Nueva dimensión en la

gestión del acceso

remoto
Unrestricted | © Siemens 2021 DI PA | 03/2021
Las arquitecturas de IoT Industrial son la base para su éxito futuro

IoT Arquitectura
Arquitectura IIoT
Modelado de Empresas

Aplicaciones

Plataformas

Conectividad Conectividad Digital

Objetos Inteligentes | “Cosas”

… y esto requiere de redes de comunicación potentes en la industria

Sistemas diseñados para la Industria

Ayer: interoperabilidad Red

limitada Empresaria
l
Capa Central
Enterprise Centro de Datos Industrial DMZ

Backbone
Red
Industrial
Backbone
Agregación 1 Agregación 2 Agregación n
de Producción
Production

Proceso Llenado/Embalaj
e
Sala de Jarabe Línea PET de Bebidas Gaseosas
Jarabe Dosificación Soplador Llenado Empaquetado

Célula
de Producción

Comunicación limitada entre la

capa empresarial y producción
Portfolio líder en Experiencia en todas las Servicios, Soluciones
Comunicaciones Redes Industriales y Formación
+ +
Redes diseñadas para la industria.

Red
Empresarial Conectividad
Cloud
IIoT
Connect
Industrial Data Center DMZ Red Industrial
Backbone

Seguridad Backbone de Aplicaciones

Industrial producción móviles
Aggregation 1 Aggregation 2 Aggregation n

Gestión de Seguridad
Process Filling/Packing
conectividad funcional
Syrup Room Carbonated Soft Drink PET Line
Syrup Handler Dosing Blow Molder Filler Packer

Celdas de
producción Conectividad
TIA
remota

Las diferentes redes industriales requieren arquitecturas y funciones específicas.

Seguridad Seguridad
de Planta
Seguridad
de Red
Integridad
del Sistema
Acceso remoto
Industrial • Mantenimiento
remoto seguro
• Intercambio de
datos seguro

DMZ
Concepto multicapa que proporciona • Redes
una sofisticada protección en desacopladas Las Amenazas a
profundidad la Seguridad
para prohibir la
exigen Medidas
comunicación sin
Evaluar, Implementar y Administrar control
Célula de
• Firewalls
Protección
• Evitar el acceso no
autorizado

V2.0
Gran número de puertos abiertos de PLCs en Internet
Febrero 2021

https://www.shodan.io
Transparencia ciberataque aguas – Febrero 2021

- Comprometieron el sistema a través de una

conocida herramienta de escritorio remoto

- Lograron acceder al menos en dos ocasiones

- Aumentaron los niveles de sosa cáustica 100 veces

más de lo adecuado

- Solo quedó en un susto ya que un operador se

percató de que los valores no eran correctos

Link a la noticia
Comunicación Servicio técnico 1

SINEMA
Servicio técnico 2
Máquina 2

Remota Remote Connect

Conexión
Internet
Cliente
OpenVPN
Servicio técnico 3
Máquina 3
Centro de Servicio

Red Móvil Cliente

Máquina OpenVPN
1,2,3
Acceso remoto de alta seguridad
(VPN) a "cosas" para mantenimiento
y solución de problemas
Conexión Máquina 3
Internet
Fácil integración en redes de planta
existentes y configuración
automática Máquina 2

Oficina Fábrica
Interfaz de usuario estándar y
administración flexible Máquina 1

Ethernet Industrial Túnel VPN

Diferentes necesidades – Misma solución integral
SINEMA Remote Connect
Solución para la gestión de accesos remotos
Propuesta completa
Un backbone industrial con hardware industrial

SCALANCE Red IT SCADA o

SC636/46
DMZ OPC Server
SCALANCE
Gestor de XM400
SCALANCE
Conexiones XR500
Remotas Red de agregación 1Gbps
10.0.0.X.24
SINEMA RC Server HRP(OF)

SCALANCE SCALANCE
SCALANCE SCALANCE S615 S615
S615 SC636
VRRP
Traducción IP Traducción IP (Router
(NAT) (NAT) redundante)

