Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales Fabricantes de equipos originales Sistemas de plantas industriales Introducción El acceso remoto seguro a activos, datos y aplicaciones de producción, junto con las herramientas de colaboración más novedosas, ofrece a los fabricantes la posibilidad de aplicar las habilidades y los recursos adecuados en el momento oportuno, independientemente de su ubicación física. Los fabricantes de equipos originales buscan maneras de reducir los costos, aumentar su valor ante sus clientes de fabricación, y diferenciarse respecto a la competencia. Este artículo explica en resumen los medios necesarios para permitir el acceso remoto seguro a las aplicaciones y a los datos de la planta, y puede utilizarse como orientación para que los fabricantes de equipos originales colaboren con sus clientes al momento de diseñar un acceso remoto seguro. Retos técnicos Los fabricantes de equipos originales tradicionalmente confiaban en el personal de la planta para ofrecer asistencia a los sistemas de automatización y control industrial (IACS), o empleaban métodos como acceso telefónico autónomo sin utilizar un firewall. Este método de acceso remoto con frecuencia sortea la seguridad del perímetro y crea la amenaza de una “puerta trasera” en el sistema de fabricación, que puede constituir un importante riesgo para la seguridad. Dado que los fabricantes de equipos originales desean ofrecer asistencia remota de forma segura y responder a los problemas en tiempo real, este método ya no es suficiente. Desde hace tiempo hay tecnologías que permiten el acceso remoto a las redes empresariales tradicionales, como las redes privadas virtuales (VPN). No obstante, ha sido un reto aplicar correctamente estas tecnologías para ofrecer acceso remoto eficaz a los sistemas de automatización y control industrial (IACS). 2 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales Esto se debe a varios motivos: • Los sistemas de automatización y control industrial (IACS) suelen ser administrados por las organizaciones de fabricación, mientras que las soluciones de acceso remoto a nivel empresarial, como las redes privadas virtuales (VPN), son responsabilidad de la organización de IT. La correcta implementación del acceso remoto a los sistemas de automatización y control industrial requiere la colaboración entre IT y las organizaciones de fabricación. • El acceso remoto puede exponer sistemas críticos de fabricación a virus y malware que pudiera haber en una computadora remota o de un socio, lo que puede afectar la producción. • Resulta complicado garantizar que el dispositivo final (computadora) que se utiliza para el acceso remoto sea seguro y que cuente con las versiones adecuadas de las aplicaciones necesarias para el acceso y el control remotos. • Puede ser difícil limitar las capacidades del usuario remoto a las funciones adecuadas para usuarios remotos y que no requieren la presencia local a consecuencia de requisitos de línea de visión o similares. • Los fabricantes con frecuencia no pueden limitar el acceso remoto de los socios o de los empleados únicamente a las máquinas, a las aplicaciones, o a las partes de la red de las que son responsables y para las que tienen autorización. • No hay una talla única. Una solución de acceso remoto a sistemas de automatización y control industrial (IACS) que funcione para un cliente tal vez no sea suficiente para otro. La solución de acceso remoto a sistemas de automatización y control industrial (IACS) requerida por un cliente tal vez resulte demasiado complicada o poco práctica a otro. Tal como se indica más adelante, una solución de acceso remoto viable depende de los requisitos de la industria, de los requisitos del cliente (procedimientos y políticas de seguridad), del tamaño del cliente y de su infraestructura de asistencia. Como consecuencia, las soluciones de acceso remoto, aunque cuentan con amplia difusión en redes empresariales, no han sido adoptadas de manera tan general como para atender a la red de sistemas de automatización y control industrial (IACS). Cuando se ha utilizado la tecnología de redes privadas virtuales, con frecuencia ha tenido que enfrentarse a los retos antes indicados y, por tanto, se ha limitado únicamente a los empleados (no a los socios) y aún así puede plantear algunos riesgos de seguridad, incluidos virus y acceso no autorizado, si no se implementa correctamente. Para conseguir