VPN Siemens

Introducción a redes remotas
Redes remotas y seguridad industrial
Redes remotas
Las redes remotas son infraestructuras de comunicaciones públicas o privadas para cubrir áreas
amplias o largas distancias, por ejemplo, redes de telefonía móvil o fija.
La distribución geográfica de las celdas de automatización aumenta la demanda de telecontrol

(control remoto) y teleservicio (mantenimiento / diagnóstico remoto) en una red remota.
La amplia cartera de redes remotas de Siemens ofrece conexión a infraestructuras convencionales

(línea dedicada, teléfono) e IP (por ejemplo, Internet).
Aplicaciones
Posibles aplicaciones de acceso remoto en una red remota:
Telecontrol
Conexión de estaciones externas (unidades terminales remotas - RTU) distribuidas en un área

geográfica amplia a uno o más sistemas de control central con el propósito de control y monitoreo
del operador.
Teleservicio
Intercambio de datos con sistemas técnicos distantes como máquinas, plantas y computadoras
con el fin de detectar errores, diagnósticos, mantenimiento, reparación y optimización.
Integración en el concepto de seguridad industrial
Este documento se centra en las redes basadas en IP. Dado que el acceso remoto a la planta se
implementa a través de una red pública (por ejemplo, Internet), la protección contra la
manipulación de datos y el espionaje es particularmente importante. Para este propósito, se
utilizan redes privadas virtuales (VPN).
VPN
Una VPN es una red privada que utiliza una red pública (por ejemplo, Internet) como una red de
tránsito para transmitir datos a una red de destino privada. Las redes privadas y la red de tránsito
no necesitan ser compatibles entre sí.
Aunque VPN utiliza los mecanismos de direccionamiento de la red de tránsito, utiliza sus propios
paquetes de red para separar el transporte de paquetes de datos privados de los demás. Debido a
este hecho, las redes privadas aparecen como una red compartida, lógica (virtual).
Se requieren enrutadores VPN para configurar una VPN.
Para configurar una VPN, hay varios protocolos disponibles: IPsec, OpenVPN, SSTP.
Cliente VPN y servidor VPN
Los nodos de una comunicación de datos segura a través de VPN asumen diferentes funciones:
 Servidor VPN
 Cliente VPN
El punto final del túnel que inicia activamente el proceso de conexión VPN se denomina cliente
VPN. El extremo remoto que espera al cliente VPN se llama servidor VPN.
Portafolio de productos integrados de seguridad
Mediante una combinación de diferentes medidas de seguridad, como firewalls y VPN, los
módulos de seguridad protegen dispositivos individuales o incluso celdas de automatización
completas contra:
 Espionaje de datos
 Manipulación de datos
 Acceso no deseado
La siguiente figura muestra las celdas de acceso remoto.

Para ayudarlo a seleccionar productos, las siguientes secciones describen las características más
importantes de los respectivos módulos de seguridad.
SINEMA Conexión Remota
SINEMA Conexión Remota es una plataforma de gestión para redes remotas que gestiona
centralmente conexiones de túnel seguras. Las plantas o máquinas distribuidas pueden recibir un
servicio conveniente y seguro mediante acceso remoto. Incluso si las máquinas están integradas
en redes de terceros; por ejemplo, en las plantas de los clientes finales de constructores de
máquinas.
Componentes de una solución con SINEMA Conexión Remota:
 SINEMA Conexión Remota como servidor VPN

