Skip to main content

Avisos de seguridad para Edge Gateway

Importante

Por razones de seguridad, debe tenerse en cuenta al operar el CODESYS Edge Gateway que la funcionalidad que contiene puede provocar ataques inesperados. Como nexo central entre el CODESYS Automation Server y una red de PLC existente, Edge Gateway representa un riesgo potencial para este tipo de ataques. Por lo tanto, el operador debe tomar las medidas adecuadas para protegerlo contra el acceso no autorizado.

Para una protección efectiva, es necesario que se tomen las siguientes medidas de seguridad antes de que se active la funcionalidad (y, por lo tanto, antes de que se inicie la puerta de enlace perimetral).

Sugerencia

Para obtener más información sobre seguridad y CODESYS Automation Server consulte: Seguridad para el servidor de automatización CODESYS

La puerta de enlace perimetral permite que CODESYS Automation Server y todos los clientes que utilizan el CODESYS Automation Server construir una conexión (CODESYS, visualización web/navegador), acceso completo a todos los servicios proporcionados por el sistema de tiempo de ejecución a través de interfaces de comunicación.

cortafuegos

  • El Edge Gateway solo puede funcionar en una red de control. El acceso a los controladores a través de la puerta de enlace perimetral debe ser posible en esta red. Sin embargo, debe estar disponible una protección efectiva (firewall) para el acceso externo (Internet) a los controladores y la puerta de enlace perimetral.

  • El puerto de la puerta de enlace de la puerta de enlace Edge (configuración predeterminada: 1217) no debe ser accesible desde el exterior (Internet).

configuración

  • La configuración de la puerta de enlace perimetral solo debe realizarse en un entorno seguro. El que se usa para esto CODESYS Automation Server Connector debe estar en un entorno de red de confianza.

  • Durante el funcionamiento, debe asegurarse de que no sea posible una configuración no autorizada de la puerta de enlace Edge.

La siguiente configuración facilita la creación de un entorno seguro para la puerta de enlace Edge. Ambos ajustes están en el archivo de configuración. Gateway.cfg, también en combinación.

  • Restringir la accesibilidad de la puerta de enlace: normalmente, se puede acceder a la puerta de enlace en cualquier dirección IP de la computadora. Para habilitar una configuración segura, puede ser necesario que solo se pueda acceder a la puerta de enlace con una dirección IP específica. Esto se puede hacer a través de la siguiente configuración en Gateway.cfg ser logrado:

    [CmpGwCommDrvTcp]

    LocalAddress=<IP address>

    ejemplo para IP address: 127.0.0.1

  • Limite la accesibilidad de la puerta de enlace a socios de comunicación específicos: la puerta de enlace normalmente acepta todas las solicitudes de conexión. Para habilitar una configuración segura, dependiendo de la configuración de la red, tiene sentido que la puerta de enlace solo permita conexiones de ciertos clientes. Esto se puede lograr a través de la siguiente configuración:

    [CmpGwCommDrvTcp]

    PeerAddress=<IP address or network base address>

    Hay tres opciones de configuración diferentes:

    • La configuración no existe: la puerta de enlace permite conexiones de todos los clientes

    • La configuración se establece en una dirección IP específica: la puerta de enlace solo permite conexiones desde el cliente que tiene esta dirección IP

    • La configuración se establece en una dirección base de red: la puerta de enlace permite conexiones de todos los clientes en esta red. La dirección base de la red es la dirección más pequeña posible en la red local. La dirección se puede calcular de la siguiente manera:

      <local IP address> AND <subnet mask> = <network base address>

Acceso al dispositivo de puerta de enlace perimetral

El sistema de archivos en el dispositivo en el que se opera la puerta de enlace Edge debe estar protegido contra el acceso no autorizado. Allí se almacena información fidedigna (configuración, certificados, datos de acceso, etc.) que no puede ser leída ni modificada por personas no autorizadas.

conexión a CODESYS Automation Server

Después de una conexión exitosa a CODESYS Automation Server Este recibe acceso completo a todos los controladores accesibles en la red de la puerta de enlace perimetral a través de un túnel encriptado. Si esto resulta en más riesgos de seguridad para la operación del sistema, estos deben evaluarse y tratarse por separado.

Para más información, ver: Conexión de una puerta de Edge Gateway al servidor e ingreso de PLC

En esta sección: