Cómo configurar certificados de servidor SSL/TLS en dispositivos groov
Los certificados de seguridad son herramientas críticas para diseñar sistemas de automatización ciberseguros.


Cómo configurar certificados de servidor SSL/TLS en dispositivos groov

Los certificados de seguridad son herramientas críticas para diseñar sistemas de automatización ciberseguros


Los certificados de seguridad son herramientas críticas para diseñar sistemas de automatización ciberseguros, y son más fáciles de configurar en sus dispositivos groov de lo que piensa.

¿Alguna vez ha visto un mensaje de advertencia de su navegador que le dice que una conexión no es confiable y que le pregunta si desea continuar de todos modos? Si se está conectando a groov Manage, entonces la conexión a la que se refiere este mensaje es en realidad su groov EPIC o RIO.

Pero, ¿qué pasaría si le dijera que en unos sencillos pasos puede demostrar a los navegadores y otros sistemas conectados que las comunicaciones de red con sus dispositivos groov son seguras, encriptadas y protegen sus activos de automatización?

Los certificados de seguridad son un mecanismo estándar que se utiliza en sistemas en red como Internet para probar la identidad de los puntos finales conectados, establecer cadenas de confianza entre ellos y cifrar todo el tráfico mediante Transport Layer Security (TLS).

Después de crear correctamente los certificados en sus dispositivos groov, verá que aparece un candado de confianza en la barra de direcciones de su navegador al iniciar sesión en groov EPIC o RIO, al igual que cuando inicia sesión en su cuenta bancaria. Vamos a desmitificar esto para que pueda configurar esta conexión segura.

Mecanismos de seguridad en dispositivos groov

Muchos dispositivos de automatización industrial y PLC heredados no tienen la capacidad de crear conexiones seguras y cifradas y pueden ser vulnerables a ataques de intermediarios en una red de área local (LAN). Agregar un groov EPIC o RIO a su sistema puede agregar estas herramientas de ciberseguridad a sus sistemas de automatización:

  • Autenticación de usuario para evitar accesos no autorizados
  • Cortafuegos totalmente configurable para bloquear el tráfico entrante no deseado
  • Zonificación de red para separar las redes OT de las redes de TI y proteger los PLC y dispositivos heredados no seguros
  • Conductos de red para llegar a dispositivos y PLC protegidos de forma segura (solo EPIC)
  • Servicios de datos para transmitir datos OT de forma segura
  • Cifrado SSL / TLS con gestión de certificados incorporada (¡así es como obtenemos ese candado!)

El cifrado TLS establece una comunicación segura entre las aplicaciones web internas del dispositivo groov, como groov Manage, groov View y Node-RED, y los navegadores web, servidores y servicios en la nube. Para obtener más información sobre los conceptos básicos del cifrado SSL y TLS, hay una gran explicación en el artículo de OptoBlog Comprender SSL / TLS y HTTPS.

Dos tipos de certificados

Hablemos de dos tipos de certificados SSL. El que utilice depende del alcance de la comunicación en la que participa su dispositivo groov:

Certificado autofirmado

  • Usted verifica la identidad del dispositivo groov.
  • Ideal para redes con pocos usuarios, no en Internet.

Certificado firmado por CA (CA – Autoridad de certificación)

  • Una autoridad de certificación es una organización que firma el certificado del servidor de su dispositivo groov, confirmando su identidad a los muchos navegadores web, dispositivos y servicios en la nube que se conectan a él.
  • Permite que muchos usuarios, software y dispositivos accedan a un dispositivo groov de forma segura.
  • Permite el acceso seguro y cifrado a un dispositivo groov a través de cualquier red, incluida Internet.

Para este artículo, nos ceñiremos al certificado autofirmado más simple.

Cómo crear e instalar sus certificados

Estos son los pasos básicos para proteger las comunicaciones con un certificado SSL en su dispositivo groov:

  1. Inicie sesión en su dispositivo groov con una cuenta de administrador.

  2. Elija el nombre de host de su dispositivo y asegúrese de que la hora del dispositivo esté configurada correctamente.
  3. Cree un certificado de servidor para el dispositivo groov.
  4. Descargue el certificado de cliente público para ese certificado de servidor.
  5. Instale el certificado de cliente en PC y dispositivos móviles cuyos navegadores se conectarán al dispositivo groov.

Echemos un vistazo más de cerca a cada paso.

1. Inicio de sesión: Su groov EPIC o RIO puede tener más de una cuenta de usuario configurada. Para completar el resto de este procedimiento, asegúrese de iniciar sesión con una cuenta que tenga privilegios de administrador.

2. Configure los ajustes del dispositivo

  1. Navegue a la página de configuración de red y elija un nombre de host memorable. Puede utilizar el nombre de host predeterminado si lo desea, pero el nombre de host es una parte clave del certificado.
  2. A continuación, navegue hasta la página de configuración de la hora y asegúrese de configurar la zona horaria correcta para su EPIC o RIO.
3. Genere un certificado de servidor

  1. Vaya a su página de configuración de seguridad, luego servidor SSL.
  2. Desde aquí, haga clic en Crear certificado.
  3. Fill in the requested information, mostly specific to your organization. For the Expiration (Days), it’s recommended you enter 3650 (10 years). Note this length of time is usually only valid for self-signed certificates.

 

Para obtener más información sobre estos campos, consulte la Guía del usuario de groov EPIC, Capítulo 6, "Creación de un certificado autofirmado".

4. Genere un certificado de cliente: Después de crear el certificado de servidor, cree el certificado público de cliente haciendo clic en Descargar certificado público.

5. Instale el certificado de cliente en los dispositivos conectados: Instalará el archivo de certificado público autofirmado con la extensión .pem.

  1. Si tiene acceso de administrador en su computadora, instalará el certificado público en el almacén de confianza de certificados de su sistema operativo.
  2. Si no tiene acceso de administrador, también puede instalar el certificado público en el almacén de confianza de su navegador favorito. Dado que hay varios navegadores para elegir (Chrome, Firefox, etc.), los detalles para instalar el certificado público del cliente variarán. Elija su navegador (mi favorito es Chrome) y consulte las instrucciones en la Guía del usuario de groov EPIC o en el sitio web para desarrolladores de Opto 22.
  3. Reinicie su computadora y vuelva a iniciar sesión en su dispositivo groov. Esta vez, verá el candado en el campo de la URL.

Conclusión

¡Lo hiciste! ¡Ya ha establecido comunicaciones seguras y cifradas con su groov EPIC o RIO! Alguien me dijo que era una sensación maravillosa ver el candado en su navegador de URL al iniciar sesión en su groov EPIC, ¡tenían razón! Ningún intermediario se interpondrá entre usted y su aplicación industrial segura.

Para obtener más recursos de ciberseguridad, consulte Recursos para ciberseguridad en aplicaciones de automatización y IIoT.

 

Publicado en español el 05 de Enero del 2022.

Originalmente publicado el 20 de Octubre del 2021.

Fuente original: https://blog.opto22.com/optoblog/certificates-epic-tools-to-design-a-cybersecure-automation-system   

Compartir

Últimas publicaciones del blog

Your Dynamic Snippet will be displayed here... This message is displayed because you did not provided both a filter and a template to use.

3 sugerencias de plantillas para proyectos HMI/SCADA
Acelere el desarrollo utilizando plantillas.