SIMATIC NET. Router EDGE/GPRS SINAUT MD Prólogo, contenido. Aplicación y funciones. Puesta en servicio. Configuración.

Transcripción

1 Prólogo, contenido Aplicación y funciones 1 SIMATIC NET Router EDGE/GPRS Puesta en servicio Configuración 2 3 Manual de sistema Interfaz local 4 Interfaz externa 5 Funciones de seguridad 6 Conexiones VPN 7 Accesos remotos 8 Estado, archivo de registro y diagnóstico 9 Otras funciones 10 Datos técnicos 11 Normas y homologaciones aplicadas 12 C79000-G8978-C Glosario Edición 10/2008

2 Clasificación de las consignas de seguridad Este manual contiene indicaciones que hay que tener en cuenta para su propia seguridad, así como para evitar daños materiales. Las indicaciones relativas a su propia seguridad están destacadas mediante un triángulo de advertencia, las indicaciones que se refieren simplemente a daños materiales no tendrán un triángulo de advertencia. De acuerdo al grado de peligro las consignas se representan, de mayor a menor peligro, como sigue.!!! Peligro Significa que, si no se adoptan las medidas preventivas adecuadas se producirá la muerte, o bien lesiones corporales graves. Advertencia Significa que, si no se adoptan las medidas preventivas adecuadas puede producirse la muerte o bien lesiones corporales graves. Precaución Con triángulo de advertencia significa que puede producirse una lesión leve si no se toman las medidas preventivas adecuadas. Precaución Sin triángulo de advertencia significa que, si no se adoptan las medidas preventivas adecuadas, pueden producirse daños materiales. Atención Significa que se puede producir un evento o estado no deseado, si no se toma en consideración la indicación respectiva. Si se presentan varios niveles de peligro siempre se utiliza la advertencia del nivel más alto. Si en una consigna de seguridad con triángulo de advertencia se alarma de posibles daños personales, la misma consigna puede contener también una advertencia sobre posibles daños materiales. Personal cualificado El aparato/sistema correspondiente sólo se puede ajustar y operar en combinación con esta documentación. Sólo está autorizado a poner en marcha y utilizar este equipo/sistema el personal cualificado. Personal cualificado, según las indicaciones técnicas de seguridad de este manual, son aquellas personas que tienen la autorización necesaria para poner en marcha, poner a tierra y marcar aparatos, sistemas y circuitos de acuerdo con los estándares de la técnica de seguridad. Uso conforme Se debe considerar lo siguiente:1! Marcas Advertencia El equipo sólo se puede utilizar para los casos de aplicación previstos en el catálogo y en la descripción técnica, y sólo en combinación con los equipos y componentes de otros fabricantes recomendados y homologados por Siemens. El funcionamiento correcto y seguro del producto presupone un transporte, un almacenamiento, una instalación y un montaje adecuados, así como un manejo y un mantenimiento rigurosos. Todas las denominaciones marcadas con el símbolo de protección legal son marcas registradas de Siemens AG. Las demás denominaciones en esta documentación pueden ser marcas cuya utilización por parte de terceros para sus fines, pueden infringir los derechos de los titulares de la marca. Exención de responsabilidad Hemos comprobado si el contenido del impreso coincide con el hardware y el software descritos. Sin embargo, como no pueden excluirse las divergencias, no nos responsabilizamos de la plena coincidencia. El contenido de esta publicación se revisa periódicamente; si es necesario, las correcciones necesarias se incluyen en la siguiente edición. Siemens AG Automation and Drives Postfach NUREMBERG ALEMANIA Referencia del documento: C79000-G8978-C Edición 10/2008 Copyright Siemens AG Sujeto a cambios sin previo aviso 2 C79000-G8978-C236-02

3 Indicaciones generales acerca del producto El producto corresponde a la norma europea EN60950 Seguridad de los equipos de tecnología de la información. Antes de utilizar el equipo, lea con atención las instrucciones de instalación. Mantenga el equipo fuera del alcance de los niños, especialmente de los más pequeños. El equipo no se puede instalar ni operar al aire libre ni en recintos húmedos. No ponga en marcha el equipo si están deteriorados los cables de conexión o el propio equipo. Fuente de alimentación externa Utilice sólo una fuente de alimentación externa que corresponda asimismo a la norma EN La tensión de salida de la fuente de alimentación externa no debe exceder los 30 V DC. La salida de la fuente de alimentación externa debe estar protegida contra cortocircuitos.! Advertencia El sólo puede ser abastecido por fuentes de alimentación según la norma IEC/EN , sección 2.5 "Fuente de alimentación con potencia limitada". La fuente de alimentación externa para el debe estar en conformidad con las disposiciones para circuitos eléctricos NEC de clase 2, tal y como se ha definido en el National Electrical Code (ANSI/NFPA 70). Tenga en cuenta los apartados Alimentación de bornes roscados y reglas de instalación de la presente documentación (capítulo 2.6), así como los reglamentos de montaje y utilización de los respectivos fabricantes de la fuente de alimentación, batería o acumulador. Tarjeta SIM Para instalar la tarjeta SIM es preciso abrir el equipo. Antes de abrir el equipo, desconéctelo de la tensión de alimentación. Las cargas estáticas pueden deteriorar el equipo cuando esté abierto. Descargue la carga eléctrica de su cuerpo antes de abrir el equipo. A este efecto, toque una superficie puesta a tierra, p. ej. la carcasa de metal del armario de distribución. Consulte a este respecto el capítulo 2.6. Manejo de cables No desenchufe nunca un conector de cable tirando del cable, sino sujetando el conector. Los conectores de cable con sujeción por tornillo (D-sub) deben atornillarse siempre firmemente. No conduzca los cables sobre aristas ni cantos vivos sin protección de bordes. En caso necesario, vigile que los cables tengan un alivio de tracción suficiente. C79000-G8978-C

4 Asegúrese de que, por motivos de seguridad, se respete el radio de curvatura de los cables. Si no se respetan los radios de curvatura del cable de antena, se menoscabarán las propiedades de emisión y recepción del equipo. El radio de curvatura mínima no puede ser inferior a 5 veces el diámetro de cable estáticamente o 15 veces el diámetro de cable dinámicamente. Equipo de radio! Advertencia No utilice nunca el equipo en zonas en las que esté prohibida la utilización de equipos de radio. El equipo incorpora un emisor de radio que podría afectar el funcionamiento de dispositivos electrónicos médicos tales como audífonos o marcapasos. Consulte con su médico o el fabricante de dichos dispositivos. Para que no puedan desmagnetizarse los soportes de datos, no almacene disquetes, tarjetas de crédito ni otros soportes de datos magnéticos en las proximidades del equipo. Montaje de antenas! Advertencia Debe garantizarse la conformidad con los valores límites de radiación recomendados por la Comisión Alemana de Protección contra Radiaciones ( del 13/14 de septiembre de Montaje de una antena exterior Precaución Al instalar una antena al aire libre es imprescindible que ésta sea montada correctamente por personal técnico especializado. La antena exterior debe ponerse a tierra para la protección contra rayos. El blindaje de la antena exterior debe conectarse de forma segura con la tierra de protección. Al realizar la instalación deben cumplirse las respectivas normas de instalación nacionales. En los EE UU, esta norma es el National Electric Code NFPA 70, artículo 810. En Alemania se aplican las normas VDE 0185 (DIN EN 62305),1ª a 4ª parte, en edificios con pararrayos y las normas VDE 0855 (DIN EN ) si falta el pararrayos. 4 C79000-G8978-C236-02

5 Indicaciones y advertencias para la observación de normas de seguridad, telecomunicaciones, CEM y otras Precaución Tenga en cuenta las indicaciones y advertencias contenidas en el capítulo 12 antes de poner en servicio el. Costes de conexión con (E-) GPRS Precaución Tenga en cuenta que también al (re)establecer una conexión, al intentar establecer una conexión con una estación remota (p. ej. servidor apagado, dirección de destino incorrecta, etc.) así como al mantener la conexión se intercambian paquetes de datos que deben pagarse. Firmware con Open Source GPL / LGPL El firmware de contiene software Open Source sujeto a condiciones GPL / LGPL. De conformidad con la sección 3b de GPL y la sección 6b de LGPL, ponemos a su disposición el código fuente. Envíe un mensaje de correo electrónico a s_opsource@gmx.net s_opsource@gmx.de En el asunto del mensaje, introduzca el texto 'Open Source MD741' para poder filtrar fácilmente su mensaje. C79000-G8978-C

6 Firmware con OpenBSD El firmware de contiene partes del software OpenBSD. La utilización del software OpenBSD obliga a imprimir la siguiente información de copyright: * Copyright (c) 1982, 1986, 1990, 1991, 1993 * The Regents of the University of California. All rights reserved. * * Redistribution and use in source and binary forms, with or without * modification, are permitted provided that the following conditions * are met: * 1. Redistributions of source code must retain the above copyright * notice, this list of conditions and the following disclaimer. * 2. Redistributions in binary form must reproduce the above copyright * notice, this list of conditions and the following disclaimer in the * documentation and/or other materials provided with the distribution. * 3. All advertising materials mentioning features or use of this software * must display the following acknowledgement: * This product includes software developed by the University of * California, Berkeley and its contributors. * 4. Neither the name of the University nor the names of its contributors * may be used to endorse or promote products derived from this software * without specific prior written permission. * * THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR * PURPOSE * ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR * CONSEQUENTIAL * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, * WHETHER IN CONTRACT, STRICT * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF * SUCH DAMAGE. 6 C79000-G8978-C236-02

7 Prólogo Objetivo de la documentación Esta documentación le ayudará a utilizar con éxito el módem GPRS/GSM. Ofrece una introducción al tema y proporciona una vista general del campo de aplicación del hardware. Asimismo, explica cómo poner en servicio y configurar el módem teniendo en cuenta las condiciones de operación. Esta documentación incluye los datos técnicos, así como las homologaciones y normas que cumple el módem GPRS/GSM MD Ámbito de validez de la documentación El presente manual es válido para las siguientes versiones del producto: Módem GPRS/GSM MD741-1, versión de hardware 2.x SIMATIC Technical Support Puede dirigirse al Technical Support (servicio de asistencia técnica) de todos los productos A&D por: Teléfono: +49 (0) Fax: +49 (0) Para más información sobre el servicio de asistencia técnica, visite la página web Service & Support en Internet Además de nuestra documentación, en Internet ponemos a su disposición todos nuestro know-how: Allí encontrará: Información de actualidad sobre productos, preguntas frecuentes (Frequently Asked Questions), descargas, consejos y trucos. El boletín (Newsletter) le mantendrá informado sobre los productos. El Knowledge Manager le ayudará a encontrar los documentos que necesita. Los usuarios y especialistas de todo el mundo intercambian sus experiencias en el Forum. Una base de datos en la que podrá encontrar los datos de su persona de contacto para Industry Automation de su región o localidad. Bajo la rúbrica»services«encontrará información sobre servicio técnico, reparaciones, piezas de repuesto etc. de su región. La versión actual de esta documentación está disponible bajo el ID de referencia C79000-G8978-C236-02

8 Prólogo Tiene más preguntas sobre el uso de los productos descritos en el manual? En este caso, diríjase al representante de Siemens en las sucursales u oficinas de su región. Las direcciones se encuentran en los lugares indicados a continuación: En Internet: En Internet: especialmente para productos SIMATIC NET En el catálogo CA 01 En el catálogo IK PI (especialmente para productos SIMATIC NET) En la siguiente dirección encontrará artículos, certificados y más información útil acerca del MD741-1: Centro de formación SIMATIC Para iniciarse en nuestros sistemas, ofrecemos cursos de formación especializados. Diríjase a su centro de formación regional o directamente a la central en D Nuremberg Teléfono: +49 (911) Centro de formación SIMATIC NET Para cursos acerca de los productos SIMATIC NET en particular, diríjase a: SIEMENS AG Siemens AG, A&D Informations- und Trainings-Center Dynamostr. 4 D Mannheim Teléfono: +49 (621) Fax: +49 (621) C79000-G8978-C236-02

9 Índice 1 Aplicación y funciones Introducción Puesta en servicio Paso a paso Requisitos para el funcionamiento correcto Frontal del equipo Pulsador de servicio (SET) Indicadores de estado Conectores Insertar la tarjeta SIM Montaje en un perfil soporte normalizado Configuración Configuración TCP/IP del adaptador de red bajo Windows XP Establecer una conexión de configuración Página inicial de la interfaz web Selección de idioma Realizar la configuración Perfiles de configuración Cambiar la contraseña Rearranque Cargar los ajustes de fábrica Interfaz local Direcciones IP de la interfaz local Servidor DHCP a la red local DNS a la red local Nombre de host local Hora de sistema / NTP Rutas internas adicionales Interfaz externa Parámetros de acceso a EGPRS/GPRS Supervisión de conexiones EGPRS/GPRS Nombre de host vía DynDNS Funciones de seguridad Filtro de paquetes Port Forwarding Funciones de seguridad avanzadas Archivo de registro del firewall Conexiones VPN Modo Roadwarrier VPN Modo Standard VPN IPsec C79000-G8978-C236-02

10 Índice 7.3 Cargar certificados VPN Reglas de firewall para túnel VPN Configuración avanzada de conexiones VPN Estado de las conexiones VPN Accesos remotos Acceso remoto HTTPS Acceso remoto SSH Acceso remoto por marcación telefónica Estado, archivo de registro y diagnóstico Visualización del estado operativo Archivo de registro Registro remoto Instantánea Información de hardware Información de software Otras funciones SMS de alarma Actualización de software Datos técnicos Normas y homologaciones aplicadas Equipo Declaración de conformidad CE Conformidad con FM, UL y CSA Conformidad con FCC Glosario C79000-G8978-C236-02

