticación con el certificado X.509 o el certificado CA:
●
Si se conserva el ajuste de fábrica NONE, los Distinguished Names (nombres
distintivos) del propio certificado y del certificado de la estación remota se
adoptan y se utilizan automáticamente como ID local e ID remota.
●
Si se modifica manualmente la entrada de la ID local o remota, es preciso
adaptar las entradas correspondientes en la estación remota. La ID local
propia debe ser igual a la ID remota en la estación remota, y viceversa. Las
entradas para la ID local y remota deben efectuarse en formato ASN.1, p. ej.
"C=XY/O=XY Org/CN=xy.org.org"
En la autenticación con Pre-Shared Secret Key (PSK):
●
Si se conserva el ajuste de fábrica NONE, se adoptan automáticamente la
dirección IP propia como ID local y la dirección IP de la estación remota como
ID remota.
●
Si las entradas de la ID local o remota se modifican manualmente, estas
entradas deben tener el formato de un nombre de host (p. ej.
RemoteStation.com), o bien de una dirección de correo electrónico (p. ej.
[email protected]). La ID local propia debe ser igual a la ID remota en la
estación remota, y viceversa.
Nota:
Si la dirección IP no se utiliza como ID remota en la Pre-Shared Secret Key (PSK),
es preciso ajustar el "Aggressive Mode" como modo de la SA ISAKMP.
Scalance S ID
Si ha cargado el certificado de una Scalance S en el SINAUT MD741-1, la ID
remota se puede leer del certificado haciendo clic en el botón Scalance S ID. El
valor leído se introduce entonces como ID remota.
76
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
Wait for remote connection (esperar conexión remota)
Sí
El SINAUT MD741-1 espera hasta que el gateway VPN de la red remota inicie el
establecimiento de la conexión VPN.
No
El SINAUT MD741-1 inicia el establecimiento de la conexión.
Remote net address (dirección de la red remota)
Campo para introducir la dirección IP (p. ej. 123.123.123.123) de la red remota. La
red remota también puede ser un solo ordenador.
Red local
Red remo ta
Dirección d e
la red local
Dirección de
la red rem ota
PC de
administración
PC de
adm inistració n
MD741-1
Gateway VPN
Aplicaci ón
lo cal
INTERNET
(E-)GPRS
A PN
Estaciones
remotas
externas
Aplicaci ón
lo cal
Túnel VPN
Figura 7-9
Dirección de la red remota
Remote subnet mask (máscara de subred remota)
Campo para introducir la máscara de subred (p. ej. 255.255.255.0) de la red
remota. La red remota también puede ser un solo ordenador.
Local net address (dirección de la red local)
Campo para introducir la dirección IP (p. ej. 123.123.123.123) de la red local. La
red local también puede ser un solo ordenador.
Local subnet mask (máscara de subred local)
Campo para introducir la máscara de subred (p. ej. 255.255.255.0) de la red local.
La red local también puede ser un solo ordenador.
SINAUT MD741-1
C79000-G8978-C236-02
77
7 Conexiones VPN
Reglas de firewall para túnel VPN
Consulte el capítulo 7.4.
Modo Standard VPN - Editar IKE
Aquí puede definir las propiedades de la conexión VPN conforme a sus exigencias
y según lo convenido con el administrador de sistema de la estación remota.
Figura 7-10
Modo Standard VPN > Editar IKE
ISAKMP-SA encryption (encriptación de SA ISAKMP), IPsec-SA encryption
(encriptación de SA IPsec)
Campo para seleccionar el método de encriptación que debe utilizarse para la SA
ISAKMP y SA IPSec. El SINAUT MD741-1 soporta los métodos siguientes:
78
●
3DES-168
●
AES-128
●
AES-192
●
AES-256
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
3DES-168 es un método utilizado con frecuencia, por lo que aparece ajustado por
defecto.
El método puede definirse de forma diferente para la SA ISAKMP y la SA IPSec.
Nota:
Cuantos más bits tenga un algoritmo de encriptación (lo que se indica por el
número anexado), tanto más seguro será. Por tanto, el método AES-256 es el más
seguro. No obstante, el proceso de encriptación tarda más tiempo y necesita más
potencia de cálculo cuanto más larga sea la clave.
ISAKMP-SA hash, IPsec-SA hash
Campo para seleccionar el método a utilizar para calcular las sumas de
verificación / los hashes durante las fases ISAKMP e IPSec. Puede seleccionar
entre:
●
MD5 o SHA-1 (detección automática)
●
MD5
●
SHA-1
El método puede definirse de forma diferente para la SA ISAKMP y la SA IPSec.
ISAKMP-SA mode (modo de SA ISAKMP)
Campo para seleccionar el método de negociación de la SA ISAKMP. Puede
seleccionar entre:
●
Main Mode (modo principal)
●
Aggressive Mode (modo agresivo)
DH/PFS group (grupo DH/PFS)
Campo para seleccionar el grupo DH utilizado para el intercambio de claves.
ISAKMP-SA lifetime (período de validez de SA ISAKMP), IPsec-SA lifetime
(período de validez de SA IPsec)
Las claves de una conexión IPsec se renuevan en determinados intervalos, con
objeto de dificultar aún más los ataques a una conexión IPsec.
Campo de entrada para determinar el período de validez (en segundos) de las
claves convenidas para la SA ISAKMP y la SA IPSec.
El período de validez puede definirse de forma diferente para la SA ISAKMP y la
SA IPSec.
SINAUT MD741-1
C79000-G8978-C236-02
79
7 Conexiones VPN
NAT-T
Es posible que exista un router NAT entre el SINAUT MD741-1 y el gateway VPN
de la red remota. No todos los routers NAT dejan pasar paquetes de datos IPsec.
Por este motivo podría resultar necesario encapsular los paquetes de datos IPsec
en paquetes UPD para poder pasar el router NAT.
On
Si el SINAUT MD741-1 detecta un router NAT que no deje pasar los paquetes
IPsec, se inicia automáticamente la encapsulación UDP.
Force (forzar)
Al negociar los parámetros de la conexión VPN se exige que los paquetes de
datos se transfieran encapsulados durante la conexión.
Off
La función NAT-T está desactivada.
Enable dead peer detection (habilitar Dead Peer Detection)
Si la estación remota soporta el protocolo Dead Peer Detection (DPD), los
respectivos interlocutores pueden detectar si la conexión IPsec es válida aún o si
debe establecerse de nuevo. Dependiendo de la configuración, sin DPD es
necesario esperar hasta que finalice el período de validez de la SA (asociación de
seguridad) o reiniciar la conexión manualmente. Para comprobar si la conexión
IPsec es válida aún, la Dead Peer Detection envía consultas DPD a la estación
remota. Si no hay respuesta, la conexión IPsec se considera interrumpida al cabo
del número permitido de intentos fallidos.
Advertencia
Debido al envío de consultas DPD aumenta la cantidad de datos enviados y
recibidos por EGPRS o GPRS. Esto puede causar costes adicionales.
Sí
La Dead Peer Detection está activada. Independientemente de la transferencia de
datos útiles, se intenta volver a establecer la conexión IPsec, si está se ha
declarado interrumpida.
No
La Dead Peer Detection está desactivada.
DPD - delay (seconds) (retardo de DPD en segundos)
Período en segundos al cabo del cual deben enviarse consultas DPD. Estas
consultas comprueban si la estación remota está disponible todavía.
80
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
DPD - timeout (seconds) (timeout de DPD en segundos)
Período en segundos al cabo del cual se considera interrumpida la conexión con la
estación remota si no se recibe una respuesta a las consultas DPD.
DPD - maximum failures (intentos fallidos máx. de DPD)
Cantidad de intentos fallidos admisibles antes de considerarse interrumpida la
conexión IPsec.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Nombre
NewConnection
Activado
No (desactivado)
Authentication method (método de autenticación)
X.509
ID remota
NONE
ID local
NONE
Remote certificate (certificado remoto)
-
Wait for remote connection (esperar conexión
remota)
No
Remote net address
(dirección de la red remota)
192.168.2.1
Remote subnet mask
(máscara de subred remota)
255.255.255.0
Local net address (dirección de la red local)
192.168.1.1
Local subnet mask (máscara de subred local)
255.255.255.0
Encriptación de SA ISAKMP
3DES-168
Encriptación de SA IPSec
3DES-168
Hash de SA ISAKMP
MD5
Hash de SA IPSec
MD5
DH/PFS group (grupo DH/PFS)
DH-2 1024
ISAKMP-SA mode (modo de SA ISAKMP)
Main
Período de validez de SA ISAKMP (segundos)
86400
Período de validez de SA IPSec (segundos)
86400
NAT-T
On
SINAUT MD741-1
C79000-G8978-C236-02
81
7 Conexiones VPN
7.3
Enable dead peer detection (habilitar Dead Peer
Detection)
Sí
DPD - delay (seconds) (retardo de DPD en
segundos)
150
DPD - timeout (seconds) (timeout de DPD en
segundos)
60
DPD - maximum failures (intentos fallidos máx. de
DPD)
5
Cargar certificados VPN
Cargar y gestionar certificados y claves
Figura 7-11
IPSec VPN > Certificados
Upload remote certificate (cargar certificado remoto)
Campo para cargar los archivos clave (*.pem,*.cer o *.crt) con certificados remotos
y claves públicas de estaciones remotas en el SINAUT MD741-1. Los archivos
deben estar almacenados en el PC de administración. Los certificados remotos
sólo se necesitan para el método de autenticación con certificado X.509.
Upload PKCS12 file (.p12) (cargar archivo PKCS12 (.p12))
Campo para cargar en el SINAUT MD741-1 el archivo de certificado (archivo
PKCS12) con la extensión .p12 . Este archivo debe estar almacenado en el PC de
administración.
82
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
Atención
Si el equipo ya contiene un archivo de certificado, éste se debe borrar antes de
cargar el nuevo archivo.
Password (contraseña)
El archivo de certificado (archivo PKCS12) está protegido por contraseña. En este
campo se debe introducir la contraseña del archivo de certificado.
Remote certificates (certificados remotos) (*.pem,*.cer, *.crt)
Aquí se visualiza una lista de todos los certificados remotos que se han cargado.
Con Delete (borrar) es posible borrar los certificados remotos que no se necesiten
más.
Device certificates (certificados propios) (.p12)
Aquí se visualiza el nombre y estado del archivo de certificado cargado (archivo
PKCS12). Una marca de verificación blanca sobre un punto verde indica que
existe el respectivo componente del archivo de certificado. Una cruz blanca sobre
un punto rojo indica que falta el respectivo componente o que se ha introducido
una contraseña incorrecta.