realmente una fabricación en colaboración, el acceso debe ser escalable, independientemente de la ubicación o de la compañía. El acceso debe ser seguro para poder comunicar los problemas, diagnosticarlos y aplicar las acciones correctivas de forma eficaz. El acceso tiene que limitarse a aquellos individuos autorizados a tener acceso a los sistemas, y sus acciones autorizadas deben alinearse a los procedimientos y a las políticas de la planta y de la empresa. Al colaborar con su cliente para implementar el acceso remoto a sus soluciones de sistemas de automatización y control industrial (p. ej. máquina), las siguientes preguntas lo pueden ayudar a identificar el nivel de disposición de la organización: • ¿Cuentan con una política de seguridad de IT? • ¿Cuentan con una política de seguridad de sistemas de automatización y control industrial? • ¿Tienen una política de acceso remoto para los empleados y la infraestructura correspondiente? ¿Qué productos/tecnología de redes privadas virtuales emplean? • ¿Tienen una política de acceso remoto para “socios”, es decir, la posibilidad y el proceso necesarios para añadir socios (OEM, SI, proveedor de automatización, contratista)? • En el caso de socios, ¿está preparada su solución para integrarse a la infraestructura de red de sistemas de automatización y control industrial de su cliente? ¿Admite su solución el acceso remoto? ¿Está alineada su solución con las normas de seguridad establecidas de sistemas de automatización y control industrial, como ISA-99 y NIST 800-82? Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 3 Otras consideraciones clave incluyen: • Monitorear y auditar las actividades de los usuarios remotos para identificar el mal uso • Determinar si hay alguna restricción de “línea de visión” (requisitos visuales) o de otro tipo que deba identificarse antes de permitir ciertas capacidades de acceso remoto • Definir qué herramientas de software están permitidas para el acceso remoto Al diseñar una solución de acceso remoto seguro debe emplearse una estrategia de “defensa en profundidad”. Esta estrategia crea varias capas de seguridad que abordan las diferentes amenazas potenciales que pueden presentarse en una situación de acceso remoto. Aunque no existe una sola tecnología o metodología capaz de proteger por completo las redes de sistemas de automatización y control industrial, la combinación Ingenieros y socios remotos de varias tecnologías de seguridad constituye Cifrado IPsec y VPN SSL un firme freno ante la mayoría de los tipos de Autenticación, autorización y responsabilidad infracciones de seguridad y amenazas conocidas, a la vez que limita el impacto de cualquier peligro. Listas de control de acceso (ACL) Para garantizar un programa de seguridad de Navegación segura (HTTPS) “defensa en profundidad” completo, las compañías Protección y detección de intrusiones deben emplear varios tipos de controles. Sesión de terminal remoto Seguridad de aplicaciones VLAN Defensa en profundidad Tecnologías de seguridad aplicadas Principios del acceso remoto seguro Estos controles se pueden clasificar como: •Administrativos - Principalmente procedimientos y políticas de seguridad. Aplicaciones y datos de IACS - Entre los ejemplos se incluyen: política de contraseñas, capacitación en concientización de seguridad, etc. •Técnicos - También llamados controles “lógicos”, consisten de hardware, software y componentes electrónicos destinados a monitorear y controlar el acceso a los sistemas de información. - Entre los ejemplos se incluyen: firewalls, IPS/IDS, tarjetas inteligentes, etc. •Físicos - Principalmente controles mecánicos para monitorear y controlar el acceso físico - Entre los ejemplos se incluyen: bloqueos, guardas de seguridad, cámaras de seguridad, etc. Es importante recordar que no basta con emplear controles técnicos, y que un programa de seguridad completo incluye controles administrativos, técnicos y físicos. El diagrama anterior muestra un ejemplo de los controles técnicos que se pueden implementar para crear una estrategia de “defensa en profundidad”. 