11 Aplicación y funciones Introducción El provee una conexión inalámbrica a Internet o a una red privada. El ofrece esta conexión en cualquier lugar en el que esté disponible una red GSM (Global System for Mobile Communication = Sistema Global de Comunicación Móvil) que ofrezca los servicios EGPRS (Enhanced General Packet Radio Service = EDGE) o GPRS (General Packet Radio Service). Como requisito debe disponerse de una tarjeta SIM de un proveedor de red GSM con los respectivos servicios habilitados. El conecta de esta manera una aplicación conectada localmente o una red entera a través de enlaces IP inalámbricos con Internet. También es posible establecer una conexión directa con una red Intranet a la que, a su vez, estén conectadas otras estaciones remotas. A través de la conexión IP inalámbrica, el puede establecer una red privada virtual (VPN = Virtual Private Network) entre una aplicación o una red conectada localmente y una red externa, así como proteger esta conexión por medio de IPsec (Internet Protocol Security) contra accesos de terceros. A este efecto, el equipo incluye las siguientes funciones: Módem GPRS para la comunicación de datos flexible vía GPRS Router VPN para la transferencia segura de datos a través de redes públicas (protocolo IPSec, encriptación de datos 3DES, encriptación AES) Firewall para la protección contra accesos no autorizados. El filtro dinámico de paquetes examina los paquetes de datos según las direcciones de origen y destino (stateful packet inspection) y bloquea el tráfico de datos no deseado (anti-spoofing). 11 C79000-G8978-C236-02

12 1 Aplicación y funciones Ejemplos de aplicación típicos de SINAUT S7-300 CPU TIM MD741-1 Posición de control ST7cc Módem DSL Router VPN (E-)GPRS APN INTERNET TúnelVPN Figura 1-1 Conexión entre una CPU y la posición de control CPU TIM MD741-1 Po sición de control STcc VPN-Tunnel TIM Conexión lógica Módem DSL Router VPN (E-)GPRS INTERNET CPU TIM MD741-1 APN Túnel VPN Figura 1-2 Conexión entre dos CPUs Configuración La configuración del equipo se efectúa mediante una interfaz web que puede visualizarse fácilmente con un navegador web. El acceso puede realizarse a través de: La interfaz local EGPRS/GPRS CSD (Circuit Switched Data = datos conmutados por circuito) del GSM 12 C79000-G8978-C236-02

13 1 Aplicación y funciones Conexión vía GSM-CSD MD741-1 PC con navegador web PC co n navegador web Conexión vía (E-)GPRS PC con navegador web Abbildung 1-3 Conexiones de configuración Funciones VPN El provee las siguientes funciones VPN: Protocolo: IPsec (modo túnel) Encriptación IPsec 3DES de 192 bits Encriptación IPsec AES de 128, 192 y 256 bits Autenticación de paquetes: MD5; SHA-1 Internet Key Exchange (IKE) en modo principal y modo agresivo Autenticación: Pre-Shared Key (PSK), certificados X.509v3, CA NAT-T Dead-Peer-Detection (DPD) Funciones de firewall El provee las siguientes funciones de firewall para proteger la red local y a sí mismo contra ataques externos: Stateful Inspection Firewall Anti-spoofing Port Forwarding NAT C79000-G8978-C

14 1 Aplicación y funciones Otras funciones El provee las siguientes funciones adicionales: Caché de DNS Servidor DHCP NTP Registro remoto Entrada de conmutación Salida de conmutación Interfaz web para la configuración Envío de SMS de alarma Consola SSH para la configuración Cliente DynDNS Conexión de acceso telefónico para el mantenimiento y la configuración remota 14 C79000-G8978-C236-02

15 Puesta en servicio Paso a paso Realice los pasos siguientes para la puesta en servicio del : Paso 1. Primero que todo, familiarícese con los requisitos de funcionamiento del. Capítulo Lea con mucha atención las consignas de seguridad y demás indicaciones al comienzo de este documento y cúmplalas en todo caso. 3. Familiarícese con los elementos de mando, conectores e indicadores de estado del. 4. Conecte un PC con navegador web (PC de administración) a la interfaz local (10/100 BASE-T) del. 5. A través de la interfaz web del, introduzca el PIN (número de identificación personal) de la tarjeta SIM. 6. Desconecte el de la tensión de alimentación , Inserte la tarjeta SIM en el equipo Conecte la antena Conecte la tensión de alimentación del Configure el conforme a sus exigencias. 3 a Conecte su aplicación local C79000-G8978-C236-02

16 2 Puesta en servicio 2.2 Requisitos para el funcionamiento correcto Para poder operar el es preciso disponer de la información siguiente y cumplir los requisitos indicados a continuación: Antena Una antena ajustada a las bandas de frecuencia del proveedor de red GSM seleccionado: 850 MHz, 900 MHz, 1800 MHz ó 1900 MHz. Utilice sólo antenas de los accesorios originales de. Consulte el capítulo 2.6. Fuente de alimentación Una fuente de alimentación con una tensión comprendida entre 12 V DC y 30 V DC que suministre suficiente corriente. Consulte el capítulo 2.6. Tarjeta SIM Una tarjeta SIM del proveedor de red GSM seleccionado. PIN El PIN (= número de identificación personal) de la tarjeta SIM Habilitación para EGPRS / GPRS El proveedor de red GSM seleccionado debe habilitar la tarjeta SIM para los servicios EGPRS o GPRS. Se deben conocer los datos de acceso EGPRS / GPRS: Access Point Name (APN) User name (nombre de usuario) Password (contraseña) Habilitación de 9600 bits/s para CSD El proveedor de red GSM seleccionado debe habilitar la tarjeta SIM para el servicio CSD si se desea utilizar la configuración remota por medio de conexiones de acceso telefónico (consulte el capítulo 8.3). 16 C79000-G8978-C236-02

17 2 Puesta en servicio 2.3 Frontal del equipo A Bornes de conexión de la fuente de alimentación B Pulsador de servicio (SET) C Conector hembra de antena tipo SMA D Indicadores de estado S, Q, C E X1 (servicio; USB) sin función F G H Bornes de conexión de las entradas y salidas de conmutación (no conectados) X2 (conector hembra RJ45 10/100-Base-T) para conectar la red local Indicadores de estado DC5V, LINK, VPN Figura 2-1 Frontal del equipo 2.4 Pulsador de servicio (SET) En el lado frontal del hay un orificio pequeño (véase B) rotulado con SET y detrás del cual se encuentra un pulsador. Utilice un objeto puntiagudo (p. ej. un clip enderezado) para oprimir el pulsador. Si oprime el pulsador por más de 5 segundos, el realizará un rearranque y cargará los ajustes de fábrica. C79000-G8978-C

18 2 Puesta en servicio 2.5 Indicadores de estado El tiene 6 diodos luminosos (LEDs) que indican el estado operativo. Los 3 LEDs en el lado izquierdo del equipo indican el estado del módem de radio EGPRS: LED Estado Significado S (Status) Parpadeo lento Transmisión de PIN Parpadeo rápido Error de PIN / error de SIM ON Transmisión de PIN correcta Q (Quality) OFF No registrado en la red GSM Parpadeo breve Intensidad de señal débil (CSQ < 6) Parpadeo lento Intensidad de señal media (CSQ= 6..10) C (Connect) S, Q, C conjuntament e ON, con interrupciones breves ON OFF Parpadeo rápido ON, con interrupciones breves ON Running light rápida Running light lenta Parpadeo rápido síncrono Intensidad de señal buena (CSQ=11-18) Intensidad de señal excelente (CSQ > 18) Sin conexión Llamada de servicio vía CSD activa Conexión GPRS activa Conexión EGPRS activa Arranque Actualización Error 18 C79000-G8978-C236-02

19 2 Puesta en servicio Los 3 LEDs en el lado derecho del equipo indican el estado de otras funciones del mismo: LED Estado Significado DC 5V ON Equipo encendido, tensión de servicio aplicada OFF Equipo apagado, sin tensión de servicio LINK ON Conexión Ethernet establecida con la aplicación local o red local OFF No está establecida ninguna conexión Ethernet con la aplicación local o red local VPN ON, con interrupciones breves ON OFF Transferencia de datos vía la conexión Ethernet Está establecida por lo menos una conexión VPN No está establecida ninguna conexión VPN 2.6 Conectores Los conectores del MD741-1 se encuentran en el frontal del equipo. X2 (10/100-Base-T) Al conector 10/100-Base-T se conectan la red local y las aplicaciones locales, p. ej. un autómata programable, una máquina con interfaz Ethernet para la supervisión remota, un notebook o un PC. Para configurar el conecte aquí el PC de administración con navegador web. La interfaz soporta la autonegociación. Así se detecta automáticamente si en la red Ethernet se utiliza una velocidad de transferencia de 10 Mbit/s o 100 Mbit/s. El cable de conexión utilizado debe tener un conector macho RJ45. Puede ser un cable cruzado (crossover) o patch. X1 (servicio; USB) Esta interfaz carece de función en el, estando reservada para aplicaciones futuras. No conecte aquí ningún equipo. La operación del SINAUT MD741-1 se podría ver afectada. C79000-G8978-C

20 2 Puesta en servicio Conector hembra de antena SMA El dispone de un conector hembra de antena tipo SMA para conectar la antena. La antena utilizada debe tener una impedancia de aprox. 50 ohmios. Debe estar definida para GSM 900MHz y DCS 1800MHz, o bien GSM 850 MHz y PCS 1900 MHz, dependiendo de qué bandas de frecuencia utilice el proveedor de red GSM. En Europa y China se utilizan GSM 900MHz y DCS 1800MHz, en los EE UU se utilizan GSM 850 MHz y PCS 1900 MHz. Consulte con su proveedor de red. La adaptación de la antena (VSWR) debe ser 1:2,5 o mejor. Atención: Utilice sólo antenas de los accesorios originales del. Otras antenas podrían perturbar las características del producto o incluso causar defectos. Al instalar la antena debe existir una intensidad de señal lo suficientemente buena (CSQ > 11). Los diodos luminosos del indican la intensidad de señal. Vigile que no haya objetos metálicos grandes (p. ej. hormigón armado) cerca de la antena. Tenga en cuenta las instrucciones de montaje y uso de la antena utilizada. Advertencia: Si la antena se monta al aire libre, es preciso ponerla a tierra para la protección contra rayos. Estos trabajos deben ser realizados por personal técnico cualificado. Tenga en cuenta la advertencia respecto al montaje de antenas al aire libre que aparece al comienzo de este documento. 20 C79000-G8978-C236-02

21 2 Puesta en servicio Alimentación de bornes roscados (24V / 0V) Figura 2-2 Alimentación de bornes roscados (24V 0V) El funciona con una tensión continua de V DC, nominal 24 V DC. Esta tensión de alimentación se conecta a los bornes roscados en el lado izquierdo del equipo. El consumo de corriente es de aprox. 510 ma a 12 V y 230 ma a 30 V. Advertencia: La fuente de alimentación del no tiene aislamiento galvánico. Tenga en cuenta las consignas de seguridad al comienzo del manual. Reglas de instalación Utilice sólo cables de cobre. Hilo: 0,5...3mm 2 (AWG ) Conductor flexible: 0,5...2,5mm 2 Par de apriete para bornes roscados: 0,6...0,8Nm C79000-G8978-C

22 2 Puesta en servicio 2.7 Insertar la tarjeta SIM Atención: Antes de insertar la tarjeta SIM, introduzca el PIN de la misma en el SINAUT MD741-1 a través de la interfaz web. Consulte el capítulo 5.1. Figura 2-3 Bandeja para la tarjeta SIM 1. Tras haber introducido el PIN de la tarjeta SIM, desconecte el SINAUT MD741-1 por completo de la tensión de alimentación. 2. La bandeja para la tarjeta SIM se encuentra en el lado posterior del equipo. En la apertura de la carcasa hay un pulsador amarillo pequeño directamente junto a la bandeja para la tarjeta SIM. Utilice un objeto puntiagudo (p. ej. un lápiz) para oprimir el pulsador. Al oprimir el pulsador, la bandeja para la tarjeta SIM sale de la carcasa. 3. Coloque la tarjeta SIM en la bandeja de manera que permanezcan visibles los contactos dorados. 4. Empuje por completo la bandeja con la tarjeta SIM hacia el interior de la carcasa. Atención: No introduzca ni retire nunca la tarjeta SIM durante el funcionamiento del equipo. La tarjeta SIM y el se podrían deteriorar. 22 C79000-G8978-C236-02

23 2 Puesta en servicio 2.8 Montaje en un perfil soporte normalizado El está previsto para el montaje en un perfil soporte según la norma DIN EN La fijación correspondiente se encuentra en el lado posterior del equipo. Figura 2-4 Montaje en un perfil soporte normalizado C79000-G8978-C

24 Configuración 3 Las funciones VPN, del router y del firewall pueden configurarse local o remotamente a través de la interfaz web de administración del. Configuración remota La configuración remota vía HTTPS o CSD sólo es posible si el está configurado para accesos remotos. Para configurar el equipo remotamente, proceda de la manera descrita en el capitulo 8. Configuración vía la interfaz local Los requisitos para la configuración vía la interfaz local son: El ordenador (PC de administración) con el que se realiza la configuración debe estar conectado directamente al conector Ethernet del SINAUT MD741-1 mediante un cable de red, o bien tener acceso directo al a través de la red local. El adaptador de red del ordenador (PC de administración) con el que se realiza la configuración debe tener la siguiente configuración TCP/IP: Dirección IP: Máscara de subred: En vez de la dirección IP puede utilizar otras direcciones IP del rango x. Si desea acceder a la red externa también a través del con el PC de administración, se requieren los siguientes ajustes adicionales: Puerta de enlace predeterminada: Servidor DNS preferido: Dirección del Domain Name Server (Servidor de Nombres de Dominio) 24 C79000-G8978-C236-02

