O sistema de aprendizagem NetLab prepara o pessoal técnico que trabalha em ambientes de produção em rede (mecatrónica, eletrónica industrial e informática) para desempenhar tarefas nas áreas das redes e da cibersegurança. Roger Mouzo, técnico de didática da Festo Espanha e Portugal, explica os detalhes de cada configuração possível.
Festo NetLab pode servir para desenvolver a ampliação modular de sistemas já instalados (CP Factory, CP Lab, MPS) sempre que estes disponham de PLCs que necessitem comunicar-se entre estações, uma vez que o objetivo é proteger todos os sinais transmitidos de um PLC para outro.
O pacote também dispõe de conteúdos de segurança para ambientes de sala de aula, de maneira que o professor pode, facilmente e sem precisar de desenvolver aulas práticas, ensinar exemplos aos alunos a partir do manual de trabalho que possui. Dispõe, também, de uma parte teórica que explica os fundamentos das redes, as comunicações seguras, a proteção do acesso local e remoto.
Outra das funções da aplicação é o apoio ao ensino e ao trabalho laboratorial através de cursos, instalações preparadas e soluções de demonstração, que ajudarão no desenvolvimento da aula ou tornarão a investigação em cibersegurança mais simples e fluida.
O servidor Sinema Remote Connect atua como dispositivo central para o acesso remoto e seguro a partir dos dispositivos dos operários de manutenção para os locais de produção (conectados através de um router Siemens S615 com firewall). O pacote inclui:
Queremos conectar-nos remotamente a uma máquina (por exemplo, uma CP Lab) através de uma VPN segura para modificar parâmetros ou carregar programas e assegurarmo-nos de que a ligação é segura. A situação inicial é um sistema CP com segmentos de rede adicionais e uma ligação segura à LAN da escola ou empresa. Queremos que a LAN do dispositivo tenha acesso criptográfico seguro ao sistema de produção.
Neste contexto, em relação a fundamentos de redes, podemos trabalhar aspetos como a comutação, o roteamento, as portas de ligação VLAN e DHCP, os serviços de nome e hora, e supervisão, entre outros. Relativamente a comunicações seguras, podemos trabalhar as redes privadas virtuais (baseadas em IPsec), as barreiras de segurança com estado, ambientes web seguros, acessos shell seguros ou conjuntos de regras temporárias.
Neste contexto, queremos obter uma ligação segura dos clientes itinerantes habilitados (por exemplo, o pessoal que desempenha a manutenção) para os centros de produção através do EduTrainer de cibersegurança. O servidor Siemens Sinema Remote Connect proporciona um acesso remoto encriptado.
Em relação a fundamentos de rede, os aspetos a trabalhar são muito semelhantes ao ambiente com dois EduTrainer: comutação, roteamento, portas de ligação VLAN e DHCP e serviços de nome e hora. Para as comunicações, trabalharíamos o acesso remoto seguro através de OpeVPN, um controlo de acesso baseado em funções, clientes VPN (é necessário aprender a diferenciar que clientes se podem conectar ou não, e como é possível bloquear-lhes o acesso), barreiras de segurança com estado, ambientes web seguros HTTPS, acesso shell seguro e conjuntos de regras temporárias.
É possível combinar ambos os módulos para obter uma rede muito mais complexa e segura e diferenciar diferentes tipos de clientes, de acordo com o protocolo de rede que estamos a criar. Nesta configuração, um EduTrainer passa através do Sinema Remote Connect 1 com os endereços de IP de cada computador de manutenção, que através de uma VPN aberta se conectam ao EduTrainer de cibersegurança. Aqui deveríamos detetar os IP de cada equipamento para que pudéssemos ativar-lhes o acesso ao sistema e para que pudessem enviar dados em tempo-real (por exemplo, em sensória, para que a máquina possa mudar a produção de acordo com estes dados).
Nesta configuração, trabalham-se os mesmos aspetos das anteriores, mas a um nível superior, uma vez que devemos conseguir que ambos os módulos coexistam numa mesma rede, e saber diferenciar de onde vem cada um.
Para esta configuração, dispomos de um par de routers redundantes com função de comutação por erro e comutadores de ligação dupla, através do protocolo de anel, para ligações VPN de alta disponibilidade entre redes remotas e o centro de produção.
Os fundamentos de redes e os elementos de comunicação segura são os mesmos das configurações anteriores, mas entram em jogo os conceitos de alta disponibilidade: roteadores virtuais (VRRP), anel baseado no protocolo de redundância de meios (MRP) e vigilância de portas.
A configuração mais potente é a que combina todas as anteriores para conseguir uma rede segura muito complexa através de um conjunto completo de Sinema RC Server, redes remotas conectadas por VPN e funções de alta disponibilidade.
O manual de boas práticas de NetLab consiste em conteúdo teórico, seis exercícios práticos, o software necessário para realizar a prática e exemplos de cursos. Os exercícios estão estruturados de forma a corresponderem aos objetivos de aprendizagem, com a abordagem de um problema que os alunos devem resolver, os meios de hardware e software necessários e a descrição passo a passo do exercício com perguntas de raciocínio ou teóricas, que vão permitir ao docente determinar se conseguiram alcançar os objetivos da aprendizagem.
É possível que entre dois e quatro alunos trabalhem com cada kit, e este é compatível com todos os sistemas MPS e MPS 400 (para a Indústria 4.0), CP Lab ou CP Factory, e inclusivamente só com PLC, sem precisar de hardware.
