Secomea: acceso remoto fácil y seguro
La solución de Secomea de Vipa está entre los líderes de su clase en la industria. Esta solución está implementada por los principales fabricantes de maquinaria y por los más destacados integradores de sistemas en todo el mundo, quienes la utilizan para programar, monitorizar o capturar datos, entre otros, de forma remota, gracias a su sencilla configuración, robustez y seguridad en la comunicación.
La solución consiste en una unidad de control en la fábrica (SiteManager) y una Web o un cliente basado en Windows (LinkManager) para un ingeniero o usuario final. Estos dos componentes están unidos entre sí a través de un servidor de comunicaciones M2M (GateManager) que está disponible como un servicio basado en la nube o como un servidor independiente (hardware), pudiendo pasar de uno a otro en el momento que se desee.
En 2003 los primeros productos Secomea diseñados específicamente para el acceso remoto a equipos industriales fueron lanzados sobre la base de una evaluación exhaustiva de la industria de la automatización, para el que las necesidades pueden resumirse en:
- La solución debe ser fácil de implementar, también para las personas no expertas en IT
- La solución debe ser segura con respecto a la tecnología y comportamiento del usuario
- La solución tiene que parecerse a los principios del módem de acceso telefónico: marcar un número y estar en línea
- La solución debe cumplir con una amplia gama de clientes IT y políticas de seguridad
¿Es VPN?
Muchas personas en la industria de la automatización tienen mala experiencia con VPN. La primera generación de soluciones Secomea, de hecho, estaba basada en IPSec VPN, aunque se había mejorado la facilidad de configuración considerablemente con la tecnología EasyTunnel, que sigue siendo hoy en día utilizada con éxito en todo el mundo, tanto en nuestras soluciones de la industria como de la red de oficinas.
Secomea pronto observó que la VPN no es ideal para los desafíos típicos que la industria de la automatización se enfrenta. VPN es brillante para las empresas que conectan dos oficinas, o para la conexión de los usuarios móviles con la oficina central. VPN es adecuado para conexiones uno-a-uno o muchos-a-uno (ejemplo de usuarios móviles a oficina central), pero no uno-a-muchos (un ingeniero a muchos sitios), o muchos-a-muchos (muchos ingenieros a muchos sitios).
La solución de acceso remoto Secomea administra fácilmente miles de ingenieros que necesitan acceso a miles de sitios, incluida la gestión de los derechos de acceso individuales, e incluso limita el acceso a determinados tipos de equipos o protocolos / servicios específicos de equipos. Para la gente de automatización normalmente no hay necesidad, ni deseo, ni el permiso para acceder a la totalidad de la red remota. Sólo es necesario el acceso a uno o dos dispositivos, como un PLC o HMI.
Para ello desarrolló una solución que resuelve los siguientes problemas de VPN:
- VPN está diseñado para proporcionar un acceso completo a la red entre dos redes remotas. La solución Secomea proporciona acceso sólo a determinadas direcciones IP y servicios específicos, sin tener que configurar reglas de firewall.
- VPN requiere subredes diferentes en ambos extremos. Las redes conectadas a través de VPN no deben utilizar la misma subred local. Pero un constructor de maquinaria / integrador de sistemas que gestiona cientos de instalaciones de clientes está obligado a trabajar en muchos lugares que usan las mismas direcciones de subred. Demandar a los clientes que cambien sus esquemas de direccionamiento es raramente una opción y hacer juegos malabares con las reglas de NAT para hacer frente a los esquemas de direccionamiento existentes puede ser simplemente una pesadilla. La solución Secomea elimina el problema con diferentes subredes.
Con el Secomea Link Services todos los sitios pueden tener la misma subred, y todos los equipos tienen la misma dirección IP. El ingeniero y el dispositivo remoto son simplemente unidos entre sí con una conexión IP inteligente.
En lugar de VPN, Secomea ha creado el concepto de Secure Link Services, que proporcionan acceso dinámico bajo demanda para dispositivos remotos específicos.
Fácil configuración, sin problemas con el firewall del router
Todas las conexiones desde SiteManagers y LinkManagers se establecen desde dentro hacia fuera y sólo se utilizan los puertos Web estándar (como el 443). Todas estas conexiones cifradas se terminan en el servidor central basado en Internet GateManager y a través de estas conexiones cifradas, la vinculaciones entre los ingenieros y los dispositivos se establecen dinámicamente.
Los agentes de dispositivos definidos en el SiteManager se limitan de forma automática para permitir únicamente el acceso a los puertos o servicios definidos por el tipo de agente; por ejemplo, cuando se define un agente de PLC VIPA en el SiteManager, el puerto que se abre es el TCP 102. Sólo este se activa cuando un LinkManager conecta con el agente que representa el PLC VIPA. Además, el potente gestor de usuarios del GateManager permite habilitar permisos de acceso en horarios determinados (por ejemplo para una subcontrata de servicio), por tiempo limitado e incluso restringir a un usuario la visibilidad a un único PLC o dispositivo conectado detrás de un mismo Sitemanager, siempre de una forma fácil de configurar.
Seguridad incrementada en dos factores
GateManager actúa como una autoridad de certificación para ambos SiteManagers y clientes LinkManager. El acceso de los clientes está asegurado por un sistema de seguridad de dos factores (certificado y contraseña), conocido a partir de soluciones de banca web. Pero el certificado X.509 de la solución Secomea no es sólo una medida de seguridad. Con la introducción del LinkManager Instant Access se ha incluido en el certificado todos los detalles de configuración, lo que ha eliminado la necesidad de que el usuario configure nada. Se instala el LinkManager y el certificado, y el LinkManager sabrá a dónde conectarse; no se necesita ninguna configuración adicional del LinkManager.
Además, el servidor GateManager no solo registra de forma centralizada quien hizo la conexión y para qué, sino también cuando se establece la conexión y a qué servicios se accede. El registro se mantiene de forma centralizada en el GateManager y no se puede eliminar por los administradores, por lo tanto puede actuar como prueba en caso de disputas legales.
LinkManager Mobile
Además de la solución de escritorio LinkManager con la que el usuario dispondrá de acceso total a los dispositivos remotos conectados en el SiteManager, Secomea dispone de una herramienta para dispositivos móviles desde la que cualquier usuario con los permisos correspondientes, podrá tener acceso directo a través de los servicios Web del equipo remoto, en caso que éste disponga de ellos mediante “LinkManager Mobile”.
Conexión remota de diferentes dispositivos con diferentes interfaces
En el SiteManager es posible conectar cualquier dispositivo de cualquier fabricante que disponga de interfaz Ethernet, USB o puerto serie, sin necesidad de red VPN, ni de ser un experto en IT, ni de tener direcciones IP fijas ni de abrir puertos en el firewall del router, de forma fácil y segura. El SiteManager dispone, además (según versión), de un switch gestionable que permite realizar redes independientes (VLAN) y por tanto poder delimitar el acceso a diferentes dispositivos de la instalación. También es posible conectar una antena Wifi en un puerto USB del SiteManger para disponer de la conexión WAN via Wifi.
Por tanto el SiteManager dispone de tres posibles conexiones WAN para la salida a Internet:
- LAN (cable)
- 3G
- Wifi