25 3 Configuración 3.1 Configuración TCP/IP del adaptador de red bajo Windows XP Configurar la conexión LAN En el menú "Inicio", haga clic en "Conectar a..." > "Mostrar todas las conexiones " Haga luego clic en la conexión de área local (LAN). En el cuadro de diálogo "Propiedades de conexión de área local", seleccione la ficha "General" y allí la entrada "Protocolo Internet (TCP/IP)". Haga clic en el botón "Propiedades" para abrir las propiedades. Aparecerá la ventana "Propiedades de Protocolo Internet TCP/IP" (v. figura 3-1). Nota: La forma de acceder al cuadro de diálogo Propiedades de conexión de área local depende de su configuración de Windows. Si no encuentra el cuadro de diálogo, busque lo siguiente en la Ayuda de Windows: Conexión de área LAN o Propiedades de Protocolo Internet TCP/IP. Figura 3-1 Propiedades de Protocolo Internet en Windows Introduzca los valores siguientes para acceder a la interfaz web del SINAUT MD741-1: C79000-G8978-C

26 3 Configuración Dirección IP: Máscara de subred: Además, introduzca los siguientes valores si desea acceder a la red externa con el PC de administración a través del : Puerta de enlace predeterminada: Servidor DNS preferido: Servidor DNS preferido Si accede a direcciones por medio de un nombre de dominio (p. ej. es necesario consultar en un "Domain Name Server" (DNS o Servidor de Nombres de Dominio) qué dirección IP pertenece a ese nombre. Como DNS es posible determinar: la dirección DNS del proveedor de red, o bien la dirección IP local del, siempre y cuando éste configurado para resolver nombres de hosts en direcciones IP (consulte el capítulo 4.3; ajuste de fábrica). Para especificar el Domain Name Server en la configuración TCP/IP del adaptador de red utilizado, proceda del modo descrito arriba. 3.2 Establecer una conexión de configuración Configurar el navegador web Proceda del siguiente modo: 1. Inicie un navegador web. (p. ej. MS Internet Explorer a partir de la versión 7 o Mozilla Firefox a partir de la versión 2; el navegador web debe soportar SSL (es decir, HTTPS)). 2. Asegúrese de que el navegador no marque automáticamente una conexión al iniciar. En MS Internet Explorer, configure este ajuste del siguiente modo: Menú Herramientas > Opciones de Internet..., ficha Conexiones: Bajo Configuración de acceso telefónico y de redes privadas virtuales debe estar activada la opción No marcar nunca una conexión. 26 C79000-G8978-C236-02

27 3 Configuración Abrir la página inicial del 3. En la barra de dirección del navegador, introduzca la dirección IP completa del. De conformidad con los ajustes de fábrica, esta dirección es: Resultado: Aparece una alerta de seguridad. Figura 3-2 Confirmar la alerta de seguridad 4. Confirme la alerta de seguridad con "Continuar la carga de esta página " Nota Puesto que el equipo sólo se puede administrar vía acceso encriptado, se suministra con un certificado autofirmado. En el caso de certificados con firmas que no conozca el sistema operativo, aparece una alerta de seguridad. Puede visualizar el certificado. En el certificado debe estar especificado que ha sido emitido para Siemens AG. La interfaz web se direcciona por medio de una dirección IP y no a través de un nombre. Por este motivo, el nombre indicado en el certificado de seguridad no concuerda con el certificado. C79000-G8978-C

28 3 Configuración Introducir el nombre de usuario y la contraseña 5. Se le solicita que introduzca un nombre de usuario y una contraseña. Figura 3-3 Introducir el nombre de usuario y la contraseña El ajuste predeterminado de fábrica es: Nombre de usuario: Contraseña: admin sinaut Nota Es recomendable que cambie la contraseña en todo caso. Muchas personas conocen el ajuste predeterminado de fábrica, por lo que no ofrece protección suficiente. En el capítulo 3.7 se describe cómo cambiar la contraseña. La página inicial se visualiza Tras introducir el nombre de usuario y la contraseña aparece en el navegador web la página inicial del con una vista general del estado operativo (consulte el capítulo 3.3). La página inicial no se visualiza Si, a pesar de realizar varios intentos, el navegador web indica que la página no se puede visualizar, intente lo siguiente: Verifique la conexión de hardware. En un ordenador con Windows, introduzca lo siguiente en el prompt del DOS (menú Inicio, Programas, Accesorios, Símbolo del sistema): 28 C79000-G8978-C236-02

29 3 Configuración ping Si dentro del período predeterminado no aparece el aviso que indica la recepción de los 4 paquetes enviados, compruebe el cable, las conexiones y la tarjeta de red. Asegúrese de que el navegador no utiliza un servidor proxy. En MS Internet Explorer (versión 7.0), configure este ajuste del siguiente modo: Menú Herramientas > Opciones de Internet..., ficha Conexiones: Bajo Configuración LAN haga clic en el botón Configuración... y, en el cuadro de diálogo Configuración de la red de área local (LAN), asegúrese de que bajo Servidor proxy no esté activada la entrada Utilizar un servidor proxy para su LAN. Si hay conexiones LAN activas en el ordenador, desactívelas mientras realiza la configuración. En Windows, seleccione Inicio, Conectar a..., Panel de control, Mostrar todas las conexiones y, bajo "LAN o Internet de alta velocidad", haga clic con el botón derecho del ratón en la conexión en cuestión y seleccione el comando Desactivar del menú contextual. Introduzca la dirección del con barra oblicua: Página inicial de la interfaz web Tras llamar a la interfaz web del e introducir el nombre de usuario y la contraseña, aparece una vista general del estado operativo actual del. Figura 3-4 Página inicial con la vista general C79000-G8978-C

30 3 Configuración Nota Utilice la función Actualizar del navegador web si desea actualizar los valores representados. Current system time (hora actual de sistema) Muestra la hora actual de sistema del en el siguiente formato: Año mes día, horas minutos Connection (conexión) Indica si existe una conexión inalámbrica (y de qué tipo es): Conexión EDGE (conexión IP vía EGPRS) Conexión GPRS (conexión IP vía GPRS) Conexión CSD (conexión de servicio vía CSD) External hostname (nombre de host externo) Muestra el nombre de host (p. ej. md741.mydns.org) del si se utiliza un servicio DynDNS. Signal (CSQ level) (señal (nivel CSQ)) Indica la intensidad de la señal GSM como valor CSQ. CSQ < 6: Intensidad de señal débil CSQ= 6..10: Intensidad de señal media CSQ=11-18: Intensidad de señal buena CSQ > 18: Intensidad de señal excelente CSQ = 99: No hay conexión con la red GSM. Assigned IP address (dirección IP asignada) Muestra la dirección IP bajo la cual se puede acceder al en el EGPRS o GPRS. El servicio EGPRS o GPRS asigna esta dirección IP al SINAUT MD C79000-G8978-C236-02

31 3 Configuración Nota Aunque puede suceder que se visualicen una conexión EDGE (EGPRS) o GPRS y también una dirección IP asignada, es posible que, sin embargo, la calidad de la conexión no sea suficiente para transferir datos. Por este motivo, recomendamos utilizar la supervisión activa de la conexión (consulte el capítulo 5.2). Remote HTTPS (HTTPS remoto) Indica si se permiten accesos remotos a la interfaz web del vía EGPRS, GPRS o CSD (consulte el capítulo 8.1). Marca de verificación blanca sobre un punto verde: se permite el acceso. Cruz blanca sobre un punto rojo: no se permite el acceso. Remote SSH (SSH remoto) Indica si se permiten accesos remotos a la consola SSH del vía EGPRS, GPRS o CSD (consulte el capítulo 8.2). Marca de verificación blanca sobre un punto verde: se permite el acceso. Cruz blanca sobre un punto rojo: no se permite el acceso. CSD Dial-In (marcación CSD) Indica si se permiten llamadas de servicio CSD remotas (consulte el capítulo 8.3). Marca de verificación blanca sobre un punto verde: se permite el acceso. Cruz blanca sobre un punto rojo: no se permite el acceso. 3.4 Selección de idioma La interfaz web de administración del está disponible en inglés y alemán. Figura 3-5 Selección de idioma Automatic (automático) C79000-G8978-C

32 3 Configuración De acuerdo con la configuración del navegador web utilizado, el selecciona el idioma de la interfaz de administración: Alemán si el navegador web está ajustado en alemán Inglés en todos los demás casos Deutsch (alemán) El utiliza el idioma alemán, independientemente del navegador web utilizado. English (inglés) El utiliza el idioma inglés, independientemente del navegador web utilizado. Para cambiar de idioma, haga clic en el botón "GO" y vuelva a cargar la página con el navegador web. 3.5 Realizar la configuración Para configurar el, proceda del siguiente modo: Realizar la configuración 1. Utilice el menú para acceder al área de ajustes deseada 2. Efectúe las entradas deseadas en la página en cuestión o haga clic en "Reset" para borrar la entrada actual no guardada todavía. 3. Confirme con "Save" (guardar) para que el equipo adopte los ajustes efectuados. 32 C79000-G8978-C236-02

33 3 Configuración Figura 3-6 Barra de menús Indicaciones Dependiendo de cómo configure el, podría resultar necesario adaptar luego la interfaz de red del ordenador conectado localmente o de la red. Al introducir direcciones IP, introduzca siempre los números parciales de la dirección IP sin ceros iniciales, p. ej.: Entradas erróneas El verifica las entradas realizadas. Los errores se detectan al guardar y el campo de entrada en cuestión se destaca. Figura 3-7 Entrada errónea destacada 3.6 Perfiles de configuración Los ajustes del se pueden guardar en perfiles de configuración (archivos) y volver a cargar en cualquier momento. C79000-G8978-C

34 3 Configuración Figura 3-8 Mantenimiento > Perfiles de configuración Upload Profile (cargar perfil) Carga en el un perfil de configuración creado anteriormente y guardado en el PC de administración. Los archivos con perfiles de configuración tienen la extensión *.tgz. Con Browse (examinar) puede buscar perfiles de configuración en el PC de administración. Con Submit (enviar) se carga el perfil de configuración en el. Luego aparece en la tabla de perfiles de configuración guardados. Crear un perfil Guarda los ajustes actuales del en un perfil de configuración. En primer lugar, introduzca un nombre para el perfil en el campo de entrada. Con Create (crear) los ajustes se guardan en un perfil con ese nombre, visualizándose luego en la tabla de perfiles de configuración guardados. Saved Configuration Profiles (perfiles de configuración guardados) Download (descargar) Carga el perfil en el PC de administración. Enable (habilitar) El aplica los ajustes del perfil de configuración seleccionado y sigue funcionando con estos ajustes. Delete (borrar) El perfil de configuración se borra. 34 C79000-G8978-C236-02

35 3 Configuración El perfil Default configuration (configuración estándar) contiene los ajustes de fábrica y no se puede borrar. 3.7 Cambiar la contraseña El acceso al está protegido por contraseña. Esta contraseña protege el acceso vía la interfaz local a la interfaz web y la interfaz local a la consola SSH y también el acceso a través de EGPRS o GPRS vía https a la interfaz web y EGPRS o GPRS a la consola SSH Contraseña de acceso (ajuste de fábrica) El ajuste de fábrica para el es: Contraseña: admin Nombre de usuario: sinaut (no se puede modificar) Nota Cambie la contraseña inmediatamente después de la puesta en servicio. Muchas personas conocen el ajuste predeterminado de fábrica, por lo que no ofrece protección suficiente. Nota El nombre de usuario para el acceso SSH es diferente al nombre de usuario de la interfaz web de administración. Nombre de usuario: root (no se puede modificar) La contraseña es igual a la contraseña de acceso para el, tal y como se ha determinado arriba. Nueva contraseña de acceso (con confirmación) Para cambiar la contraseña, introduzca la nueva contraseña en New access password y confírmela en el campo Retype new access password C79000-G8978-C

36 3 Configuración El botón Reset permite descartar las entradas no guardadas aún. Con Save se aplica la nueva contraseña. 36 C79000-G8978-C236-02

37 3 Configuración 3.8 Rearranque Aunque el está diseñado para un funcionamiento continuo, en un sistema tan complejo como éste pueden ocurrir fallos causados a menudo por influencias externas. Un rearranque puede corregir estos fallos. El rearranque resetea las funciones del. Los ajustes actuales correspondientes al perfil de configuración no se modifican. Después del rearranque, el continúa funcionando con estos ajustes. Figura 3-9 Mantenimiento > Rearranque Reboot now (rearrancar ahora) El rearranque se ejecuta inmediatamente tras hacer clic en Reboot. Enable daily reboot (habilitar rearranque diario) Si activa esta función con Yes, el rearranque se realiza automáticamente una vez al día. Especifique la Reboot time (hora de rearranque diario). El rearranque se realiza a la hora indicada. Las conexiones existentes se interrumpen. Ajustes de fábrica Habilitar rearranque diario: No Hora del rearranque diario: 01:00 C79000-G8978-C

38 3 Configuración 3.9 Cargar los ajustes de fábrica Los ajustes de fábrica del pueden restablecerse de diferentes maneras. Figura 3-10 Mantenimiento > Ajustes de fábrica Reset to factory settings (restablecer los ajustes de fábrica) Haciendo clic en el botón Reset se cargan los ajustes de fábrica, se resetean las contraseñas y se borran los perfiles de configuración guardados y los archivos de registro archivados. Pulsador de servicio (SET) Los ajustes de fábrica también se pueden restablecer por medio del pulsador de servicio (SET) (consulte el capítulo 2.4). Configuración estándar Si sólo deben cargarse los ajustes de fábrica sin borrar los perfiles de configuración ni los archivos de registro archivados, active sólo la configuración estándar de la forma descrita en el capítulo C79000-G8978-C236-02