SINAUT MD741-1
C79000-G8978-C236-02
83
7 Conexiones VPN
7.4
Reglas de firewall para túnel VPN
La ventana para configurar las reglas de firewall para el túnel VPN se encuentra
bajo "IPsec VPN > Connections":
Figura 7-12
Reglas de firewall para túnel VPN
IPsec VPN – Edit Firewall Rules (editar reglas de firewall)
Figura 7-13
84
IPsec VPN > Editar reglas de firewall
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
Función
En principio, la conexión VPN IPsec se considera segura. Por este motivo, el
tráfico de datos a través de esta conexión no está limitado por defecto. Sin
embargo, es posible definir reglas de firewall para la conexión VPN.
El procedimiento para definir las reglas de firewall para la conexión VPN equivale a
la configuración de la función de filtro de paquetes del firewall general (consulte el
capítulo 6.1). No obstante, las reglas definidas aquí son válidas sólo para la
respectiva conexión VPN.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Reglas de firewall para túnel VPN
7.5
Sin limitaciones
Configuración avanzada de conexiones VPN
Configuración de funciones especiales, timeouts e intervalos de conexiones VPN.
Figura 7-14
IPSec VPN > Avanzado
NAT-T keepalive interval (seconds) (intervalo keepalive NAT-T en segundos)
Si NAT-T está habilitado (consulte el capítulo 7.2) el SINAUT MD741-1 envía
periódicamente paquetes de datos keepalive por la conexión VPN. Así se impide
que un router NAT ubicado entre el SINAUT MD741-1 y la estación remota
interrumpa la conexión en fases de inactividad (sin tráfico de datos).
El intervalo entre los paquetes keepalive se puede modificar aquí.
Phase 1 timeout (seconds) (timeout de 2ª fase en segundos)
El timeout de la 1ª fase determina cuánto tiempo debe esperar el SINAUT MD7411 hasta que concluya un proceso de autenticación de la SA ISAKMP. Si se excede
el timeout ajustado, se cancela el proceso de autenticación y se reinicia luego.
SINAUT MD741-1
C79000-G8978-C236-02
85
7 Conexiones VPN
El timeout se puede modificar aquí.
Phase 2 timeout (seconds) (timeout de 2ª fase en segundos)
El timeout de la 2ª fase determina cuánto tiempo debe esperar el SINAUT MD7411 hasta que concluya un proceso de autenticación de la SA IPsec. Si se excede el
timeout ajustado, se cancela el proceso de autenticación y se reinicia luego.
El timeout se puede modificar aquí.
DynDNS tracking (seguimiento DynDNS)
Si el gateway VPN de la estación remota obtiene la dirección IP de un servicio
DynDNS y no se utiliza la Dead Peer Detection, es recomendable que el SINAUT
MD741-1 compruebe con regularidad si dicho gateway sigue estando accesible. El
"DynDNS tracking" (seguimiento DynDNS) se encarga de realizar esta función.
Yes activa esta función, No la desactiva.
DynDNS tracking interval (minutes) (intervalo de seguimiento DynDNS en
segundos)
Ajuste aquí en qué intervalo se debe comprobar si la estación remota está
accesible todavía.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
86
NAT-T keepalive interval (seconds) (intervalo
keepalive NAT-T en segundos)
60
Phase 1 timeout (seconds) (timeout de 2ª fase en
segundos)
15
Phase 2 timeout (seconds) (timeout de 2ª fase en
segundos)
10
DynDNS tracking (seguimiento DynDNS)
Sí
DynDNS tracking interval (minutes) (intervalo de
seguimiento DynDNS en segundos)
5
SINAUT MD741-1
C79000-G8978-C236-02
7 Conexiones VPN
7.6
Estado de las conexiones VPN
Visualización del estado de las conexiones VPN habilitadas y posibilidad de cargar
un archivo de informe en el PC de administración.
Figura 7-15
IPSec VPN > Estado
Enabled VPN Connections (conexiones VPN habilitadas)
Una marca de verificación blanca sobre un punto verde indica que se ha
establecido correctamente la asociación de seguridad (SA = Security Association).
Una cruz blanca sobre un punto rojo indica que no está establecida la asociación
de seguridad.
Download VPN protocol (descargar protocolo VPN)
Esta función sirve para descargar el archivo de informe VPN al PC de
administración.
SINAUT MD741-1
C79000-G8978-C236-02
87
8
Accesos remotos
8.1
Acceso remoto HTTPS
El acceso remoto HTTPS (= HyperText Transfer Protocol Secure) permite acceder
de forma segura vía EGPRS, GPRS o CSD desde una red externa a la interfaz
web del SINAUT MD741-1.
La configuración del SINAUT MD741-1 vía el acceso remoto HTTPS se realiza de
la misma manera que la configuración con un navegador web a través de la
interfaz local (consulte el capítulo 3).
Figura 8-1
Acceso > HTTPS
Enable HTTPS remote access (habilitar acceso remoto HTTPS)
Sí
El acceso remoto vía HTTPS a la interfaz web del SINAUT MD741-1 está
permitido desde una red externa.
No
No se permite el acceso vía HTTPS.
HTTPS remote access port (puerto de acceso remoto HTTPS)
Estándar: 443 (ajuste de fábrica)
88
SINAUT MD741-1
C79000-G8978-C236-02
8 Accesos remotos
Es posible definir un puerto diferente. No obstante, si se define un puerto diferente,
en la estación remota que efectúa el acceso remoto debe indicarse la dirección IP
seguida del número de puerto.
Ejemplo:
Si el SINAUT MD741-1 está accesible en la dirección 192.144.112.5 vía Internet y
se ha definido el número de puerto 442 para el acceso remoto, en la estación
remota debe introducirse lo siguiente en la barra de dirección del navegador web:
https://192.144.112.5:442
Firewall rules for HTTPS remote access (reglas de firewall para el acceso remoto
HTTPS)
New (nuevo)
Agrega una nueva regla de firewall para el acceso remoto HTTPS que se debe
rellenar luego.
Delete (borrar)
Permite borrar una regla de firewall creada para el acceso remoto HTTPS.
From IP (external) (de IP (externo))
Campo para introducir la(s) dirección (direcciones) del (de los) ordenador(es)
autorizado(s) para el acceso remoto. Las indicaciones posibles son:
Dirección IP o rango de direcciones IP: 0.0.0.0/0 significa todas las direcciones.
Para indicar un rango, utilice la notación CIDR.
Action (acción)
Campo para seleccionar qué acción debe realizarse en caso de accesos al puerto
HTTPS indicado:
Accept (aceptar) significa que los paquetes de datos pueden pasar.
Reject (rechazar) significa que los paquetes de datos se rechazan y el remitente
obtiene un aviso respecto al rechazo.
Drop (descartar) significa que los paquetes de datos no pueden pasar. Se
descartan sin que el remitente obtenga un aviso sobre qué ha sucedido con ellos.
Log (registro)
Para cada regla de firewall es posible determinar si el evento se debe registrar - en
este caso, ajuste Log a Yes
o no - ajuste Log a No (ajuste de fábrica predeterminado).
El informe se escribe en el archivo de registro del firewall (consulte el capítulo 6.4).
SINAUT MD741-1
C79000-G8978-C236-02
89
8 Accesos remotos
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Enable HTTPS remote access (habilitar acceso remoto
HTTPS)
No (desactivado)
HTTPS remote access port (puerto de acceso remoto
HTTPS)
443
Ajuste predeterminado para reglas nuevas:
8.2
From IP (external) (de IP (externo))
0.0.0.0/0
Action (acción)
Aceptar
Log (registro)
No (desactivado)
Acceso remoto SSH
El acceso remoto SSH (= Secured SHell) permite acceder de forma segura vía
EGPRS, GPRS o CSD desde una red externa al sistema de archivos del SINAUT
MD741-1.
Para esto es preciso establecer una conexión de la estación remota al SINAUT
MD741-1 mediante un programa apto para SSH.
El acceso remoto SSH debería ser utilizado sólo por usuarios familiarizados con el
sistema operativo LINUX.
Esta opción está desactivada de fábrica.
Figura 8-2
Acceso > SSH
Precaución
A través del acceso remoto SSH es posible cometer errores de configuración tan
graves que podría resultar necesario enviar el equipo al servicio de asistencia
técnica.
90
SINAUT MD741-1
C79000-G8978-C236-02
8 Accesos remotos
Enable SSH remote access (habilitar acceso remoto SSH)
Sí
El acceso al sistema de archivos del SINAUT MD741-1 está permitido desde una
red externa.
No
No se permite el acceso vía SSH.
SSH remote access port (puerto de acceso remoto SSH)
Estándar: 22 (ajuste de fábrica)
Es posible definir un puerto diferente. No obstante, si se define un puerto diferente,
en la estación remota que efectúa el acceso remoto se debe indicar el número de
puerto seguido de la dirección IP.
Ejemplo:
Si el SINAUT MD741-1 está accesible en la dirección 192.144.112.5 y se ha
definido el número de puerto 22222 para el acceso remoto, en la estación remota
debe introducirse este número de puerto en el cliente SSH (p. ej. PUTTY):
ssh -p 22222 192.144.112.5
Firewall rules for SSH remote access (reglas de firewall para el acceso remoto
SSH)
New (nuevo)
Agrega una nueva regla de firewall para el acceso remoto SSH que se debe
rellenar luego.
Delete (borrar)
Permite borrar una regla de firewall creada para el acceso remoto SSH.
From IP (external) (de IP (externo))
Campo para introducir la(s) dirección (direcciones) del (de los) ordenador(es)
autorizado(s) para el acceso remoto. Las indicaciones posibles son:
Dirección IP o rango de direcciones IP: 0.0.0.0/0 significa todas las direcciones.
Para indicar un rango, utilice la notación CIDR.
Action (acción)
Campo para seleccionar qué acción debe realizarse en caso de accesos al puerto
SSH indicado:
Accept (aceptar) significa que los paquetes de datos pueden pasar.
SINAUT MD741-1
C79000-G8978-C236-02
91
8 Accesos remotos
Reject (rechazar) significa que los paquetes de datos se rechazan y el remitente
obtiene un aviso respecto al rechazo.
Drop (descartar) significa que los paquetes de datos no pueden pasar. Se
descartan sin que el remitente obtenga un aviso sobre qué ha sucedido con ellos.
Log (registro)
Para cada regla de firewall es posible determinar si el evento se debe registrar - en
este caso, ajuste Log a Yes
o no - ajuste Log a No (ajuste de fábrica predeterminado).
El informe se escribe en el archivo de registro del firewall (consulte el capítulo 6.4).
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Enable SSH remote access (habilitar acceso
remoto SSH)
No (desactivado)
SSH remote access port (puerto de acceso
remoto SSH)
22
Ajuste predeterminado para reglas nuevas:
92
From IP (external) (de IP (externo))
0.0.0.0/0
Action (acción)
Aceptar
Log (registro)
No (desactivado)
SINAUT MD741-1
C79000-G8978-C236-02
8 Accesos remotos
8.3
Acceso remoto por marcación telefónica
El acceso por marcación CSD (CSD = Circuit Switched Data = datos conmutados
por circuito) permite acceder a la interfaz web del SINAUT MD741-1 vía una
conexión telefónica. Para ello se debe llamar al SINAUT MD741-1 con un módem
analógico al número de llamada de datos, o bien con un módem GSM al número
de llamada de voz y datos de su tarjeta SIM.