 Dispositivo final (cliente VPN):
o Aparatos de seguridad industrial: SCALANCE S-600 y SC-600
o Dispositivos de comunicación móvil SCALANCE M-800
o SIMATIC RTU3030C
o SIMATIC CP1243-1
o SIMATIC CP1543 (SP) -1
o SINEMA Cliente de conexión remota
SIMENA Servidor de conexión remota
SIMENA Servidor de conexión remota es una aplicación de servidor y proporciona una gestión de
conexión integrada de redes distribuidas a través de Internet. Coordina el proceso de conexión
segura entre usuarios, plantas distribuidas y máquinas.
Las siguientes funciones son manejadas por el Servidor de Conexión Remota SINEMA:
Gestión y establecimiento de conexiones encriptadas con OpenVPN e IPsec.
Verificación mediante certificado CA o huella digital.
Gestión de usuarios con la configuración de privilegios.
Establecer conexiones permanentes o basadas en eventos (conexión a través de SMS de

despertador o mediante una señal en la entrada digital).
Soporte de enrutamiento y NAT para conectar subredes detrás de SCALANCE.
Provisión de acceso remoto seguro a redes subordinadas para fines de servicio, control y
diagnóstico.
Administración basada en web (WBM) para configurar el servidor.
Cliente de conexión remota SIMENA
SIMENA Cliente de conexión remota es un software OpenVPN Client para una conexión óptima de
dispositivos de programación, PC y portátiles al SIMENA Servidor de conexión remota.
Se caracteriza por las siguientes características:
 Soporte de VPN (OpenVPN) para autenticación segura de nodos de red, para encriptación
de datos y verificación de integridad de datos.
 Conexión más simple de SINEMA Conexión Remota a través de la interfaz de configuración
automática.
 Libreta de direcciones con todos los dispositivos asignados a un usuario.
 Servidor proxy para la comunicación con redes detrás de una infraestructura de servidor
proxy.
 Soporte de HTTPS y SOCKS Proxy Server.
 Seleccionar un dispositivo para realizar teleservicios dentro del entorno SIMATIC.
Cliente de seguridad SOFTNET
El Cliente de seguridad SOFTNET permite que dispositivos de programación, PC y computadoras

portátiles tengan acceso a nodos de red o sistemas de automatización protegidos por SCALANCE S,
SCALANCE M o CP.
Se caracteriza por las siguientes características:
 Acceso seguro de dispositivos de programación o computadoras portátiles a celdas de

automatización completas.
 Fácil uso en PC móviles.
 Los dispositivos no seguros pueden integrarse en el tráfico seguro de datos. • Admite la
función de cliente DNS.
SCALANCE S615, SCALANCE SC63x-2C y SC64x-2C
SCALANCE es un módulo de seguridad para proteger dispositivos, celdas de automatización o

segmentos de red en redes Ethernet contra peligros externos e internos. Entre otros, SCALANCE
S615 o SCALANCE SC se distingue por las siguientes características:
 Soporte de VPN para autenticación segura de nodos de red, para cifrado de datos y
verificación de integridad de datos.
o Túnel VPN IPsec (funcionalidad de servidor y cliente)
o OpenVPN para conectarse a Conexión Remota SINEMA (función de cliente)
 Firewall de inspección de estado de alta calidad con filtrado de tráfico de datos basado en
IP y protocolos de comunicación.
 Soporte de NAT / NAPT; También en conexión con IPsec y OpenVPN.
 VLAN de apoyo.
 Protección flexible, libre de reacción e independiente del protocolo.
 Soporte de múltiples túneles VPN a la vez.
 La conexión más simple a Conexión Remota SINEMA a través de la interfaz de
configuración automática (S615: se puede habilitar a través de KEY-PLUG SINEMA REMOTE
CONNECT).
 El SCALANCE SC tiene 2x puertos combinados eléctricos u ópticos.
SCALANCE M-800
SCALANCE M87x
Los enrutadores SCALANCE M87x son adecuados para redes celulares.
 SCALANCE M874-2 EGPRS / GPRS (2G): 850, 900, 1800 o 1900 MHz
 SCALANCE M874-3 / M876-3 UMTS (3G): 800, 850, 900, 1900 o 2100 MHz
 SCALANCE M876-4 LTE (4G): 800, 900, 1800, 2100 o 2600 MHz
Estos módulos se caracterizan por las siguientes características:
 Soporte de VPN para autenticación segura de nodos de red, para cifrado de datos
y verificación de integridad de datos.
o OpenVPN para conectarse a Conexión Remota SINEMA (función de
cliente)
 Amplia gama de aplicaciones; se puede usar donde esté disponible una red GPRS /
UMTS.
 Recibir SMS y enviar SMS.
 Soporte de RSTP y VRRPv3.
 Conexión de estaciones estacionarias y / o estaciones móviles.
 Simplicidad de conectar redes locales mediante comunicación IP a través de WAN
 Firewall IP específico del usuario para distinguir y diferenciar el acceso a partes
específicas de la planta.
 La conexión más simple de Conexión Remota SINEMA a través de la interfaz de
configuración automática (se puede habilitar a través de KEY-PLUG SINEMA
REMOTE CONNECT).
SCALANCE M81x-1, M826

