Wiesemann & Theis GmbH

Tecnología de redes, sensores e interfaces para la industria, la oficina y la informática

Conocimientos previos:

Reglas cortafuegos importantes

para configurar Microwall de W&T


Estas reglas de cortafuegos estándar le ayudan a poner en práctica aplicaciones Microwall típicas.

Para simplificar partimos de la siguiente configuración.

El segmento de red aislado tiene signada la dirección de red 10.10.20.0/24 y la red envolvente la dirección 10.10.10.0/24.

En las reglas siguientes el dispositivo en la isla tiene siempre la dirección de IP 10.10.20.20 y el dispositivo en la red envolvente la dirección de IP 10.10.10.10.


[+][-] Acceso a archivos desde un ordenador aislado a un servidor de archivos (TCP/IP)

Autorizar acceso TCP/IP a archivos Windows
El acceso a los archivos se realiza a través del protocolo SMB. Para ello el host aislado tiene que establecer una conexión TCP con el puerto 445 del servidor de archivos. Esta regla es suficiente si se realiza el acceso directamente a través de la dirección de IP del servidor de archivos.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: any
Dirección TCP hacia la derecha IP 10.10.10.10
Puerto: 445


[+][-] Acceso a archivos desde un ordenador aislado a un servidor de archivos (NetBIOS)

Si también otros ordenadores más antiguos -p. ej. con Windows XP- deben poder acceder a la red de Windows, además del puerto TCP 445, es necesario autorizar también el protocolo de transporte NetBIOS de sesión en el puerto 139/TCP.

¡Tenga en cuenta, por favor, que las versiones antiguas de los sistemas operativos no son seguras!

Regla 1: autorizar el servicio NetBIOS de sesión
Permitir el transporte de datos a través del servicio de sesión orientado a la conexión.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: any
Dirección TCP hacia la derecha IP 10.10.10.10
Puerto: 139
Regla 2: autorizar acceso a archivos
Establecer conexión TCP con el puerto 445 del servidor de archivos.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: any
Dirección TCP hacia la derecha IP 10.10.10.10
Puerto: 445


[+][-] Permitir resolución de nombre por DNS

Resolver nombres de ordenadores por DNS
A través del Domain Name System (DNS) se obtiene la dirección IP de un ordenador que reaccionará al nombre del ordenador. Se trata aquí de un breve intercambio de datos vía UDP.
Red isla UDP Red envolvente
IP: 10.10.20.20
Permitir dirección inversa: sí
Dirección UDP hacia la derecha IP 10.10.10.10
Puerto: 53


[+][-] Obtener la hora actual a través de la red (NTP)

Actualización de la hora con (S)NTP vía UDP
Los servidores de hora suministran la hora actual a través de los protocolos Simple Network Time Protocol (SNTP) o Net Time Protocol (NTP).
Red isla UDP Red envolvente
IP: 10.10.20.20
Permitir dirección inversa: sí
Dirección UDP hacia la derecha IP 10.10.10.10
Puerto: 123


[+][-] Acceso a un entorno web en una red isla

Permitir HTTP sin codificar
Normalmente para acceder a sitios web sin codificar es necesario abrir el puerto TCP 80.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: 80
Dirección TCP hacia la izquierda IP 10.10.10.10
Puerto: any
(Alternativa): permitir HTTPS codificados
Normalmente para acceder a sitios web sin codificar es necesario abrir el puerto TCP 443.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: 443
Dirección TCP hacia la izquierda IP 10.10.10.10
Puerto: any


[+][-] Envío de correos electrónicos desde la red isla

En las reglas siguientes se parte de que se conocen las direcciones IP de los servidores de correo electrónico.