Figura 8-3
Acceso > Marcación CSD
El SINAUT MD741-1 acepta la llamada si
●
el número de teléfono del abonado que efectúa la llamada está guardado en la
lista de números autorizados en el SINAUT MD741-1 y
●
el número de teléfono es transmitido por la red telefónica (función CLIP)
La marcación debe realizarse con un cliente PPP.
Enable CSD dial-in (habilitar marcación CSD)
Sí
El acceso por marcación telefónica a la interfaz web del SINAUT MD741-1 está
permitido desde una red externa.
No
No se permite el acceso por marcación telefónica.
SINAUT MD741-1
C79000-G8978-C236-02
93
8 Accesos remotos
PPP username / password (nombre de usuario / contraseña PPP)
Campos para introducir el nombre de usuario y contraseña con los que debe iniciar
la sesión un cliente PPP (p. ej. conexión de acceso telefónico de Windows) en el
SINAUT MD741-1. El cliente PPP debe utilizar el mismo nombre de usuario y la
misma contraseña.
Approved Call Numbers (números de teléfono aprobados)
Campo para introducir el número de teléfono del abonado que establece la
conexión. El teléfono debe soportar la transmisión del número llamante (CLIP –
Calling Line Identification Presentation) y esta función debe estar activada.
El número de teléfono introducido en el SINAUT MD741-1 debe concordar
exactamente con el número de teléfono registrado y, en caso necesario, incluir
también el identificador de país y el prefijo, p. ej. +494012345678.
Si deben tener acceso varios números de teléfono de una central privada, el
carácter * (asterisco) se puede utilizar como comodín, p. ej. +49401234*. En este
caso se aceptan todos los números de teléfono que comiencen con +49401234.
Nota
Las reglas de firewall definidas para el acceso HTTPS y/o SSH también son
aplicables al acceso CSD. Como dirección IP de origen ("From IP") para el acceso
CSD se ha definido 10.99.99.2
New (nuevo)
Agrega un número de teléfono permitido para el acceso remoto CSD que se debe
rellenar luego.
Delete (borrar)
Borra un número de teléfono para el acceso remoto CSD.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
94
Enable CSD dial-in (habilitar marcación CSD)
No (desactivado)
Nombre de usuario PPP
service
Contraseña PPP
service
Approved Call Numbers (números de teléfono
aprobados)
*
SINAUT MD741-1
C79000-G8978-C236-02
Estado, archivo de registro y
diagnóstico
9.1
9
Visualización del estado operativo
Figura 9-1
Sistema > Estado
Nota
Utilice la función Actualizar del navegador web si desea actualizar los valores
representados.
Current system time (hora actual de sistema)
Muestra la hora actual de sistema del SINAUT MD741-1 en el siguiente formato:
Año – mes – día, horas – minutos
95
SINAUT MD741-1
C79000-G8978-C236-02
9 Estado, archivo de registro y diagnóstico
Connection (conexión)
Indica qué conexión inalámbrica existe:
●
Conexión EDGE (conexión IP vía EGPRS)
●
Conexión GPRS (conexión IP vía GPRS)
●
Conexión CSD (conexión de servicio vía CSD)
Nota
Aunque puede suceder que se visualicen una conexión EDGE (EGPRS) o GPRS y
también una dirección IP asignada, es posible que, sin embargo, la calidad de la
conexión no sea suficiente para transferir datos. Por este motivo, recomendamos
utilizar la supervisión activa de la conexión (consulte el capítulo 5.2).
Connected since (conectado desde)
Indica desde cuándo existe la conexión actual con el EGPRS o GPRS.
Used APN (APN utilizado)
Muestra el APN (= Access Point Name o nombre del punto de acceso) utilizado del
EGPRS o GPRS.
External hostname (nombre de host externo)
Muestra el nombre de host (p. ej. MD741.mydns.org) del SINAUT MD741-1 si se
utiliza un servicio DynDNS.
DynDNS
Indica si está activado un servicio DynDNS.
●
Marca de verificación blanca sobre un punto verde: servicio DynDNS activado.
●
Cruz blanca sobre un punto rojo: servicio DynDNS no activado.
Assigned IP address (dirección IP asignada)
Muestra la dirección IP bajo la cual se puede acceder al SINAUT MD741-1 en el
EGPRS o GPRS. El servicio EGPRS o GPRS asigna esta dirección IP al SINAUT
MD741-1.
Signal (CSQ level) (señal (nivel CSQ))
Indica la intensidad de la señal GSM como valor CSQ.
●
96
CSQ < 6:
Intensidad de señal débil
SINAUT MD741-1
C79000-G8978-C236-02
9 Estado, archivo de registro y diagnóstico
●
CSQ= 6..10:
Intensidad de señal media
●
CSQ=11-18:
Intensidad de señal buena
●
CSQ > 18:
Intensidad de señal excelente
●
CSQ = 99:
No hay conexión con la red GSM.
IMSI
Muestra la identificación del abonado guardada en la tarjeta SIM utilizada.
Conforme a la IMSI (= International Mobile Subscriber Identity o Identidad
Internacional del Abonado a un Móvil), el proveedor de red GSM detecta las
autorizaciones y los servicios contratados para la tarjeta SIM.
IMEI
Indica el número de serie del SINAUT MD741-1 como equipo inalámbrico GSM. El
número IMEI (= International Mobile Equipment Identity o Identidad Internacional
de Equipo Móvil) se asigna unívocamente a nivel mundial.
Bytes sent / Bytes received (bytes enviados / bytes recibidos)
Indica la cantidad de bytes que se han enviado y recibido durante la conexión
actual con el GPRS. Los contadores se resetean cada vez se establece una nueva
conexión.
Nota
Estos números sirven tan sólo de referencia para el volumen de datos, pudiendo
divergir considerablemente de la cuenta del proveedor de red GSM.
Bytes sent / Bytes received since initial operation (bytes enviados / bytes
recibidos desde la puesta en servicio)
Indica la cantidad de bytes que se han enviado y recibido vía GPRS desde la
última vez que se cargaron los ajustes de fábrica.
Los contadores se resetean cuando se cargan los ajustes de fábrica.
Remote HTTPS (HTTPS remoto)
Indica si se permiten accesos remotos a la interfaz web del SINAUT MD741-1 vía
EGPRS o GPRS.
●
Marca de verificación blanca sobre un punto verde: se permite el acceso.
●
Cruz blanca sobre un punto rojo: no se permite el acceso.
SINAUT MD741-1
C79000-G8978-C236-02
97
9 Estado, archivo de registro y diagnóstico
Remote SSH (SSH remoto)
Indica si se permiten accesos remotos a consola SSH del SINAUT MD741-1 vía
EGPRS o GPRS.
●
Marca de verificación blanca sobre un punto verde: se permite el acceso.
●
Cruz blanca sobre un punto rojo: no se permite el acceso.
CSD Dial-In (marcación CSD)
Indica si se permiten llamadas de servicio CSD remotas.
●
Marca de verificación blanca sobre un punto verde: se permiten llamadas de
servicio CSD.
●
Cruz blanca sobre un punto rojo: no se permiten llamadas de servicio CSD.
Number of active firewall rules (número de reglas de firewall activas)
Indica cuántas reglas de firewall están activas.
Current system version (versión actual del sistema)
Visualiza el número de versión de software del SINAUT MD741-1.
98
SINAUT MD741-1
C79000-G8978-C236-02
9 Estado, archivo de registro y diagnóstico
9.2
Archivo de registro
Figura 9-2
Sistema > Archivo de registro
Archivo de registro
En el archivo de registro se guardan los eventos importantes que han ocurrido
durante la operación del SINAUT MD741-1:
●
Rearranque
●
Cambios de configuración
●
Establecimiento de conexiones
●
Interrupción de conexiones
●
Intensidad de señal
●
Avisos de servicio
El archivo de registro se almacena en el fichero histórico del SINAUT MD741-1
cuando su tamaño alcance 1MByte, o a más tardar al cabo de 24 horas.
Download current logfile (descargar archivo de registro actual)
Download (descargar) - el archivo de registro actual se carga en el PC de
administración. El usuario puede seleccionar el directorio en el que debe
guardarse el archivo y visualizar allí el archivo.
SINAUT MD741-1
C79000-G8978-C236-02
99
9 Estado, archivo de registro y diagnóstico
Log archive (fichero histórico)
Download (descargar) - los archivos de registro archivados en el fichero histórico
se cargan en el PC de administración. El usuario puede seleccionar el directorio en
el que deben guardarse los archivos y visualizarlos allí.
Ejemplo:
Figura 9-3
Ejemplo - Archivo de registro
Entradas del archivo de registro
Columna A:
Sello de tiempo
Columna B:
Número de producto 3173xx
Columna C:
Intensidad de señal (valor CSQ)
Columna D:
Estado de registro GSM
STAT = --- = función no iniciada aún
STAT = 1 = registrado en la red de origen
100
SINAUT MD741-1
C79000-G8978-C236-02
9 Estado, archivo de registro y diagnóstico
STAT = 2 = no registrado; búsqueda de red
STAT = 3 = registro rechazado
STAT = 5 = registrado en una red de terceros ("roaming")
Columna E:
Indicación de la identificación del proveedor de red con código de país de 3 dígitos
(MCC) y código de proveedor de red de 2 o 3 dígitos (MNC).
Ejemplo: 26201 (262 = código de país / 01 = código de proveedor de red)
Columna F:
Estado operativo codificado (para el servicio de asistencia técnica)
Columna G:
Categoría del aviso del archivo de registro (para el servicio de asistencia técnica)
Columna H:
Origen interno del aviso del archivo de registro (para el servicio de asistencia
técnica)
Columna I:
Número de aviso interno (para el servicio de asistencia técnica)
Columna J:
Aviso del archivo de registro en forma de texto
Columnas K a P:
Información adicional acerca del aviso de texto, p. ej.:
●
Cell-ID (número de identificación de la celda GSM activa)
●
Versión de software
●
TXS, RXS (paquetes IP transferidos durante la conexión actual)
●
TX, RX (paquetes IP transferidos desde la última carga de los ajustes de
fábrica)
SINAUT MD741-1
C79000-G8978-C236-02
101
9 Estado, archivo de registro y diagnóstico
9.3
Registro remoto
El SINAUT MD741-1 puede transferir una vez al día el archivo de registro del
sistema vía FTP (= File Transfer Protocol) a un servidor FTP.
Se transfieren tanto el archivo de registro actual, como los archivos de registro
contenidos en el fichero histórico. Tras concluir la transferencia correctamente, los
archivos de registro transferidos se borran del SINAUT MD741-1.
Si falla la transferencia, el SINAUT MD741-1 intenta volver a transferir los datos al
cabo de 24 horas.
Figura 9-4
Mantenimiento > Registro remoto
Enable remote logging (FTP upload) (habilitar registro remoto (carga FTP))
Seleccione Yes si desea habilitar la función.
Time (hora)
Especifica la hora a la que deben transferirse los archivos de registro.
FTP Server (servidor FTP)
Define la dirección del servidor FTP al que deben transferirse los archivos de
registro. La dirección puede indicarse como nombre de host (p. ej. ftp.server.com)
o como dirección IP.
User name (nombre de usuario)
Especifica el nombre de usuario para iniciar la sesión en el servidor FTP.
102
SINAUT MD741-1
C79000-G8978-C236-02
9 Estado, archivo de registro y diagnóstico
Password (contraseña)
Especifica la contraseña para iniciar la sesión en el servidor FTP.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
9.4
Enable remote logging (FTP upload) (habilitar
registro remoto (carga FTP))
No (desactivado)
Time (hora)
00:00
FTP Server (servidor FTP)
NONE
User name (nombre de usuario)
guest
Password (contraseña)
guest
Instantánea
Esta función sirve para fines de soporte.
La instantánea de servicio guarda en un archivo la configuración actual del equipo
y archivos de registro que pudieran ser importantes para el diagnóstico de errores.
Figura 9-5
Mantenimiento > Instantánea
Si, debido a un problema con el SINAUT MD741-1, se dirige a nuestro servicio de
asistencia técnica, es posible que éste le solicite el archivo de instantánea.
Nota
Este archivo contiene los parámetros de acceso a EGPRS y GPRS, así como las
direcciones de la estación remota. No contiene el nombre de usuario ni la
contraseña para acceder al SINAUT MD741-1.
SINAUT MD741-1
C79000-G8978-C236-02
103
9 Estado, archivo de registro y diagnóstico
Download service snapshot (descargar instantánea de servicio)
Haga clic en "Download" (descargar). Puede seleccionar en qué ruta del PC de
administración debe guardarse el archivo de instantánea.
El nombre del archivo de instantánea tiene la estructura siguiente:
<nombre de host>_Snapshot_<código de fecha y hora>.tgz
Ejemplo: md741_Snapshot_200711252237.tgz
Advanced diagnosis (diagnóstico avanzado)
Active el diagnóstico avanzado sólo cuando se lo solicite el servicio de asistencia
técnica. Si está activado el diagnóstico avanzado, se escribe información con
mayor frecuencia en los archivos de registro de diagnóstico. Además, se guarda
información adicional. Ésto ayuda a analizar los problemas más concretamente.
Nota
Debido a los accesos de escritura frecuentes a la memoria no volátil del SINAUT
MD741-1 estando activado el diagnóstico avanzado, podría reducirse la vida útil
del equipo.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
Advanced diagnosis (diagnóstico avanzado)
104
Off (activar)
SINAUT MD741-1
C79000-G8978-C236-02
9 Estado, archivo de registro y diagnóstico
9.5
Información de hardware
Muestra información importante acerca de la identificación del hardware.
Figura 9-6
9.6
Información de hardware
Información de software
Muestra información importante acerca de la identificación del software.
Además, se visualizan las actualizaciones planificadas. Consulte también el
capítulo 10.2.
Figura 9-7
SINAUT MD741-1
C79000-G8978-C236-02
Información de software
105
Otras funciones
10.1
10
SMS de alarma
El SINAUT MD741-1 puede enviar mensajes de alarma cortos vía SMS (= Short
Message Service) de la red GSM. Un evento puede disparar el envío de un
mensaje de alarma vía SMS:
●
Evento 1: no hay conexión GPRS
Para el evento se puede indicar un número de teléfono propio al que debe
enviarse el mensaje de alarma. Además, el texto del mensaje de alarma se
puede definir libremente. Es posible utilizar los caracteres siguientes:
A-Z a-z 0123456789,!?
Figura 10-1
Mantenimiento > SMS de alarma
Alarm SMS Event 1 (SMS de alarma para el evento 1): no hay conexión GPRS
Evento 1: la conexión GPRS no se establece a pesar de realizar varios intentos.
Como consecuencia de ello, el SINAUT MD741-1 envía un mensaje de alarma.
106
SINAUT MD741-1
C79000-G8978-C236-02
10 Otras funciones
SMS service center call number (número de teléfono del centro de asistencia
técnica SMS)
Para que la función SMS funcione de forma segura, introduzca aquí el número de
teléfono del centro de asistencia técnica. Si no introduce nada aquí, se utiliza el
centro de asistencia técnica predeterminado de SMS de su proveedor de red.
Ajustes
Enable (habilitar)
Seleccione Yes si el mensaje de alarma debe enviarse cuando ocurra el evento, o
bien No en caso contrario.
Call number (número de teléfono)
Introduzca aquí el número de teléfono del equipo terminal al que debe enviarse el
mensaje de alarma vía SMS. El equipo terminal debe soportar la recepción de
SMS vía GSM o red fija.
Text (texto)
Introduzca aquí el texto que debe enviarse como mensaje de alarma.
Ajustes de fábrica
Los ajustes de fábrica del SINAUT MD741-1 son:
10.2
SMS service center call number (número de
teléfono del centro de asistencia técnica SMS)
-
Alarm SMS Event 1 (SMS de alarma para el
evento 1): no hay conexión GPRS
No (desactivado)
Call number (número de teléfono)
-
Text (texto)
-
Actualización de software
Con la función de actualización puede cargar y activar una nueva versión de
software en el SINAUT MD741-1.
En caso de una actualización inmediata, se descomprime el nuevo software. Este
proceso puede tardar varios minutos. Luego comienza la actualización en sí que
se indica mediante un efecto "running light" de los LEDs.
Los ajustes del SINAUT MD741-1 se aplican siempre y cuando éstos tengan el
mismo efecto en la nueva versión de software que antes de realizar la
actualización.
SINAUT MD741-1
C79000-G8978-C236-02
107
10 Otras funciones
Figura 10-2
Mantenimiento > Actualización
Define the update time (definir la fecha y hora de actualización)
No
Actualización inmediata: el nuevo software de operación se activa directamente
tras cargarlo y hacer clic en el botón Submit (enviar).
Sí
Actualización controlada por tiempo: el nuevo software de operación se activa en
la fecha y hora de actualización definida. Para ello es preciso haber cargado el
software previamente.
Define the update time (definir la fecha y hora de actualización)
Si desea realizar la actualización de forma controlada por tiempo, especifique la
fecha y la hora a la que debe activarse el nuevo software.
Especifique el año – mes – día, horas – minutos
Select update file (seleccionar el archivo de actualización)
Utilice el botón Browse (examinar) para buscar el archivo que contiene el nuevo
software de operación, p. ej.:
MD741_v1.024-v1.027.tgz
Haga clic en Open (abrir) para cargar el firmware en el equipo.
Submit (enviar)
Haciendo clic en Submit (enviar), el software de operación se activa
inmediatamente, o bien en la fecha y hora especificadas.
108
SINAUT MD741-1
C79000-G8978-C236-02
11
Datos técnicos
Interfaces
Interfaz de
aplicación
Interfaz de
servicio
Funciones de
seguridad
Otras funciones
Gestión
Conexión
inalámbrica
EDGE / GPRS
Coding schemes
Módulos GSM
EDGE (EGPRS)
GPRS
EDGE / GPRS
CSD / MTC
SMS (TX)
109
10/100 Base-T (RJ45 plug)
Ethernet IEEE802
10/100 Mbit/s
USB-A (reservada para aplicaciones posteriores)
VPN IPSec
Stateful Inspection Firewall
Anti-spoofing
Port Forwarding
Caché de DNS, servidor DHCP, NTP, registro remoto,
supervisión de conexiones, SMS de alarma
Interfaz web de administración, consola SSH
EDGE Multislot class 12 / EDGE Multislot class 12
CS-1, CS-2, CS-3, CS-4
EGPRS (EDGE) / Quad band
Multislot Class 12
Mobile Station Class B
Modulation and Coding Scheme MCS 1 – 9
Multislot Class 12
Full PBCCH support
Mobile Station Class B
Coding Scheme 1 – 4
Durante la transferencia de datos vía EGPRS o
GPRS, el equipo selecciona automáticamente una de
las clases siguientes:

de EGPRS Multislot Class 12 (4Tx slots)
a EGPRS Multislot Class 10 (2Tx slots),

de EGPRS Multislot Class 10 (2Tx slots)
a EGPRS Multislot Class 8 (1Tx),

de GPRS Multislot Class 12 (4Tx slots)
a GPRS Multislot Class 8 (1Tx)

de GPRS Multislot Class 10 (2Tx slots)
a GPRS Multislot Class 8 (1Tx)
V.110, RLP, no transparente
2.4, 4.8, 9.6, 14.4 Kbit/s
Punto a punto, MO (saliente)
SINAUT MD741-1
C79000-G8978-C236-02
11 Datos técnicos
Potencia de
transmisión máx.
(según salida 99,
V5)
Condiciones
ambientales
Carcasa
Conformidad
Alimentación de
tensión
Conexión de
antena
Rango de
temperatura
Humedad del
aire
Ejecución
Material
Clase de
protección
Dimensiones
Peso
CE
MóduloGSM/EG
PRS
Medio ambiente
Tensión de
entrada
Potencia
absorbida
Consumo de
corriente
110
Clase 4 (+33dBm ±2dB) para EGSM850
Clase 4 (+33dBm ±2dB) para EGSM900
Clase 1 (+30dBm ±2dB) para GSM1800
Clase 1 (+30dBm ±2dB) para GSM1900
Clase E2 (+27dBm ± 3dB) para GSM 850 8-PSK
Clase E2 (+27dBm ± 3dB) para GSM 900 8-PSK
Clase E2 (+26dBm +3 /-4dB) para GSM 1800 8-PSK
Clase E2 (+26dBm +3 /-4dB) para GSM 1900 8-PSK
Impedancia nominal: 50 ohmios, enchufe: SMA
Servicio: -20 °C a +60 °C
Almacenamiento:
-40 °C a +70 °C
0-95 %, sin condensación
Carcasa para montaje en perfil soporte
Plástico
IP20
114 mm x 45 mm x 99 mm
aprox. 280g
Sí
Conforme con GCF, PTCRB
El equipo corresponde con las directivas europeas
ROHS y WEEE.
12 - 30 V DC (24 V DC nominal)
Típ. 4,4 W a 12 V
Típ. 4,0 W a 24 V
Típ. 3,5 W a 30 V
Consulte la tabla más abajo.
SINAUT MD741-1
C79000-G8978-C236-02
11 Datos técnicos
Característica de
la intensidad de
entrada
[mA]
IBurst at 12V
1400
1200
1000
800
600
400
200
[ms]
10
20
30
40
50
60
70
80
90
70
80
90
100
4,62ms burst repeat rate
[mA]
IBurst at 24V
800
600
400
200
[ms]
10
20
30
40
50
60
100
4,62ms burst repeat rate
Consum
o de
corriente
(3)
Tensión de
entrada
Conectado, sin
transferencia
de datos
Transferencia
de datos
continua con
intensidad de
señal baja (1)
Transferencia
de datos
continua con
intensidad de
señal media (2)
Burst
Modo de
operación
[V]
[mA]
[mA]
[mA]
[mA]
GSM-CSD
12
174
315
263
1000
24
97
168
137
450
30
82
137
116
360
12
174
365
282
1260
24
97
182
147
550
30
82
150
121
420
EGPRS/G
PRS
(1)
Medido a GSM900 Power Level 5 (potencia de transmisión: 33dBm)
(2)
Medido a GSM900 Power Level 10 (potencia de transmisión: 23dBm)
(3)
Medido sin utilizar la interfaz USB
SINAUT MD741-1
C79000-G8978-C236-02
111
Normas y homologaciones aplicadas
12.1
12
Equipo
Denominación del producto
SINAUT MD741-1
Fabricante
Siemens Aktiengesellschaft, Industry Automation
Uso previsto
Router (E-)GPRS-VPN para aplicaciones industriales
12.2
Declaración de conformidad CE
Identificación
Directivas europeas aplicadas
Si se utiliza para su fin previsto, el producto cumple las siguientes directivas
europeas:
•
112
Directiva 1999/5/CE (R&TTE) del Parlamento Europeo y del Consejo del 9 de
marzo de 1999 sobre equipos radioeléctricos y equipos terminales de
telecomunicación y reconocimiento mutuo de su conformidad
SINAUT MD741-1
C79000-G8978-C236-02
12 Normas y homologaciones aplicadas
•
Directiva 2006/95/CE (directiva de baja tensión) del Parlamento Europeo y del
Consejo del 12 de diciembre de 2006 relativa a la aproximación de las
legislaciones de los Estados miembros sobre el material eléctrico destinado a
utilizarse con determinados límites de tensión
•
Directiva 2004/108/CE (CEM) del Parlamento Europeo y del Consejo del 15 de
diciembre de 2004 relativa a la aproximación de las legislaciones de los
Estados miembros en materia de compatibilidad electromagnética y por la que
se deroga la Directiva 89/336/CEE
•
Directiva 94/9/CE (ATEX) del Parlamento Europeo y del Consejo del 23 de
marzo de 1994 relativa a la aproximación de las legislaciones de los Estados
miembros sobre los aparatos y sistemas de protección para uso en atmósferas
potencialmente explosivas
Directiva 1999/5/CE (R&TTE)
Normas aplicadas
•
EN301 511: v.9.0.2
•
3GPP TS 51.010-1: v. 5.10.0
Clasificación
Equipo terminal de telecomunicaciones
Equipo de radio
Clase de equipo 1
Directiva 2006/95/CE (directiva de baja tensión)
Normas aplicadas
•
EN 60950:2006
Directiva 2004/108/EC (CEM)
Normas aplicadas
•
EN55022: 2006, clase de valor límite A
•
EN55024:1998 + A1 : 2001 + A2 : 2003
•
EN61000-6-2: 2001
SINAUT MD741-1
C79000-G8978-C236-02
113
12 Normas y homologaciones aplicadas
Precaución
El SINAUT MD741-1 es un equipo de la clase A. Es probable que este equipo cause
interferencias si se utiliza en áreas residenciales; en tal caso, será obligación del
usuario tomar todas las medidas necesarias para corregir este problema.
Directiva 94/9/EC (ATEX)
Additional marking (sample)
6NH9741-1AA00, SINAUT MD741-1 GSM/GPRS Router
Applied standards
●
EN60079-15 (Type of protection “n”)
Classification
Group II, Category 3, Gas Atmosphere, Non-sparking equipment, Temperature
class T4, Ambient temperature range: -20°C … +60°C
Specific Conditions of Use:
1.
The SINAUT MD741-1 shall be installed in an Enclosure which maintains an
ingress protection rating of IP54; meets the enclosure requirements of
EN60079-0 and is only accessible with the use of a tool.
2.
The USB (X1) port shall not be used.
3.
On installation the SINAUT MD741-1 shall be provided with supply transient
protection external to the apparatus such that the voltage at the supply
terminals of the SINAUT MD741-1 shall not exceed 42 V.
4.
When the Antenna is mounted external to the final Enclosure it shall be
mounted and connected in a manner which maintains an ingress protection
rating of IP54 and meets the enclosure requirements of EN60079-0
You can download the ATEX marking by follow the link:
http://support.automation.siemens.com/WW/view/de/30088716
114
SINAUT MD741-1
C79000-G8978-C236-02
12 Normas y homologaciones aplicadas
12.3
Conformidad con FM, UL y CSA
FM certification
Marking (sample)
Applied standards
●
Factory Mutual Approval Standard Class Number 3611
Classification
Class I, Division 2, Group A, B, C, D, Temperature class T4, Ambient temperature
range: -20°C … +60°C
Class I, Zone 2, Group IIC, 135°C maximum surface temperature, Ambient
temperature range: -20°C … +60°C
You can download the FM marking by follow the link:
http://support.automation.siemens.com/WW/view/de/30087869
Certificación UL/CSA
Identificación
Normas aplicadas
•
UL 60950, 1ª edición
•
CSA C22.2 No.60950
SINAUT MD741-1
C79000-G8978-C236-02
115
12 Normas y homologaciones aplicadas
12.4
Conformidad con FCC
Identificación
SINAUT MD741-1
FCC ID: LYHMD741-1
contains MC75 FCC ID: QIPMC75
Normas aplicadas
•
FCC Parte 15
•
FCC Parte 15.19
•
FCC Parte 15.21
Indicaciones obligatorias
FCC Parte 15
El equipo cumple los límites establecidos para dispositivos digitales de clase A, de
conformidad con la parte 15 de la Normativa de la FCC.
Estos límites se han establecido con el objetivo de aportar una protección
razonable contra interferencias perjudiciales cuando el equipo se utiliza en áreas
residenciales. Este equipo genera, utiliza y puede emitir energía de
radiofrecuencia.
A menos que se instale y se utilice de acuerdo con el manual de instrucciones,
puede provocar interferencias perjudiciales en las comunicaciones por radio. Sin
embargo, no puede garantizarse que estas interferencias perjudiciales no se
produzcan en determinadas instalaciones, aunque éstas se realicen de
conformidad con las instrucciones. Si el equipo produce interferencias perjudiciales
en la recepción de radio o televisión, lo cual puede probarse encendiendo y
apagando el equipo, se recomienda al usuario corregir dichas interferencias
tomando una o varias de las siguientes medidas.
116
•
Cambie la orientación o ubicación de la antena de recepción.
•
Aumente la separación entre el y el receptor de radio o televisión.
•
Conecte el equipo a una toma de corriente que se encuentre en un circuito
diferente al del receptor.
•
Consulte con un distribuidor o a un técnico especialista en radio y televisión
para obtener ayuda.
SINAUT MD741-1
C79000-G8978-C236-02
12 Normas y homologaciones aplicadas
FCC Parte 15.19
Este equipo cumple lo establecido en la parte 15 de la Normativa de la FCC. Su
funcionamiento está sujeto a las dos condiciones siguientes:
1. Este equipo no causa posiblemente interferencias electromagnéticas
perjudiciales y
2. este equipo tolera cualquier interferencia recibida, incluidas las
interferencias que puedan provocar un funcionamiento no deseado.
FCC Parte 15.21
Las modificaciones del equipo no aprobadas expresamente por el fabricante
pueden cancelar la autoridad del usuario para operar este equipo.
El SINAUT MD741-1 sólo se puede operar con una antena de los accesorios
originales de SINAUT MD741-1.
Sólo el personal técnico especializado puede instalar el SINAUT MD741-1 y su
antena, así como realizar trabajos de mantenimiento. Al realizar trabajos en la
antena, o a distancias más próximas de las indicadas abajo, es preciso
desconectar el emisor.
ID de FCC utilizada: QIRMC75 (módulo GSM)
Este equipo incluye funciones GSM, GPRS clase 12 y EGPRS clase 10 en una
banda de 900 y 1800 MHz que no pueden utilizarse en los territorios de los EE UU.
Este equipo puede utilizarse para aplicaciones móviles e instaladas fijamente. Las
antenas internas / externas utilizadas con este equipo deben estar separadas por
lo menos 20 cm de personas y no pueden ubicarse ni operarse de manera que
trabajen en conjunto con una antena diferente o un emisor diferente.
Los usuarios y técnicos de instalación deben obtener las instrucciones de
instalación de la antena y las condiciones de operación de la estación emisora que
deben cumplirse para satisfacer la exposición a altas frecuencias admisible. Las
antenas del módulo OEM utilizado no deben exceder una ganancia de 8.4dBi
(GSM 1900) y 2.9dBi (GSM 850) en la configuración de operación de aplicaciones
móviles y fijamente instaladas. Está permitido integrar el equipo como módulo en
otros dispositivos.
SINAUT MD741-1
C79000-G8978-C236-02
117
Glosario
AES
Acrónimo de "Advanced Encrypting Standard" o Norma de
Encriptación Avanzada.
El NIST (National Institute of Standards and Technology) viene
desarrollando desde hace varios años la norma de encriptación AES
conjuntamente con empresas industriales. Esta Æ encriptación
simétrica suplantará la norma DES existente hasta ahora. La norma
AES especifica tres tamaños diferentes de claves de 128, 192 y 256
bits. En 1997, el NIST inició la iniciativa de AES y publicó sus
condiciones para el algoritmo. De los algoritmos de encriptación
propuestos, el NIST seleccionó cinco finalistas, siendo éstos los
algoritmos MARS, RC6, Rijndael, Serpent y Twofish. En octubre de
2000 se decidió que se utilizaría el algoritmo de encriptación Rijndael.
APN (Access Point
Name)
(Nombre de punto de acceso). Las conexiones entre distintas redes,
p. ej. de la red GPRS a Internet, se crean en la red GPRS mediante
APNs.
APN
(pu blico)
Ap licación
l ocal
INT ERN ET
pub lico
MD741-1
(E-)G PRS
pr ivates
INT RANET
APN
(p rivad o)
Un equipo terminal que desea establecer una conexión a través de la
red GPRS indica por medio del APN a qué red quiere conectarse:
bien sea a Internet, o bien a una red privada (Intranet) conectada vía
una línea dedicada.
El APN designa el punto de transferencia a la otra red. El proveedor
de red se lo comunica al usuario.
118
SINAUT MD741-1
C79000-G8978-C236-02
Glosario
Certificado X.509
SINAUT MD741-1
C79000-G8978-C236-02
Designa una especie de "sello" que certifica la autenticidad de una
clave pública (Æ encriptación asimétrica) y los datos asociados.
Para que el usuario de la clave pública – que sirve para encriptar los
datos – pueda estar seguro de que la clave pública que le ha sido
transmitida proviene realmente del verdadero emisor, es decir, de la
instancia que debe recibir los datos a ser enviados, existe la
posibilidad de utilizar una certificación. La verificación de la
autenticidad de la clave pública y la consiguiente vinculación de la
identidad del emisor con su clave es realizada por una autoridad
certificadora (Certification Authority - CA). Esto se realiza según las
reglas de la CA, de manera que el emisor de la clave pública debe p.
ej. comparecer personalmente. Una vez certificada la autenticidad
correctamente, la CA firma la clave pública con su firma (digital) o
firma electrónica. El resultado es un certificado.
Por tanto, un certificado X.509(v3) incluye una clave pública,
información acerca del propietario de la clave (indicada como
"Distinguished Name" (DN) o nombre distintivo), los usos permitidos,
etc., así como la firma digital de la CA.
La firma digital se crea como se indica a continuación: A partir de la
secuencia de bits de la clave pública, los datos de su propietario y
otros datos más, la CA genera el valor HASH, siendo éste una
secuencia de bits individual que puede tener una longitud de hasta
160 bits. La CA encripta el valor HASH con su clave privada y lo
agrega al certificado. La encriptación con la clave privada de la CA
prueba la autenticidad del certificado, es decir, la secuencia de
caracteres HASH encriptada es la firma digital (o firma electrónica) de
la CA. Si los datos del certificado se alteran sin autorización, el valor
HASH dejará de ser correcto y el certificado perderá su validez.
El valor HASH se denomina también "huella digital" o "fingerprint".
Puesto que está encriptado con la clave privada de la CA, toda
persona que tenga en su poder la clave pública correspondiente
puede desencriptar la secuencia de bits y, de esta manera, verificar la
autenticidad de esa huella digital o firma.
Gracias a que se recurre a autoridades certificadoras, un propietario
de la clave no debe conocer a todos los demás propietarios, sino sólo
a la autoridad certificadora. La información adicional acerca de la
clave simplifica además la administración de la clave.
Los certificados X.509 se utilizan p. ej. para la encriptación del correo
electrónico por medio de S/MIME o IPsec.
119
Glosario
CIDR
Classless InterDomain Routing (enrutamiento interdominio sin clases)
Las máscaras de red IP y CIDR son notaciones que agrupan varias
direcciones IP en un área de direcciones. Un rango de direcciones
consecutivas se trata como una red.
El método CIDR reduce p. ej. las tablas de enrutamiento guardadas
en routers mediante un sufijo en la dirección IP. Con este sufijo es
posible designar en conjunto una red y todas las redes subordinadas.
Este método está descrito en RFC 1518.
Para indicar al SINAUT MD741-1 un rango de direcciones IP (p. ej. al
configurar el firewall) puede ser necesario especificar el área de
direcciones en notación CIDR. La tabla siguiente muestra la máscara
de red IP en el lado izquierdo y la correspondiente notación CIDR en
el extremo derecho.
Máscara de red IP
Binario
CIDR
255.255.255.255
255.255.255.254
255.255.255.252
255.255.255.248
255.255.255.240
255.255.255.224
255.255.255.192
255.255.255.128
11111111 11111111 11111111 11111111
11111111 11111111 11111111 11111110
11111111 11111111 11111111 11111100
11111111 11111111 11111111 11111000
11111111 11111111 11111111 11110000
11111111 11111111 11111111 11100000
11111111 11111111 11111111 11000000
11111111 11111111 11111111 10000000
32
31
30
29
28
27
26
25
255.255.255.0
255.255.254.0
255.255.252.0
255.255.248.0
255.255.240.0
255.255.224.0
255.255.192.0
255.255.128.0
11111111 11111111 11111111 00000000
11111111 11111111 11111110 00000000
11111111 11111111 11111100 00000000
11111111 11111111 11111000 00000000
11111111 11111111 11110000 00000000
11111111 11111111 11100000 00000000
11111111 11111111 11000000 00000000
11111111 11111111 10000000 00000000
24
23
22
21
20
19
18
17
255.255.0.0
255.254.0.0
255.252.0.0
255.248.0.0
255.240.0.0
255.224.0.0
255.192.0.0
255.128.0.0
11111111 11111111 00000000 00000000
11111111 11111110 00000000 00000000
11111111 11111100 00000000 00000000
11111111 11111000 00000000 00000000
11111111 11110000 00000000 00000000
11111111 11100000 00000000 00000000
11111111 11000000 00000000 00000000
11111111 10000000 00000000 00000000
16
15
14
13
12
11
10
9
255.0.0.0
254.0.0.0
252.0.0.0
248.0.0.0
240.0.0.0
224.0.0.0
192.0.0.0
128.0.0.0
11111111 00000000 00000000 00000000
11111110 00000000 00000000 00000000
11111100 00000000 00000000 00000000
11111000 00000000 00000000 00000000
11110000 00000000 00000000 00000000
11100000 00000000 00000000 00000000
11000000 00000000 00000000 00000000
10000000 00000000 00000000 00000000
8
7
6
5
4
3
2
1
0.0.0.0
00000000 00000000 00000000 00000000
0
Ejemplo: 192.168.1.0 / 255.255.255.0 equivale en CIDR a:
192.168.1.0/24
120
SINAUT MD741-1
C79000-G8978-C236-02
Glosario
Cliente / servidor
En un entorno cliente / servidor, un servidor es un programa u
ordenador que recibe y responde consultas de programas u
ordenadores cliente.
En la comunicación de datos, un ordenador que establece una
conexión con un servidor (o host) también se denomina cliente. En
otras palabras, el cliente es el ordenador que llama y, el servidor (o
host) es al que se llama.
CSD 9600
CSD (9600) es el acrónimo de "Circuit Switched Data" (Datos
Conmutados por Circuito). Aquí se establece una conexión entre dos
interlocutores (los extremos de la conexión), de manera similar a una
llamada telefónica en la red telefónica pública. El interlocutor 1 llama
al número de teléfono del interlocutor 2. La red le indica la llamada al
interlocutor 2, el interlocutor 2 acepta la llamada y la red establece la
conexión hasta que la finalice uno de los interlocutores.
En la red GSM, este servicio se denomina CSD, permitiendo transferir
datos a 9600 bit/s o 14400 bit/s. La transferencia de datos puede
realizarse de forma segura o insegura. Es posible conectar un módem
GSM a otro módem GSM, un módem analógico a un módem GSM, o
bien un módem RDSI a un módem GSM.
CSQ / RSSI
El valor CSQ es un valor definido en la norma GSM para especificar
la intensidad de señal. Los valores CSQ corresponden a la intensidad
de señal del receptor RSSI (= Received Signal Strength Indication):
CSQ
<6
6…10
11…18
> 18
99
DES / 3DES
SINAUT MD741-1
C79000-G8978-C236-02
RSSI
< -101 dBm
-101…-93 dBm
-91…-77 dBm
> 75 dBm
No registrado
El algoritmo de encriptación simétrica DES (Æ encriptación simétrica),
desarrollado originalmente por IBM y comprobado por la NSA, fue
especificado en 1977 por el National Bureau of Standards
estadounidense, predecesor del actual National Institute of Standards
and Technology (NIST), como norma para instituciones
gubernamentales estadounidenses. Puesto que este fue el primer
algoritmo de encriptación estandarizado, se impuso rápidamente en la
industria y, con ello, también en el exterior de los EE UU.
DES utiliza una clave de 56 bits de longitud que, en vista del aumento
de la potencia de cálculo de los ordenadores desde 1977, ya no se
considera segura.
3DES es una variante de DES. Utiliza claves 3 veces más grandes,
es decir, con una longitud de 168 bits. Aún se considera segura y
también forma parte del estándar IPsec, entre otros.
121
Glosario
Datagrama
En el protocolo de transmisión TCP/IP, los datos se envían en forma
de paquetes denominados "datagramas IP". Un datagrama IP tiene la
siguiente estructura:
1. Cabecera IP
2. Cabecera TCP/UDP
3. Datos (payload o carga)
La cabecera IP contiene:
•
la dirección IP de origen (source IP address)
•
la dirección IP de destino (destination IP address)
•
el número del protocolo de la capa de protocolo directamente
superior (según el modelo de capas OSI)
•
la suma de verificación (checksum) de la cabecera IP para
comprobar la integridad de la misma en la recepción.
La cabecera TCP/UDP contiene la siguiente información:
DHCP
122
•
el puerto de origen (source port)
•
el puerto de destino (destination port)
•
una suma de verificación de la cabecera TCP e información
acerca de la cabecera IP (p. ej. las direcciones IP de origen y
destino)
El "Dynamic Host Configuration Protocol" o Protocolo de
Configuración Dinámica de Hosts (DHCP) asigna automáticamente de
forma dinámica direcciones IP y otros parámetros en una red. El
"Dynamic Host Configuration Protocol" utiliza UDP. Fue definido en el
RFC 2131 y se le asignaron los puertos UDP 67 y 68. DHCP utiliza el
método cliente / servidor. El servidor asigna las direcciones IP al
cliente.
SINAUT MD741-1
C79000-G8978-C236-02
Glosario
Dirección IP
Todo host o router conectado a Internet / Intranet tiene una dirección
IP unívoca (IP = Internet Protocol o Protocolo de Internet). La
dirección IP tiene una longitud de 32 bits (= 4 bytes) y se escribe en
forma de 4 números (cada uno de ellos en el rango comprendido
entre 0 y 255), separados entre sí por puntos.
Una dirección IP comprende 2 partes, a saber: la dirección de la red
y la dirección del host.
Todos los hosts de una red tienen la misma dirección de red, pero
diferentes direcciones de host. Dependiendo del tamaño de la
respectiva red – se distingue entre redes de las clases A, B y C – las
dos partes de la dirección pueden tener diferentes tamaños:
Clase A
Clase B
Clase C
1. byte
Dir. red
2. byte
Dir. red
Dir. red
3. byte
4º byte
Dir. host
Dir. host
Dir. host
El primer byte de la dirección IP indica si ésta designa un equipo en
una red de la clase A, B o C . Está especificado lo siguiente:
Valor del
1er. byte
Clase A
Clase B
Clase C
1-126
128-191
192-223
Bytes para la
dirección de
red
1
2
3
Bytes para la
dirección de
host
3
2
1
Desde el punto de vista matemático, pueden existir como máximo 126
redes de clase A a nivel mundial, abarcando cada una de ellas como
máximo 256 x 256 x 256 hosts (3 bytes de área de direccionamiento).
