Tras la instalación de una máquina en las instalaciones del usuario final, el fabricante de la máquina o distribuidor debe brindar una garantía durante un período determinado. En el pasado, un ingeniero de servicio o soporte habría viajado al sitio remoto para resolver cualquier problema del equipo durante el período de garantía, incluso si la ubicación del usuario final se encontraba a miles de kilómetros de distancia en un país diferente.

Probablemente, muchos ingenieros informáticos que gestionan las redes en los sitios de los usuarios finales, solo tienen experiencia en el suministro de acceso remoto con el uso de métodos VPN “tradicionales”. Con estos métodos, el departamento informático necesita, para cada proveedor de la máquina, configurar y mantener un túnel VPN entrante dedicado a través de su cortafuegos corporativo. Entonces, una vez que ha pasado el firewall y con acceso remoto a la red del cliente, el ingeniero del proveedor de la máquina puede llegar a los dispositivos de control de la máquina.

De este modo, resulta claro que existen problemas inherentes asociados con estos túneles VPN “tradicionales”:

• En primer lugar, los dispositivos de control de la máquina (PLCs programables, HMIs táctiles y otros dispositivos industriales) deben estar conectados a la red del usuario final. Esto implicará que el fabricante de la máquina configure durante la fase de instalación un rango de IPs compatibles. Por lo tanto, cada máquina tendrá que ser modificada para adaptarse a cada instalación.

• En segundo lugar, para cada PC o portátil que se va a utilizar en el acceso remoto, el departamento de TI debe proporcionar al fabricante de la máquina una copia de su software VPN preferido y ayudar a configurarlo. Obviamente, estos PCs pueden no cumplir las estrictas normas de seguridad que se aplicarían a los PCs “nativos” del cliente final.

• En tercer lugar, debido a que el departamento de TI está permitiendo que un usuario “externo” pueda acceder a su red de producción, debe tomar precauciones adicionales de protección integral en la red contra posibles acciones de este usuario, sobre el que tiene poca influencia. Esto puede ir desde la limitación de acceso de direcciones IP, a protocolos anti-intrusión, de análisis de la información enviada y antivirus.

Tomando en cuenta todo estos problemas, muchos departamentos de TI, comprensiblemente, consideran que los beneficios operativos de proporcionar acceso remoto a los fabricantes de maquinaria se ven gravemente descompensados por los potenciales riesgos de seguridad a los que exponen su red.

Sin embargo, existen modernas soluciones de acceso remoto “en la nube”, en las que las acciones anteriores no son necesarias, ya que trabajan de una manera fundamentalmente diferente a los túneles VPN “tradicionales”. Por ejemplo, existen routers industriales que ofrecen funcionalidades VPN con servicio de acceso remoto “Cloud”. Al usar un router industrial VPN, se puede aislar efectivamente la red de la máquina de aquella de la fábrica, y proporcionar conectividad segura entre ambas redes. Por lo tanto, los dispositivos de la máquina no están conectados directamente a la red corporativa y, por lo tanto, pueden ser configurados con direcciones IP que convengan al proveedor de la máquina. De hecho, cada máquina producida por el fabricante podría ser idéntica a otra, lo que reduce la complejidad, así como los costos asociados con el diseño, la construcción y la instalación.

El siguiente reto es asegurar la red corporativa de las posibles acciones de los usuarios remotos. El escenario ideal es que el ingeniero del fabricante de la máquina solo pueda llegar a los dispositivos específicos de los que son responsables y no sea capaz de acceder a ningún otro equipo de la red. Entonces, las soluciones de acceso remoto “en la nube” pueden iniciar un túnel VPN saliente, seguro y punto a punto. Este túnel autentificado y encriptado con HTTPS viaja a través de la red corporativa, pasa a través del firewall con sentido de salida y, una vez en Internet, se dirige a la red de servidores de la solución Cloud.

A continuación, el ingeniero del fabricante de la máquina también realiza una conexión VPN segura a la misma cuenta en la nube, donde el router está conectado. De esta manera, solo puede llegar al router y a los dispositivos ubicados detrás, que es lo que conforma la red de la máquina. En ningún momento, puede interactuar con ningún otro dispositivo de la red corporativa.

Dado que cada túnel VPN se inicia desde el interior de la red corporativa hacia las soluciones de acceso remoto “en la nube”, la única configuración requerida en la instalación del cliente es la capacidad de hacer una conexión saliente a Internet a través del firewall.

En consecuencia, el departamento informático no necesita proporcionar servicios VPN de entrada al usuario externo, lo que produce importantes ventajas de seguridad: no existen puertos de entrada expuestos a Internet en el firewall; no se requieren direcciones IP estáticas, y el proveedor de la máquina no tiene acceso a toda la red corporativa.

La conexión VPN saliente utilizada por algunos routers industriales es mediante HTTPS por el puerto 443, el cual ya está abierto en la gran mayoría de los servidores de seguridad. Las conexiones de salida se pueden realizar sobre cualquier tipo de soporte que pueda transportar tráfico IP, es decir, Ethernet cableado, WiFi, 3G o incluso por satélite.

Al igual que con cualquier sistema de acceso remoto, las empresas usuarias finales estarán preocupadas de que un fabricante pueda interactuar con las máquinas que han suministrado, pero que al fin y al cabo operan dentro de la fábrica.

Por lo tanto, con el fin de garantizar la seguridad y el control adicional, el túnel VPN generado se puede activar y desactivar a través de la entrada digital (24 VDC) del router industrial, que a su vez puede ser conectado a un interruptor de llave o una salida del PLC programable. Esto significa que el fabricante de la máquina solo tendrá acceso a la máquina cuando el usuario final decida permitirle el acceso.

La mayoría de los lectores estarán familiarizados con la autenticación de sesión, incluso si no son conscientes del término, ya que este es ampliamente utilizado por los principales sitios web seguros, como los sistemas de banca online.

Típicamente, tales sistemas envían en el momento de la conexión un código único a través de mensaje SMS al teléfono móvil del usuario. El objetivo es demostrar que la persona que se conecta es un usuario válido y auténtico, en lugar de un intruso que utilizando los datos de usuario y contraseña robados, trata de obtener acceso.

Estos sistemas de seguridad se denominan sistemas de “doble factor de autenticación”, ya que se basan en más de una medida de seguridad para garantizar un acceso seguro. El uso de un sistema de este tipo “doble factor de autenticación” debe ser una parte intrínseca de cualquier solución de acceso remoto utilizado por una máquina/fabricante, ya que ayuda a añadir un segundo nivel de seguridad con el fin de superar la falta de seguridad de la contraseña o de malas intenciones.