- Configuración e instalación de componentes de software
Seguridad de Remote Access Tools
FactoryTalk® Remote Access™
VPN
Una vez que un cliente de applet de Tools está conectado a un cliente de Runtime, se puede establecer una conexión VPN dependiendo de cómo se otorgue el permiso de "acceso VPN" a un usuario en un dispositivo determinado.
La VPN de funciona en el nivel 2 de la pila de protocolos ISO/OSI, es decir, encapsula tramas Ethernet en lugar de paquetes IP. Esto se hace para lograr la mejor compatibilidad con escenarios industriales comunes, en los que se utilizan protocolos o mensajes de transmisión que no son IP.
FactoryTalk® Remote Access™
La VPN se implementa mediante la instalación de un adaptador Ethernet virtual en el PC frontend.
FactoryTalk® Remote Access™
FactoryTalk® Remote Access™
Incluso si el nivel 2 está por debajo de la dirección IP, de forma predeterminada, el servicio de Runtime asigna automáticamente una dirección IP gratuita al adaptador VPN virtual de Frontend. Esto se hace por conveniencia, ya que la mayoría de los protocolos útiles están basados en IP y, por lo tanto, están listos para funcionar. Además, se utilizan direcciones IP de las subredes físicas reales. No se crean subredes IP virtuales y las consiguientes reglas de enrutamiento.
El Runtime sondea periódicamente los dispositivos existentes en la red mediante el envío de mensajes ARP. Detecta direcciones IP "libres" que luego se pueden asignar a conexiones VPN. Esta política es útil, pero se puede cambiar si se necesita una configuración más estricta y controlada. Se puede configurar un grupo de direcciones IP en el dispositivo para que el Runtime solo asigne direcciones IP procedentes de este grupo. En este caso, no se realizan detecciones de ARP.
Tener el PC frontend conectado virtualmente a la red del dispositivo físico es potente y útil, pero se puede configurar y limitar de varias maneras para cumplir con las políticas de TIC.
Las reglas de firewall de VPN se pueden configurar en
la organización de
para controlar qué tipo de tráfico de una determinada combinación de dispositivo/subdispositivo/usuario/protocolo se puede utilizar de forma remota. Estas reglas se pueden obtener mediante la configuración de reglas de firewall en toda la jerarquía de la organización. Las reglas son jerárquicas, por usuario, por recurso o por grupo de recursos, y se pueden limitar a una determinada dirección MAC remota, direcciones IP remotas, subredes y protocolos Ethernet o IP, en forma de PERMITIR – DENEGAR. El conjunto resultante de reglas es calculado por el servidor antes de que se inicie una conexión VPN y se aplican tanto en el Frontend como en el Runtime.FactoryTalk® Remote Access™
La práctica recomendada con respecto a la seguridad es habilitar solo los protocolos y el destino accesible que necesita un usuario remoto o grupo de usuarios específico. Esto hace que la conexión VPN sea aún más segura que una conexión local física real, ya que en una conexión física el firewall del PC local es el único mecanismo para limitar el tráfico. En nuestro caso, la infraestructura de se encarga de hacer cumplir las reglas de seguridad decididas por el administrador.
FactoryTalk® Remote Access™
Transferencia de archivos
Las operaciones de archivos remotos (descargar, cargar, cambiar nombre, eliminar) se realizan a través del proceso del servicio . Este proceso se ejecuta con privilegios del sistema local de forma predeterminada. En cualquier caso, el administrador de la organización de puede habilitar o deshabilitar esta operación para los usuarios remotos en función de cómo se propague el permiso de Transferencia de archivos a un dispositivo determinado para un usuario específico.
FactoryTalk® Remote Access™
FactoryTalk® Remote Access™
Registro del dispositivo en un dominio / Configuración a través de la red local
El registro en un dominio o la configuración se pueden realizar mediante applets específicos que funcionan en la red local. Estos applets utilizan un algoritmo GCM AES-256 para cifrar el tráfico de red.
Entregue su opinión