39 Interfaz local 4 La interfaz local es la interfaz del para conectar la red local. La interfaz está marcada en el equipo con X2. Se trata de una interfaz Ethernet con una velocidad de transferencia de 10Mbit/s o 100Mbit/s. La red local es la red a la que está conectada la interfaz local del SINAUT MD Esta red contiene por lo menos una aplicación local. Las aplicaciones locales son componentes de red en la red local, p. ej. un autómata programable, una máquina con interfaz Ethernet para la supervisión remota, un notebook o un PC, o bien el PC de administración. Configure la interfaz local y las funciones asociadas de acuerdo con sus exigencias tal y como se describe en el presente capítulo. 4.1 Direcciones IP de la interfaz local Aquí se ajustan las direcciones IP y las máscaras de red a través de las cuales las aplicaciones locales acceden al. Figura 4-1 Red local > Ajustes básicos > IPs locales 39 C79000-G8978-C236-02

40 4 Interfaz local Los ajustes de fábrica del son: IP Máscara de red La dirección IP y la máscara de red ajustadas de fábrica pueden modificarse libremente, aunque deben respetar las recomendaciones válidas (RFC 1918). Aplicación lo cal Aplicación lo cal Aplicación local MD741-1 IP local y máscara de red PC de administración Figura 4-2 Representación de la red local Puede especificar direcciones adicionales a través de las cuales las aplicaciones locales puedan acceder al. Esto resulta útil p. ej. si la red local se divide en subredes. En este caso, varias aplicaciones locales de distintas subredes pueden acceder al bajo diferentes direcciones. New (nuevo) Permite agregar direcciones IP y máscaras de red que, a su vez, se pueden modificar. Delete (borrar) Borra la dirección IP y máscara de red en cuestión. La primera entrada no se puede borrar. 4.2 Servidor DHCP a la red local El contiene un servidor DHCP (DHCP = Dynamic Host Configuration Protocol o Protocolo de Configuración Dinámica de Hosts). Si el servidor DHCP está conectado, le asigna automáticamente las direcciones IP, las máscaras de red, el gateway y el servidor DNS a las aplicaciones conectadas a la interfaz local del. Para esto es necesario que en las aplicaciones locales esté activada la obtención automática de la dirección IP y de los parámetros de configuración vía DHCP. 40 C79000-G8978-C236-02

41 4 Interfaz local Aplicación local Aplicación local Aplicación local MD741-1 Direcciones IP, etc. PC con navegador web Figura 4-3 Función del servidor DHCP Figura 4-4 Red local > Ajustes básicos > DHCP Start DHCP server (iniciar servidor DHCP) Con Start DHCP server Yes se conecta el servidor DHCP del ; con No se desconecta. Local netmask (máscara de red local) Introduzca aquí la máscara de red local que debe asignarse a las aplicaciones locales. Default gateway (gateway predeterminado) Introduzca aquí el gateway predeterminado que debe asignarse a las aplicaciones locales. C79000-G8978-C

42 4 Interfaz local DNS server (servidor DNS) Introduzca aquí el servidor DNS que debe asignarse a las aplicaciones locales. Enable dynamic IP address pool (habilitar pool de direcciones IP dinámico) Si selecciona Yes, las direcciones IP que asigna el servidor DHCP del SINAUT MD741-1 se extraen de un pool de direcciones dinámico. Si selecciona No, las direcciones IP deben asignarse bajo Static Leases (asignación estática) a las direcciones MAC de las aplicaciones locales. DHCP range start (inicio de rango DHCP) Indica la dirección inicial del pool de direcciones dinámico. DHCP range end (fin de rango DHCP) Indica la dirección final del pool de direcciones dinámico. Static Leases (asignación estática) Aquí es posible asignar direcciones IP correspondientes a las direcciones MAC de las aplicaciones locales. Si una aplicación local solicita vía DHCP la asignación de una dirección IP, la aplicación transfiere su dirección MAC durante la consulta DHCP. Si esta dirección MAC tiene asignada una dirección IP de forma estática, el asigna a la aplicación la correspondiente dirección IP. Dirección MAC del cliente dirección MAC de la aplicación local solicitante Dirección IP del cliente dirección IP asignada Ajustes de fábrica Los ajustes de fábrica del son: Start DHCP server (iniciar servidor DHCP) No Local netmask (máscara de red local) Default gateway (gateway predeterminado) DNS server (servidor DNS) Enable dynamic IP address pool (habilitar pool de direcciones IP dinámico) No DHCP range start (inicio de rango DHCP) DHCP range end (fin de rango DHCP) C79000-G8978-C236-02

43 4 Interfaz local 4.3 DNS a la red local El provee un "Domain Name Server" (DNS o Servidor de Nombres de Dominio) a la red local. Si introduce en la aplicación local la dirección IP del como DNS, el responde desde su caché a las consultas del DNS. Si no conoce la dirección IP correspondiente a una dirección de dominio, el SINAUT MD741-1 reenvía la consulta a un DNS externo. El intervalo durante el que el almacena una dirección de dominio en caché depende del host direccionado. La consulta del DNS a un Servidor de Nombres de Dominio externo devuelve no sólo la dirección IP sino también el período de validez de esta información. DNS del proveedor de red DNS en In ternet Red remota DNS privado Aplicación local MD741-1 Router/ Firewall (E-)GPRS INTERNET APN Consulta de DNS a MD Co nsu lta de DNS por MD Figura 4-5 Función del servidor DNS Como DNS externos pueden utilizarse servidores del proveedor de red, servidores de Internet o servidores de la red externa privada. Figura 4-6 Red local > Ajustes básicos > DNS C79000-G8978-C

44 4 Interfaz local Selected nameserver (servidor de nombres seleccionado) Seleccione el "Domain Name Server" (DNS o Servidor de Nombres de Dominio) al que debe consultar el : Provider Defined (definido por el proveedor) Al establecer una conexión con el EGPRS o GPRS, el proveedor de red transmite automáticamente una o varias direcciones DNS. Éstas se utilizan entonces. User Defined (definido por el usuario) Seleccione como usuario su(s) DNS preferido(s). Los DNS pueden estar conectados a Internet, o bien puede tratarse de un DNS privado en su red. Servidor de nombres definido por el usuario Si ha seleccionado la opción User Defined (definido por el usuario), introduzca la dirección IP del DNS seleccionado como Server IP Address (dirección IP del servidor). Con New (nuevo) puede agregar más DNS. Ajustes de fábrica Los ajustes de fábrica del son: Selected nameserver (servidor de nombres seleccionado) Servidor de nombres definido por el usuario - Si es una entrada nueva Provider Defined (definido por el proveedor) 44 C79000-G8978-C236-02

45 4 Interfaz local 4.4 Nombre de host local El puede direccionarse desde la red local, también por medio de un nombre de host. Defina para ello un nombre de host, p. ej. MD741. En este caso, un navegador web puede llamar al p. ej. como MD741. Figura 4-7 Red local > Ajustes básicos > DNS Nota El concepto de seguridad del exige que se cree una regla de firewall saliente para toda aplicación local que deba utilizar esta función de nombre de host. Consulte el capítulo 6.1. Si no utiliza DHCP (consulte el capítulo 4.2), es preciso introducir manualmente rutas de búsqueda idénticas en el y en las aplicaciones locales. Si utiliza DHCP, las aplicaciones locales obtienen vía DHCP la ruta de búsqueda introducida en el. Ajustes de fábrica Los ajustes de fábrica del son: Ruta de búsqueda Nombre de host example.local MD741-1 C79000-G8978-C

46 4 Interfaz local 4.5 Hora de sistema / NTP La hora de sistema del puede ajustarse manualmente o sincronizarse automáticamente con un servidor horario. Figura 4-8 Sistema > Hora de sistema Definir la hora de sistema manualmente Aquí se ajusta la hora de sistema para el. Esta hora de sistema: se utiliza como sello de tiempo para todas las entradas del archivo de registro sirve de base de tiempo para todas las funciones controladas por tiempo. Seleccione el año, mes y día, así como las horas y minutos. Activate NTP synchronization (activar sincronización NTP) El también puede obtener la hora de sistema vía NTP (= Network Time Protocol) de un servidor horario. En Internet hay numerosos servidores horarios de los que se puede obtener la hora actual muy exactamente vía NTP. Local timezone / region (zona horaria local / región) Los servidores NTP transmiten la hora UTC (= Universal Time Coordinated), es decir, la hora universal coordinada. Para determinar la zona horaria, seleccione una ciudad cercana al lugar donde debe funcionar el. La hora de esta zona horaria se utilizará entonces como hora de sistema. 46 C79000-G8978-C236-02

47 4 Interfaz local NTP server (servidor NTP) Haga clic en New (nuevo) para agregar un servidor NTP e introduzca la dirección IP del mismo, o bien utilice el servidor NTP predeterminado de fábrica. Es posible indicar paralelamente varios servidores NTP. La dirección NTP no se puede introducir como nombre de host (p. ej. timeserver.org). Poll interval (intervalo de sondeo) La sincronización horaria se realiza de forma cíclica. El determina automáticamente el intervalo en el que debe efectuarse la sincronización. Al cabo de 36 horas a más tardar se realiza nuevamente una sincronización. El intervalo de sondeo determina el tiempo mínimo que debe esperar el hasta la próxima sincronización. Nota La sincronización de la hora de sistema vía NTP ocasiona tráfico de datos adicional en las interfaces del EGPRS o GPRS. Esto puede causar costes adicionales, dependiendo del contrato concluido con el proveedor de red. Serve system time to local network (aplicar hora de sistema a la red local) A su vez, el también puede servir de servidor horario NTP para las aplicaciones conectadas a su interfaz de red local. Si desea activar esta función, seleccione Yes. Al servidor horario NTP del se puede acceder a través de la dirección IP local del (consulte el capítulo 4.1). Ajustes de fábrica Los ajustes de fábrica del son: Zona horaria local Activate NTP synchronization (activar sincronización NTP) UTC No NTP server (servidor NTP) Poll interval (intervalo de sondeo) Serve system time to local network (aplicar hora de sistema a la red local) 1.1 horas No C79000-G8978-C

48 4 Interfaz local 4.6 Rutas internas adicionales Si la red local se divide en subredes, es posible definir rutas adicionales. Consulte también el Glosario. Figura 4-9 Red local > Rutas internas adicionales Si desea agregar una ruta adicional a una subred, haga clic en "New" (nuevo). Especifique lo siguiente: la dirección IP de la subred (red), así como la dirección IP del gateway a través del cual está conectado la subred. Puede determinar un número cualquiera de rutas internas. Si desea borrar una ruta interna, haga clic en Delete (borrar). Ajustes de fábrica Los ajustes de fábrica del son: Rutas internas adicionales - Ajuste predeterminado para rutas nuevas: No Red: /24 Gateway: C79000-G8978-C236-02

49 Interfaz externa 5 La interfaz externa del conecta el con la red externa. Para la comunicación se utiliza EGPRS, GPRS o GSM en esta interfaz. Las redes externas son Internet o una Intranet privada. Las estaciones remotas externas son componentes de la red externa, p. ej. servidores web en Internet, routers en una red Intranet, un servidor de empresa central, un PC de administración, etc. Configure la interfaz externa y las funciones relacionadas de acuerdo con sus exigencias tal y como se describe en el presente capítulo. 5.1 Parámetros de acceso a EGPRS/GPRS Para acceder a los servicios EGPRS y GPRS, así como a la red inalámbrica GSM básica se requieren parámetros de acceso que son proporcionados por el proveedor de red GSM. PIN Nombre de usuario y contraseña APN (público) INTERNET Aplicación local SIM MD741-1 (E-)GPRS VPN APN (público) Figura 5-1 Parámetros de acceso 49 C79000-G8978-C236-02

50 5 Interfaz externa El PIN protege la tarjeta SIM contra usos no autorizados. El nombre de usuario y la contraseña protegen el acceso a EGPRS y GPRS, y el APN (Access Point Name o Nombre de Punto de Acceso) define la transición de EGPRS o GPRS a otras redes IP conectadas, p. ej. un APN público a Internet o un APN privado a una VPN (Virtual Private Network o Red Privada Virtual). Figura 5-2 Red externa > EDGE/GPRS PIN Introduzca aquí el PIN de su tarjeta SIM. El proveedor de red le proporciona el PIN. El también puede funcionar con tarjetas SIM sin PIN. Introduzca en este caso NONE. El campo de entrada queda entonces vacío. Nota Si no introduce nada, el campo de entrada del PIN aparece enmarcado en rojo después de guardar. User name (nombre de usuario) Introduzca aquí un nombre de usuario para EGPRS y GPRS. Algunos proveedores de red GSM/GPRS renuncian al control de acceso según el nombre de usuario y/o la contraseña. En este caso, introduzca guest (invitado) en el respectivo campo. Password (contraseña) Introduzca aquí una contraseña para EGPRS y GPRS. Algunos proveedores de red GSM/GPRS renuncian al control de acceso según el nombre de usuario y/o la contraseña. En este caso, introduzca guest (invitado) en el respectivo campo. APN Introduzca aquí el nombre de la transición de EGPRS y GPRS a otras redes. Encontrará el APN en la documentación de su proveedor de red GSM/GPRS, en el sitio web de éste, o bien llamando a la hotline del mismo. 50 C79000-G8978-C236-02

51 5 Interfaz externa Ajustes de fábrica Los ajustes de fábrica del son: PIN User name (nombre de usuario) Password (contraseña) APN NONE guest guest NONE 5.2 Supervisión de conexiones EGPRS/GPRS Por medio de la función Connection Check (comprobar conexión), el SINAUT MD741-1 supervisa sus conexiones con los servicios EGPRS o GPRS y con las redes externas conectadas, p. ej. Internet o Intranet. El envía para ello paquetes ping (ICMP) a hasta cuatro estaciones remotas (hosts de destino) en intervalos regulares. Esto sucede independientemente de las conexiones de datos útiles. Si el recibe una respuesta a uno de dichos pings de por lo menos una estación remota direccionada, significa que el está conectado todavía con el EGPRS o GPRS y listo para el servicio. Algunos proveedores de red interrumpen las conexiones en caso de inactividad. Esto también se impide por medio de la función Connection Check (comprobar conexión). Ping para supervisar co nexiones H ost de destino en Internet Red remota Host de destino en Intranet Aplicación lo cal MD741-1 Router/ fi rewall (E-)GPRS INTER NET APN Conexión de datos útiles Figura 5-3 Supervisión de conexiones Advertencia Debido al envío de paquetes ping (ICMP) aumenta la cantidad de datos enviados y recibidos por EGPRS o GPRS. Esto puede causar costes adicionales. C79000-G8978-C

52 5 Interfaz externa Figura 5-4 Red externa > Ajustes avanzados > Comprobar conexión Enable connection check (habilitar comprobación de conexión) Seleccione Yes si desea habilitar la función. Ping Targets Hostname (destinos de ping nombre de host) Seleccione hasta cuatro estaciones remotas a las que el debe poder acceder por ping. Las estaciones remotas deben estar accesibles permanentemente y responder al ping. Nota Asegúrese de que las estaciones remotas no sean perturbadas. Connection check interval (minutes) (intervalo para comprobar la conexión) (minutos)) Determina el intervalo en el que el debe enviar los paquetes ping para supervisar las conexiones. El intervalo se indica en minutos. Allowable number of failures (cantidad de intentos fallidos permitidos) El envía simultáneamente paquetes ping a todas las estaciones remotas (hosts de destino) especificadas. Si responde por lo menos una de ellas, significa que se ha aprobado la prueba de conexión. Si no responde ninguna de ellas, se trata de un intento fallido. El proceso se repite una vez transcurrido el intervalo ajustado. Si entonces responde una de las estaciones remotas, se resetea el contador de intentos fallidos. Si se alcanza la cantidad de intentos fallidos permitidos, se dispara la acción definida en caso de conexión errónea. 52 C79000-G8978-C236-02

53 5 Interfaz externa Activity on faulty connection (acción en caso de conexión errónea) Renew connection (renovar conexión) El establece nuevamente una conexión con el EGPRS o GPRS si no ha recibido respuesta a los paquetes ping enviados. Reboot MD741-1 (rearrancar MD741-1) El efectúa un rearranque si no ha recibido respuesta a los paquetes ping enviados. Ajustes de fábrica Los ajustes de fábrica del son: Enable connection check (habilitar comprobación de conexión) No (desactivado) Nombre de host - Connection check interval (intervalo para comprobar la conexión) Allowable number of failures (cantidad de intentos fallidos permitidos) Activity on faulty connection (acción en caso de conexión errónea) 5 (minutos) 3 (intentos fallidos) Renew connection (renovar conexión) C79000-G8978-C

54 5 Interfaz externa 5.3 Nombre de host vía DynDNS Los servidores de nombres de dominio dinámicos (DynDNS) permiten acceder a las aplicaciones de Internet a través de un nombre de host (p. ej. myhost.org), aunque éstas no tengan una dirección IP fija y el nombre de host no esté registrado. Si inicia la sesión con el en un servicio DynDNS, podrá acceder al desde la red externa también bajo un nombre de host, p. ej. mysinaut.dyndns.org. INFO: dirección IP y nombre de host DynDNS Consulta: IP a nombre de host Red externa Aplicación local MD741-1 IP de respuesta (E-)GPRS APN INTERNET Router/ firewall Conexión de datos útiles Abbildung 5-5 Enlace Dyn-DNS Para más información acerca de DynDNS, consulte el Glosario.. Figura 5-6 Red externa > Ajustes avanzados > DynDNS Log this on to a DynDNS server (iniciar la sesión de este MD741-1 en un servidor DynDNS) Seleccione Yes si desea utilizar un servicio DynDNS. 54 C79000-G8978-C236-02

55 5 Interfaz externa Proveedor de DynDNS El es compatible con dyndns.org. DynDNS username / password (nombre de usuario / contraseña DynDNS) Introduzca aquí el nombre de usuario y la contraseña que le autorizan a utilizar el servicio DynDNS. Consulte estos datos con su proveedor de DynDNS. DynDNS hostname (nombre de host DynDNS) Introduzca aquí el nombre de host que ha convenido para el con su proveedor de DynDNS, p. ej. mysinaut.dyndns.org. Ajustes de fábrica Los ajustes de fábrica del son: Log this on to a DynDNS server (iniciar la sesión de este MD741-1 en un servidor DynDNS) DynDNS username (nombre de usuario DynDNS) DynDNS password (contraseña DynDNS) DynDNS hostname (nombre de host DynDNS) No (desactivado) guest guest myname.dyndns.org C79000-G8978-C

56 Funciones de seguridad Filtro de paquetes El incluye un "Stateful Inspection Firewall". "Stateful Inspection Firewall" es un método para filtrar paquetes. Los filtros de paquetes sólo dejan pasar paquetes IP si ésto se ha definido previamente por reglas de firewall. En las reglas de firewall se define lo siguiente: qué protocolo (TCP, UDP, ICMP) puede pasar, el origen permitido para los paquetes IP (From IP / From port) (De IP / de puerto)) el destino permitido para los paquetes IP (To IP / To port) (A IP / a puerto)) Asimismo se define qué debe suceder con los paquetes IP que no puedan pasar, p. ej. si se deben descartar o rechazar. En un filtro de paquetes simple es preciso crear siempre dos reglas de firewall para una conexión: una regla para el sentido de consulta del origen al destino y otra regla para el sentido de respuesta del destino al origen. Esto es diferente en el, ya que utiliza un "Stateful Inspection Firewall". Aquí se crea sólo una regla de firewall para el sentido de consulta del origen al destino. La regla de firewall para el sentido de respuesta del destino al origen resulta del análisis de los datos enviados antes. La regla de firewall para las respuestas se vuelve a cerrar tras recibir las respuestas o al cabo de un período breve. Por tanto, las respuestas sólo pueden pasar si ha habido previamente una consulta. De esta manera, la regla de respuesta no puede utilizarse para accesos no autorizados. Además, hay métodos especiales que permiten el paso de datos UDP y ICMP sin haberlos solicitado antes. 56 C79000-G8978-C236-02

57 6 Funciones de seguridad Figura 6-1 Seguridad > Filtro de paquetes Firewall Rules (Incoming) (reglas de firewall de entrada) Mediante las reglas de firewall de entrada se define qué debe suceder con los paquetes IP recibidos vía EGPRS o GPRS desde redes externas (p. ej. Internet). El origen es el remitente de estos paquetes IP. El destino son las aplicaciones locales en el. De conformidad con los ajustes de fábrica, no se ha definido inicialmente ninguna regla de firewall de entrada, por lo que no puede pasar ningún paquete IP. New (nuevo) Agrega una nueva regla de firewall que se puede rellenar luego. Delete (borrar) Borra reglas de firewall que se hayan creado. Protocol (protocolo) Seleccione el protocolo para el que debe valer esta regla. Puede seleccionar TCP, UDP o ICMP. Si selecciona All (todos), esta regla será válida para los tres protocolos. From IP (de IP) Introduzca la dirección IP de la estación remota externa que debe poder enviar los paquetes IP a la red local. Introduzca la dirección IP o un rango IP de la estación remota /0 significa todas las direcciones. Para indicar un rango, utilice la notación CIDR (consulte el glosario) From port (de puerto) Introduzca el puerto desde el que la estación remota externa puede enviar paquetes IP (se evalúa sólo en los protocolos TCP y UDP). C79000-G8978-C

58 6 Funciones de seguridad To IP (a IP) Especifique a qué dirección IP de la red local pueden enviarse paquetes IP. A este efecto, introduzca la dirección IP o un rango IP de la aplicación en la red local /0 significa todas las direcciones. Para indicar un rango, utilice la notación CIDR (consulte el Glosario). To port (a puerto) Introduzca el puerto al que la estación remota externa puede enviar paquetes IP. Action (acción) Seleccione qué debe suceder con los paquetes IP entrantes: Accept (aceptar): los paquetes de datos pueden pasar. Reject (rechazar): los paquetes de datos se rechazan y el remitente obtiene un aviso correspondiente. Drop (descartar): los paquetes de datos se descartan sin que el remitente obtenga un aviso al respecto. Firewall Rules (Outgoing) (reglas de firewall de salida) Con las reglas de firewall de salida se define qué debe suceder con los paquetes IP recibidos de la red local. El origen es una aplicación en la red local. El destino es una estación remota externa, p. ej. en Internet o una red privada. Conforme a los ajustes de fábrica no se ha definido inicialmente ninguna regla de firewall de salida, por lo que no puede pasar ningún paquete IP. New (nuevo) Agrega una nueva regla de firewall que se puede rellenar luego. Protocol (protocolo) Seleccione el protocolo para el que debe valer esta regla. Puede seleccionar TCP, UDP o ICMP. Si selecciona All (todos), esta regla será válida para los tres protocolos. From IP (de IP) Introduzca la dirección IP de la aplicación local que debe poder enviar los paquetes IP a la red externa. A este efecto, introduzca la dirección IP o un rango IP de la aplicación local /0 significa todas las direcciones. Para indicar un rango, utilice la notación CIDR (consulte el Glosario). 58 C79000-G8978-C236-02

59 6 Funciones de seguridad From port (de puerto) Introduzca el puerto al que la aplicación local puede enviar paquetes IP. Introduzca para ello el número de puerto. (se evalúa sólo en los protocolos TCP y UDP) Action (acción) Seleccione qué debe suceder con los paquetes IP salientes: Accept (aceptar): los paquetes de datos pueden pasar. Reject (rechazar): los paquetes de datos se rechazan y el remitente obtiene un aviso correspondiente. Drop (descartar): los paquetes de datos se descartan sin que el remitente obtenga un aviso al respecto. Firewall Rules Incoming / Outgoing (reglas de firewall de entrada / salida) Log (registro) Para cada regla de firewall es posible determinar si el evento se debe registrar - en este caso, ajuste Log a Yes o no - en este caso, ajuste Log a No (ajuste de fábrica predeterminado) El informe se escribe en el archivo de registro del firewall (consulte el capítulo 6.4). Log Unknown Connection Attempts (registrar intentos de conexión desconocidos) Con esto se registran todos los intentos de conexión que no sean cubiertos por las reglas definidas. Ajustes de fábrica Los ajustes de fábrica del son: Firewall de entrada Firewall Rules (Incoming) (reglas de firewall de entrada) Protocol (protocolo) - (todo bloqueado) Todos From IP (de IP) /0 From port (de puerto) Cualquiera To IP (a IP) /0 C79000-G8978-C

60 6 Funciones de seguridad To port (a puerto) Action (acción) Log (registro) Log Unknown Connection Attempts (registrar intentos de conexión desconocidos) Log Unknown Connection Attempts (registrar intentos de conexión desconocidos) Cualquiera Aceptar No (desactivado) No (desactivado) No (desactivado) Firewall de salida Firewall Rules (Outgoing) (reglas de firewall de salida) Protocol (protocolo) - (todo bloqueado) Todos From IP (de IP) /0 From port (de puerto) Cualquiera To IP (a IP) /0 To port (a puerto) Action (acción) Log (registro) Log Unknown Connection Attempts (registrar intentos de conexión desconocidos) Cualquiera Aceptar No (desactivado) No (desactivado) 6.2 Port Forwarding Si se ha definido una regla para "Port Forwarding", se reenvían los paquetes de datos recibidos en un puerto IP determinado del procedentes de una red externa. Los paquetes de datos entrantes se reenvían entonces a una dirección IP y un número de puerto determinado de la red local. El "Port Forwarding" se puede configurar para TCP o UDP. En el "Port Forwarding" sucede lo siguiente: Las cabeceras de paquetes de datos entrantes de la red externa dirigidos a la dirección IP externa del SINAUT MD741-1 y a un puerto en particular se reescriben de manera que sean enviados a un puerto específico de un determinado ordenador de la red interna. Por tanto, se modifican la dirección IP y el número de puerto en la cabecera de los paquetes de datos entrantes. Este proceso también se denomina "Destination NAT" o "Port Forwarding". 60 C79000-G8978-C236-02

61 6 Funciones de seguridad Nota Para poder reenviar los paquetes de datos entrantes a la dirección IP determinada en la red local, es preciso configurar en el filtro de paquetes una regla de firewall de entrada para esta dirección IP. Consulte el capítulo 6.1. Figura 6-2 Seguridad > Port Forwarding New (nuevo) Agrega una nueva regla de firewall de reenvío que se puede rellenar luego. Delete (borrar) Borra reglas de firewall de reenvío que se hayan creado. Protocol (protocolo) Indique aquí el protocolo (TCP o UDP) al que debe referirse la regla. Destination port (puerto de destino) Introduzca aquí el número de puerto (p. ej. 80) al que llegan los paquetes de datos de la red externa que deben reenviarse. Forward to IP (reenviar a IP) Especifique aquí la dirección IP en la red local a la que deben reenviarse los paquetes de datos entrantes. Forward to port (reenviar a puerto) Especifique aquí el número de puerto (p. ej. 80) de la dirección IP en la red local al que deben reenviarse los paquetes de datos entrantes. C79000-G8978-C