Estos módulos son enrutadores DSL para una conexión rentable y segura de subredes
basadas en Ethernet y controladores programables a teléfonos con cable o redes DSL.
Admiten ADSL2 + (línea de suscriptor digital asíncrono) o SHDSL. Estos módulos se
caracterizan por las siguientes características:
 Soporte de VPN para autenticación segura de nodos de red, para cifrado de datos
y verificación de integridad de datos.
o OpenVPN para conectarse a SINEMA Remote Connect (función de cliente)
 Enrutador VPN y DSL en un solo dispositivo; por lo tanto, ya no es necesario usar
un enrutador DSL separado.
 Soporte de RSTP y VRRPv3.
 Amplia gama de aplicaciones debido al alto ancho de banda, rendimiento y
velocidad.
 Reducción de gastos de viaje y costos de personal debido a la programación
remota y el diagnóstico remoto a través de redes telefónicas o DSL por cable.
 Firewall IP específico del usuario para distinguir y diferenciar el acceso a partes
específicas de la planta.
 La conexión más simple de Conexión Remota SINEMA a través de la interfaz de
configuración automática (se puede habilitar a través de KEY-PLUG SINEMA
REMOTE CONNECT).
CP
CP x43-1 Avanzado
CP 343-1 Advanced y CP 443-1 Advanced son procesadores de comunicaciones para

conectar CPUs SIMATIC S7 a redes PROFINET / Industrial Ethernet. Para el SIMATIC S7-
300 / S7-400, son el puente entre el nivel de campo y el nivel MES y se integran
perfectamente con las estructuras de seguridad de la oficina y el mundo de TI. Estos
módulos se caracterizan por las siguientes características:
 Firewall, puerta de enlace VPN y procesador de comunicaciones en un solo

