Traducido del inglés al español - www.onlinedoctranslator.

com

Papel blanco:
Servicio seguro en la nube de Talk2M

Mejores prácticas
para acceso remoto industrial
Proporcionar acceso remoto en el
mundo de la automatización

La provisión de sistemas industriales de acceso remoto para fabricantes de máquinas y OEM se está convirtiendo en una forma

estándar de conectarse de forma remota a un sistema automatizado o una máquina. En menos de ocho años, Internet Remote

Access ha ingresado al mundo de los ingenieros de automatización para reemplazar las conexiones telefónicas como medio de

acceso a un sistema, y palabras como "Router industrial" y "VPN" ahora son de uso común en las organizaciones de servicios.

En la guía 'Acceso remoto seguro para máquinas industriales'1, destacamos todos los beneficios de una arquitectura de acceso

remoto basada en web.

De hecho, una arquitectura en la nube es el lugar perfecto para conectar la comunicación basada en VPN generada por los usuarios en un

lado con la comunicación basada en VPN generada por las máquinas en el otro lado.

La comunicación VPN es parte de la vida de todos hoy en día, cuando usamos Internet para obtener acceso a recursos

privados, como en un entorno empresarial para vincular nuestra PC a un servidor central de la oficina.

En este documento, nuestro objetivo es describir con mayor detalle nuestro paradigma de nuestra plataforma en la nube Talk2M que hemos

creado en Ewon. Este documento no pretende ser una guía de usuario ni un manual. Si necesita un manual para Talk2M, le sugerimos que

visite el siguiente enlace:

https://www.ewon.biz/technical-support/pages/talk2m?ordercode=talk2m

Qué son
¿VPN y tunelización?

VPN (red privada virtual) y tunelización son técnicas que permiten, entre otros beneficios, encriptar enlaces de datos entre usted y

otra computadora. Esta computadora puede pertenecer a su organización, a una persona u organización de confianza o a un

servicio VPN comercial. La tunelización encapsula un flujo específico de datos dentro de un protocolo encriptado, lo que hace que

todo lo que viaja a través del túnel sea ilegible para cualquier persona a lo largo de la ruta de transmisión. El uso de una VPN u otra

forma de tunelización para encriptar datos es una de las mejores maneras de asegurarse de que nadie más que usted y las

personas de su confianza los vean.

1Puede descargar la última edición de esta guía visitando nuestro sitio web:https://www.ewon.biz/cloud-services/remote-access-whitepaper

www.ewon.biz
2
¿Qué es Talk2M?

Talk2M propone servicios de conectividad basados en Internet para conectar a los usuarios a sus máquinas a través de Internet. Estos

usuarios suelen ser ingenieros de servicio o automatización que necesitan acceso a sus máquinas instaladas en varias instalaciones del cliente,

generalmente repartidas por todo el mundo.

• Del lado del usuario, necesitamos instalar una aplicación de software que se ejecuta en una PC con el sistema operativo

Windows. Esta aplicación cliente, denominada eCatcher, establece un vínculo de comunicación transparente entre el

PC y Talk2M, a través de Internet. Para facilitar su uso, también ofrecemos una versión móvil, eCatcher Mobile, disponible

en Android e iOS. También veremos que se puede usar un navegador web simple (M2Web) para conectarse a la máquina,

evitando así la necesidad de usar la aplicación cliente, pero esto está limitado a ciertas aplicaciones.

• Del lado de la máquina, instalamos un dispositivo Ewon (Cosy, Flexy) conectado al corazón de la máquina, un PLC (Controlador Lógico

Programable), una PC industrial o cualquier dispositivo automatizado, dentro de una planta de producción. El dispositivo Ewon se

conecta a la máquina a través de un conmutador Ethernet de cuatro puertos, un enlace USB o un enlace serie (tipo RS485/232 o

Siemens MPI).

Sitio remoto Usuario

Acceso remoto
Quinielas
Grupos
vpn eCatcher
vpn Cliente VPN de Talk2M

Saliente vía
puerto 443/TCP (HTTPS)
o puerto 1194/UDP
VNC vpn
PDR
WEB
eCatcher móvil
su
de
remoto
uso
el
Habilite
eC
con
favoritas
automatización
de
aplicaciones
Tus apps de automatización (iOS, Android)
at
ch
Móv
il
er

HTTPS

LAN de fábrica

M2Web
Portal web Talk2M HTTPS

Imagen 1: descripción general de la comunicación de Talk2M

• Entre el dispositivo Ewon y el usuario proporcionamos Talk2M, una estructura de comunicación basada en la nube compuesta por

varios servidores que retransmiten las comunicaciones originadas por los usuarios a sus máquinas. Todo el sistema funciona con

el requisito previo de que ambos lados de la comunicación puedan acceder a Internet y llegar a los servidores de Talk2M.

