Las funciones de SQL Gateway admiten conexiones seguras a través de TLS (Transport Layer Security)/SSL (Secure Socket Layer) entre SQL Gateway y las bases de datos MySQL o las bases de datos Microsoft SQL Server. Si configura estas conexiones correctamente, las bases de datos pueden estar fuera de su red industrial.
Las funciones de SQL Gateway también permiten conexiones seguras entre los controladores y SQL Gateway. Si su controlador no admite la comunicación segura, puede configurar comunicación no segura entre el controlador y SQL Gateway. En este caso, la comunicación solo debe realizarse dentro de la red industrial, aislada de otras redes de la empresa y de Internet.
NOTA: Schneider Electric sigue las prácticas recomendadas del sector en el desarrollo y la implementación de sistemas de control. Esto incluye un método de defensa exhaustivo para proteger un sistema de control industrial. Este método sitúa los controladores detrás de uno o varios servidores de seguridad para limitar el acceso únicamente a los protocolos y el personal autorizado.
|
|
|
ACCESO NO IDENTIFICADO Y POSTERIOR USO NO AUTORIZADO DE LA MÁQUINA |
|
oEvalúe si su entorno o sus máquinas están conectadas a su infraestructura crítica y, de ser así, lleve a cabo los pasos necesarios en términos de prevención, basándose en el método de defensa exhaustivo, antes de conectar el sistema de automatización a una red. oLimite el número de dispositivos conectados a una red al mínimo necesario. oAísle su red industrial de otras redes dentro de su empresa. oProteja cualquier red contra el acceso imprevisto utilizando servidores de seguridad, VPN u otras medidas de seguridad demostradas. oMonitorice las actividades dentro de sus sistemas. oEvite el acceso o el enlace directos a los dispositivos en cuestión por parte de personas no autorizadas o acciones sin identificación. oPrepare un plan de recuperación que incluya una copia de seguridad de su sistema y de información sobre los procesos. |
|
El incumplimiento de estas instrucciones puede causar la muerte, lesiones serias o daño al equipo. |
SQL Gateway usa un puerto TCP específico para la comunicación segura y otro puerto TCP para la comunicación no segura con las que los controladores envían sus consultas SQL. Configure la estructura de su red y configure su cortafuegos de modo que los controladores puedan acceder a los puertos que use.
Protección mediante contraseña
Durante el primer inicio de SQL Gateway, se le pide que decida si desea asignar una contraseña para contribuir a proteger el software de accesos no autorizados.
|
|
|
ACCESO NO AUTENTICADO |
|
Utilice la protección mediante contraseña en el caso de que personal no autorizado pueda acceder de alguna manera al PC de SQL Gateway. |
|
El incumplimiento de estas instrucciones puede causar la muerte, lesiones serias o daño al equipo. |
Si la protección mediante contraseña está activa, debe introducir la contraseña cada vez que abra la Consola de SQL Gateway.
Tras iniciar SQL Gateway, puede activar o desactivar la protección mediante contraseña en la ficha Configuración seleccionando el nodo Protección mediante contraseña:
oSeleccione la opción Protección mediante contraseña activa para activar o desactivar la contraseña de la Consola de SQL Gateway.
oHaga clic en el botón Cambiar contraseña para modificar la contraseña de la Consola de SQL Gateway.
Con cada conexión cifrada de SSL, se verifican los certificados de SSL. Esto ayuda a garantizar que el cliente de SSL se conecta al servidor de SSL adecuado y viceversa.
Para el cifrado de SSL, hay disponibles dos tipos de certificados:
oCertificados de servidor:
Certificados para los servidores de SSL. Sirven para dos finalidades:
oProporcionar claves públicas y privadas que se utilizarán para cifrar datos que se envían desde el cliente de SSL al servidor de SSL.
oProporcionar información que permite al cliente verificar que está conectado al servidor de SSL correcto.
oCertificados de cliente:
Certificados para los clientes de SSL. No son necesarios para cifrar datos, sólo para autenticación de cliente. El uso de los certificados de cliente es opcional, pero puede requerirlo el servidor para verificar si al cliente de SSL se le permite conectarse al servidor de SSL.
Puede crear certificados autofirmados o utilizar certificados firmados por una entidad de certificación (CA). Se proporciona una breve descripción acerca de cómo crear certificados autofirmados en el capítulo Configuración de conexiones cifradas SSL para cada tipo de base de datos SQL.
Validación de certificados de servidor
Es aconsejable que el cliente de SSL valide el certificado del servidor para asegurarse de que está conectado al servidor adecuado cuando se establece una conexión.
Hay dos procedimientos de validación diferentes que pueden ser ejecutados por el cliente:
oValidar certificado: este procedimiento verifica si el certificado del servidor o uno de sus certificados raíz es un certificado de confianza. Esto significa que está disponible en la carpeta Entidades de certificación raíz de confianza del almacén de certificados.
oVerificar nombre: este procedimiento verifica si el nombre de asunto del certificado del servidor coincide con el nombre del servidor en la conexión TCP.
Gestión de certificados en el almacén de certificados
El almacén de certificados es un componente de Windows para gestionar certificados.
Para abrir el almacén de certificados, siga estas instrucciones:
|
Paso |
Acción |
Comentario |
|---|---|---|
|
1 |
En un PC con Windows, ejecute el comando mmc. |
Resultado: Se abre Microsoft management Console. |
|
2 |
Ejecute el comando Archivo > Agregar o quitar complemento.... |
– |
|
3 |
En el cuadro de diálogo Agregar o quitar complementos, seleccione Certificados y haga clic en el botón Agregar >. |
– |
|
4 |
En el cuadro de diálogo Complemento Certificados, seleccione la opción Cuenta de equipo y haga clic en Siguiente y, a continuación, haga clic en Finalizar. |
– |
|
5 |
Para cerrar el cuadro de diálogo Agregar o quitar complementos haga clic en Aceptar. |
Resultado: La Consola de gestión de Microsoft contiene dos carpetas de Certificados importantes: oPersonal: contiene los certificados de servidor y cliente. oEntidades de certificación raíz de confianza: contiene los certificados raíz de confianza. |
Para importar un certificado, haga clic con el botón derecho en la carpeta Personal o Entidades de certificación raíz de confianza y ejecute el comando Todas las tareas > Importar.... Siga las instrucciones proporcionadas por el Asistente para importación de certificados. Seleccione la opción Seleccionar automáticamente el almacén de certificados según el tipo de certificado.
Para asignar derechos de acceso para una cuenta de servidor a un certificado, siga este procedimiento:
|
Paso |
Acción |
|---|---|
|
1 |
Haga clic con el botón derecho en el certificado del almacén de certificados y ejecute el comando Todas las tareas > Administrar claves privadas. |
|
2 |
En el siguiente cuadro de diálogo, haga clic en el botón Agregar. |
|
3 |
Seleccione la opción Tipos de objeto > Cuentas de servicio. |
|
4 |
Haga clic en el botón Ubicaciones, seleccione la entrada de su PC local y haga clic en Aceptar. |
|
5 |
Copie el nombre en el cuadro de texto. |
Para copiar la información de la huella digital de un certificado, siga este procedimiento:
|
Paso |
Acción |
|---|---|
|
1 |
Haga doble clic en un certificado. |
|
2 |
En la ficha Detalles, seleccione la entrada Huella digital y copie su Valor. |