62 6 Funciones de seguridad Ajustes de fábrica Los ajustes de fábrica del son: Reglas de reenvío - Protocol (protocolo) Todos Forward to IP (reenviar a IP) Forward to port (reenviar a puerto) 80 Log (registro) No (desactivado) 6.3 Funciones de seguridad avanzadas Las funciones de seguridad avanzadas sirven para proteger el y las aplicaciones locales contra ataques. Para la protección se asume que sólo un determinado número de conexiones o paquetes ping recibidos se admite y se desea durante la operación normal y que, al producirse una acumulación repentina, se trata de un ataque. Figura 6-3 Seguridad > Avanzada Maximum number (número máximo) Las entradas Maximum number of parallel connections (número máximo de conexiones paralelas) Maximum number of new incoming TCP connections per second (número máximo de nuevas conexiones TCP entrantes por segundo) Maximum number of new outgoing TCP connections per second (número máximo de nuevas conexiones TCP salientes por segundo) 62 C79000-G8978-C236-02

63 6 Funciones de seguridad Maximum number of new incoming ping packets per second (número máximo de nuevos paquetes ping entrantes por segundo) Maximum number of new outgoing ping packets per second (número máximo de nuevos paquetes ping salientes por segundo) determinan límites superiores. Los ajustes predeterminados (v. figura) se han seleccionado de manera que no se alcancen nunca en la práctica normal. En cambio, tratándose de un ataque, pueden alcanzarse fácilmente, por lo que esta limitación ofrece una protección adicional. Si en su entorno de trabajo existen exigencias especiales, puede modificar los valores conforme a ello. External ICMP to the (ICMP externo al ) Con esta opción puede influenciar el comportamiento al recibir paquetes ICMP enviados desde la red externa hacia el. Tiene las siguientes posibilidades: Drop (rechazar): se rechazan todos los paquetes ICMP enviados al SINAUT MD Allow Ping (permitir ping): se aceptan sólo los paquetes ping (ICMP tipo 8) enviados al. Accept (aceptar): se aceptan todos los tipos de paquetes ICMP enviados al. Ajustes de fábrica Los ajustes de fábrica del son: Maximum number of parallel connections (número máximo de conexiones paralelas) Maximum number of new incoming TCP connections per second (número máximo de nuevas conexiones TCP entrantes por segundo) Maximum number of new outgoing TCP connections per second (número máximo de nuevas conexiones TCP salientes por segundo) Maximum number of new incoming ping packets per second (número máximo de nuevos paquetes ping entrantes por segundo) Maximum number of new outgoing ping packets per second (número máximo de nuevos paquetes ping salientes por segundo) External ICMP to the (ICMP externo al ) Descartar C79000-G8978-C

64 6 Funciones de seguridad 6.4 Archivo de registro del firewall En el archivo de registro del firewall se registra cuándo se han aplicado las distintas reglas del firewall. A este efecto, la función LOG debe estar activada para las distintas funciones del firewall. Figura 6-4 Seguridad > Archivo de registro del firewall Nota El archivo de registro del firewall se pierde al realizar un rearranque. 64 C79000-G8978-C236-02

65 Conexiones VPN 7 El permite conectar la red local a una red remota segura a través de un túnel VPN. Los paquetes de datos IP intercambiados entre ambas redes se encriptan y, gracias al túnel VPN, están protegidos contra manipulaciones no autorizadas. Gracias a ello, es posible utilizar redes públicas no protegidas (p. ej. Internet) para transportar los datos, sin poner en peligro la confidencialidad ni integridad de los mismos. Figura 7-1 IPSec VPN > Conexiones Para que el pueda establecer un túnel VPN, la red remota debe disponer de un gateway VPN como estación remota del. Red local Red remota PC de administración Admin- PC Aplicación local MD741-1 (E-)GPRS APN INTERNET Gateway VPN Estaciones remotas externas Aplicación local Túnel VPN Figura 7-2 Conexión VPN 65 C79000-G8978-C236-02

66 7 Conexiones VPN El utiliza para el túnel VPN el método IPsec en modo túnel. Los paquetes de datos IP a transferir se encriptan por completo y se proveen de una nueva cabecera antes de ser enviados al gateway VPN de la estación remota. Allá se desencriptan los paquetes de datos recibidos y se transforman en los paquetes de datos originales. Éstos se reenvían luego al destino en la red remota. Se diferencia entre dos modos para las conexiones VPN: En el modo "Roadwarrier" VPN, el puede aceptar conexiones VPN de estaciones remotas con dirección desconocida. Éstas pueden ser p. ej. estaciones remotas móviles que obtienen su dirección IP de forma dinámica. La estación remota debe establecer la conexión VPN. En el modo "Roadwarrier" se permite sólo una conexión VPN. Las conexiones VPN en modo "Standard" pueden funcionar simultáneamente con ésta. En el modo VPN "Standard" debe conocerse la dirección (IP o nombre de host) del gateway VPN de la estación remota para poder establecer la conexión VPN. La conexión VPN puede ser establecida bien sea por el, o bien por el gateway VPN de la estación remota. El establecimiento de la conexión VPN comprende dos fases. Inicialmente, en la 1ª fase (ISAKMP = Internet Security Association and Key Management Protocol) se establece la asociación de seguridad (SA = Security Association) para el intercambio de claves entre el y el gateway VPN de la estación remota. Luego, en la 2ª fase (IPsec = Internet Protocol Security) se establece la asociación de seguridad (SA = Security Association) para la conexión IPsec en sí entre el y el gateway VPN de la estación remota. Requisitos del gateway VPN de la red remota Para poder establecer correctamente una conexión IPsec, la estación remota VPN debe soportar IPsec con la siguiente configuración: Autenticación por medio de certificados X.509, certificados CA o clave previamente compartida (PSK = Pre-Shared Key) ESP Grupo Diffie-Hellman 1, 2 ó 5 Encriptación 3DES ó AES Algoritmos hash MD5 ó SHA-1 Modo túnel Modo rápido Modo principal 66 C79000-G8978-C236-02

67 7 Conexiones VPN Período de validez de la SA (Security Association o asociación de seguridad) (1 segundo a 24 horas) Si la estación remota es un ordenador con Windows 2000, debe estar instalado también Microsoft Windows 2000 High Encryption Pack o por lo menos el Service Pack 2. Si la estación remota está del otro lado de un router NAT, debe soportar también NAT-T, o el router NAT debe conocer el protocolo IPsec (IPsec/VPN Passthrough). 7.1 Modo Roadwarrier VPN El modo Roadwarrier permite al VPN aceptar una conexión VPN iniciada por una estación remota con dirección IP desconocida. La estación remota debe autenticarse correctamente. No obstante, en esta conexión VPN se renuncia a identificar la estación remota por medio de su dirección IP o nombre de host. Figura 7-3 IPSec VPN > Modo Roadwarrier Configure el según lo convenido con el administrador de sistema de la estación remota. C79000-G8978-C

68 7 Conexiones VPN Modo Roadwarrier - Editar la configuración Figura 7-4 Modo Roadwarrier > Editar la configuración Authentication method (método de autenticación) Seleccione el método de autenticación según lo convenido con el administrador de sistema de la estación remota. El soporta tres métodos, a saber: Certificado X.509 Certificado CA Pre-Shared Key (clave previamente compartida) Certificado X.509, certificado CA En los métodos de autenticación "Certificado X.509" y "Certificado CA" se utilizan para la autenticación claves firmadas previamente por una autoridad certificadora (CA = Certification Authority). Estos métodos se consideran especialmente seguros. Una CA puede ser un prestador de servicios, pero también p. ej. el administrador de sistema de su proyecto, si éste dispone de las herramientas de software necesarias. La CA crea un archivo de certificado (PKCS12) con la extensión *p12 para cada una de ambas estaciones remotas de una conexión VPN. Este archivo de certificado contiene las claves pública y privada de la propia estación, el certificado firmado por la CA y la clave pública de la CA. En el método de autenticación X.509 existe además para cada una de ambas estaciones remotas un archivo de clave (*.pem, *.cer ó *.crt) que contiene la clave pública de la propia estación. 68 C79000-G8978-C236-02

69 7 Conexiones VPN Certificado X.509 El intercambio de claves públicas (archivo con la extensión *.pem, *.cer ó *.crt) entre el y el gateway VPN de la estación remota se efectúa manualmente, p. ej. mediante un CD-ROM o por correo electrónico. Para más información sobre cómo cargar el certificado, consulte el capítulo 7.3. Certificado CA El intercambio de claves públicas entre el y el gateway VPN de la estación remota se realiza vía la conexión de datos al establecer la conexión VPN. No es necesario intercambiar manualmente los archivos de clave. Pre-Shared Secret Key (PSK o clave secreta previamente compartida) Este método es soportado principalmente por implementaciones de IPsec antiguas. La autenticación se realiza con una secuencia de caracteres convenida previamente. Para alcanzar un nivel de seguridad elevado, la secuencia de caracteres debería comprender aprox. 30 caracteres (mayúsculas, minúsculas y cifras) seleccionados al azar. Remote certificate (certificado remoto) Si se ha seleccionado el método de autenticación "Certificado X.509", aparece aquí la lista de estaciones remotas que ya se han cargado en el SINAUT MD Aquí se debe seleccionar el certificado para la conexión VPN. Remote ID, Local ID (ID remota, ID local) IPsec utiliza las IDs local y remota para identificar unívocamente las estaciones remotas al establecer la conexión VPN. La ID local propia debe ser igual a la ID remota en la estación remota, y viceversa. En la autenticación con el certificado X.509 o el certificado CA: Si se conserva el ajuste de fábrica NONE, los Distinguished Names (nombres distintivos) del propio certificado y del certificado de la estación remota se utilizan automáticamente como ID local e ID remota. Si se modifica manualmente la entrada de la ID local o remota, es preciso adaptar las entradas correspondientes en la estación remota. La entrada manual de la ID local y remota debe efectuarse en formato ASN.1, p. ej. "C=XY/O=XY Org/CN=xy.org.org" En la autenticación con Pre-Shared Secret Key (PSK): En modo Roadwarrier es preciso introducir manualmente la ID remota. La ID remota debe tener el formato de un nombre de host (p. ej. RemoteStation.com), o bien de una dirección de correo electrónico (remote@station.com) y, además, concordar con la ID local de la estación remota. El ajuste de la ID local se puede dejar en NONE. En este caso, la dirección IP C79000-G8978-C

70 7 Conexiones VPN se utiliza como dirección IP local. Si se introduce una ID local, ésta debe tener el formato de un nombre de host (p. ej. RemoteStation.com), o bien de una dirección de correo electrónico (remote@station.com) y, además, concordar con la ID ramota de la estación remota. Modo Roadwarrier - Editar la IKE Aquí puede definir las propiedades de la conexión VPN conforme a sus exigencias y según lo convenido con el administrador de sistema de la estación remota. Figura 7-5 Modo Roadwarrier > Editar la configuración ISAKMP-SA encryption (encriptación de SA ISAKMP), IPsec-SA encryption (encriptación de SA IPsec) Campo para seleccionar el método de encriptación para la SA ISAKMP y SA IPSec convenido con el administrador de sistema de la estación remota. El soporta los métodos siguientes: 3DES-168 AES-128 AES-192 AES C79000-G8978-C236-02

71 7 Conexiones VPN 3DES-168 es un método utilizado con frecuencia, por lo que aparece ajustado por defecto. El método puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. Nota: Cuantos más bits tenga un algoritmo de encriptación (lo que se indica por el número anexado), tanto más seguro será. Por tanto, el método AES-256 es el más seguro. No obstante, el proceso de encriptación tarda más tiempo y necesita más potencia de cálculo cuanto más larga sea la clave. ISAKMP-SA hash, IPsec-SA hash Campo para seleccionar el método a utilizar para calcular las sumas de verificación / los hashes durante las fases ISAKMP e IPSec. Puede seleccionar entre: MD5 o SHA-1 (detección automática) MD5 SHA-1 El método puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. ISAKMP-SA mode (modo de SA ISAKMP) Campo para seleccionar el método a utilizar para negociar la SA ISAKMP. Puede seleccionar entre: Main Mode (modo principal) Aggressive Mode (modo agresivo) Nota: Si se utiliza el método de autenticación Pre-Shared Key, es preciso ajustar el "Aggressive Mode" en el modo Roadwarrier. ISAKMP-SA lifetime (período de validez de SA ISAKMP), IPsec-SA lifetime (período de validez de SA IPsec) Las claves de una conexión IPsec se renuevan en determinados intervalos, con objeto de dificultar aún más los ataques a una conexión IPsec. Campo de entrada para determinar el período de validez (en segundos) de las claves convenidas para la SA ISAKMP y la SA IPSec. C79000-G8978-C

72 7 Conexiones VPN El período de validez puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. NAT-T Es posible que exista un router NAT entre el y el gateway VPN de la red remota. No todos los routers NAT dejan pasar paquetes de datos IPsec. Por este motivo podría resultar necesario encapsular los paquetes de datos IPsec en paquetes UPD para poder pasar el router NAT. On Si el detecta un router NAT que no deje pasar los paquetes IPsec, se inicia automáticamente la encapsulación UDP. Force (forzar) Al negociar los parámetros de la conexión VPN se exige que los paquetes de datos se transfieran encapsulados durante la conexión. Off La función NAT-T está desactivada. Enable dead peer detection (habilitar Dead Peer Detection) Si la estación remota soporta el protocolo Dead Peer Detection (DPD), los respectivos interlocutores pueden detectar si la conexión IPsec es válida aún o si debe establecerse de nuevo. Dependiendo de la configuración, sin DPD es necesario esperar hasta que finalice el período de validez de la SA (asociación de seguridad) o reiniciar la conexión manualmente. Para comprobar si la conexión IPsec es válida aún, la Dead Peer Detection envía consultas DPD a la estación remota. Si no hay respuesta, la conexión IPsec se considera interrumpida al cabo del número permitido de intentos fallidos. Advertencia Debido al envío de consultas DPD aumenta la cantidad de datos enviados y recibidos por EGPRS o GPRS. Esto puede causar costes adicionales. Sí La Dead Peer Detection está activada. El detecta independientemente de la transferencia de datos útiles la interrupción de la conexión y, en este caso, espera a que las estaciones remotas vuelvan a establecer la conexión. No La Dead Peer Detection está desactivada. 72 C79000-G8978-C236-02

