Sistema de aprendizaje NetLab sobre ciberseguridad

El equipo TP1333 de Festo cuenta con dos variantes: NetLab Twin Package y Remote Access Package, que se pueden combinar para conseguir redes complejas

El sistema de aprendizaje NetLab prepara al personal técnico que trabaja en entornos de producción en red (mecatrónica, electrónica industrial e informática) para afrontar sus tareas en las áreas de redes y ciberseguridad. Roger Mouzo, técnico de Didáctica de Festo España y Portugal, explica los detalles de cada configuración posible.

Festo NetLab puede servir para llevar a cabo una ampliación modular de sistemas que ya tengamos instalados (CP Factory, CP Lab, MPS) siempre que dispongan de PLCs que necesiten comunicarse entre estaciones, pues el objetivo es proteger todas las señales que se transmiten de un PLC a otro.

El paquete dispone también de contenidos de seguridad para escenarios de clase, de forma que el profesor puede fácilmente, sin necesidad de tener que desarrollar prácticas, enseñar ejemplos al alumnado desde el manual de trabajo con el que cuenta. Incluye además una parte teórica que explica los fundamentos de las redes, comunicaciones seguras, la protección del acceso local y remoto.

Otra de las funciones de la aplicación es el apoyo a la enseñanza y el trabajo de laboratorio, a través de cursos, montajes preparados y soluciones de muestra, que ayudarán a que el desarrollo de la clase o la investigación en ciberseguridad sea más sencillo y fluido.

¿Qué contiene el NetLab Twin Package?

  • Dos EduTrainer “Red y Seguridad”, cada uno formado por dos módulos: Siemens Scalance S615, router industrial para la protección de dispositivos y redes en automatización VPN y firewall, preparado para conectar con el servidor Sinema Remote Connect; y Siemens Scalance XC208, conmutador industrial gestionable.
  • Material didáctico, con ejercicios sobre conmutación, aprovisionamiento de direcciones, enrutamiento y cortafuegos, traducción de direcciones de red, LANs virtuales, redes privadas virtuales (VPN).
  • Configuraciones de inicio preparadas.
  • Soluciones de ejemplo cargables.
  • Datos adicionales preparados: captura de trazas de paquetes, almacenes de claves criptográficas, certificados digitales, conjunto de cables Ethernet.

¿Qué contiene el Remote Access Package?

El servidor Sinema Remote Connect actúa como dispositivo central para el acceso remoto y seguro desde los dispositivos de los operarios de mantenimiento a los sitios de producción (conectados mediante un router Siemens S615 con firewall). El paquete incluye:

  • Aplicación virtual Sinema Remote Connect Server instalada.
  • PC anfitrión con sistema operativo Linux Ubuntu, que proporciona un entorno de virtualización.
  • Licencia para 64 conexiones, que permite que todos los alumnos trabajen usando el mismo servidor y conectándose a la máquina.
  • Software cliente Sinema Remote Connect.
  • EduTrainer “Red y Seguridad”.

Configuración de NetLab con dos Edu Trainer

Queremos conectarnos de forma remota a una máquina (por ejemplo, una CP Lab), a través de una VPN segura, para modificar parámetros o cargar programas, y asegurarnos de que la conexión sea segura. La situación inicial es un sistema CP con segmentos de red adicionales y una conexión segura a la LAN de la escuela o la empresa. La LAN del mantenedor queremos que tenga un acceso criptográfico seguro al sistema de producción.

Con este escenario, en cuanto a fundamentos de redes, podemos trabajar aspectos como la conmutación, el enrutamiento, las pasarelas VLAN y DHCP, servicios de nombre y hora, y la supervisión, entre otros. En cuanto a comunicaciones seguras, podemos trabajar las redes privadas virtuales (basadas en IPsec), los cortafuegos con estado, entornos web seguros, accesos shell seguros, o conjuntos de reglas temporales.

Configuración de NetLab con un Edu Trainer y acceso remoto

En este escenario, queremos conseguir una conexión segura de los clientes itinerantes habilitados (por ejemplo, el personal de mantenimiento) a los centros de producción mediante el Edu Trainer de ciberseguridad. El servidor Siemens Sinema Remote Connect proporciona un acceso remoto encriptado.

Respecto a fundamentos de redes, los aspectos a trabajar son muy similares al escenario con dos Edu Trainer: conmutación, enrutamiento, pasarelas VLAN y DHCP, y servicios de nombre y hora. En cuanto a comunicaciones, trabajaríamos el acceso remoto seguro a través de OpeVPN, un control de acceso basado en funciones, clientes VPN (habría que aprender a diferenciar qué clientes se pueden conectar y cuáles no, y cómo bloquearles el acceso), cortafuegos con estado, entornos web seguros https, acceso shell seguro y conjuntos de reglas temporales.

Configuración de NetLab combinando Twin Set y Remote Access Package

Se pueden combinar ambos módulos para conseguir una red mucho más compleja y segura y diferenciar distintos tipos de clientes, según el protocolo de red que estemos creando. En esta configuración, un Edu Trainer va a través del Sinema Remote Connect 1, con las direcciones IP de cada ordenador de mantenimiento, que a través de una VPN abierta se conectan al Edu Trainer de ciberseguridad. Aquí deberíamos detectar las IP de cada equipo para habilitarles el acceso al sistema y que puedan mandar datos en tiempo real (por ejemplo, a nivel de sensórica, para que la máquina pueda cambiar su producción de acuerdo a estos datos).

En esta configuración, se trabajan los mismos aspectos que en las anteriores, pero en un nivel superior, pues debemos conseguir que los dos módulos coexistan en una misma red, y saber diferenciar de dónde proviene cada uno.

Configuración con dos NetLab Twin Set

Para esta configuración, disponemos de un par de routers redundantes con función de conmutación por error y conmutadores de doble conexión, mediante protocolo de anillo, para conexiones VPN de alta disponibilidad entre redes remotas y el centro de producción.

Los fundamentos de redes y los elementos de comunicación segura son los mismos que en las configuraciones anteriores, pero entran en juego los conceptos de alta disponibilidad: enrutadores virtuales (VRRP), anillo basado en el protocolo de redundancia de medios (MRP) y vigilancia de puertos.

Configuración de NetLab con dos Twin Set y un Remote Access Package

La configuración más potente es la que combina todas las anteriores para conseguir una red segura muy compleja mediante un conjunto completo de Sinema RC Server, redes remotas conectadas por VPN y funciones de alta disponibilidad.

Manual de prácticas

El manual de prácticas de NetLab lo conforman contenido teórico, seis ejercicios prácticos, el software necesario para realizar las prácticas y ejemplos de cursos. Los ejercicios están estructurados de forma que respondan a los objetivos de aprendizaje, con el planteamiento de un problema que debe resolver el alumnado, los medios de hardware y software necesarios, y la descripción paso a paso del ejercicio con preguntas de razonamiento o teóricas, que van a permitir al docente determinar si se han conseguido los objetivos de aprendizaje.

Con cada kit pueden trabajar de dos a cuatro alumnos, y es compatible con todos los sistemas MPS y MPS 400 (para industria 4.0), CP LAB o CP Factory, e incluso solo con PLC, sin necesidad de hardware.

Artículos interesantes

noviembre 2021

Sumario