Redes de máquinas con WALL IE por Helmholz

El avance de las redes Ethernet, o más concretamente el cambio de PROFIBUS a PROFINET, por supuesto, no se detiene en MS Ultraschall Technologie GmbH, como el Sr. Maucher del departamento de diseño eléctrico explica: “En los últimos años, cada vez un número mayor de clientes nos han llamado para integrar sus máquinas o sus redes de máquinas en una red de alto nivel de la producción.”

 

Enfoque en la seguridad cibernética

Con el fin de proteger las redes de sistemas de control y automatización sobre ataques externos, la red de la máquina debe ser integrada de forma segura en la red superior de producción o ser separada de ella.

Hasta hace algunos años, la realización de una interfaz de este tipo sólo era posible con soluciones complejas de firewall. Sin embargo, estos son por naturaleza sobredimensionados para este tipo de uso especial, implicando un alto coste y un complicado manejo.

En el proceso, las redes o direcciones IP detrás de WALL IE permanecen ocultos y no son visibles des del exterior. Si la red de la empresa se ve amenazada por un virus o malware debido a un ciberataque o una negligencia de un empelado, la red de automatización conectada detrás de WALL IE no se ve afectada y sigue siendo segura.

El filtro de paquetes regula la transferencia de datos

El requisito previo para realizar esto posible es con una funcionalidad de filtro de paquetes: con el filtro de paquetes, la seguridad se incrementa en la medida en que sólo la comunicación deseada se lleva a cabo. La difusión Broadcast u otros protocolos y puertos de transferencia de datos incensarios son bloqueados. Como consecuencia, optimiza el acceso entre la red de la fábrica y la red de la máquina. La dirección IPV4, el protocolo (TCP/UDP), los puertos, y la dirección MAC son actualmente disponible como criterios de filtro en las capas 3 y 4.

Como otra característica especial, el WALL IE puede ser utilizado como funcionamiento NAT y Bridge. En el modo de operación Bridge, WALL IE actúa como capa 2 de un Switch. A diferencia de los switches normales, en este modo de funcionamiento también es posible el filtrado de paquetes. Esto significa que para este propósito la restricción del acceso a áreas individuales de la red se puede lograr sin tener que utilizar diferentes redes.

.NAT básica (también conocida como “NAT 1: 1” o “NAT estática”) es la traducción de direcciones IP individuales y de rangos completos de direcciones.

 

.En el modo operativo de Bridge, WALL IE se comporta como un switch con filtro de paquetes entre la celda de automatización y la red de producción.

 

WALL IE como ayudante al alto rendimiento

Los componentes de Ethernet robustos y sencillos permiten la fácil integración de la máquina en el nivel más alto de producción. En términos concretos, protege las redes regulando con precisión qué los participantes pueden comunicar e intercambiar datos entre cada dispositivo.

A través de la configuración individual de la interfaz web, WALL IE se adapta a los requisitos de la red de máquina existente. Por lo tanto, la restricción de los derechos de acceso a las personas autorizadas es la base de la protección de la red de automatización.

WALL IE soporta la comunicación Industrial Ethernet con una transmisión de hasta 100Mbps. La base del software es basada en Linux y fue completamente desarrollado por Helmholz. El hardware es industrialmente compatible, robusto, y adecuado para la instalación en carril DIN. La configuración del WALL IE se lleva a cabo de forma rápida y fácil a través de la aplicación WEB. Los desarrolladores de Helmholz hacen una guía de usuario bien estructurada basándose en sus muchos años de experiencia desde el TB20 ToolBox. El acceso Online está estrictamente sujeto a una contraseña de protección y se ejecuta a través de una conexión HTTPS.

 

Modo funcionamiento NAT

Cuando se utiliza Network Address Tanslation (NAT), WALL IE ofrece la posibilidad de dejar la IP de la máquina con su valor por defecto, permitiendo la comunicación con la red de la máquina con las propias direcciones IP de la red de producción.

En el modo de funcionamiento NAT, WALL IE reenvía los datos entre diferentes redes IPv4(Capa 3) y usa filtros de paquetes para limitar el acceso a la red de automatización detrás de él. En el proceso, es soportada la traducción de direcciones por medio de NETWORK Addres Translation (NAT). Las colisiones que podrían ser causadas por la ambigüedad de direcciones generales son evitadas. Los routers estáticos son usados para la comunicación con otras celdas de automatización. Por este propósito, el router responsable de las redes y direcciones (“Next HOP”) deben ser solamente configuradas.

WALL IE soporta dos funcionalidades NAT en el modo de operación del router: Basic NAT y NAPT. Basic NAT (también conocido como “1:1 NAT! O “Static NAT”) es la traducción de direcciones IP individuales y de rangos de direcciones completas. La traducción tiene lugar exclusivamente en el nivel IP, lo que significa que todos los puertos pueden ser direccionados sin ser explícitamente reenviados.  EN el caso de la NNAPT (Network Addres and Port Transaltion, también conocido como “1:1 NAT” o “Enmascaramiento”) por otro lado, no solo las direcciones IP, sino que también los números de puerto son reescritos. Las direcciones de remitente de los paquetes de la célula de automatización se sustituyen por esta dirección.

El protocolo DCHP (Dynamic Host Configuration Protocol) permite una asignación automática de direcciones y nombres DNS por servidor DCHP en el cliente LAN y DHCO en el lado WAN. Además, las reglas específicas para cada puerto individual no son requeridas, porque el rango de puertos es agrupado en modo comodines.

 

SANT- Integración Simple

Con la función “SANT (Source NAT)”, el WALL IE transparentemente envía el tráfico de datos entrante del lado WAN a la red LAN. En el proceso, todos los paquetes de datos salientes se proporcionan con la dirección IP del remitente de WALL IE. Los parámetros definidos de todos los participantes de LAN permanecen por lo tanto sin cambios como resultado y la entrada de una “Gateway” ya no es necesaria. Todas las especificaciones de WALL IE puedes ser definidas y confirmadas por el usuario de forma específica. Helmholz también ofrece a sus clientes el valor añadido a través de la individualización como un servicio. La configuración de fábrica del firmware está preparado para usarse, y ser conectado únicamente a la red.

 

Experiencias positivas para la práctica

MS Ultraschall Technologie GmbH ya ofrece la mitad de las máquinas especiales con WALL IE como un estándar, o con un promedio de uno por semana. La decisión de WALL IE desde Helmholz hace que a lo largo del tiempo haya dado frutos, según el Sr. Maucher: “Realmente es un gran producto,” resume los diseñadores eléctricos “y esto no es sólo por el hardware fiable y el menú sencillo propuesto.” Él también está convencido por la filosofía detrás de él: “en vez del puerto, que colocamos detrás de Wall, el cliente o usuario sólo ve una única dirección IP – y esto hace que sea muy fácil para él!”