Post on 15-Aug-2021
Nueva dimensión en la
gestión del acceso
remoto
Unrestricted | © Siemens 2021 DI PA | 03/2021
… y esto requiere de redes de comunicación potentes en la industria
Las arquitecturas de IoT Industrial son la base para su éxito futuro
IoT Arquitectura
Modelado de Empresas
Aplicaciones
Plataformas
Conectividad
Objetos Inteligentes | “Cosas”
Conectividad Digital
Arquitectura IIoT
Sistemas diseñados para la Industria
Red
Empresaria
l
Backbone
de Producción
Célula
de Producción
Capa Central
Red
Industrial
Centro de Datos Industrial
Backbone
DMZ
Agregación 1 Agregación 2 Agregación n
Jarabe Dosificación
Sala de Jarabe
Soplador Llenado Empaquetado
Línea PET de Bebidas Gaseosas
Llenado/Embalaj
e
Proceso
Ayer: interoperabilidad limitada
Enterprise
Production
Comunicación limitada entre la
capa empresarial y producción
Portfolio líder en
Comunicaciones
Experiencia en todas las
Redes Industriales
Servicios, Soluciones
y Formación
+ +
Redes diseñadas para la industria.
Cloud
Connect
Las diferentes redes industriales requieren arquitecturas y funciones específicas.
Seguridad
funcional
Conectividad
remota
Aplicaciones
móviles
Conectividad
IIoT
Gestión de
conectividad
TIA
Seguridad
Industrial
Red
Empresarial
Backbone de
producción
Celdas de
producción
Red IndustrialIndustrial Data Center
Backbone
DMZ
Aggregation 1 Aggregation 2 Aggregation n
Syrup Handler Dosing
Syrup Room
Blow Molder Filler Packer
Carbonated Soft Drink PET Line
Filling/PackingProcess
Seguridad
Industrial
Las Amenazas a
la Seguridad
exigen Medidas
• Mantenimiento
remoto seguro
• Intercambio de
datos seguro
• Redes
desacopladas
para prohibir la
comunicación sin
control
• Firewalls
• Evitar el acceso no
autorizado
Acceso remoto
DMZ
Célula de
Protección
Concepto multicapa que proporciona
una sofisticada protección en
profundidad
Evaluar, Implementar y Administrar
Integridad
del Sistema
Seguridad
de Red
Seguridad
de Planta
V2.0
https://www.shodan.io
Gran número de puertos abiertos de PLCs en Internet
Febrero 2021
Transparencia ciberataque aguas – Febrero 2021
Link a la noticia
- Comprometieron el sistema a través de una
conocida herramienta de escritorio remoto
- Lograron acceder al menos en dos ocasiones
- Aumentaron los niveles de sosa cáustica 100 veces
más de lo adecuado
- Solo quedó en un susto ya que un operador se
percató de que los valores no eran correctos
Oficina
Comunicación
Remota
Acceso remoto de alta seguridad
(VPN) a "cosas" para mantenimiento
y solución de problemas
Fácil integración en redes de planta
existentes y configuración
automática
Interfaz de usuario estándar y
administración flexible
Servicio técnico 1 Servicio técnico 2
Servicio técnico 3
Máquina 3
Cliente
OpenVPN
Máquina 2
Cliente
OpenVPN
Máquina 3
Máquina 2
Máquina 1
SINEMA
Remote Connect
Conexión Internet
Centro de Servicio
Conexión
Internet
Fábrica
Máquina
1,2,3
Red Móvil
Ethernet Industrial Túnel VPN
Diferentes necesidades – Misma solución integral
SINEMA Remote ConnectSolución para la gestión de accesos remotos
Propuesta completaUn backbone industrial con hardware industrial
HRP
VRRP
(Router
redundante)
Red 1
192.168.1.X/24
Red 2
192.168.1.X/24
Red 3
192.168.3.X/24
Traducción IP
(NAT)
Traducción IP
(NAT)
SCADA o
OPC Server
SCALANCE
S615
Gestor de Conexiones
Remotas
SINEMA RC Server
Red IT
SCALANCE
SC636
SCALANCE
S615
SCALANCE
S615
SCALANCE
XM400
SCALANCE
XC200
SCALANCE
XC200
SCALANCE
XC200
Red de agregación 1Gbps
10.0.0.X.24
HRP(OF)
SCALANCE
SC636/46DMZ
SCALANCE
XR500
Propuesta completaUn backbone industrial con hardware industrial
HRP
VRRP
(Router
redundante)
Red 1
192.168.1.X/24
Red 2
192.168.1.X/24
Red 3
192.168.3.X/24
Traducción IP
(NAT)
Traducción IP
(NAT)
SCADA o
OPC Server
SCALANCE
S615
Gestor de Conexiones
Remotas
SINEMA RC Server
Red IT
SCALANCE
SC636
SCALANCE
S615
SCALANCE
S615
SCALANCE
XM400
SCALANCE
XC200
SCALANCE
XC200
SCALANCE
XC200
Red de agregación 1Gbps
10.0.0.X.24
HRP(OF)
SCALANCE
SC636/46DMZ
SCALANCE
XR500
SCALANCE S
Aplicaciones de seguridad industrialFirewall SCALANCE S
SC632-2C SC636-2C S615 SC642-2C SC646-2C
SCALANCE S
1. SINEMA RC Server
CONCENTRADOR TÚNELES VPN
Servidor SINEMA RC
3 .SINEMA RC Client2. SCALANCE S615
SCALANCE SC600
SCALANCE M800
1 2 3
SINEMA Remote ConnectComponentes
SINEMA REMOTE CONNECTUn único sistema estándar para el acceso remoto a plantas
HRP
Red 1
192.168.1.X/24
Red 2
192.168.1.X/24
Red 3
192.168.3.X/24
SCALANCE
S615
Conexiones VPN
Red IT
SCALANCE
SC636
SCALANCE
XM400
DMZ
SINEMA RCServer
USUARIOS SINEMA RC
FIREWALL
PERIMETRAL
1
2
3
SINEMA REMOTE CONNECTUn único sistema estándar para el acceso remoto a plantas
HRP
Red 1
192.168.1.X/24
Red 2
192.168.1.X/24
Red 3
192.168.3.X/24
SCALANCE
S615
Conexiones VPN
Red IT
SCALANCE
SC636
SCALANCE
XM400
DMZ
SINEMA REMOTE
CONNECT
1. SINEMA RC Server
CONCENTRADOR TÚNELES VPN
Servidor SINEMA RC
3 .SINEMA RC Client2. SCALANCE S615
SCALANCE SC600
SCALANCE M800
1 2 3
INTERNET INTERNET INTERNET
SINEMA Remote ConnectComponentes
SINEMA REMOTE CONNECTArquitectura
INTERNET
Ethernet
Router
ADSL
ESTACIÓN DE INGENIERÍA CLIENTE 2
Cliente SINEMA RC
Herramientas de ingeniería
Conexión con el
concentrador
CONCENTRADOR TÚNELES VPN
Servidor SINEMA RC
Router ADSL
IP pública estática
o DNS
ESTACIÓN DE INGENIERÍA CLIENTE 1
Cliente SINEMA RC
Herramientas de ingeniería
S7-1500
HMI
Máquina 1/Cliente 1
S615
Máquina 1/Cliente 2
S7-1500
HMI
M874-3
Máquina 2/Cliente 2
S7-1500
HMI
Máquina 3/Cliente 3
1
2
3
SC6xx
S7-1500
HMI
Máquina 1/Cliente 1
S615
Máquina 1/Cliente 2
S7-1500
HMI
M874-3
Máquina 2/Cliente 2
S7-1500
HMI
Máquina 3/Cliente 3
SINEMA REMOTE CONNECT1. Concentrador VPN
INTERNET
Ethernet
Router
ADSL
ESTACIÓN DE INGENIERÍA CLIENTE 2
Cliente SINEMA RC
Herramientas de ingeniería
Conexión con el
concentrador
CONCENTRADOR TÚNELES VPN
Servidor SINEMA RC
Router ADSL
IP pública estática
o DNS
ESTACIÓN DE INGENIERÍA CLIENTE 1
Cliente SINEMA RC
Herramientas de ingeniería
SC6xx
1A. SERVIDOR SINEMA REMOTE CONNECT
Hardware
• NORMALMENTE ya existente en las instalaciones del cliente.