4 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales Estrategia Hay varias estrategias que permiten ofrecer acceso remoto seguro a un sistema de control y automatización industrial, dos de las cuales son acceso directo y acceso indirecto. La estrategia elegida depende de los criterios anteriormente indicados, como por ejemplo los procedimientos y las políticas de seguridad del cliente. Cada estrategia tiene varias consideraciones de diseño que pueden tener un impacto en el funcionamiento correcto de los sistemas de automatización y control industrial (IACS), por lo que deben tenerse en cuenta al diseñar e implementar la solución de acceso remoto a los IACS. Acceso directo El acceso directo permite al usuario remoto establecer una conexión segura “directamente” a los sistemas de automatización y control industrial (IACS). Tras crear un túnel seguro de redes privadas virtuales, el software de la computadora del usuario remoto inicia la comunicación directa con los sistemas de automatización y control industrial. • Consideraciones de diseño, ¿cómo se aplicarán los siguientes elementos? - Autenticación y autorización de red y aplicación - Gestión de cambios, control de versiones, cumplimiento normativo y gestión de licencias de software - Gestión de estado del cliente remoto (computadora) - Alineación con las normas de seguridad establecidas para sistemas de automatización y control industrial NOTA: Aunque la asistencia de IT necesaria para esta estrategia es escasa o nula, las prácticas de seguridad recomendadas deben estar alineadas con las normas de seguridad establecidas para sistemas de automatización y control industrial. Acceso directo Sitio remoto Sistemas de plantas industriales Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 5 Acceso indirecto El acceso indirecto le permite al usuario remoto establecer una conexión segura con los sistemas de automatización y control industrial (IACS) mediante un servidor intermediario que suele encontrarse en la zona desmilitarizada (DMZ) y que ofrece acceso de gateway remoto a un servidor de acceso remoto (RAS) en los sistemas de automatización y control industrial. Una vez que se ha establecido la sesión de VPN, el cliente remoto establece una conexión con el servidor de acceso remoto mediante una aplicación de software de cliente esbelto o un navegador web. • Consideraciones de diseño - Varias capas de autenticación y autorización de red - Gestión de activos simplificada – gestión de cambios, control de versiones, cumplimiento normativo, y gestión de licencias de software - Gestión de estado simplificada del cliente remoto - Mayor alineación con las normas de seguridad establecidas de sistemas de automatización y control industrial NOTA: El acceso indirecto es la estrategia preferida debido a su mayor alineación con las normas de seguridad establecidas de sistemas de automatización y control industrial. Por tanto, esta es la estrategia que recomienda el equipo de arquitectos de Converged Plantwide Ethernet (CPwE) de Cisco y Rockwell Automation. Acceso indirecto Sitio remoto Servidor de acceso remoto (RAS) Sistemas de plantas industriales 6 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales Al analizar las soluciones de acceso remoto seguro, se debe determinar si los tipos de sistemas a los que se debe tener acceso son IACS autónomos y aislados o un IACS integrado en la empresa. • Ejemplo ilustrativo de IACS autónomos y aislados - Planta de fabricación pequeña, podría tratarse de talleres con un único operador, ubicación remota (no integrada a la empresa), con unas cuantas máquinas automatizadas - Asistencia de IT escasa o nula con ninguna o mínimas políticas de seguridad - Alineación escasa o nula con las normas de seguridad establecidas de sistemas de automatización y control industrial • Ejemplo ilustrativo de IACS integrados a la empresa - Planta de fabricación de mayor tamaño - La red industrial se comunica con la red de la empresa - Fuerte presencia de IT con políticas de seguridad de defensa en profundidad - Alineación con las normas de seguridad establecidas para sistemas de automatización y control industrial Ejemplo: Acceso directo para IACS autónomos Aplicación de seguridad de UTM WAN Router WAN Sitio remoto Ingeniero de planta Fabricante de máquinas Integrador de sistemas Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 7 Ejemplo: Acceso indirecto para IACS autónomos (estrategia preferida) WAN Router WAN Sitio remoto Aplicación de seguridad de UTM Servidor de acceso remoto (RAS) Ingeniero de planta Fabricante de máquinas Integrador de sistemas Ejemplo: Acceso indirecto para IACS integrados a la empresa (estrategia preferida) (Fabricante de mayor tamaño con integración de sistemas de producción [fabricación] y empresa [IT]) DMZ WAN Sitio remoto