SCALANCE SCALANCE SCALANCE

XC200 XC200 XC200

HRP

Red 1 Red 2 Red 3

192.168.1.X/24 192.168.1.X/24 192.168.3.X/24
Propuesta completa
Un backbone industrial con hardware industrial

SCALANCE Red IT SCADA o

SC636/46
DMZ OPC Server
SCALANCE
Gestor de XM400
SCALANCE
Conexiones XR500
Remotas Red de agregación 1Gbps
10.0.0.X.24
SINEMA RC Server HRP(OF)

SCALANCE SCALANCE
SCALANCE SCALANCE S615 S615
SCALANCE S S615 SC636
VRRP
Traducción IP Traducción IP (Router
(NAT) (NAT) redundante)

SCALANCE SCALANCE SCALANCE

XC200 XC200 XC200

HRP

Red 1 Red 2 Red 3

192.168.1.X/24 192.168.1.X/24 192.168.3.X/24
Aplicaciones de seguridad industrial
Firewall SCALANCE S

SCALANCE S

SC632-2C SC636-2C S615 SC642-2C SC646-2C

SINEMA Remote Connect
Componentes

1 2 3
1. SINEMA RC Server 2. SCALANCE S615 3 .SINEMA RC Client
CONCENTRADOR
SCALANCE SC600
TÚNELES VPN
Servidor SINEMA RC
SCALANCE M800
SINEMA REMOTE CONNECT
Un único sistema estándar para el acceso remoto a plantas

FIREWALL Red IT
PERIMETRAL
DMZ
SCALANCE
XM400
SINEMA RC
Server
1
Conexiones VPN

2
SCALANCE SCALANCE
USUARIOS
S615 SC636 SINEMA RC 3

HRP

Red 1 Red 2 Red 3

192.168.1.X/24 192.168.1.X/24 192.168.3.X/24
SINEMA REMOTE CONNECT
Un único sistema estándar para el acceso remoto a plantas

Red IT
DMZ
SCALANCE
SINEMA XM400
REMOTE
CONNECT

Conexiones VPN

SCALANCE SCALANCE
S615 SC636

HRP

Red 1 Red 2 Red 3

192.168.1.X/24 192.168.1.X/24 192.168.3.X/24
SINEMA Remote Connect
Componentes

1 2 3
1. SINEMA RC Server 2. SCALANCE S615 3 .SINEMA RC Client
CONCENTRADOR
SCALANCE SC600
TÚNELES VPN
Servidor SINEMA RC
SCALANCE M800

INTERNET INTERNET INTERNET

SINEMA REMOTE CONNECT
Arquitectura

1 ESTACIÓN DE 3
CONCENTRADOR ESTACIÓN DE
TÚNELES VPN INGENIERÍA CLIENTE 1 INGENIERÍA CLIENTE 2
Cliente SINEMA RC
Servidor SINEMA RC Cliente SINEMA RC
Herramientas de ingeniería
Herramientas de ingeniería

Router ADSL
IP pública estática Router
o DNS ADSL

INTERNET Conexión con el

concentrador
Ethernet

S7-1500 2 M874-3 S7-1500 SC6xx

S7-1500
S615

HMI HMI HMI

Máquina 1/Cliente 1 Máquina 2/Cliente

Máquina 1/Cliente 22 Máquina 3/Cliente 3
SINEMA REMOTE CONNECT
1. Concentrador VPN

CONCENTRADOR ESTACIÓN DE ESTACIÓN DE

TÚNELES VPN INGENIERÍA CLIENTE 1 INGENIERÍA CLIENTE 2
Cliente SINEMA RC
Servidor SINEMA RC Cliente SINEMA RC
Herramientas de ingeniería
Herramientas de ingeniería

Router ADSL
IP pública estática Router
o DNS ADSL

INTERNET Conexión con el

concentrador
Ethernet

S7-1500 M874-3 S7-1500 SC6xx

S7-1500
S615

HMI HMI HMI

Máquina 1/Cliente 1 Máquina 2/Cliente

Máquina 1/Cliente 22 Máquina 3/Cliente 3
1A. SERVIDOR SINEMA REMOTE CONNECT

Hardware CONCENTRADOR
TÚNELES VPN
• NORMALMENTE ya existente en las instalaciones del cliente.
Servidor SINEMA RC
• Nuestra solución → SIMATIC PC Industrial, IPC547E (Rack 19“).
• Si se opta por instalación en Cloud, no es necesario hardware.
Router ADSL
IP pública estática
o DNS

Software INTERNET

• Sistema Operativo propio (Ubuntu).