Enviar correos electrónicos vía SMTP (con o sin StartTLS)
Envío de correos electrónicos sin codificar y protegidos por StartTLS vía SMTP.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: any
Dirección TCP hacia la derecha IP 10.10.10.10
Puerto: 587
(Alternativa): enviar correos electrónicos vía SMTPS
Envío de correos electrónicos codificados vía SMTPS.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: any
Dirección TCP hacia la derecha IP 10.10.10.10
Puerto: 465


[+][-] Acceder a correos electrónicos desde la isla vía IMAP

Acceso a cuentas de correo electrónico vía IMAP (con o sin StartTLS)
Acceder a cuentas de correo electrónico desde la isla - sin codificar o protegidos por StartTLS.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: any
Dirección TCP hacia la derecha IP 10.10.10.10
Puerto: 142
(Alternativa): acceso correos electrónicos vía IMAPs (con o sin StartTLS)
Acceso a cuentas de correo electrónico, protegidas por TLS, desde la isla.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: any
Dirección TCP hacia la derecha IP 10.10.10.10
Puerto: 992


[+][-] Envío de una trap SNMP desde la isla

Trap SNMP sin codificar desde la isla
Red isla UDP Red envolvente
IP: 10.10.20.20
Permitir dirección inversa: no
Dirección TCP hacia la derecha IP 10.10.10.10
Puerto: 162


[+][-] Polling SNMP desde el exterior

Permitir polling SNMP sin codificar por un gestor desde el exterior de la isla
El gestor de SNMP puede acceder a la isla para consultar allí valores mediante el procedimiento polling.
Red isla UDP Red envolvente
IP: 10.10.20.20
Permitir dirección inversa: sí
SNMP: sí
Dirección UDP hacia la izquierda IP 10.10.10.10
Puerto: 161


[+][-] Acceder a un dispositivo aislado vía Secure Shell

Conexión SSH en la isla
Una sesión codificada para el terminal permite controlar un ordenador de la isla.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: 22
Dirección TCP hacia la izquierda IP 10.10.10.10
Puerto: any


[+][-] Comunicación IdC vía intermediario MQTT

Conexión MQTT en la isla
MQTT es un protocolo estándar para el Internet de las Cosas. Vía intermediario MQTT se puede intercambiar mensajes también entre islas.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: any
Dirección TCP hacia la derecha IP 10.10.10.10
Puerto: 1883


[+][-] Consultar base de datos MySQL en la isla

Establecer conexión con el servidor de la base de datos en la isla
Si es necesario consultar un servidor de base de datos en la isla, hay que autorizar el puerto TCP 3306.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: 3306
Dirección TCP hacia la izquierda IP 10.10.10.10
Puerto: any


[+][-] Permitir el modo Box-2-Box de W&T (Web-IO Digital 4.0)

Conexión con el esclavo Box-2-Box en la isla
Para establecer una conexión Box-2-Box con un dispositivo aislado tiene que utilizar uno de los dos puertos para esclavos Box-2-Box.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: 49157, 49158
Dirección TCP hacia la izquierda IP 10.10.10.10
Puerto: any


[+][-] Permitir acceso a OPC de WuT (Web-IO Digital 4.0)

Permitir acceso al servidor OPC de W&T
Para registrar dispositivos aislados en el servidor OPC de W&T tiene que autorizar el puerto TCP 49159.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: 49159
Dirección TCP hacia la izquierda IP 10.10.10.10
Puerto: any


[+][-] Permitir protocolo para ASCII de W&T (Web-IO Digital 4.0)

Permitir acceso a través del protocolo para ASCII de W&T
Mediante el intercambio de sencillas cadenas de comandos se puede, por ejemplo, leer entradas y contadores de Web-IO o definir salidas.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: 42280
Dirección TCP hacia la izquierda IP 10.10.10.10
Puerto: any


[+][-] Permitir protocolo binario de W&T

Permitir acceso al servidor binario en el segmento aislado
El modo binario de W&T permite conexiones TCP múltiples entre los dispositivos.
Red isla TCP Red envolvente
IP: 10.10.20.20
Puerto: 49153 - 49156
Dirección TCP hacia la izquierda IP 10.10.10.10
Puerto: any


Nuestros técnicos están a su disposición en el teléfono +49 202/2680-110 (lu-vi de 8-17 horas)

^