Ingeniero de planta Fabricante de máquinas Integrador de sistemas Sistemas empresariales Sistemas de plantas industriales 8 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales Posibles soluciones de acceso remoto Módems de acceso telefónico Los módems han sido tradicionalmente un método de acceso remoto de “puerta trasera” que no se ha tenido en cuenta para aplicaciones de IACS. Suelen ser el método menos deseado para obtener acceso a un IACS. No obstante, si se ha optado por este método de acceso remoto en base a una política de acceso remoto y limitaciones de la infraestructura física, debe seguirse una estrategia de seguridad con varias capas, además de desconectar la alimentación del módem cuando no se esté utilizando. El módem debe tener las siguientes capacidades: • Cuentas de acceso telefónico configurables • Identificador de llamadas, que permita solo la autenticación a determinados números de teléfono programables • Funciones de devolución de llamada • Autenticación cifrada Además de emplear un módem con seguridad integrada, también debe recurrirse a otras capas de defensa. Algunas de estas defensas incluyen: implementación de un firewall habilitado con CIP, establecimiento de una VPN SSL o IPsec, configuración de un sistema de detección/prevención de intrusiones (IDS/IPS), incorporación de protección antivirus, etc. La mayoría de los firewalls modernos ofrecen varias capas de seguridad en un único producto que con frecuencia se denomina dispositivo de gestión unificada de amenazas (UTM). NOTA: Para ver otras pautas sobre la seguridad de un módem, consulte: • Department of Homeland Security – Recommended Practice for Securing Módems de sistemas de control - http://www.us-cert.gov/control_systems/practices/documents/SecuringModems.pdf • Servicios de seguridad y redes de Rockwell Automation - http://www.rockwellautomation.com/services/security/ Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 9 Conexión remota a la planta (encaminadores WAN/módems: DSL, celular, satélite, cable, T1, etc.) Cuando no se puede recurrir a un módem tradicional por no ser posible instalar líneas de teléfono, el acceso celular para establecer una conexión WAN es una excelente alternativa. Esta opción es cada vez más popular debido al aumento de la zona de cobertura, a la velocidad, al costo y a la conveniencia. Conexión remota a la planta Sitio remoto WAN Router WAN Aplicación de seguridad de UTM Sistemas de plantas industriales No obstante, tal como se indicó anteriormente acerca de los módems de acceso telefónico, las conexiones WAN celulares mediante módems celulares y encaminadores deben utilizarse junto con otras tecnologías de seguridad para proporcionar una “defensa en profundidad” o, como mínimo, que estas características estén integradas en el dispositivo (paquete UTM). Otras opciones de conectividad WAN incluyen: DSL, cable, T1, satélite, etc. El tipo de conectividad que se utilizará para establecer la conectividad WAN con el sistema autónomo variará según la ubicación, las restricciones de presupuesto y la política de acceso del fabricante. Un punto que hay que señalar es que al implementar una VPN, normalmente será necesario que el proveedor de WAN asigne una dirección IP estática. A continuación se indican varias características de seguridad que hay que tener en cuenta al diseñar una solución: • ¿Tiene capacidades de VPN? ¿SSL? ¿IPsec? • ¿Proporciona un firewall? - ¿Filtra los protocolos industriales? CIP, Modbus, etc. - ¿Inspección profunda de paquetes? • ¿Traducción de direcciones de red (NAT)? • ¿Se ha fabricado para uso industrial? • ¿Antivirus, filtrado de correo no deseado? • ¿Puede proporcionar auditoría? • ¿Incorpora un sistema de detección y/o prevención de intrusiones? 10 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales Conexión de salida de la planta (Webex, GoToMyPc, dispositivos VPN de gateway, etc.) Las conexiones iniciadas por el usuario final también pueden proporcionar capacidades de acceso remoto seguro siempre que el sistema de control disponga de personal en la planta y que se haya establecido ya una conectividad a internet segura mediante controles de seguridad multicapa. El encargado de asistencia técnica remota puede solicitar una sesión remota mediante tecnologías como Webex, etc. WAN Sitio remoto Router WAN Aplicación de seguridad de UTM Sistemas de plantas industriales Conexión remota a la planta No obstante, la computadora