Comenzamos describiendo las posibilidades desde el lado de la máquina para llegar a Internet y cómo se hace esto.

www.ewon.biz
3
¿Cómo se conecta la
máquina a Internet?

Como ya se mencionó, el lado de la máquina debe estar conectado a Internet para llegar al servidor Talk2M. Son
muchas las formas de llegar a Internet:
• La forma más utilizada y gratuita es pasar por una red LAN cableada conectada a Internet. Si la LAN no está conectada a

Internet (p. ej., LAN cerrada) o no hay una conexión LAN disponible, generalmente podemos usar la segunda o la tercera

forma.

• Una segunda forma que vemos desarrollándose en las plantas de producción es con la conectividad WiFi. Algunas fábricas proporcionan

intencionalmente redes de puntos de acceso WiFi para que los fabricantes de máquinas obtengan acceso a Internet sin pasar por su LAN

corporativa para conectividad remota.

• La tercera forma suele ser la forma de contingencia cuando NO hay LAN o WiFi disponibles.

Las tecnologías celulares (3G, 4G) están disponibles en todo el mundo y brindan una forma muy práctica de conectarse a Internet. En este

caso, necesitaríamos una tarjeta SIM de un proveedor de telefonía móvil para permitir que nuestro dispositivo celular se conecte a

Internet.

Los dispositivos Ewon están diseñados para que la conexión a Internet se establezca a través de una conexión WAN, proporcionada

por una interfaz Ethernet o un módem incorporado (celular, WiFi). Algunos modelos de Ewon también pueden proporcionar una

interfaz Ethernet y un módem incorporado.

Elección Tipo de conección Ventajas inconvenientes

1º LAN Se encuentra en casi todos los sitios La LAN a veces se puede cerrar debido a la
El costo de uso es gratuito política de seguridad
Gran ancho de banda

2do Wifi El costo de uso es gratuito Tecnología en crecimiento, sin embargo, espere una

Gran ancho de banda disponibilidad limitada

3ro Celular Disponibilidad mundial La alta velocidad no está disponible en todas partes.
El costo depende de los datos La tecnología puede variar en todo el mundo, lo que
requiere dispositivos específicos.
El costo no es gratis

Tabla 1: Tipo de conexión

www.ewon.biz
4
Conexión de la máquina
para hablar2M

Una vez conectado a Internet, lo primero que hará el dispositivo Ewon será conectarse a los servidores de Talk2M. La
conexión de una máquina a Talk2M se realiza en tres fases:

1. Un primer e inicial proceso de puesta en marcha en el que el dispositivo Ewon se conectará a un servidor de acceso (AS)

central y se autenticará a través de una conexión HTTPS. A continuación, obtendrá sus certificados. Esta operacion

se ejecuta una vez, luego el dispositivo Ewon guardará su clave y certificados internamente. Este punto se explicará

más adelante en este documento.

2. Luego, cada vez que el dispositivo Ewon necesite conectarse a la VPN, primero le pedirá al AS el nombre de host del servidor VPN

(VS) que necesita usar (esta dirección del servidor VPN puede cambiar en cualquier momento desde la conexión hasta

conexión). Esta solicitud también se envía a través de una conexión HTTPS.

3. Finalmente, el dispositivo Ewon configurará un túnel VPN con el VS asignado en el paso anterior.

Imagen 2: Conexión de la máquina a Talk2M

www.ewon.biz
5
Conectando al usuario
para hablar2M

Como ya se mencionó, el primer paso es iniciar el software eCatcher en la PC del usuario. Cuando se inicie,
eCatcher requerirá que el usuario se autentique con tres datos importantes:

• Un nombre de cuenta: se puede crear una cuenta de Talk2M con eCatcher. Cualquiera puede crear un número ilimitado de

cuentas. Cada cuenta contiene todos los Usuarios que pueden conectarse en el mismo contexto a todos los dispositivos

Ewon registrados en esa Cuenta. El usuario A de la cuenta X nunca podrá conectarse a un dispositivo de la cuenta Y. Pero el

usuario B de la cuenta Y podrá conectarse a este dispositivo.

• Un nombre de usuario: se recomienda no compartir cuentas y en su lugar crear nombres de usuario individuales para cada

persona que acceda a la cuenta. Tanto con Talk2M Free+ como con Talk2M Pro puedes crear tantos usuarios como necesites,

sin costo adicional.

• Una contraseña: cada usuario tiene su propia contraseña, que puede ser cambiada por el administrador o cualquier usuario que tenga

derecho a cambiar la contraseña del Usuario.

Una vez autenticado, el usuario puede obtener acceso a la lista de todos los dispositivos Ewon registrados en esa cuenta (si

tiene los permisos adecuados).

Esta etapa es equivalente a las fases 1 y 2 descritas en el apartado anterior “Conexión de la máquina a Talk2M”. Esto significa

que eCatcher no guardará su clave y certificado localmente, sino que los buscará después de cada autenticación. De hecho,

eCatcher abre una sesión HTTPS en el AS. El usuario puede realizar varias acciones, como (desde el botón que se muestra en el

lado izquierdo):

1. Registrar un nuevo dispositivo Ewon en la cuenta actual. Describiremos esta operación en los siguientes
párrafos.

2. Modificación y eliminación de la información del dispositivo Ewon.

3. Agregar, modificar o eliminar información de Usuario o grupos en la cuenta actual. Un grupo es una colección de

usuarios.

4. Agregar, modificar o eliminar Pools en la cuenta corriente. Un grupo es una colección de dispositivos Ewon.

5. Modificación de la información de la cuenta.

Nota: El punto 1 se explicará más adelante en este documento. Los puntos 2 a 5 se pueden encontrar fácilmente en la guía del usuario de Talk2M

(verhttps://ewon.biz/technical-support/resources/downloads-and-documentation?ordercode=talk2m).

www.ewon.biz
6
Al hacer clic en cualquier dispositivo Ewon de la lista (ver imagen 3) y si el "Estado" de la conexión Ewon está configurado en En línea (lo

que significa que es posible una VPN con el dispositivo Ewon), eCatcher le pide al AS que abra un túnel VPN.

El AS le indica a eCatcher qué VS se usará para establecer una conexión VPN.

Entonces eCatcher inicia su túnel VPN al VS que ha sido asignado por el AS. Por lo tanto, ambas terminaciones finales de VPN se

vinculan automáticamente en el mismo VS.

¡Estás en línea! Ahora puede establecer una

conexión remota a través de Internet de forma

más rápida y sencilla que nunca.

Administrar permisos de acceso de grupos

de usuarios para grupos de máquinas

Crear grupos de máquinas

Acceso con un solo clic

a sus máquinas en todo el mundo

Imagen 3: eCatcher con su lista de dispositivos conectados

Más adelante en este documento, analizaremos el estado fuera de línea de los dispositivos Ewon, es decir, conectados de forma no permanente.

www.ewon.biz
7
Uso de la conexión VPN

En los dos párrafos anteriores, describimos cómo son posibles las conexiones desde un extremo, el usuario, al otro
extremo, la máquina.

Ambas conexiones VPN, cuando se crean, se les asigna una dirección IP de VPN única proporcionada por el AS a través del VS entre la

granja de servidores. Si bien las direcciones VPN son visibles desde el lado de eCatcher y desde el lado del dispositivo Ewon, las

direcciones VPN de ambos túneles en el lado VS no son visibles en Internet.

En el lado de eCatcher, la dirección VPN proporcionada se asigna a un adaptador TAP Win32. Este adaptador proporciona una interfaz

virtual que conecta la PC directamente al VS. La interfaz TAP se instala automáticamente mediante el programa de instalación de

eCatcher.

Tener acceso al VS (a través de la interfaz TAP) no es el objetivo final; de hecho, necesitamos llegar al lado de la máquina
del dispositivo Ewon (en otras palabras), la LAN. Por lo tanto, debemos indicarle a la PC que todos los mensajes IP que
contengan una dirección de destino que pertenezca al rango de direcciones IP LAN del dispositivo Ewon deben
reenviarse a través de la interfaz TAP. Para permitir esto, eCatcher agrega automáticamente una ruta cuando se abre
una conexión VPN. Esta ruta se elimina cuando la conexión VPN se cierra o se destruye. La dirección de destino de la red
se conoce gracias a la información de configuración contenida en cada entrada de Ewon Talk2M. La dirección LAN se
menciona cuando un dispositivo Ewon se registra en una cuenta de Talk2M. Si el usuario quiere conectarse a otro
dispositivo Ewon, la ruta anterior será destruida,

Imagen 4: Conexión VPN de un extremo al otro extremo, con todas las direcciones IP involucradas

www.ewon.biz
8
En el lado de la máquina, el tráfico IP que llega a través del túnel VPN se reenvía automáticamente al lado LAN del

dispositivo Ewon. Si un dispositivo en la LAN quiere responder a la PC, existen dos estrategias posibles:

• La función NAT (traducción de direcciones de red) en LAN, también llamada Plug'n Route, sustituye la dirección IP LAN de Ewon

por la dirección IP de la PC. Esta es la configuración predeterminada en el dispositivo Ewon. Ver imagen 5 para una breve

explicación.

• Cada dispositivo en el lado de la LAN debe tener el dispositivo Ewon configurado como su puerta de enlace, lo que requiere reconfigurar

la configuración de la dirección IP de cada dispositivo LAN. Si bien esta es la estrategia menos preferida, puede ser necesaria en

algunas configuraciones avanzadas relacionadas con el enrutamiento de Internet.

Imagen 5: Plug'n Route (NAT EN LAN)

Tecnología VPN utilizada

El protocolo Talk2M VPN se basa en OpenVPN y utiliza OpenSSL. OpenVPN está diseñado para usar UDP en el puerto 1194 de forma

predeterminada, sin embargo, también usamos TCP 443 (HTTPS). Para el dispositivo VPN, eCatcher y Ewon, utilice ambos puertos para la

tunelización. Un efecto de usar TCP 443 dentro de LAN será la posibilidad de tener que pasar a través de servidores proxy HTTP. Esto requerirá

que se proporcione la configuración de autenticación de proxy tanto en el lado del usuario como en el del dispositivo Ewon. Los proxies que

son compatibles con los dispositivos eCatcher y Ewon son:

• Proxy sin autenticación

• Proxy con autenticación de usuario y contraseña
• Proxy de autorización NTLM

www.ewon.biz
9
Registro de un dispositivo Ewon en una cuenta de Talk2M

Registrar un dispositivo Ewon dentro de Talk2M requiere dos pasos:

1. El primer paso es crear una entrada Ewon en el contexto de una cuenta, con cuatro opciones.

2. El segundo paso consiste en ejecutar el asistente de conexión de Talk2M dentro de un dispositivo Ewon, el cual se

conectará a Talk2M por primera vez y completará el proceso de registro. Este paso también se puede realizar durante la

puesta en marcha del dispositivo Ewon en las instalaciones del cliente, de forma total o parcial (si el dispositivo Ewon ha

sido preregistrado en fábrica, solo necesitamos comprobar la conexión a Internet).

Las cuatro opciones de registro son:

• mediante clave de activación: forma más común de registrar una nueva entrada de Ewon en Talk2M. Talk2M genera un código de

activación único que será utilizado por el dispositivo Ewon en su fase de registro con Talk2M.

• a través de Talk2M Easy Setup con tarjeta SD o unidad USB: Easy Setup permite a los usuarios configurar la conectividad de red de un

Ewon Cozy o Flexy con solo una PC y una unidad USB o tarjeta SD. Este es el método preferido para la puesta en marcha de

dispositivos en una organización grande donde no hay conocimientos de puesta en marcha disponibles para las personas que

instalan el dispositivo.

• a través de Ewon Name: esta es una forma de contingencia de registrar un dispositivo Ewon cuando un dispositivo Ewon ya está en

el sitio y aún no se ha registrado.

• a través de un SMS: El SMS contiene la clave de activación; este método es por lo tanto similar al primer método. Esta es la forma de

"último recurso" de registrar un dispositivo Ewon en caso de un problema crítico como la pérdida de comunicación. Cuando el

dispositivo Ewon recibe el SMS, activará automáticamente el asistente de conexión de Talk2M y se reconfigurará para conectarse

a los servidores de Talk2M.

Durante el proceso del asistente, el primer paso del registro es la solicitud de un certificado al AS. Contiene el

clave privada y certificados necesarios para los algoritmos de cifrado. El proceso de registro del dispositivo Ewon también asigna

el número de serie del dispositivo Ewon en cada certificado. Si bien no puede registrar dos dispositivos Ewon con el mismo número de serie

(el nuevo registro reemplazará al anterior), el sistema permite la duplicación de una configuración de Ewon para

otro dispositivo en caso de reemplazo del dispositivo Ewon. En ese caso, Talk2M comprobará exclusivamente el uso del certificado.

Cliente o usuario final

mantener el control en el lado de la máquina

El uso de una conexión LAN generalmente significa que el dispositivo Ewon está permanentemente conectado al servidor Talk2M. Sin

embargo, hay casos en los que los clientes de los fabricantes de máquinas pueden ser reacios a dejar el dispositivo Ewon conectado

permanentemente, especialmente si rara vez se necesita acceso remoto o si el cliente desea un control total sobre la conexión.

www.ewon.biz
10
Por lo tanto, sugerimos utilizar un interruptor de llave de montaje en panel que pueda instalarse, por ejemplo, en la puerta frontal del armario de

la máquina. El interruptor se puede conectar a la entrada digital del dispositivo Ewon. En los modelos Ewon Cozy, la entrada digital, cuando se

establece en 0 voltios, desactiva la conexión a Internet y la conexión VPN. Esta función se puede personalizar para permitir la conexión a Internet

pero deshabilitar la conexión VPN/Talk2M. En otros modelos de Ewon (Flexy), se puede lograr el mismo resultado, pero a través de páginas de

configuración y secuencias de comandos simples. Se puede utilizar una salida digital del dispositivo Ewon para informar sobre el estado de la

conexión Talk2M/VPN.

También hay tipos de conexión que requieren otros artefactos para iniciar la conexión. Cuando se utiliza una conexión celular, no es

necesario mantener la conexión VPN en funcionamiento de forma permanente. Mantener un túnel abierto requiere el envío regular de

mensajes de "mantener vivo", lo que puede aumentar las facturas de comunicación (2 a 4 MB por día).

Durante la primera fase de registro, un usuario puede declarar qué tipo de conexión utilizará el dispositivo Ewon. En caso de

que se elija un tipo de conexión celular, se debe completar un campo de entrada de número de teléfono. Este número de

teléfono se puede usar para enviar un mensaje SMS a un dispositivo Ewon. Al recibir este mensaje SMS, el dispositivo Ewon se

conectará a su proveedor de red celular y, por extensión, se conectará a los servicios de conectividad de Talk2M para iniciar el

túnel VPN.

El tipo de conexión telefónica es, por definición, no permanente y, por lo tanto, primero debe marcar el dispositivo Ewon para conectarse

a su proveedor de servicios de Internet (ISP) y luego configurar el túnel.

Seguridad del sistema y la

arquitectura de Talk2M

La seguridad es probablemente el aspecto más importante de la arquitectura Talk2M. Para

lograr esto, hemos elaborado una filosofía de seguridad basada en un “Enfoque de

Defensa en Profundidad” (DPA - ver imagen 6).

El DPA es un uso coordinado de múltiples contramedidas de seguridad distribuidas en múltiples

capas de controles de seguridad. El propósito es garantizar la seguridad de la plataforma Talk2M

y, por lo tanto, la confidencialidad,

Imagen 6: Enfoque de defensa en profundidad
disponibilidad e integridad.

Se basa en las pautas establecidas por los principales estándares de seguridad como ISO27001, IEC 62443-2-4 y NIST Cyber

Security Framework 1.0, además de muchas otras publicaciones, pautas y mejores prácticas de la industria.

Aquí hay una descripción de las diferentes capas desde la capa interna hasta la capa externa y los aspectos de seguridad

implementados en cada una de estas capas.

www.ewon.biz
11
Capa Nombre de capa Aspecto de seguridad implementado

1. Configuración del dispositivo Ewon: los usuarios deben pasar por la seguridad de autenticación de Ewon, lo

que requiere derechos de administración.

2. Segregación de la red: el tráfico en el lado de la máquina/LAN se segrega del lado de la WAN/

1 Dispositivo Ewon
cliente (NAT 1:1). Los usuarios solo pueden acceder a dispositivos autorizados en LAN.

3. El dispositivo se autentica en la plataforma Talk2M.

4. Switch físico para controlar la conectividad a Internet.

Filtrado/cortafuegos: son posibles hasta 4 niveles de filtrado, lo que permite filtrar el tráfico de un usuario
a cualquier dispositivo Ethernet, cualquier dispositivo USB/serie o incluso cualquier servicio interno de
2 cortafuegos
Ewon. El filtrado se gestiona y aplica en la propia plataforma de conectividad TalK2M y no en el dispositivo
Ewon.

Los usuarios y los dispositivos Ewon son autenticados por el AS mediante TLS para la autenticación de
3 Cifrado de tráfico sesión HTTPS y el cifrado de datos. Mientras se conecta en VPN al VS, el dispositivo Ewon usa los mismos
protocolos y mecanismos TLS para el transporte de túnel seguro.

1. Controles de acceso de usuarios y dispositivos Ewon: el propósito es definir qué usuarios pueden
tener acceso a qué máquinas. Esto funciona a través de roles que puede otorgar a grupos y
grupos para permitir diferentes niveles de acceso.

2. Inicio de sesión de usuario único con (opcional):

• Políticas de refuerzo de contraseñas, longitud mínima, requisito de letras, dígitos y caracteres

especiales, período de caducidad, lista de contraseñas antiguas.
Acceso de usuario
4
administración • Autenticación de doble factor: después del inicio de sesión/contraseña normal dentro de cualquier cuenta,

aparece una segunda ventana que requiere un código SMS.

3. Registro de auditoría de conexión (quién, cuándo y cuánto tiempo).

4. Implementación de bloqueo de usuario para evitar demasiados intentos de conexión por parte de un usuario

no autorizado que intenta adivinar una contraseña.

5. Interruptor de llave digital para mantener el control local.

El dispositivo Ewon evalúa regularmente la arquitectura Talk2M (así como la seguridad del
hardware y firmware de los dispositivos) como parte de su proceso de mejora continua ISO
27001. Luego se implementan las medidas y controles apropiados para una mejor eficacia y
cumplimiento.

A continuación enumeramos las diferentes familias de controles de esta evaluación.

un. Políticas de seguridad: para asegurarnos de que las políticas estén alineadas con nuestros objetivos de
Hablar2M
5 Seguridad.
Infraestructura de red

B. Organización de la Seguridad de la Información y Recursos Humanos: para cubrir la correcta

asignación de responsabilidades de seguridad a todos los empleados y contratistas.

C. Gestión de activos: para definir la protección adecuada a cada activo.

D. Control de acceso: para garantizar que se cumpla el principio de "necesidad de saber".

mi. Criptografía: para proteger la confidencialidad, integridad y disponibilidad de los datos.

www.ewon.biz
12
 F. Seguridad física y ambiental: para abordar la seguridad física y
ambiental.

gramo. Operation Security: para abordar el malware, cubrir la copia de seguridad, garantizar el registro.

H. Seguridad de las comunicaciones: se refiere a la gestión de la seguridad de la red y la

protección de los datos en tránsito.

I. Adquisición y desarrollo del sistema: abordar el requisito de seguridad para los

sistemas internos.

j. Relación con proveedores: para abordar la protección de los activos accesibles por los proveedores.

Hablar2M
5 k. Gestión de incidentes: para gestionar y reportar incidentes de manera efectiva.
Infraestructura de red
yo Business Continuity Management: para gestionar la interrupción del negocio.

metro. Cumplimiento: para identificar leyes y reglamentos pertinentes.

Para la parte crítica de alojamiento, Ewon confía en Rackspace, debido a ISO27001, SSAE16 tipo II
SOC1, SOC2 (solo seguridad y disponibilidad) y SOC3, que es lo último en certificación de
alojamiento. El SSAE16 es una mejora de SAS 70. Es un estándar de auditoría diseñado para
permitir que un auditor independiente emita una opinión sobre los controles de una organización
de servicios. El informe de auditoría SSAE16 contiene la opinión del auditor, una descripción de
los controles implementados y, en el caso de una auditoría Tipo II, una descripción de la prueba
del auditor sobre la eficacia de los controles.

La solución de acceso remoto Talk2M está diseñada para ser compatible con las políticas de seguridad
existentes de los clientes. Mediante el uso de conexiones salientes a través de puertos comúnmente
abiertos (443 y 1194) y siendo compatible con la mayoría de los servidores proxy, el Ewon está diseñado
para ser mínimamente intrusivo en la red y trabajar dentro de las reglas de firewall existentes.
Por lo tanto, no es necesario adaptar la configuración de su equipo de seguridad.

6 Cumplimiento de la política
Dentro de eCatcher, los administradores de cuentas de Talk2M pueden personalizar las políticas de contraseñas

para forzar el cumplimiento de las políticas de contraseñas corporativas y pueden restringir qué usuarios pueden

acceder a qué dispositivos de forma remota. Los administradores de cuentas de Talk2M también pueden ver el

informe de conexión de Talk2M para ver qué usuarios se conectan a qué dispositivos y cuándo. Este informe

puede ser una herramienta valiosa para garantizar que se sigan las políticas corporativas de acceso remoto del

cliente.

Nuestros sistemas Talk2M son evaluados regularmente por evaluadores de seguridad

independientes para garantizar que mantenemos una buena postura de seguridad y, por

lo tanto, brindamos el más alto nivel de seguridad a nuestros clientes. Nos hemos

asociado con NVISO para proporcionarnos planes de prueba de seguridad adaptables y

mejorados para garantizar que nuestros productos sean capaces de manejar

amenazas modernas de ciberseguridad. NVISO es una firma de servicios profesionales independiente que se enfoca exclusivamente en la información y la

seguridad cibernética.

Tener una buena postura de seguridad es, por supuesto, muy importante, pero para mantenerla, necesita un buen sistema de gestión de

seguridad de la información, ¡centrándose en los riesgos, la mejora continua y los aspectos de los procesos! Esa es la responsabilidad de nuestro

Gerente de Seguridad, quien administra nuestro programa de seguridad de la A a la Z siguiendo el estándar ISO27001. HMS cuenta con la

certificación ISO27001 para las actividades de diseño, desarrollo, implementación, soporte y alojamiento de Talk2M desde septiembre de 2017.

En 2020, el alcance de la certificación ISO 27001 se amplió para incluir el diseño, desarrollo y soporte de los dispositivos Ewon.

www.ewon.biz
13
Disponibilidad de servidores Talk2M

Después de los aspectos de seguridad, la segunda prioridad más alta de la arquitectura Talk2M es proporcionar la mejor solución comercial posible.

continuidad de sus servicios de conectividad web. Dos tipos de servicio2se proponen a los clientes:

• La oferta Talk2M Pro, con un acuerdo de nivel de servicio (SLA) "Premium" pagadero, o

• La oferta Talk2M Free+, prevista para servicios de conexión gratuitos.

Aquí está la lista del nivel de continuidad del negocio para cada uno de los servicios de TalKM2 que brindamos:

Disponibilidad total del servicio Total no programado máx. Tiempo de inactividad del servicio en
Nombre del Servicio
por año por región Tiempo de inactividad por año en horas horas
Acceso remoto 99,6 % 35 4
Portal M2Web 99,6 % 35 4
API de M2Web 99,6 % 35 4
API de DMWeb 99,5 % 44 4

Tabla 2: SLA por servicio

Para brindar estos dos niveles de servicio, la arquitectura de Talk2M se ve reforzada por varias secciones y objetivos de control como:

1. SLA de proveedores de hosting: Ewon tiene contratos con varios proveedores. Sin embargo, dependiendo de los servicios de

TalK2M provistos, Ewon puede tratar con diferentes proveedores.

un. Los servicios "Premium" de Tak2M Pro están alojados a través de nuestro socio Rackspace, que puede proporcionarnos una

99.99% 24/7/365 Acceso a Internet garantizado y SLA de tiempo máximo de falla del servidor de 1 hora.

B. Para los servicios gratuitos de Talk2M, contamos con varios socios de alojamiento que proponen una disponibilidad comercial del 99 % o más

del SLA, con un tiempo de interrupción potencial más largo.

2. Monitoreo del sistema: monitoreamos los indicadores clave de rendimiento de todos los servidores. Todos los datos adquiridos se muestran en un panel de control y

también se registran en un servidor de alarmas que enviará mensajes de notificación por correo electrónico y SMS a nuestro personal de servicio las 24 horas del

día, los 7 días de la semana, los 365 días del año.

3. Implementación del servidor: con tres proveedores diferentes, y en caso de fallas importantes en el servidor, podemos implementar

rápidamente conexiones VPN de un VS a otro VS en caso de problemas.

4. Servicios de monitoreo continuo: los Servicios TalK2M son monitoreados por ingenieros en servicio de acuerdo con un

calendario programado.

2No dude en leer nuestros "Términos de uso" para obtener más detalles sobre el SLA:https://www.ewon.biz/terms-of-use/talk2m---terms-of-use

www.ewon.biz
14
Servidores Talk2M distribuidos globalmente

Otro beneficio es la distribución de nuestros sitios de hospedaje. Para reducir la latencia entre los paquetes IP, hemos distribuido

nuestros sitios en diferentes regiones del mundo, como Europa, EE. UU., India, Japón, China, Brasil, Sudáfrica, Australia y nos

expandiremos gradualmente a otras regiones.