73 7 Conexiones VPN DPD - delay (seconds) (retardo de DPD en segundos) Período en segundos al cabo del cual deben enviarse consultas DPD. Estas consultas comprueban si la estación remota está disponible todavía. DPD - timeout (seconds) (timeout de DPD en segundos) Período en segundos al cabo del cual debe considerarse no válida la conexión con la estación remota si no se recibe una respuesta a las consultas DPD. DPD - maximum failures (intentos fallidos máx. de DPD) Ajustes de fábrica Cantidad de intentos fallidos admisibles antes de considerarse interrumpida la conexión IPsec. Los ajustes de fábrica del son: Nombre Activado Cualquiera No (desactivado) Authentication method (método de autenticación) Certificado X.509 ID remota ID local NONE NONE Remote certificate (certificado remoto) - Encriptación de SA ISAKMP Encriptación de SA IPSec Hash de SA ISAKMP Hash de SA IPSec ISAKMP-SA mode (modo de SA ISAKMP) 3DES-168 3DES-168 MD5 MD5 Main Período de validez de SA ISAKMP (segundos) Período de validez de SA IPSec (segundos) NAT-T Enable dead peer detection (habilitar Dead Peer Detection) On Sí DPD - delay (seconds) (retardo de DPD en segundos) 150 DPD - timeout (seconds) (timeout de DPD en segundos) 60 DPD - maximum failures (intentos fallidos máx. de DPD) 5 C79000-G8978-C

74 7 Conexiones VPN 7.2 Modo Standard VPN IPsec Aquí se visualizan las conexiones VPN ya creadas. Es posible habilitar (Enabled = Yes) o deshabilitar (Enabled = No) cada conexión por separado. Puede utilizar New (nuevo) para agregar conexiones VPN, Edit Settings (editar configuración) e IKE Settings (configuración IKE) para configurarlas, así como Delete para borrarlas. Figura 7-6 IPSec VPN > Modo Standard Modo Standard VPN - Editar la configuración Figura 7-7 Modo Standard VPN > Editar la configuración 74 C79000-G8978-C236-02

75 7 Conexiones VPN Connection name (nombre de conexión) Introduzca aquí un nombre para la nueva conexión. Address of the remote site's VPN gateway (dirección del gateway VPN de la estación remota) Campo de entrada para la dirección de la estación remota, bien sea como nombre de host (p. ej. myadress.com) o dirección IP. Red local Red remota PC de administración Aplicación local MD741-1 (E-)GPRS APN Dirección de la estación remo ta INTERNET Gateway VPN PC de administración Estaciones remotas externas Aplicación local Túnel VPN Figura 7-8 Host remoto > Dirección de la estación remota Certificado X.509, certificado CA En los métodos de autenticación "Certificado X.509" y "Certificado CA" se utilizan para la autenticación claves firmadas previamente por una autoridad certificadora (CA = Certification Authority). Estos métodos se consideran especialmente seguros. Una CA puede ser un prestador de servicios, pero también p. ej. el administrador de sistema de su proyecto, si éste dispone de las herramientas de software necesarias. La CA crea un archivo de certificado (PKCS12) con la extensión *p12 para cada una de ambas estaciones remotas de una conexión VPN. Este archivo de certificado contiene las claves pública y privada de la propia estación, el certificado firmado por la CA y la clave pública de la CA. En el método de autenticación X.509 existe además para cada una de ambas estaciones remotas un archivo de clave (*.pem, *.cer ó *.crt) que contiene la clave pública de la propia estación. Certificado X.509 El intercambio de claves públicas (archivo con la extensión *.pem, *.cer ó *.crt) entre el y el gateway VPN de la estación remota se efectúa manualmente, p. ej. mediante un CD-ROM o por correo electrónico. Para más información sobre cómo cargar el certificado, consulte el capítulo 7.3. Certificado CA El intercambio de claves públicas entre el y el gateway VPN de la estación remota se realiza vía la conexión de datos al establecer la conexión VPN. No es necesario intercambiar manualmente los archivos de clave. C79000-G8978-C

76 7 Conexiones VPN Pre-Shared Secret Key (PSK o clave secreta previamente compartida) Este método es soportado principalmente por implementaciones de IPsec antiguas. La autenticación se realiza con una secuencia de caracteres convenida previamente. Para alcanzar un nivel de seguridad elevado, la secuencia de caracteres debería comprender aprox. 30 caracteres (mayúsculas, minúsculas y cifras) seleccionados al azar. Remote ID, Local ID (ID remota, ID local) IPsec utiliza las IDs local y remota para identificar unívocamente las estaciones remotas al establecer la conexión VPN. En la autenticación con el certificado X.509 o el certificado CA: Si se conserva el ajuste de fábrica NONE, los Distinguished Names (nombres distintivos) del propio certificado y del certificado de la estación remota se adoptan y se utilizan automáticamente como ID local e ID remota. Si se modifica manualmente la entrada de la ID local o remota, es preciso adaptar las entradas correspondientes en la estación remota. La ID local propia debe ser igual a la ID remota en la estación remota, y viceversa. Las entradas para la ID local y remota deben efectuarse en formato ASN.1, p. ej. "C=XY/O=XY Org/CN=xy.org.org" En la autenticación con Pre-Shared Secret Key (PSK): Si se conserva el ajuste de fábrica NONE, se adoptan automáticamente la dirección IP propia como ID local y la dirección IP de la estación remota como ID remota. Si las entradas de la ID local o remota se modifican manualmente, estas entradas deben tener el formato de un nombre de host (p. ej. RemoteStation.com), o bien de una dirección de correo electrónico (p. ej. remote@station.com). La ID local propia debe ser igual a la ID remota en la estación remota, y viceversa. Nota: Si la dirección IP no se utiliza como ID remota en la Pre-Shared Secret Key (PSK), es preciso ajustar el "Aggressive Mode" como modo de la SA ISAKMP. Scalance S ID Si ha cargado el certificado de una Scalance S en el, la ID remota se puede leer del certificado haciendo clic en el botón Scalance S ID. El valor leído se introduce entonces como ID remota. 76 C79000-G8978-C236-02

77 7 Conexiones VPN Wait for remote connection (esperar conexión remota) Sí El espera hasta que el gateway VPN de la red remota inicie el establecimiento de la conexión VPN. No El inicia el establecimiento de la conexión. Remote net address (dirección de la red remota) Campo para introducir la dirección IP (p. ej ) de la red remota. La red remota también puede ser un solo ordenador. Red local Red remota PC de administración MD741-1 Dirección de la red local Dirección de la red remota PC de administración Aplicación lo cal (E-)GPRS APN INTERNET Gateway VPN Estaciones remotas externas Aplicación lo cal Túnel VPN Figura 7-9 Dirección de la red remota Remote subnet mask (máscara de subred remota) Campo para introducir la máscara de subred (p. ej ) de la red remota. La red remota también puede ser un solo ordenador. Local net address (dirección de la red local) Campo para introducir la dirección IP (p. ej ) de la red local. La red local también puede ser un solo ordenador. Local subnet mask (máscara de subred local) Campo para introducir la máscara de subred (p. ej ) de la red local. La red local también puede ser un solo ordenador. C79000-G8978-C

78 7 Conexiones VPN Reglas de firewall para túnel VPN Consulte el capítulo 7.4. Modo Standard VPN - Editar IKE Aquí puede definir las propiedades de la conexión VPN conforme a sus exigencias y según lo convenido con el administrador de sistema de la estación remota. Figura 7-10 Modo Standard VPN > Editar IKE ISAKMP-SA encryption (encriptación de SA ISAKMP), IPsec-SA encryption (encriptación de SA IPsec) Campo para seleccionar el método de encriptación que debe utilizarse para la SA ISAKMP y SA IPSec. El soporta los métodos siguientes: 3DES-168 AES-128 AES-192 AES C79000-G8978-C236-02

79 7 Conexiones VPN 3DES-168 es un método utilizado con frecuencia, por lo que aparece ajustado por defecto. El método puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. Nota: Cuantos más bits tenga un algoritmo de encriptación (lo que se indica por el número anexado), tanto más seguro será. Por tanto, el método AES-256 es el más seguro. No obstante, el proceso de encriptación tarda más tiempo y necesita más potencia de cálculo cuanto más larga sea la clave. ISAKMP-SA hash, IPsec-SA hash Campo para seleccionar el método a utilizar para calcular las sumas de verificación / los hashes durante las fases ISAKMP e IPSec. Puede seleccionar entre: MD5 o SHA-1 (detección automática) MD5 SHA-1 El método puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. ISAKMP-SA mode (modo de SA ISAKMP) Campo para seleccionar el método de negociación de la SA ISAKMP. Puede seleccionar entre: Main Mode (modo principal) Aggressive Mode (modo agresivo) DH/PFS group (grupo DH/PFS) Campo para seleccionar el grupo DH utilizado para el intercambio de claves. ISAKMP-SA lifetime (período de validez de SA ISAKMP), IPsec-SA lifetime (período de validez de SA IPsec) Las claves de una conexión IPsec se renuevan en determinados intervalos, con objeto de dificultar aún más los ataques a una conexión IPsec. Campo de entrada para determinar el período de validez (en segundos) de las claves convenidas para la SA ISAKMP y la SA IPSec. El período de validez puede definirse de forma diferente para la SA ISAKMP y la SA IPSec. C79000-G8978-C

80 7 Conexiones VPN NAT-T Es posible que exista un router NAT entre el y el gateway VPN de la red remota. No todos los routers NAT dejan pasar paquetes de datos IPsec. Por este motivo podría resultar necesario encapsular los paquetes de datos IPsec en paquetes UPD para poder pasar el router NAT. On Si el detecta un router NAT que no deje pasar los paquetes IPsec, se inicia automáticamente la encapsulación UDP. Force (forzar) Al negociar los parámetros de la conexión VPN se exige que los paquetes de datos se transfieran encapsulados durante la conexión. Off La función NAT-T está desactivada. Enable dead peer detection (habilitar Dead Peer Detection) Si la estación remota soporta el protocolo Dead Peer Detection (DPD), los respectivos interlocutores pueden detectar si la conexión IPsec es válida aún o si debe establecerse de nuevo. Dependiendo de la configuración, sin DPD es necesario esperar hasta que finalice el período de validez de la SA (asociación de seguridad) o reiniciar la conexión manualmente. Para comprobar si la conexión IPsec es válida aún, la Dead Peer Detection envía consultas DPD a la estación remota. Si no hay respuesta, la conexión IPsec se considera interrumpida al cabo del número permitido de intentos fallidos. Advertencia Debido al envío de consultas DPD aumenta la cantidad de datos enviados y recibidos por EGPRS o GPRS. Esto puede causar costes adicionales. Sí La Dead Peer Detection está activada. Independientemente de la transferencia de datos útiles, se intenta volver a establecer la conexión IPsec, si está se ha declarado interrumpida. No La Dead Peer Detection está desactivada. DPD - delay (seconds) (retardo de DPD en segundos) Período en segundos al cabo del cual deben enviarse consultas DPD. Estas consultas comprueban si la estación remota está disponible todavía. 80 C79000-G8978-C236-02

81 7 Conexiones VPN DPD - timeout (seconds) (timeout de DPD en segundos) Período en segundos al cabo del cual se considera interrumpida la conexión con la estación remota si no se recibe una respuesta a las consultas DPD. DPD - maximum failures (intentos fallidos máx. de DPD) Cantidad de intentos fallidos admisibles antes de considerarse interrumpida la conexión IPsec. Ajustes de fábrica Los ajustes de fábrica del son: Nombre Activado NewConnection No (desactivado) Authentication method (método de autenticación) X.509 ID remota ID local NONE NONE Remote certificate (certificado remoto) - Wait for remote connection (esperar conexión remota) Remote net address (dirección de la red remota) Remote subnet mask (máscara de subred remota) No Local net address (dirección de la red local) Local subnet mask (máscara de subred local) Encriptación de SA ISAKMP Encriptación de SA IPSec Hash de SA ISAKMP Hash de SA IPSec 3DES-168 3DES-168 MD5 MD5 DH/PFS group (grupo DH/PFS) DH ISAKMP-SA mode (modo de SA ISAKMP) Main Período de validez de SA ISAKMP (segundos) Período de validez de SA IPSec (segundos) NAT-T On C79000-G8978-C

82 7 Conexiones VPN Enable dead peer detection (habilitar Dead Peer Detection) DPD - delay (seconds) (retardo de DPD en segundos) DPD - timeout (seconds) (timeout de DPD en segundos) DPD - maximum failures (intentos fallidos máx. de DPD) Sí Cargar certificados VPN Cargar y gestionar certificados y claves Figura 7-11 IPSec VPN > Certificados Upload remote certificate (cargar certificado remoto) Campo para cargar los archivos clave (*.pem,*.cer o *.crt) con certificados remotos y claves públicas de estaciones remotas en el. Los archivos deben estar almacenados en el PC de administración. Los certificados remotos sólo se necesitan para el método de autenticación con certificado X.509. Upload PKCS12 file (.p12) (cargar archivo PKCS12 (.p12)) Campo para cargar en el el archivo de certificado (archivo PKCS12) con la extensión.p12. Este archivo debe estar almacenado en el PC de administración. 82 C79000-G8978-C236-02