portátil/PC en la planta debe tener instalado todo el software necesario para proporcionar capacidades remotas y además IT debe configurar las reglas necesarias para permitir el acceso de salida. El riesgo de abrir las conexiones de salida a internet (http/https) para utilizar estos dispositivos no debe pasarse por alto y debe limitarse a determinados sitios y direcciones IP para evitar que se pueda navegar por internet desde los sistemas de control. El uso de navegadores web puede plantear importantes riesgos y se sabe que ha sido la causa de ataques. Otra solución consiste en recurrir a un dispositivo de “Gateway VPN” que se encuentra en el sistema de control y establece el acceso remoto mediante un servicio de “Hosted VPN”. Si se emplea esta solución hay que tener la precaución de analizar el proveedor de servicios “Hosted”, su ubicación, si cumple las prácticas de seguridad recomendadas, y si está alineado con las normas de seguridad de IACS establecidas, como ISA-99 y NIST 800-82, así como si cumple los requisitos de seguridad de las políticas de seguridad del fabricante. Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 11 IACS integrados a la empresa Posible solución • Solución de acceso remoto seguro CPwE de Rockwell Automation y Cisco - http://literature.rockwellautomation.com/idc/groups/literature/documents/td/ enet-td001_-en-p.pdf - http://literature.rockwellautomation.com/idc/groups/literature/documents/wp/ enet-wp009_-en-e.pdf Soluciones personalizadas Si desea una solución personalizada, el equipo de servicios de redes y seguridad de Rockwell puede diseñar una solución segura que se adapte a sus necesidades. •http://www.rockwellautomation.com/services/networks/ •http://www.rockwellautomation.com/services/security/ 12 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales Resumen La evolución de las capacidades de acceso remoto seguro permite a los fabricantes de equipos originales mejorar la productividad, reducir los costos y responder con mayor rapidez a los eventos que afectan a sus clientes. Mediante estas soluciones de acceso remoto seguro, los fabricantes de equipos originales pueden proporcionar asistencia remota en tiempo real. Estas capacidades son cada vez más importantes a medida que las operaciones de fabricación se vuelven más complejas y globalmente distribuidas, a la vez que disminuye la disponibilidad de trabajadores cualificados que puedan prestar asistencia a los sistemas de la planta 24 horas al día. Las capacidades de acceso remoto de los sistemas autónomos ofrecen a los fabricantes de equipos originales la posibilidad de aplicar las habilidades y los recursos adecuados en el momento oportuno, independientemente de su ubicación física. Estas aumentan la eficiencia, disminuyen el tiempo improductivo y reducen los costos. Dada la importancia crítica de las aplicaciones de los sistemas de automatización y control industrial, es esencial que cualquier solución de acceso remoto ofrezca los niveles adecuados de seguridad para cumplir las necesidades del fabricante y alinearse a las normas de seguridad establecidas de los sistemas de automatización y control industrial. La aplicación de los principios de “defensa en profundidad” garantiza que nunca se produzca un acceso remoto directo no seguro a una aplicación de IACS. Recursos adicionales Alliance Member • Cisco – Routers de servicios integrados - http://www.cisco.com/en/US/products/ps10906/Products_Sub_Category_Home.html Rockwell Automation • Módems de acceso remoto - http://www.rockwellautomation.com/services/onlinephone/modems/ Socios Encompass •http://www.rockwellautomation.com/encompass/ Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 13 Glosario de términos CIP - Protocolo industrial común El protocolo industrial común (CIP) abarca un paquete completo de mensajes y servicios para la colección de aplicaciones de automatización de fabricación: control, seguridad, sincronización, movimiento, configuración e información. CIP es propiedad de la organización ODVA, que se encarga de su mantenimiento. ODVA es una asociación internacional con miembros procedentes de las principales compañías de automatización del mundo. Conjunto de protocolos IP Conjunto de normas de redes en el que se basan internet y la mayoría de las redes empresariales. Incluye el protocolo internet (IP) de capa 3, el protocolo de transmisión (TCP) de capa 4, y el protocolo de datagramas de usuario (UDP). DMZ - Zona desmilitarizada Hace referencia a un búfer o segmento de red entre dos zonas de red. DMZ suele ser una zona entre internet y una red corporativa en la que es posible tanto compartir datos y servicios como obtener acceso a ellos desde las redes corporativas o el internet. La DMZ normalmente se establece con firewalls de red para gestionar y proteger el tráfico procedente de ambas zonas. Para ver un ejemplo de una DMZ de red, consulte Scenario: DMZ Configuration: http://www.cisco.com/en/US/docs/solutions/Verticals/CPwE/CPwE_chapter4.html#wp1050554 IACS - Sistemas de automatización y control industrial Hace referencia al conjunto de dispositivos y aplicaciones que se utilizan para automatizar y controlar el proceso de fabricación relevante. En vez de usar varios términos con significado similar (p. ej., sistemas de producción, sistemas de planta), utilizamos este término estándar en este artículo. Con ello, no pretendemos sugerir ninguna limitación o enfoque específico. Consideramos que las ideas y los conceptos que aquí se explican pueden aplicarse en distintos tipos de fabricación, entre los que se incluyen, por lotes, continuos, discretos, híbridos y de procesos. Otros documentos y referencias de la industria pueden hacer referencia a sistemas industriales de control (ICS). Para los propósitos de este documento, estos términos son intercambiables. Este documento utiliza IACS, según se refleja en las normas ISA 99, y está alineado con Converged Plantwide Ethernet (CPwE) de Cisco y Rockwell Automation IPA-3 - Protocolo internet Protocolo internet. Protocolo de capa de red de la pila TCP/IP que ofrece un servicio de intercomunicación de redes sin conexión. IP ofrece funciones para el direccionamiento, especificación del tipo de servicio, fragmentación y reensamblaje, y seguridad. Se define en RFC 791. Para obtener más información sobre IP, TCP y UDP, consulte Internetworking Technology Handbook-Internet Protocols: http://www.cisco.com/en/US/docs/internetworking/technology/handbook/Internet-Protocols. html 14 | Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales IPSec - Seguridad IP Un marco de normas abiertas que proporciona confidencialidad de datos, integridad de datos, y autenticación de datos entre homólogos participantes. IPSec proporciona estos servicios de seguridad en la capa IP. IPSec usa IKE (consulte anteriormente) para gestionar la negociación de protocolos y algoritmos en base a la política local y para generar las claves de cifrado y autenticación que utilizará IPSec. IPSec puede proteger uno o varios flujos de datos entre un par de anfitriones, entre un par de gateways de seguridad o entre un gateway de seguridad y un anfitrión. Para comprender en detalle el funcionamiento de IPsec, visite la siguiente URL: http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094203. shtml. IPS - Sistemas de prevención de intrusiones Un dispositivo de seguridad de red que monitorea la actividad de la red para detectar comportamientos malintencionados o no deseados. Consulte más información sobre los sistemas de prevención de intrusiones en Wikipedia: http://en.wikipedia.org/wiki/Intrusionprevention_system O bien en Cisco IPS: http://www.cisco.com/en/US/products/sw/secursw/ps2113/index.html ISA-99 Se centra en la seguridad de sistemas de automatización y control industrial. Para obtener más información, consulte: http://www.isa.org/MSTemplate.cfm?MicrositeID=988&CommitteeID=6821 NAT - Traducción de direcciones de red Mecanismo para reducir la necesidad de direcciones IP globalmente únicas. La traducción de direcciones de red (NAT) permite que una organización con direcciones que no son globalmente únicas pueda conectarse a internet al traducir dichas direcciones al espacio de direcciones globalmente encaminables. Planta - Instalación de producción, fábrica o planta de fábrica En este documento se usa el término “planta” para describir la zona donde se lleva a cabo el proceso de fabricación y el control. Con esto no se pretende excluir palabras similares, tales como fábrica, instalación de producción o cualquier otro término que se utilice para hacer referencia a la zona donde toma lugar el proceso de fabricación. De hecho, se pueden utilizar de manera intercambiable, pero por coherencia utilizaremos el término “planta”. Sesión de terminal remoto El escritorio remoto hace referencia a un conjunto de protocolos y software que permite que una computadora o un usuario