Esto es requerido por algunos protocolos de PLC industriales que fueron diseñados con paquetes TCP/IP de tamaño pequeño. En el

caso de conexiones de Internet lentas y largas distancias de Internet entre el usuario y su máquina, estos protocolos son mucho más

sensibles a la ocurrencia de tiempos de espera.

Por lo tanto, podemos mover en cualquier momento la conectividad VPN de un dispositivo Ewon en el VS geográficamente más cercano. El

dispositivo Ewon se volverá a conectar automáticamente a su nuevo VS inmediatamente.

Advertencia: el nombre del servidor Talk2M debe abrirse explícitamente en el proxy/FW del usuario final:

Siempre abra *.talk2m.com. No se pueden usar nombres de host o direcciones IP individuales, ya que esos escenarios de conmutación por

error no serían compatibles.

Para más detalles, aquí está el enlace para la documentación "Direcciones y puertos utilizados por Talk2M":

https://hmsnetworks.blob.core.windows.net/www/docs/librariesprovider10/downloads-monitored/manuals/knowledge-base/

kb-0209-00-en-adresses-and-ports-used-by-talk2m. pdf?sfvrsn=c86d7cd7_31

Para permitir una conexión rápida entre los distintos servidores, todos los servidores VS están conectados al AS a través de túneles VPN IPSec.

M2Web, nuestro portal web

para Monitoreo Remoto y visualización de KPIs

En lugar de usar eCatcher, los usuarios también pueden conectarse a través de nuestro portal M2Web usando un navegador simple. Esto

permite a los usuarios conectarse al servidor de Talk2M mediante conexiones HTTPS, sin necesidad de instalar una aplicación o software

específico. Con este servicio, cualquier persona puede conectarse a una máquina con su navegador web como cliente a través del portal.

https://m2web.talk2m.com. En el portal M2Web, el tráfico HTTPS se redirige a la máquina adecuada a través de la VPN de su máquina,

para finalmente llegar al dispositivo Ewon.

Debido a que los dispositivos Ewon han sido diseñados para conectarse de forma remota a PLC y dispositivos de automatización, M2Web propone

conectarse a dispositivos HMI (interfaz hombre-máquina) dentro de las máquinas, como paneles, PC o cualquier dispositivo que admita la página

del servidor HTML5.0.

M2Web también contiene un protocolo VNC (Computación de red virtual) y convertidores RDP (Protocolo de escritorio remoto) a HTML5.0.

El protocolo VNC se usa ampliamente en paneles de automatización y RDP se proporciona dentro de las plataformas del sistema

operativo Microsoft Windows.

www.ewon.biz
15
La conexión a una máquina desde un navegador en HTTPS se realiza en 3 pasos (ver imagen 7):

1. En el primer paso, el usuario activa un hipervínculo que apunta a una página del proxy web que contiene el nombre de la cuenta y un

nombre de dispositivo Ewon que pertenece a esta cuenta. Una vez que se activa la página, el Web Proxy responde con una ventana de

autenticación.

2. Después de autenticarse, el AS señala al proxy web qué servidor VS utiliza el túnel VPN de la máquina.

3. Todas las solicitudes HTTP iniciadas en el navegador web del cliente y que pasan por el proxy web se redireccionan a través del

túnel de la VPN de la máquina y finalmente llegan al dispositivo Ewon o a cualquier dispositivo ubicado en el lado de la LAN y

que admita HTML5.0, VNC o protocolos RDP. Esto es posible dentro del dispositivo Ewon al habilitar una función de reenvío de

puertos (llamada 'Proxy').

Imagen 7: Cadena completa de una conexión M2Web

Servidores adicionales: retransmisión SMTP, puerta de enlace SMS

TalK2M también puede ofrecer otros servicios además del acceso remoto. También se proporcionan a nuestros clientes retransmisiones SMTP y

servidores de puerta de enlace SMS. Ambos se utilizan para ampliar el mecanismo de notificación proporcionado dentro del sistema de alarma

disponible en un dispositivo Ewon. Todos los datos recopilados en un PLC o dispositivo industrial conectado al dispositivo Ewon se pueden usar

para activar mensajes de alarma reenviados dentro del túnel VPN. A la salida del túnel VPN, se pueden retransmitir en Internet como un correo

electrónico o un SMS.

www.ewon.biz
dieciséis