• Nuestra solución → SIMATIC PC Industrial, IPC547E (Rack 19“).
• Si se opta por instalación en Cloud, no es necesario hardware.
Software
• Sistema Operativo propio (Ubuntu).
• Tres formas de instalación:
1. PC dedicado
2. Máquina virtual
3. Cloud
• NO necesita herramienta de configuración
INTERNET
CONCENTRADOR TÚNELES VPN
Servidor SINEMA RC
Router ADSL
IP pública estática
o DNS
1B. Conexión a Internet del Servidor
Hardware
• NORMALMENTE ya existente en las instalaciones del cliente.
• Nuestra solución → SCALANCE M800 / Scalance S
Software
Requisitos y configuración del router:
• Dirección IP pública estática o servidores de DNS dinámicos.
INTERNET
CONCENTRADOR TÚNELES VPN
Servidor SINEMA RC
Router ADSL
IP pública estática
o DNS
WBM login
SINEMA
Remote Connect
SINEMA
RC Client
https
OpenVPN
User name: User1
Password: User1
User name: User1
Password: User1
• User1 x x x x
• User2 x x x
• User3 x x
• User4
User rights
S7-1500
HMI
Máquina 1/Cliente 1
S615
Máquina 1/Cliente 2
S7-1500
HMI
M874-3
Máquina 2/Cliente 2
S7-1500
HMI
Máquina 3/Cliente 3
SINEMA REMOTE CONNECT2. Firewalls VPN
INTERNET
Ethernet
Router
ADSL
ESTACIÓN DE INGENIERÍA CLIENTE 2
Cliente SINEMA RC
Herramientas de ingeniería
Conexión con el
concentrador
CONCENTRADOR TÚNELES VPN
Servidor SINEMA RC
Router ADSL
IP pública estática
o DNS
ESTACIÓN DE INGENIERÍA CLIENTE 1
Cliente SINEMA RC
Herramientas de ingeniería
SC6xx
Aplicaciones de seguridad industrialFirewall SCALANCE S
SC632-2C SC636-2C S615 SC642-2C SC646-2C
SCALANCE S
Aplicaciones de telecontrol y acceso remoto por redes públicasScalance M800
SCALANCE M
SINEMA Remote ConnectConfiguración de los dispositivos por servidor web
Screenshot of the Config window in the WBM
Dirección IP o URL del
servidor de SINEMA RC
... Puerto del servidor
Autenticación:
• Device ID
• Fingerprint o certificado
• Contraseña
S7-1500
HMI
Máquina 1/Cliente 1
S615
Máquina 1/Cliente 2
S7-1500
HMI
M874-3
Máquina 2/Cliente 2
M812-1 S7-1500
HMI
Máquina 3/Cliente 3
SINEMA REMOTE CONNECT3. Cliente usuario del SINEMA RC
INTERNET
Ethernet
Router
ADSL
ESTACIÓN DE INGENIERÍA CLIENTE 2
Cliente SINEMA RC
Herramientas de ingeniería
Conexión con el
concentrador
CONCENTRADOR TÚNELES VPN
Servidor SINEMA RC
Router ADSL
IP pública estática
o DNS
ESTACIÓN DE INGENIERÍA CLIENTE 1
Cliente SINEMA RC
Herramientas de ingeniería
SINEMA Remote Connect ClientConexión de usuarios al Sistema - login
Dirección y Puerto del servidor
https:\\217.45.239.79:3443
uses port 3443
Usuario creado en Sinam RC
server.
SINEMA Remote ConnectRelaciones de comunicación
Establecimiento de conexiones y permisos de los usuarios
User 1
User 2
User 3
User 4
Machine manufacturer A
Machine manufacturer B
End customer
• User 1
• User 3
• ….
• User 2
• User 3
• ….
• Machine 1
• Machine 2
• ….
• Machine 5
• ….
• Machine 3
• Machine 4
• ….
• User 4
• ….
2Manufacturer 1Section 1
Special
Section 2
Internal
Machine 1
Machine 2
Machine 3
Machine 4
Machine 5
11
Manufacturer 2
SINEMA Remote Connect – Casos de usoUso de servidor UMC/ AD en planta
Configuration example SINEMA Remote Connect:
Remote service for special machine construction with central
authentication
Tarea
• Mantenimiento remoto seguro a máquinas en serie y sistemas
más amplios con gestion centralizada de usuarios y permisos
Solución
• Identificación uniforme con los datos de usuario de Active
Directory en SINEMA RC Server y SINEMA RC Client
• Conexión opcional con Active Directory
Beneficios
• Gestión centralizada de usuarios y permisos
• Cooperación del servidor UMC con otros sistemas
S7-1500
HMI
Máquina 3/Cliente 2
S7-1500
HMI
Máquina 1/Cliente 1
S615
Máquina 1/Cliente 2
S7-1500
HMI
M874-3
Máquina 2/Cliente 2
¿Cual es la ventaja de utilizar nuestro cliente?
INTERNET
Ethernet
Router
ADSL
ESTACIÓN DE INGENIERÍA CLIENTE 2
Cliente SINEMA RC
Herramientas de ingeniería
Conexión con el
concentrador
Túnel VPN
CONCENTRADOR TÚNELES VPN
Servidor SINEMA RC
Router ADSL
IP pública estática
o DNS
ESTACIÓN DE INGENIERÍA CLIENTE 1
Cliente SINEMA RC
Herramientas de ingeniería
Direcciones IP reales
PLC: 192.168.0.10
HMI: 192168.0.20
SCALANCE: 192.168.0.1
Direcciones IP reales
PLC: 192.168.0.10
HMI: 192.168.0.20
SCALANCE: 192.168.0.1
NAT 1:1
Direcciones IP virtuales
PLC: 10.10.2.10
HMI: 10.10.2.20
SCALANCE: 10.10.2.1
Direcciones IP virtuales
PLC: 10.10.1.10
HMI: 10.10.1.20
SCALANCE: 10.10.1.1SC6xx
Seguridad
Sencillez
Flexibilidad
Escalabilidad
Estandarización
Entorno de trabajo
Valor añadido SINEMA Remote Connect
Caso de uso - Notifier
SC636
Automation Cell 2
PLC
Different Subnets
Automation Cell 1
PLC
Scalance SC636
RTU/Other Factory
Same Subnet Same Subnet
CC716Standard in Automation Cell
Agreggation Ring
HRP
SCALANCE
XM400
Posible L3
SCALANCE
XR500
Posible L3
WinCC Runtime
OPC Server
DMZ Scalance SC646
/NGFWGestor de
Conexiones
Remotas
SINEMA RC
Server
Simatic
Notifier
INTERNET
ESTACIÓN DE INGENIERÍA CLIENTE 1
Cliente SINEMA RC
Herramientas de ingeniería
Accept
Alert
5G/4G/3G/GPRS/WIFI
Notifier Client APP
Caso de uso - Edge
SC636
Automation Cell 2
PLC
Different Subnets
Automation Cell 1
PLC
Scalance SC636
RTU/Other Factory
Same Subnet Same Subnet
CC716Standard in Automation Cell
Agreggation Ring
HRP
SCALANCE
XM400
Posible L3
SCALANCE
XR500
Posible L3
WinCC Runtime
OPC Server
DMZ Scalance SC646
/NGFWGestor de
Conexiones
Remotas
SINEMA RC
Server
Simatic
Notifier
INTERNET
ESTACIÓN DE INGENIERÍA CLIENTE 1
Cliente SINEMA RC
Herramientas de ingeniería
Acce
pt
Alert
5G/4G/3G/GPRS/WIFI
Notifier Client APP
Industrial
Edge Device
IEM
SC636
Solo salida
SINEMA Remote Connect v3.0Novedades
Instalación
en CloudRest API Licenciamiento
de cliente
Oferta especial de conexión remota*
*Precio válido hasta el 30/09/2021
Máximo una oferta por cliente
SINEMA Remote Connect
Muchas gracias por vuestra atención
ContactoPublished by Siemens, S.A.
Luis Acosta Lara
Digital Conectivity and Cibersecurity Product
Manager
Siemens, S.A. / Spain / / DI PA DCP
Ronda de Europa, 5
28760 Tres Cantos, Madrid
España
Phone +34 699 457 134
E-mail luis.acosta@siemens.com