pueda obtener acceso y controlar de forma remota otra computadora mediante una emulación gráfica del terminal. El software que hace posible que aparezca ante un anfitrión remoto como un terminal conectado directamente incluye el protocolo de escritorio remoto (RDP) de Microsoft y Virtual Network Computing (VNC). SSL - Capa de sockets seguros Tecnología de cifrado de la web que se utiliza para proporcionar transacciones seguras, como la transmisión de números de tarjetas de crédito para el comercio electrónico. Soluciones escalables de acceso remoto seguro para fabricantes de equipos originales | 15 Subred En las redes IP, una subred es una red que comparte una determinada dirección de red. Las subredes son redes arbitrariamente segmentadas por el administrador de una red para proporcionar una estructura de encaminamiento multinivel y jerárquica, a la vez que oculta a la subred de la complejidad de direccionamiento de las redes conectadas. UTM - Gestión unificada de amenazas Solución completa que ha surgido recientemente en la industria de seguridad de redes y, desde 2004, ha ganado gran difusión como solución de defensa de gateway de red primaria para organizaciones.[1] En teoría, se trata de una evolución del firewall tradicional que pasa a convertirse en un producto de seguridad completo que permite realizar diversas funciones de seguridad mediante una única aplicación: firewall de red, prevención de intrusiones en la red y antivirus (AV) de gateway, protección frente al correo no deseado de gateway, VPN, filtrado de contenido, equilibrio de carga, prevención de fugas de datos y elaboración de informes de la aplicación. Se puede obtener más información sobre UTM en la Wikipedia: http://en.wikipedia.org/wiki/ Unified_threat_management VPN - Red privada virtual Red que utiliza principalmente una infraestructura pública de telecomunicaciones, como por ejemplo internet, para ofrecer a las oficinas remotas o a los usuarios de viaje acceso a la red central de la organización. Las redes privadas virtuales (VPN) normalmente requieren que los usuarios remotos de la red se autentiquen y, con frecuencia, protegen los datos mediante tecnologías de cifrado para evitar la revelación de información privada a terceros no autorizados. Las redes privadas virtuales (VPN) pueden llevar a cabo cualquier funcionalidad de red que haya en cualquier red, como el uso compartido de datos y el acceso a recursos de red, impresoras, bases de datos, sitios web, etc. El usuario de una VPN normalmente puede actuar sobre la red central exactamente de la misma manera que si estuviera directamente conectado a la red central. La tecnología de red privada virtual (VPN) mediante internet pública ha evitado tener que solicitar y mantener los costosos circuitos de telecomunicaciones de líneas alquiladas dedicadas, que antes eran habituales en las instalaciones de red de amplia área. Se puede obtener más información sobre las VPN en la Wikipedia: http://en.wikipedia.org/wiki/VPN WAN - Red de amplia área Red de amplia área (WAN) es una red de telecomunicaciones que cubre un área extensa (p. ej., cualquier red que establezca una conexión entre los límites de una ciudad, región o país). Las empresas y los organismos oficiales utilizan redes WAN para transmitir datos entre empleados, clientes, compradores y proveedores de diversas ubicaciones geográficas. Básicamente, este modo de telecomunicaciones permite que una empresa lleve a cabo con eficacia sus operaciones diarias independientemente de la ubicación. http://en.wikipedia.org/wiki/Wide_area_network Zona de fabricación Zona de red en la estructura lógica de la planta, tal como se muestra en el capítulo 2 del documento Converged Plantwide Ethernet (CPwE) Design and Implementation Guide de Cisco y Rockwell Automation. La zona contiene un conjunto completo de aplicaciones, sistemas, infraestructura y dispositivos que son críticos para la continuidad de las operaciones de la planta. En otros documentos (por ejemplo ISA 99), esta zona también se denomina zona de control. Los términos son intercambiables a este respecto. Allen-Bradley, Rockwell Automation y Rockwell Software son marcas registradas de Rockwell Automation, Inc. Todas las marcas comerciales que no pertenecen a Rockwell Automation son propiedad de sus respectivas empresas. Publicación ENET-WP025A-ES-E – Marzo de 2012 ©2012 Rockwell Automation, Inc. Todos los derechos reservados. Impreso en EE.UU.