83 7 Conexiones VPN Atención Si el equipo ya contiene un archivo de certificado, éste se debe borrar antes de cargar el nuevo archivo. Password (contraseña) El archivo de certificado (archivo PKCS12) está protegido por contraseña. En este campo se debe introducir la contraseña del archivo de certificado. Remote certificates (certificados remotos) (*.pem,*.cer, *.crt) Aquí se visualiza una lista de todos los certificados remotos que se han cargado. Con Delete (borrar) es posible borrar los certificados remotos que no se necesiten más. Device certificates (certificados propios) (.p12) Aquí se visualiza el nombre y estado del archivo de certificado cargado (archivo PKCS12). Una marca de verificación blanca sobre un punto verde indica que existe el respectivo componente del archivo de certificado. Una cruz blanca sobre un punto rojo indica que falta el respectivo componente o que se ha introducido una contraseña incorrecta. C79000-G8978-C

84 7 Conexiones VPN 7.4 Reglas de firewall para túnel VPN La ventana para configurar las reglas de firewall para el túnel VPN se encuentra bajo "IPsec VPN > Connections": Figura 7-12 Reglas de firewall para túnel VPN IPsec VPN Edit Firewall Rules (editar reglas de firewall) Figura 7-13 IPsec VPN > Editar reglas de firewall 84 C79000-G8978-C236-02

85 7 Conexiones VPN Función En principio, la conexión VPN IPsec se considera segura. Por este motivo, el tráfico de datos a través de esta conexión no está limitado por defecto. Sin embargo, es posible definir reglas de firewall para la conexión VPN. El procedimiento para definir las reglas de firewall para la conexión VPN equivale a la configuración de la función de filtro de paquetes del firewall general (consulte el capítulo 6.1). No obstante, las reglas definidas aquí son válidas sólo para la respectiva conexión VPN. Ajustes de fábrica Los ajustes de fábrica del son: Reglas de firewall para túnel VPN Sin limitaciones 7.5 Configuración avanzada de conexiones VPN Configuración de funciones especiales, timeouts e intervalos de conexiones VPN. Figura 7-14 IPSec VPN > Avanzado NAT-T keepalive interval (seconds) (intervalo keepalive NAT-T en segundos) Si NAT-T está habilitado (consulte el capítulo 7.2) el envía periódicamente paquetes de datos keepalive por la conexión VPN. Así se impide que un router NAT ubicado entre el y la estación remota interrumpa la conexión en fases de inactividad (sin tráfico de datos). El intervalo entre los paquetes keepalive se puede modificar aquí. Phase 1 timeout (seconds) (timeout de 2ª fase en segundos) El timeout de la 1ª fase determina cuánto tiempo debe esperar el SINAUT MD741-1 hasta que concluya un proceso de autenticación de la SA ISAKMP. Si se excede el timeout ajustado, se cancela el proceso de autenticación y se reinicia luego. C79000-G8978-C

86 7 Conexiones VPN El timeout se puede modificar aquí. Phase 2 timeout (seconds) (timeout de 2ª fase en segundos) El timeout de la 2ª fase determina cuánto tiempo debe esperar el SINAUT MD741-1 hasta que concluya un proceso de autenticación de la SA IPsec. Si se excede el timeout ajustado, se cancela el proceso de autenticación y se reinicia luego. El timeout se puede modificar aquí. DynDNS tracking (seguimiento DynDNS) Si el gateway VPN de la estación remota obtiene la dirección IP de un servicio DynDNS y no se utiliza la Dead Peer Detection, es recomendable que el SINAUT MD741-1 compruebe con regularidad si dicho gateway sigue estando accesible. El "DynDNS tracking" (seguimiento DynDNS) se encarga de realizar esta función. Yes activa esta función, No la desactiva. DynDNS tracking interval (minutes) (intervalo de seguimiento DynDNS en segundos) Ajuste aquí en qué intervalo se debe comprobar si la estación remota está accesible todavía. Ajustes de fábrica Los ajustes de fábrica del son: NAT-T keepalive interval (seconds) (intervalo keepalive NAT-T en segundos) Phase 1 timeout (seconds) (timeout de 2ª fase en segundos) Phase 2 timeout (seconds) (timeout de 2ª fase en segundos) DynDNS tracking (seguimiento DynDNS) DynDNS tracking interval (minutes) (intervalo de seguimiento DynDNS en segundos) Sí 5 86 C79000-G8978-C236-02

87 7 Conexiones VPN 7.6 Estado de las conexiones VPN Visualización del estado de las conexiones VPN habilitadas y posibilidad de cargar un archivo de informe en el PC de administración. Figura 7-15 IPSec VPN > Estado Enabled VPN Connections (conexiones VPN habilitadas) Una marca de verificación blanca sobre un punto verde indica que se ha establecido correctamente la asociación de seguridad (SA = Security Association). Una cruz blanca sobre un punto rojo indica que no está establecida la asociación de seguridad. Download VPN protocol (descargar protocolo VPN) Esta función sirve para descargar el archivo de informe VPN al PC de administración. C79000-G8978-C

88 Accesos remotos Acceso remoto HTTPS El acceso remoto HTTPS (= HyperText Transfer Protocol Secure) permite acceder de forma segura vía EGPRS, GPRS o CSD desde una red externa a la interfaz web del. La configuración del vía el acceso remoto HTTPS se realiza de la misma manera que la configuración con un navegador web a través de la interfaz local (consulte el capítulo 3). Figura 8-1 Acceso > HTTPS Enable HTTPS remote access (habilitar acceso remoto HTTPS) Sí El acceso remoto vía HTTPS a la interfaz web del está permitido desde una red externa. No No se permite el acceso vía HTTPS. HTTPS remote access port (puerto de acceso remoto HTTPS) Estándar: 443 (ajuste de fábrica) 88 C79000-G8978-C236-02

89 8 Accesos remotos Es posible definir un puerto diferente. No obstante, si se define un puerto diferente, en la estación remota que efectúa el acceso remoto debe indicarse la dirección IP seguida del número de puerto. Ejemplo: Si el está accesible en la dirección vía Internet y se ha definido el número de puerto 442 para el acceso remoto, en la estación remota debe introducirse lo siguiente en la barra de dirección del navegador web: Firewall rules for HTTPS remote access (reglas de firewall para el acceso remoto HTTPS) New (nuevo) Agrega una nueva regla de firewall para el acceso remoto HTTPS que se debe rellenar luego. Delete (borrar) Permite borrar una regla de firewall creada para el acceso remoto HTTPS. From IP (external) (de IP (externo)) Campo para introducir la(s) dirección (direcciones) del (de los) ordenador(es) autorizado(s) para el acceso remoto. Las indicaciones posibles son: Dirección IP o rango de direcciones IP: /0 significa todas las direcciones. Para indicar un rango, utilice la notación CIDR. Action (acción) Campo para seleccionar qué acción debe realizarse en caso de accesos al puerto HTTPS indicado: Accept (aceptar) significa que los paquetes de datos pueden pasar. Reject (rechazar) significa que los paquetes de datos se rechazan y el remitente obtiene un aviso respecto al rechazo. Drop (descartar) significa que los paquetes de datos no pueden pasar. Se descartan sin que el remitente obtenga un aviso sobre qué ha sucedido con ellos. Log (registro) Para cada regla de firewall es posible determinar si el evento se debe registrar - en este caso, ajuste Log a Yes o no - ajuste Log a No (ajuste de fábrica predeterminado). El informe se escribe en el archivo de registro del firewall (consulte el capítulo 6.4). C79000-G8978-C

90 8 Accesos remotos Ajustes de fábrica Los ajustes de fábrica del son: Enable HTTPS remote access (habilitar acceso remoto HTTPS) HTTPS remote access port (puerto de acceso remoto HTTPS) No (desactivado) 443 Ajuste predeterminado para reglas nuevas: From IP (external) (de IP (externo)) /0 Action (acción) Log (registro) Aceptar No (desactivado) 8.2 Acceso remoto SSH El acceso remoto SSH (= Secured SHell) permite acceder de forma segura vía EGPRS, GPRS o CSD desde una red externa al sistema de archivos del SINAUT MD Para esto es preciso establecer una conexión de la estación remota al SINAUT MD741-1 mediante un programa apto para SSH. El acceso remoto SSH debería ser utilizado sólo por usuarios familiarizados con el sistema operativo LINUX. Esta opción está desactivada de fábrica. Figura 8-2 Acceso > SSH Precaución A través del acceso remoto SSH es posible cometer errores de configuración tan graves que podría resultar necesario enviar el equipo al servicio de asistencia técnica. 90 C79000-G8978-C236-02

91 8 Accesos remotos Enable SSH remote access (habilitar acceso remoto SSH) Sí El acceso al sistema de archivos del está permitido desde una red externa. No No se permite el acceso vía SSH. SSH remote access port (puerto de acceso remoto SSH) Estándar: 22 (ajuste de fábrica) Es posible definir un puerto diferente. No obstante, si se define un puerto diferente, en la estación remota que efectúa el acceso remoto se debe indicar el número de puerto seguido de la dirección IP. Ejemplo: Si el está accesible en la dirección y se ha definido el número de puerto para el acceso remoto, en la estación remota debe introducirse este número de puerto en el cliente SSH (p. ej. PUTTY): ssh -p Firewall rules for SSH remote access (reglas de firewall para el acceso remoto SSH) New (nuevo) Agrega una nueva regla de firewall para el acceso remoto SSH que se debe rellenar luego. Delete (borrar) Permite borrar una regla de firewall creada para el acceso remoto SSH. From IP (external) (de IP (externo)) Campo para introducir la(s) dirección (direcciones) del (de los) ordenador(es) autorizado(s) para el acceso remoto. Las indicaciones posibles son: Dirección IP o rango de direcciones IP: /0 significa todas las direcciones. Para indicar un rango, utilice la notación CIDR. Action (acción) Campo para seleccionar qué acción debe realizarse en caso de accesos al puerto SSH indicado: Accept (aceptar) significa que los paquetes de datos pueden pasar. C79000-G8978-C

92 8 Accesos remotos Reject (rechazar) significa que los paquetes de datos se rechazan y el remitente obtiene un aviso respecto al rechazo. Drop (descartar) significa que los paquetes de datos no pueden pasar. Se descartan sin que el remitente obtenga un aviso sobre qué ha sucedido con ellos. Log (registro) Para cada regla de firewall es posible determinar si el evento se debe registrar - en este caso, ajuste Log a Yes o no - ajuste Log a No (ajuste de fábrica predeterminado). El informe se escribe en el archivo de registro del firewall (consulte el capítulo 6.4). Ajustes de fábrica Los ajustes de fábrica del son: Enable SSH remote access (habilitar acceso remoto SSH) SSH remote access port (puerto de acceso remoto SSH) No (desactivado) 22 Ajuste predeterminado para reglas nuevas: From IP (external) (de IP (externo)) /0 Action (acción) Log (registro) Aceptar No (desactivado) 92 C79000-G8978-C236-02

93 8 Accesos remotos 8.3 Acceso remoto por marcación telefónica El acceso por marcación CSD (CSD = Circuit Switched Data = datos conmutados por circuito) permite acceder a la interfaz web del vía una conexión telefónica. Para ello se debe llamar al con un módem analógico al número de llamada de datos, o bien con un módem GSM al número de llamada de voz y datos de su tarjeta SIM. Figura 8-3 Acceso > Marcación CSD El acepta la llamada si el número de teléfono del abonado que efectúa la llamada está guardado en la lista de números autorizados en el y el número de teléfono es transmitido por la red telefónica (función CLIP) La marcación debe realizarse con un cliente PPP. Enable CSD dial-in (habilitar marcación CSD) Sí El acceso por marcación telefónica a la interfaz web del está permitido desde una red externa. No No se permite el acceso por marcación telefónica. C79000-G8978-C

94 8 Accesos remotos PPP username / password (nombre de usuario / contraseña PPP) Campos para introducir el nombre de usuario y contraseña con los que debe iniciar la sesión un cliente PPP (p. ej. conexión de acceso telefónico de Windows) en el. El cliente PPP debe utilizar el mismo nombre de usuario y la misma contraseña. Approved Call Numbers (números de teléfono aprobados) Campo para introducir el número de teléfono del abonado que establece la conexión. El teléfono debe soportar la transmisión del número llamante (CLIP Calling Line Identification Presentation) y esta función debe estar activada. El número de teléfono introducido en el debe concordar exactamente con el número de teléfono registrado y, en caso necesario, incluir también el identificador de país y el prefijo, p. ej Si deben tener acceso varios números de teléfono de una central privada, el carácter * (asterisco) se puede utilizar como comodín, p. ej *. En este caso se aceptan todos los números de teléfono que comiencen con Nota Las reglas de firewall definidas para el acceso HTTPS y/o SSH también son aplicables al acceso CSD. Como dirección IP de origen ("From IP") para el acceso CSD se ha definido New (nuevo) Agrega un número de teléfono permitido para el acceso remoto CSD que se debe rellenar luego. Delete (borrar) Borra un número de teléfono para el acceso remoto CSD. Ajustes de fábrica Los ajustes de fábrica del son: Enable CSD dial-in (habilitar marcación CSD) Nombre de usuario PPP Contraseña PPP Approved Call Numbers (números de teléfono aprobados) No (desactivado) service service * 94 C79000-G8978-C236-02

95 Estado, archivo de registro y 9 diagnóstico 9.1 Visualización del estado operativo Figura 9-1 Sistema > Estado Nota Utilice la función Actualizar del navegador web si desea actualizar los valores representados. Current system time (hora actual de sistema) Muestra la hora actual de sistema del en el siguiente formato: Año mes día, horas minutos 95 C79000-G8978-C236-02