dispositivo
 Protección de los controladores S7-300 / S7-400 y sus redes de nivel inferior por
túneles Ipsec
CP 1x43-x
El procesador de comunicación CP 1243-x conecta de forma segura el controlador SIMATIC
S7-1200 a las redes Ethernet.
El procesador de comunicación CP 1543-1 conecta de forma segura el controlador SIMATIC
S7-1500 a las redes Ethernet.
El procesador de comunicación CP 1543SP-1 conecta de forma segura el SIMATIC ET 200SP
a las redes Ethernet.
Estos módulos se caracterizan por las siguientes características:
 Cortafuegos, puerta de enlace VPN y procesador de comunicaciones en un solo
dispositivo
 Protección de los controladores S7-1x00 / ET 200SP y sus redes de nivel inferior
mediante túneles Ipsec
CP 1628
CP 1628 es un módulo de comunicaciones para conectar de forma segura una PG / PC a
Industrial Ethernet. Con un procesador dedicado para tareas de automatización /
seguridad, el CP 1628 reduce la carga de la PC host y proporciona una comunicación de
datos constante, estable y segura.
Este módulo se caracteriza por las siguientes características:
 Firewall, puerta de enlace VPN y procesador de comunicaciones en un solo
dispositivo.
 Protección simultánea de múltiples dispositivos por túneles Ipsec
TS Adaptador IE avanzado
Junto con TIA Portal (V12 SP1 o superior), el TS Adapter IE Advanced permite el acceso, a
través de Internet, a todos los componentes de automatización de una planta (por
ejemplo, controladores S7) que están conectados a Industrial Ethernet.
Este módulo se caracteriza por las siguientes características:
 Además de TIA Portal, no se requiere ningún otro software o hardware para
establecer la conexión VPN (cliente VPN).
 Protección de los controladores S7 y sus redes de nivel inferior mediante SSTP.
LOGO!
¡LOGO! Siemens es un módulo lógico inteligente e ideal para la realización de tareas de
automatización simples en la industria y la tecnología de la construcción.
¡El uso de módulos de expansión permite LOGO! para controlar incluso plantas complejas
sin ningún problema. ¡Usando LOGO! CMR en combinación con el LOGO! 8 módulos
básicos (BM) le permiten monitorear y controlar plantas y sistemas distribuidos a través de
mensajes de texto. ¡Puede acceder de forma remota a la interfaz web de LOGO! CMR y
LOGO! BM a través de la red inalámbrica móvil. ¡El acceso remoto hace posible, por
ejemplo, instalar el LOGO! Programa de BM de forma remota.
1. VPN con Ipsec
1.1 Túnel VPN entre dos SCALANCE SC
Visión general
Requisitos:
 Dirección IP pública estática para el enrutador de Internet del servidor VPN

 Enrutador de Internet con funcionalidad de reenvío de puertos (en el lado del servidor VPN)
 Módem de Internet estándar, enrutador o enrutador UMTS, por ejemplo SCALANCE M-800 (en el lado del cliente VPN )
Enlace a la descripción de la configuración:
http://support.automation.siemens.com/WW/view/en/99681360
1.2 Túnel VPN entre SCALANCE S (servidor VPN) y SCALANCE M81x-1
Visión general
Requisitos:
 Dirección IP pública estática para el enrutador de Internet del servidor VPN.

 Enrutador de Internet con funcionalidad de reenvío de puertos (en el lado del servidor VPN).
1.3 Túnel VPN entre SCALANCE S (servidor VPN) y SOFTNET Security Client
Visión general
Requisitos:

 Módem de Internet estándar, enrutador o enrutador UMTS, por ejemplo, SCALANCE M873 (en el lado del cliente VPN).
1.4 Túnel VPN entre SCALANCE S (servidor VPN) y CP x43-1 Advanced
Visión general
Requisitos:

1.5 Túnel VPN entre SCALANCE S (servidor VPN) y SCALANCE M874-x
Visión general
Requisitos:

 APN predeterminado del operador de red móvil (en el lado del cliente VPN).
1.6 Túnel VPN entre SCALANCE S (servidor VPN) y un cliente móvil
Visión General
Requisitos:
Dirección IP pública estática para el enrutador de Internet del servidor VPN.
Enrutador de Internet con funcionalidad de reenvío de puertos (en el lado del servidor VPN).
APN predeterminado del operador de red móvil (en el lado del cliente VPN).
Smartphone con aplicación Cliente IPSec y sistema operativo Android (en el lado del cliente VPN).

1.7 Túnel VPN entre SCALANCE M81x-1 (servidor VPN) y SCALANCE M81x-1
Visión General
Requisitos:
 Dirección IP pública estática para el servidor VPN.
1.8 Túnel VPN entre SCALANCE S615 (servidor VPN) y SOFTNET Security Client
Visón General
Requisitos:
 Dirección IP pública estática del operador de red móvil a la que también se puede acceder desde Internet (en el lado del servidor
VPN).