Además, pueden existir 64 x 256 redes de clase B, abarcando cada
una de ellas como máximo 65.536 hosts (2 bytes de área de
direccionamiento: 256 x 256). Las redes de clase C pueden existir 32
x 256 x 256 veces, abarcando cada una de ellas como máximo 256
hosts (1 byte de área de direccionamiento).
DNS
En principio, el direccionamiento en redes IP se efectúa por medio de
direcciones IP. No obstante, en general se prefiere especificar el
direccionamiento en forma de dirección de dominio (p. ej.
www.abc.xyz.com). Si el direccionamiento se realiza por medio de la
dirección de dominio, el remitente envía primero la dirección de
dominio a un "Domain Name Server" o Servidor de Nombres de
Dominio (DNS) y recibe la dirección IP correspondiente. Tan sólo
entonces, el remitente direcciona sus datos a esa dirección IP.
EDGE
EDGE (= Enhanced Data Rates for GSM Evolution o velocidades de
transferencia datos mejoradas para la evolución de GSM) designa
una técnica en la que las velocidades de transferencia de datos en
redes de telefonía móvil GSM se incrementan gracias a la
introducción de un proceso de modulación adicional. Por medio de
EDGE, GPRS se amplía a EGPRS (Enhanced GPRS) y HSCSD a
ECSD.
SINAUT MD741-1
C79000-G8978-C236-02
123
Glosario
EGPRS
EGPRS es el acrónimo de "Enhanced General Packet Radio Service"
(servicio general de radio por paquetes mejorado). Describe un
servicio de datos orientado a paquetes basado en GPRS y que se
acelera mediante la tecnología EDGE.
Encriptación asimétrica En la encriptación asimétrica, los datos se encriptan con una clave y
se desencriptan con otra clave. Ambas claves se adecúan para
encriptar y desencriptar datos. Una de las claves es mantenida en
secreto por su propietario (clave privada o "Private Key"). La otra se
comunica al público (clave pública o "Public Key"), es decir, a los
posibles interlocutores.
Un mensaje encriptado con la clave pública sólo puede ser
desencriptado y leído por el destinatario que tenga en su poder la
clave privada correspondiente. Un mensaje encriptado con la clave
privada puede ser desencriptado y leído por todo destinatario que
tenga en su poder la clave pública correspondiente. La encriptación
con la clave privada demuestra que el mensaje proviene realmente
del propietario de la clave pública correspondiente. Por tanto, también
se denomina firma digital o firma electrónica.
No obstante, los métodos de encriptación asimétricos tales como RSA
son lentos y susceptibles a determinados ataques. Por este motivo,
se combinan a menudo con un método simétrico (Æ encriptación
simétrica). Por otra parte, también son posibles los conceptos que
evitan la administración compleja de claves asimétricas.
Encriptación simétrica En el caso de la encriptación simétrica, los datos se encriptan y
desencriptan con una misma clave. DES y AES son ejemplos de
algoritmos de encriptación simétrica. Aunque son rápidos, su
administración es compleja al aumentar el número de usuarios.
GPRS
GPRS es el acrónimo de "General Packet Radio Service" (servicio
general de radio por paquetes). Designa un sistema de transferencia
de datos de los sistemas de telefonía móvil GSM2+. Los sistemas
GPRS utilizan las estaciones de base de las redes GSM para la
técnica inalámbrica y una infraestructura propia para el acoplamiento
a otras redes IP como p. ej. Internet. Los datos se transmiten de
forma orientada a paquetes vía Protocolo de Internet (IP). GPRS
provee velocidades de transferencia de datos de hasta 115,2 Kbit/s.
GSM
GSM (= Global System for Mobile Communication o sistema global
para las comunicaciones móviles) es una norma de telefonía móvil
digital utilizada en el mundo entero. GSM soporta no sólo el servicio
de voz para la telefonía, sino también distintos servicios de datos
tales como fax, SMS, CSD y GPRS. Dependiendo de las
disposiciones legales en los diferentes países, se utilizan las bandas
de frecuencia 900 MHz, 1800 MHz ó 850 MHz y 1900 MHz.
124
SINAUT MD741-1
C79000-G8978-C236-02
Glosario
HTTPS
HTTPS (= HyperText Transfer Protocol Secure o Protocolo Seguro de
Transferencia de Hipertexto) es una variante del protocolo HTTP que
utiliza todo navegador web para intercambiar datos y navegar en
Internet.
En HTTPS se ha agregado al protocolo original un componente
adicional para proteger los datos. En tanto que con el protocolo HTTP
los datos se transfieren en forma de texto y sin protección, en el
protocolo HTTPS se transfieren de forma encriptada tan sólo después
de haber intercambiado certificados de seguridad.
IPsec
IP security (IPsec) es una norma que utiliza la encriptación para
asegurar en los datagramas IP la autenticidad del remitente, la
confidencialidad y la integridad de los datos. Los componentes de
IPsec son el "Authentication Header" (AH o cabecera de
autenticación), la "Encapsulating Security Payload" (ESP o
encapsulación segura del campo de carga), la "Security Association"
(SA o asociación de seguridad), el "Security Parameter Index" (SPI o
índice de parámetros de seguridad) y el "Internet Key Exchange" (IKE
o intercambio de claves en Internet).
Al inicio de la comunicación, los ordenadores que deben comunicarse
determinan el proceso a utilizar y sus implicaciones (p. ej. modo
transporte o modo túnel).
En modo transporte se inserta una cabecera IPsec entre la cabecera
IP y la cabecera TCP o UDP de todo datagrama IP. Puesto que la
cabecera IP no se modifica, este modo sólo es apropiado para una
conexión host-host.
En modo túnel se antepone una cabecera IPsec y una nueva
cabecera IP al datagrama IP entero. Por consiguiente, el datagrama
original se encripta en su totalidad, integrándose en la carga
("payload") del nuevo datagrama.
El modo túnel se utiliza en VPN. Los dispositivos ubicados en los
extremos del túnel se encargan de encriptar y desencriptar los
datagramas. En el tramo del túnel, es decir, en la vía de transmisión a
través de la red pública, los datagramas en sí permanecen protegidos
por completo.
SINAUT MD741-1
C79000-G8978-C236-02
125
Glosario
NAT (Network Address En la "Network Address Translation" (NAT o Traducción de Dirección
de Red) – denominada a menudo también enmascaramiento IP – una
Translation)
red entera se "oculta" detrás de un único dispositivo: el router NAT.
Los ordenadores internos de la red local permanecen ocultos con sus
respectivas direcciones IP al comunicarse hacia el exterior vía el
router NAT. Los interlocutores externos sólo ven el router NAT con su
propia dirección IP.
No obstante, para que los ordenadores internos puedan comunicarse
directamente con ordenadores externos (en Internet), el router NAT
debe modificar los datagramas IP que pasan hacia afuera desde los
ordenadores internos y desde afuera hacia los ordenadores internos.
Si un datagrama IP se envía desde la red interna hacia afuera, el
router NAT modifica las cabeceras IP y TCP del datagrama. Sustituye
la dirección IP de origen y el puerto de origen por la propia dirección
IP oficial y un puerto propio, hasta ahora no utilizado. Para ello
gestiona una tabla que establece la asignación entre los valores
originales y los valores nuevos.
Al recibir un datagrama de respuesta, el router NAT reconoce gracias
al puerto de destino indicado que el datagrama está destinado en
realidad para un ordenador interno. Utilizando la tabla, el router NAT
sustituye la dirección IP de destino y el puerto de destino y reenvía el
datagrama a la red interna.
Máscara de red /
máscara de subred
Normalmente, a una red empresarial con acceso a Internet se le
asigna oficialmente sólo una dirección IP, p. ej. 134.76.0.0. El 1er.
byte de esta dirección de ejemplo muestra que esta red empresarial
es una red de clase B, es decir, los últimos 2 bytes pueden utilizarse
libremente para direccionar los hosts. Desde el punto de vista
matemático, resulta de ello un área de direccionamiento de 65.536
hosts posibles (256 x 256).
Obviamente, una red tan enorme es poco práctica. De esto surge la
necesidad de crear subredes. La respuesta a esta necesidad es la
máscara de subred. Al igual que una dirección IP, esta máscara tiene
una longitud de 4 bytes. Cada uno de los bytes que representan la
dirección de red tienen asignado el valor 255. El objetivo principal de
esta máscara es "pedir prestada" una parte del área de
direccionamiento de hosts con objeto de utilizarla para direccionar las
subredes. Tomando como ejemplo la máscara de subred
255.255.255.0 en una red de clase B (2 bytes para la dirección de
red, 2 bytes para la dirección del host), el 3er. byte – previsto
inicialmente para la dirección del host – puede utilizarse ahora para el
direccionamiento de la subred. Desde el punto de vista matemático,
podrían configurarse así 256 subredes con 256 hosts cada una.
Número de puerto
El número de puerto es un campo de 2 bytes en las cabeceras UDP y
TCP. La asignación de números de puerto sirve para identificar los
distintos flujos de datos que son procesados simultáneamente por los
protocolos UDP/TCP. A través de estos números de puerto se realiza
todo el intercambio de datos entre UDP/TCP y los procesos de
aplicación. La asignación de números de puerto a los procesos de
aplicación se realiza de forma dinámica y aleatoria. Hay números de
puerto asignados fijamente a determinados procesos de aplicación
utilizados con frecuencia. Éstos se denominan "Assigned Numbers"
(números asignados).
126
SINAUT MD741-1
C79000-G8978-C236-02
Glosario
Paquete IP
Véase "Datagrama"
PPPoE
Acrónimo de "Point-to-Point Protocol over Ethernet" (Protocolo Punto
a Punto sobre Ethernet). Este protocolo se basa en los estándares
PPP y Ethernet. PPPoE es una especificación que define cómo
conectar usuarios vía Ethernet con Internet a través de un medio de
banda ancha utilizado conjuntamente, como p. ej. DSL, Wireless LAN
o módem de cable.
PPTP
Acrónimo de "Point-to-Point Tunneling Protocol" (Protocolo de Túnel
Punto a Punto). Este protocolo fue desarrollado por Microsoft, U.S.
Robotics y otros para transferir datos de forma segura entre dos
nodos VPN (Æ VPN) a través de una red pública.
Private Key (clave
privada), Public Key
(clave pública);
certificación (X.509)
Los algoritmos de encriptación asimétrica utilizan 2 claves, a saber:
una clave privada (Private Key) y una pública (Public Key). La clave
pública sirve para encriptar datos y, la clave privada, para
desencriptarlos.
La clave pública es puesta a la disposición por el futuro destinatario
de los datos a los remitentes que le enviarán los datos de forma
encriptada. La clave privada está sólo en poder del destinatario. Sirve
para desencriptar los datos recibidos.
Certificación:
Para que el usuario de la clave pública (que sirve para encriptar los
datos) pueda estar seguro de que la clave pública que le ha sido
transmitida proviene realmente de la instancia que debe recibir los
datos a ser enviados, existe la posibilidad de utilizar una certificación.
La verificación de la autenticidad de la clave pública y la consiguiente
vinculación de la identidad del remitente con su respectiva clave es
realizada por una autoridad certificadora (Certification Authority - CA).
Esto se realiza según las reglas de la CA, de manera que el remitente
debe p. ej. comparecer personalmente. Una vez certificada la
autenticidad correctamente, la CA firma la clave pública del remitente
con su firma (digital). El resultado es un certificado.
Un certificado X.509 crea un enlace entre una identidad en forma de
un 'X.500 Distinguished Name' (DN o nombre distintivo) y una clave
pública que es certificado por la firma digital de una autoridad
certificadora (CA) X.509. La firma - una encriptación con la clave de
firma – se puede comprobar con la clave pública que la CA le entrega
al propietario del certificado.
Protocolo, protocolo de Los equipos que se comunican entre sí deben utilizar las mismas
reglas, es decir, deben "hablar el mismo idioma". Estas reglas y
comunicación
estándares se denominan protocolos o protocolos de comunicación.
Algunos de los protocolos utilizados con más frecuencia son p. ej. IP,
TCP, PPP, HTTP o SMTP. TCP/IP es el término genérico de todos los
protocolos basados en IP.
SINAUT MD741-1
C79000-G8978-C236-02
127
Glosario
Proveedor de DynDNS Denominado también proveedor de DNS dinámico. Todo ordenador
conectado a Internet tiene una dirección IP (IP = Internet Protocol o
Protocolo de Internet). Una dirección IP comprende 4 números de tres
dígitos como máximo, separados entre sí por puntos. Si el ordenador
está conectado online a través de la red telefónica – por módem,
RDSI o ADSL – el proveedor de servicios de Internet le asigna
dinámicamente una dirección IP, es decir, la dirección cambia de una
sesión a otra. Incluso si el ordenador está online sin interrupción las
24 horas del día (p. ej. en caso de una tarifa plana), la dirección IP se
cambia de vez en cuando.
Si un ordenador local debe estar accesible a través de Internet, la
estación remota externa debe conocer su dirección. Sólo de esta
manera puede establecer una conexión con el ordenador local. Sin
embargo, esto no es posible si la dirección del ordenador local cambia
constantemente. A menos que el usuario del ordenador local tenga
una cuenta con un proveedor de DNS dinámico (DNS = "Domain
Name Server" o Servidor de Nombres de Dominio).
En este caso, puede especificar allí un nombre de host con el cual se
deba poder acceder al ordenador en el futuro, p. ej.
www.xyz.abc.com. Además, el proveedor de DNS dinámico provee un
pequeño programa que se debe instalar y ejecutar en el ordenador en
cuestión. En cada sesión de Internet del ordenador local, esta
herramienta le comunica al proveedor de DNS dinámico qué dirección
IP tiene el ordenador en ese momento. Este servidor de nombres de
dominio registra la asignación actual de nombre de host – dirección IP
y se la comunica a los demás servidores de nombres de dominio en
Internet.
Si un ordenador externo desea establecer ahora una conexión con el
ordenador local registrado en el proveedor de DNS dinámico, el
ordenador externo utiliza como dirección el nombre de host del
ordenador local. Así se crea una conexión con el respectivo DNS
(Domain Name Server o Servidor de Nombres de Dominio) para
buscar allí la dirección IP asignada actualmente a ese nombre de
host. La dirección IP se envía al ordenador externo y éste la utiliza
entonces como dirección de destino. Ésta conduce ahora
directamente al ordenador local deseado.
En principio, todas las direcciones de Internet se basan en este
procedimiento. Primero se crea una conexión con el DNS para
consultar la dirección IP asignada a este nombre de host. A
continuación, por medio de la dirección IP "consultada" se crea una
conexión con la estación remota deseada que puede ser un sitio web
cualquiera.
Proveedor de servicios Oferente, empresa o institución que provee acceso a los usuarios a
Internet o a un servicio online.
Spoofing, anti-spoofing En la terminología de Internet, "spoofing" significa indicar una
dirección falsa. Por medio de la dirección de Internet falsa, alguien
simula ser un usuario autorizado.
Por "anti-spoofing" se entienden los mecanismos que descubren o
impiden el "spoofing".
128
SINAUT MD741-1
C79000-G8978-C236-02
Glosario
SSH
SSH (Secure SHell) es un protocolo que permite intercambiar datos
de forma segura y encriptada entre ordenadores. SSH se utiliza para
el acceso remoto a la consola de entrada de máquinas basadas en
LINUX.
Stateful Inspection
Firewall
"Stateful Inspection Firewall" es un método para filtrar paquetes. Los
filtros de paquetes sólo dejan pasar paquetes IP si ésto se ha definido
previamente por reglas de firewall. En las reglas de firewall se define
lo siguiente:
•
•
•
qué protocolo (TCP, UDP, ICMP) puede pasar,
el origen permitido para los paquetes IP (From IP / From port) (De
IP / de puerto))
el destino permitido para los paquetes IP (To IP / To port) (A IP / a
puerto))
Asimismo se define qué debe suceder con los paquetes IP que no
puedan pasar, p. ej. si se deben descartar o rechazar.
En un filtro de paquetes simple es preciso crear siempre dos reglas
de firewall para una conexión:
•
•
una regla para el sentido de consulta del origen al destino y
otra regla para el sentido de respuesta del destino al origen.
Ésto es diferente en un "Stateful Inspection Firewall". Aquí se crea
sólo una regla de firewall para el sentido de consulta del origen al
destino. La regla de firewall para el sentido de respuesta del destino
al origen resulta del análisis de los datos enviados antes. La regla de
firewall para las respuestas se vuelve a cerrar tras recibir las
respuestas o al cabo de un período breve. Por tanto, las respuestas
sólo pueden pasar si ha habido previamente una consulta. De esta
manera, la regla de respuesta no puede utilizarse para accesos no
autorizados. Además, hay métodos especiales que permiten el paso
de datos UDP y ICMP sin haberlos solicitado antes.
SINAUT MD741-1
C79000-G8978-C236-02
129
Glosario
TCP/IP
TCP/IP es el acrónimo de "Transmission Control Protocol / Internet
Protocol" (Protocolo de Control de Transmisión / Protocolo Internet).
Estos protocolos de red se utilizan para conectar dos ordenadores en
Internet.
IP es el protocolo básico.
UDP se basa en IP y envía paquetes individuales. El destinatario
puede recibir estos paquetes en un orden diferente al que han sido
enviados o incluso pueden perderse paquetes.
TCP sirve para asegurar la conexión y garantiza p. ej. que los
paquetes de datos se envíen en el orden correcto a la aplicación.
UDP y TCP proveen, además de las direcciones IP, números de
puerto comprendidos entre 1 y 65535, mediante los cuales se
distinguen los distintos servicios.
Otros protocolos se basan asimismo en UDP y TCP, como p. ej.
HTTP (Hyper Text Transfer Protocol), HTTPS (Secure Hyper Text
Transfer Protocol), SMTP (Simple Mail Transfer Protocol), POP3
(Post Office Protocol, versión 3), DNS (Domain Name Service).
ICMP se basa en IP y contiene mensajes de control.
SMTP es un protocolo de correo electrónico basado en TCP.
IKE es un protocolo IPsec basado en UDP.
ESP es un protocolo IPsec basado en IP.
En un PC con Windows, el archivo WINSOCK.DLL (o
WSOCK32.DLL) gestiona ambos protocolos.
(Æ Datagrama)
UDP
Véase TCP/IP
VPN (Virtual
Private Network)
VPN es el acrónimo de "Virtual Private Network" (Red Privada
Virtual). Una VPN conecta varias redes privadas separadas
(subredes) con una red pública (p. ej. Internet) para formar una red
conjunta. Gracias a la utilización de protocolos criptográficos se
garantiza la confidencialidad y autenticidad. Por tanto, a la hora de
crear una red empresarial supraregional, una VPN ofrece una
alternativa económica a las líneas dedicadas.
130
SINAUT MD741-1
C79000-G8978-C236-02
Glosario
El esquema siguiente muestra cómo pueden estar distribuidas las
direcciones IP en una red local con subredes, qué direcciones de red
resultan de ello y cómo podría especificarse una ruta interna
adicional.
Rutas internas
adicionales
Dirección externa del MD7411: (asignada por el proveedo r)
p.ej. 80.81.1 92.37
MD741-1
Dirección interna del
MD7 41-1: 192.168.11.1
(E-)GPRS
APN
Switch
R outer
A1
A2
R ed A
D irec. de red: 19 2.168.11.0 / 24
Máscara de red: 255.255.255.0
A3
A4
A5
IP externa: 192.168.11.2
Router
IP interna: 192.168.15.254
Másc. de red: 255.255.255.0
Switch
Red B
Direc. de red: 192.168.15.0 / 24
Máscara de red: 255.255.25 5.0
Ro uter
B1
B2
B3
B4
IP externa: 192.168.15.1
Router
IP interna 192.168.27.254
Másc. de red: 255.2 55 .255.0
Switch
R ed C
D irec. de red: 19 2.168.27.0 / 24
Máscara de red: 255.255.255.0
Rutas internas
adicionales
C1
C2
C3
C4
La red A está conectada al SINAUT MD741-1 y, a través de éste,
también a una red remota. Las rutas internas adicionales señalan la
ruta a otras redes (redes B, C), conectadas entre sí por medio de
gateways (routers). En el ejemplo, el SINAUT MD741-1 puede
acceder tanto a la red B como a la red C vía el gateway 192.168.11.2
y la dirección de red 192.168.11.0/24.
SINAUT MD741-1
C79000-G8978-C236-02
131
Glosario
Red A
Ordenador A1
Dirección 192.168.11.3
IP
Máscara
255.255.255.0
de red
Red B
A2
192.168.11.4
A3
192.168.11.5
A4
192.168.11.6
A5
192.168.11.7
255.255.255.0
255.255.255.0
255.255.255.0
255.255.255.0
Ordenador B1
Dirección 192.168.15.3
IP
Máscara
255.255.255.0
de red
Red C
B2
192.168.15.4
B3
192.168.15.5
B4
192.168.15.6
255.255.255.0
255.255.255.0
255.255.255.0
Ordenador C1
Dirección 192.168.27.3
IP
Máscara
255.255.255.0
de red
C2
192.168.27.4
C3
192.168.27.5
C4
192.168.27.6
Rutas internas
adicionales:
Red:
192.168.15.0/24
Gateway:
192.168.11.2
Red:
192.168.27.0/24
Gateway:
192.168.11.2
255.255.255.0
255.255.255.0
255.255.255.0
132
SINAUT MD741-1
C79000-G8978-C236-02