• Tres formas de instalación:

1. PC dedicado
2. Máquina virtual
3. Cloud

• NO necesita herramienta de configuración

1B. Conexión a Internet del Servidor

Hardware
WBM login User rights
• NORMALMENTE ya existente en las instalaciones del cliente. • User1 x x x x
•
• Nuestra solución → SCALANCE M800 / Scalance S User2 x x x
• User3 x x
• User4
User name: User1
Password: User1
Software https
Requisitos y configuración del router:
• Dirección IP pública estática o servidores de DNS dinámicos.
CONCENTRADOR
TÚNELES VPN
User name: User1
Servidor SINEMA RC Password: User1 OpenVPN

SINEMA
Router ADSL Remote Connect
IP pública estática
o DNS

INTERNET SINEMA
RC Client
SINEMA REMOTE CONNECT
2. Firewalls VPN

CONCENTRADOR ESTACIÓN DE ESTACIÓN DE

TÚNELES VPN INGENIERÍA CLIENTE 1 INGENIERÍA CLIENTE 2
Cliente SINEMA RC
Servidor SINEMA RC Cliente SINEMA RC
Herramientas de ingeniería
Herramientas de ingeniería

Router ADSL
IP pública estática Router
o DNS ADSL

INTERNET Conexión con el

concentrador
Ethernet

S7-1500 M874-3 S7-1500 SC6xx

S7-1500
S615

HMI HMI HMI

Máquina 1/Cliente 1 Máquina 2/Cliente

Máquina 1/Cliente 22 Máquina 3/Cliente 3
Aplicaciones de seguridad industrial
Firewall SCALANCE S

SCALANCE S

SC632-2C SC636-2C S615 SC642-2C SC646-2C

Aplicaciones de telecontrol y acceso remoto por redes públicas
Scalance M800

SCALANCE M
SINEMA Remote Connect
Configuración de los dispositivos por servidor web

Dirección IP o URL del

servidor de SINEMA RC

... Puerto del servidor

Autenticación:
• Device ID
• Fingerprint o certificado
• Contraseña
Screenshot of the Config window in the WBM
SINEMA REMOTE CONNECT
3. Cliente usuario del SINEMA RC

CONCENTRADOR ESTACIÓN DE ESTACIÓN DE

TÚNELES VPN INGENIERÍA CLIENTE 1 INGENIERÍA CLIENTE 2
Cliente SINEMA RC
Servidor SINEMA RC Cliente SINEMA RC
Herramientas de ingeniería
Herramientas de ingeniería

Router ADSL
IP pública estática Router
o DNS ADSL

INTERNET Conexión con el

concentrador
Ethernet

S7-1500 M874-3 S7-1500 M812-1 S7-1500

S615

HMI HMI HMI

Máquina 1/Cliente 1 Máquina 2/Cliente

Máquina 1/Cliente 22 Máquina 3/Cliente 3
SINEMA Remote Connect Client
Conexión de usuarios al Sistema - login

Dirección y Puerto del servidor

https:\\217.45.239.79:3443
uses port 3443

Usuario creado en Sinam RC

server.
SINEMA Remote Connect
Relaciones de comunicación

Establecimiento de conexiones y permisos de los usuarios

1 Manufacturer 1
Section 1 1
2
• Machine 1
• User 1 • Machine 2 Machine 1
User 1 • User 3 • ….
• ….

Machine 2
User 2
Manufacturer 2 Section 2
• User 2 • Machine 3
• User 3 • Machine 4
• …. • ….
Machine 3
User 3

Internal
• User 4 Machine 4
Special
• ….
User 4 • Machine 5
• ….
Machine manufacturer A
Machine manufacturer B
Machine 5
End customer
SINEMA Remote Connect – Casos de uso
Uso de servidor UMC/ AD en planta

Tarea Configuration example SINEMA Remote Connect:

Remote service for special machine construction with central
• Mantenimiento remoto seguro a máquinas en serie y sistemas authentication
más amplios con gestion centralizada de usuarios y permisos

Solución
• Identificación uniforme con los datos de usuario de Active
Directory en SINEMA RC Server y SINEMA RC Client
• Conexión opcional con Active Directory

Beneficios
• Gestión centralizada de usuarios y permisos
• Cooperación del servidor UMC con otros sistemas
¿Cual es la ventaja de utilizar nuestro cliente?

CONCENTRADOR ESTACIÓN DE ESTACIÓN DE

TÚNELES VPN INGENIERÍA CLIENTE 1 INGENIERÍA CLIENTE 2
Cliente SINEMA RC
Servidor SINEMA RC Cliente SINEMA RC
Herramientas de ingeniería
Herramientas de ingeniería

NAT 1:1
Router ADSL
IP pública estática Router
o DNS ADSL Túnel VPN
INTERNET Conexión con el
concentrador
Direcciones IP reales Direcciones IP reales
PLC: 192.168.0.10 PLC:Ethernet
192.168.0.10
Direcciones IP virtuales
HMI: 192168.0.20 Direcciones IP virtuales
HMI: 192.168.0.20
PLC: 10.10.2.10
SCALANCE: 192.168.0.1 PLC: 10.10.1.10
SCALANCE: 192.168.0.1
HMI: 10.10.2.20 SC6xx HMI: 10.10.1.20
S7-1500 M874-3 S7-1500 S7-1500
S615 SCALANCE: 10.10.2.1 SCALANCE: 10.10.1.1

HMI HMI HMI

Máquina 1/Cliente 1 Máquina 2/Cliente

Máquina 1/Cliente 22 Máquina 3/Cliente 2
Valor añadido SINEMA Remote Connect
Seguridad Flexibilidad Estandarización

Escalabilidad Sencillez Entorno de trabajo

 Caso de uso - Notifier
INTERNET
DMZ Scalance SC646 5G/4G/3G/GPRS/WIFI

Gestor de
/NGFW
WinCC Runtime
Conexiones
OPC Server
Remotas Alert

Accept

SCALANCE
SCALANCE
XM400
SINEMA RC XR500
Server Posible L3
Posible L3 Notifier Client APP
ESTACIÓN DE
Agreggation Ring INGENIERÍA CLIENTE 1
Cliente SINEMA RC
Simatic HRP
Herramientas de ingeniería
Notifier

CC716
SC636 Standard in Automation Cell Scalance SC636

Automation Cell 2 Automation Cell 1

RTU/Other Factory
PLC PLC

Different Subnets Same Subnet Same Subnet

 Caso de uso - Edge
INTERNET
DMZ Scalance SC646 5G/4G/3G/GPRS/WIFI
/NGFW
Gestor de
WinCC Runtime
Conexiones
OPC Server
Remotas Alert
Acce
pt
SCALANCE
SCALANCE
XM400
SINEMA RC SC636 XR500
Server Posible L3
Posible L3 Notifier Client APP
Solo salida
ESTACIÓN DE
IEM Agreggation Ring INGENIERÍA CLIENTE 1
Cliente SINEMA RC
Simatic HRP
Herramientas de ingeniería
Notifier

CC716
Industrial SC636 Standard in Automation Cell Scalance SC636
Edge Device

Automation Cell 2 Automation Cell 1

RTU/Other Factory
PLC PLC

Different Subnets Same Subnet Same Subnet

SINEMA Remote Connect v3.0
Novedades

Instalación Rest API Licenciamiento

en Cloud de cliente
Oferta especial de conexión remota*

*Precio válido hasta el 30/09/2021

Máximo una oferta por cliente
SINEMA Remote Connect
Muchas gracias
por vuestra
atención
Contacto
Published by Siemens, S.A.
Luis Acosta Lara
Digital Conectivity and Cibersecurity Product
Manager
Siemens, S.A. / Spain / / DI PA DCP
Ronda de Europa, 5
28760 Tres Cantos, Madrid
España
Phone +34 699 457 134
E-mail luis.acosta@siemens.com