1.9 Túnel VPN entre CP x43-1 Advanced (servidor VPN) y SCALANCE S
Visión General
Requisitos:

1.10 Túnel VPN entre CP x43-1 Advanced (servidor VPN) y SCALANCE M81x-1
Visión General
Requisitos:

1.11 Túnel VPN entre CP x43-1 Advanced (servidor VPN) y SOFTNET Security Client
Visión General
Requisitos:
Dirección IP pública estática para el enrutador de Internet del servidor VPN.
Módem de Internet estándar, enrutador o enrutador UMTS, por ejemplo, SCALANCE M873 (en el lado del cliente VPN).

1.12 Túnel VPN entre CP x43-1 Advanced (servidor VPN) y CP x43-1 Advanced
Visión General
Requisitos:

1.13 Túnel VPN entre CP x43-1 Advanced (servidor VPN) y SCALANCE M874-x
Visión General
Requisitos:

1.14 Túnel VPN entre CP x43-1 Advanced (servidor VPN) y un cliente móvil
Visión General
Requisitos:
 Smartphone con aplicación Cliente IPSec y sistema operativo Android (en el lado del cliente VPN).

1.15 Túnel VPN entre CP 1x43-1 (servidor VPN) y SOFTNET Security Client
Visión General
Requisitos:
Dirección IP pública estática para el enrutador de Internet del servidor VPN
Módem de Internet estándar, enrutador o enrutador UMTS, por ejemplo, SCALANCE M873 (en el lado del cliente VPN).

https://support.industry.siemens.com/cs/ww/en/view/109737290
1.16 Túnel VPN entre CP 1x43-1 (servidor VPN) y CP 1x43-1
Visión General
Requisitos:

1.17 Túnel VPN entre CP 1543SP-1 (servidor VPN) y SCALANCE S615
Visión General
Requisitos:

2. VPN con OpenVPN
2.1 Túnel VPN entre SINEMA Remote Connect Server y una tableta (iOS)
Visión General
Requisitos:
 Tableta con la aplicación "OpenVPN Client" y sistema operativo iOS (lado del cliente VPN).
 Enrutador de Internet estándar con funcionalidad WLAN (lado del cliente VPN).

http://support.automation.siemens.com/WW / view / es / 109479577
2.2 Túnel VPN entre SINEMA RC Server y un teléfono inteligente (Android)
Visión General
Requerimientos:
 Smartphone con aplicación "OpenVPN Client" y sistema operativo Android (lado del cliente VPN).
2.3 Túnel VPN entre SCALANCE S615 y el cliente SINEMA RC a través del servidor SINEMA RC
Visión General
Requerimientos:
2.4 Túnel VPN entre SCALANCE S615 y una tableta (iOS) a través del servidor SINEMA RC
Visión General
Requerimientos:
 Tableta con aplicación "OpenVPN Client" y sistema operativo iOS (lado del cliente VPN).
http://support.automation.siemens.com/WW/view/es/109479578
2.5 Túnel VPN entre SCALANCE S615 y un teléfono inteligente (Android) a través del servidor SINEMA RC
Visión General
Requerimientos:
 Teléfono inteligente con aplicación "OpenVPN Client" y sistema operativo Android (lado del cliente VPN).
2.6 Túnel VPN entre dos celdas idénticas con S615 y SINEMA RC Client a través del servidor SINEMA RC utilizando la función NAT
Visión General
Requerimientos:
 Dirección IP pública estática y reenvío de puertos para el enrutador de Internet del servidor VPN.
 Subred de IP idéntica en las celdas de automatización
2.7 Aplicación JumpHost con SINEMA RC Server
Visión General
Requisitos:
 DMZ con SINEMA Remote Connect Server y JumpHost Virtual Desktop
Link a la descripción de la configuración:

2.8 Túnel VPN entre LOGO! (Servidor VPN) y una PC con una dirección IP estática
Visión General
Requerimientos:
 Dirección IP pública estática para la tarjeta SIM del servidor VPN.
 Módem de Internet estándar, enrutador o enrutador UMTS, por ejemplo SCALANCE M873 (en el lado del cliente VPN).
2.9 Acceso remoto dedicado con SINEMA Remote Connect
Visión General
Requerimientos:
 SINEMA Remote Connect V2.0 o superior
http://support.automation.siemens.com/WW/view/es/109765714
2.10 Túnel VPN a un sistema PROFIBUS / MPI
Visión General
Requisitos:
 SCALANCE M804PB en el lado de la estación
 SINEMA Remote Connect V2.0 o superior
3. VPN con SSTP

3.1 Túnel VPN entre TS Adapter IE Advanced (servidor VPN) y el cliente Windows SSTP
Visión General
Requisitos:
 Windows 7 o Windows Server 2008 o superior.
3.2 Túnel VPN entre TS Adapter IE Advanced (servidor VPN) y TIA Portal
Visión General
Requisitos:
 TIA Portal V12 SP1 o superior.
3.3 Yyt
3.4 Yutt
3.5 Tutu
3.6

VPN Siemens

Cargado por

Copyright:

Formatos disponibles

VPN Siemens

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

VPN Siemens

Cargado por

Copyright:

Formatos disponibles

Introducción a redes remotas

Redes remotas y seguridad industrial

La distribución geográfica de las celdas de automatización aumenta la demanda de telecontrol

La amplia cartera de redes remotas de Siemens ofrece conexión a infraestructuras convencionales

Posibles aplicaciones de acceso remoto en una red remota:

Conexión de estaciones externas (unidades terminales remotas - RTU) distribuidas en un área

Integración en el concepto de seguridad industrial

Se requieren enrutadores VPN para configurar una VPN.

Cliente VPN y servidor VPN

Portafolio de productos integrados de seguridad

La siguiente figura muestra las celdas de acceso remoto.

SINEMA Conexión Remota

Componentes de una solución con SINEMA Conexión Remota:

 SINEMA Conexión Remota como servidor VPN

SIMENA Servidor de conexión remota

Gestión y establecimiento de conexiones encriptadas con OpenVPN e IPsec.

Verificación mediante certificado CA o huella digital.

Gestión de usuarios con la configuración de privilegios.

Establecer conexiones permanentes o basadas en eventos (conexión a través de SMS de

Soporte de enrutamiento y NAT para conectar subredes detrás de SCALANCE.

Administración basada en web (WBM) para configurar el servidor.

Cliente de conexión remota SIMENA

Se caracteriza por las siguientes características:

Cliente de seguridad SOFTNET

El Cliente de seguridad SOFTNET permite que dispositivos de programación, PC y computadoras

Se caracteriza por las siguientes características:

 Acceso seguro de dispositivos de programación o computadoras portátiles a celdas de

SCALANCE S615, SCALANCE SC63x-2C y SC64x-2C

SCALANCE es un módulo de seguridad para proteger dispositivos, celdas de automatización o

Los enrutadores SCALANCE M87x son adecuados para redes celulares.

Estos módulos se caracterizan por las siguientes características:

SCALANCE M81x-1, M826

CP 343-1 Advanced y CP 443-1 Advanced son procesadores de comunicaciones para

 Firewall, puerta de enlace VPN y procesador de comunicaciones en un solo

 Dirección IP pública estática para el enrutador de Internet del servidor VPN

Enlace a la descripción de la configuración:

 Dirección IP pública estática para el enrutador de Internet del servidor VPN.

Enlace a la descripción de la configuración:

 Dirección IP pública estática para el enrutador de Internet del servidor VPN.

Enlace a la descripción de la configuración:

 Dirección IP pública estática para el enrutador de Internet del servidor VPN.

Enlace a la descripción de la configuración:

 Dirección IP pública estática para el enrutador de Internet del servidor VPN.

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración:

Enlace a la descripción de la configuración: