Schneider Electric EcoStruxure Panel Server Guía del usuario

Marca: Schneider Electric

Modelo: EcoStruxure Panel Server

Tipo: Guía del usuario

Schneider Electric EcoStruxure Panel Server es un producto que ofrece acceso remoto seguro a paneles eléctricos a través de una aplicación móvil o un navegador web, lo que permite a los usuarios monitorear y controlar sus equipos eléctricos desde cualquier lugar. Con Panel Server, los usuarios pueden acceder a datos en tiempo real, recibir alertas y notificaciones, y realizar ajustes en la configuración de sus paneles eléctricos de forma segura y eficiente.

EcoStruxure Panel Server

Guía de ciberseguridad

Pasarela Modbus y concentrador inalámbrico, registrador de datos y servidor de energía

EcoStruxure ofrece una arquitectura y plataforma compatibles con el IoT.

DOCA0211ES-07

02/2023

www.se.com

Información legal

La marca Schneider Electric y cualquier otra marca comercial de Schneider Electric

SE y sus filiales mencionadas en esta guía son propiedad de Schneider Electric SE o

sus filiales. Todas las otras marcas pueden ser marcas comerciales de sus

respectivos propietarios. Esta guía y su contenido están protegidos por las leyes de

parte de este manual puede ser reproducida o transmitida de cualquier forma o por

cualquier medio (electrónico, mecánico, fotocopia, grabación u otro), para ningún

propósito, sin el permiso previo por escrito de Schneider Electric.

Schneider Electric no concede ningún derecho o licencia para el uso comercial de la

guía o su contenido, excepto por una licencia no exclusiva y personal para

consultarla "tal cual".

La instalación, utilización, mantenimiento y reparación de los productos y equipos de

Schneider Electric la debe realizar solo personal cualificado.

Debido a la evolución de las normativas, especificaciones y diseños con el tiempo, la

información contenida en esta guía puede estar sujeta a cambios sin previo aviso.

En la medida permitida por la ley aplicable, Schneider Electric y sus filiales no

asumen ninguna responsabilidad u obligación por cualquier error u omisión en el

contenido informativo de este material o por las consecuencias derivadas o

resultantes del uso de la información contenida en el presente documento.

Como parte de un grupo de empresas responsables e inclusivas, estamos

actualizando nuestras comunicaciones que contienen terminología no inclusiva. Sin

embargo, hasta que completemos este proceso, es posible que nuestro contenido

todavía contenga términos estandarizados del sector que pueden ser considerados

inapropiados para nuestros clientes.

EcoStruxure Panel Server

Tabla de contenido

Información de seguridad ..........................................................................5

Acerca de este libro....................................................................................7

Introducción a la ciberseguridad...............................................................8

Características del dispositivo ..................................................................9

Funciones del dispositivo.........................................................................11

Seguridad de red.......................................................................................13

Seguridad de la aplicación en la nube...................................................15

Seguridad física del dispositivo ..............................................................16

Recomendaciones de seguridad para el mantenimiento ...................17

Cybersecurity Support Portal de Schneider Electric ...........................19

Glosario ......................................................................................................21

DOCA0211ES-07 3

Información de seguridad EcoStruxure Panel Server

Información de seguridad

Información importante

Lea atentamente estas instrucciones y observe el equipo para familiarizarse con

el dispositivo antes de instalarlo, utilizarlo, revisarlo o realizar su mantenimiento.

Los mensajes especiales que se ofrecen a continuación pueden aparecer a lo

largo de la documentación o en el equipo para advertir de peligros potenciales, o

para ofrecer información que aclara o simplifica los distintos procedimientos.

Tenga en cuenta

La instalación, manejo, puesta en servicio y mantenimiento de equipos eléctricos

deberán ser realizados sólo por personal cualificado. Schneider Electric no se

hace responsable de ninguna de las consecuencias del uso de este material.

Una persona cualificada es aquella que cuenta con capacidad y conocimientos

relativos a la construcción, el funcionamiento y la instalación de equipos

eléctricos, y que ha sido formada en materia de seguridad para reconocer y evitar

los riesgos que conllevan tales equipos.

La inclusión de este icono en una etiqueta “Peligro” o “Advertencia” indica que existe

un riesgo de descarga eléctrica, que puede provocar lesiones si no se siguen las

instrucciones.

Éste es el icono de alerta de seguridad. Se utiliza para advertir de posibles riesgos

de lesiones. Observe todos los mensajes que siguen a este icono para evitar

posibles lesiones o incluso la muerte.

PELIGRO indica una situación de peligro que, si no se evita, provocará lesiones graves o

incluso la muerte.

PELIGRO

ADVERTENCIA indica una situación de peligro que, si no se evita, podría provocar lesiones

graves o incluso la muerte.

ADVERTENCIA

ATENCIÓN indica una situación peligrosa que, si no se evita, podría provocar lesiones leves

o moderadas.

ATENCIÓN

AVISO indica una situación potencialmente peligrosa que, si no se evita, puede provocar

daños en el equipo.

AVISO

DOCA0211ES-07 5

EcoStruxure Panel Server Aviso de seguridad informática

Aviso de seguridad informática

ADVERTENCIA

RIESGO POTENCIAL PARA LA DISPONIBILIDAD, LA INTEGRIDAD Y LA

CONFIDENCIALIDAD DEL SISTEMA

• Desactive los puertos o servicios no utilizados para reducir al mínimo las

vías de acceso de atacantes dañinos.

• Ponga los dispositivos en red tras varias capas de ciberdefensas (como

cortafuegos, segmentación de red y protección y detección de intrusiones

en red).

• Siga las prácticas recomendadas de ciberseguridad (por ejemplo, privilegio

mínimo, separación de tareas) para evitar exposiciones no autorizadas,

pérdidas, modificaciones de datos y registros, o interrupciones de los

servicios.

Si no se siguen estas instrucciones, pueden producirse lesiones graves,

muerte o daños en el equipo.

6 DOCA0211ES-07

Acerca de este libro EcoStruxure Panel Server

Acerca de este libro

Objeto

Esta guía proporciona información sobre aspectos de ciberseguridad en

EcoStruxure™Panel Server a fin de ayudar a los diseñadores y operadores de

sistemas a promover un entorno de funcionamiento seguro para el producto.

En esta guía, no se abarca el tema general de cómo proteger su red de

tecnología operativa o su red Ethernet empresarial. Para ver una introducción

general a las amenazas de ciberseguridad y cómo afrontarlas, consulte How Can

I Reduce Vulnerability to Cyber Attacks?.

NOTA: En esta guía, el término seguridad se utiliza para hacer referencia a

la ciberseguridad.

Campo de aplicación

La información de esta guía es pertinente para EcoStruxure Panel Server.

Convención

En adelante, el EcoStruxure Panel Server se denominará Panel Server.

Información en línea

La información incluida en esta guía está sujeta a actualizaciones en cualquier

momento. Schneider Electric recomienda encarecidamente tener la versión más

reciente y actualizada que está disponible en www.se.com/ww/en/download.

Las características técnicas de los dispositivos que se describen en este

documento también se encuentran online. Para acceder a la información online,

vaya a la página de inicio de Schneider Electric en www.se.com.

Documentos relacionados

Título de la documentación Número de referencia

EcoStruxure Panel Server - Guía del usuario DOCA0172ES

How Can I Reduce Vulnerability to Cyber Attacks? Cybersecurity System Technical

Note

EcoStruxure Power - Guide for Designing and

Implementing a Cyber Secure Digital Power System -

Technical Guide

ESXP2TG003EN

Puede descargar estas publicaciones técnicas e información técnica adicional de

nuestro sitio web www.se.com/ww/en/download.

DOCA0211ES-07 7

EcoStruxure Panel Server Introducción a la ciberseguridad

Introducción a la ciberseguridad

Área principal EcoStruxure

EcoStruxure es el sistema de plataforma y arquitectura compatible con el IoT, de

uso inmediato, abierto e interoperativo de Schneider Electric. Está disponible para

hogares, edificios, centros de datos, infraestructuras e industrias. Innovación a

todos los niveles, desde los productos conectados hasta el control perimetral, y

las aplicaciones, los análisis y los servicios.

Introducción

La ciberseguridad tiene como objetivo contribuir a proteger su red de

comunicaciones y todos los equipos conectados a ella frente a ataques que

puedan interrumpir las operaciones (disponibilidad), modificar la información

(integridad) o revelar información confidencial (confidencialidad). El objetivo de la

ciberseguridad es proporcionar mayores niveles de protección contra robo,

corrupción, mal uso o accidentes de la información y los activos físicos y, a la vez,

garantizar el acceso a los usuarios legítimos. Hay muchos aspectos que tener en

cuenta por lo que respecta a la ciberseguridad, incluido el diseño de sistemas

seguros, la restricción del acceso utilizando métodos físicos y digitales, la

identificación de los usuarios y la implementación de procedimientos de seguridad

y políticas de mejores prácticas.

Directrices de Schneider Electric

Además de las recomendaciones que se ofrecen en esta guía, que son

específicas de Panel Server, debe seguir el método de defensa exhaustivo de

Schneider Electric para la ciberseguridad.

Este método se describe en la nota técnica del sistema How Can I Reduce

Vulnerability to Cyber Attacks?.

Además, encontrará numerosos recursos útiles e información actualizada en el

Cybersecurity Support Portal del sitio web global de Schneider Electric, página

19.

Políticas y reglas de ciberseguridad de Schneider Electric

Schneider Electric usa un proceso Secure Development Lifecycle (SDL), un

marco clave de desarrollo de productos que contribuye a garantizar que los

productos sigan procesos de diseño seguros durante todas las etapas del ciclo de

vida. El proceso SDL de Schneider Electric cumple con IEC 62443-4.1.

El proceso SDL incluye lo siguiente:

• Prácticas SDL aplicadas a acciones de desarrollo internas, en toda la cadena

de suministro.

• Revisión de seguridad final requerida para publicar el proyecto.

• Formación en seguridad para el personal que participa en el desarrollo de

productos.

8 DOCA0211ES-07

Características del dispositivo EcoStruxure Panel Server

Características del dispositivo

Descripción general

EcoStruxure Panel Server está equipado con funciones de seguridad. Estas

funciones están en estado preseleccionado y pueden modificarse según las

necesidades de su instalación. El Panel Server solo debe configurarlo y

establecerlo personal cualificado, ya que deshabilitar o cambiar ajustes afecta a

la seguridad general de Panel Server y a la seguridad de su red.

Use esta guía junto con DOCA0172ES EcoStruxure Panel Server - Guía del

usuario para obtener información detallada sobre la configuración de las

funciones y los ajustes de Panel Server.

Interfaces EcoStruxure Panel Server

EcoStruxure Panel Server se comunica mediante los siguientes tipos de interfaz:

• Con cable:

◦Dos puertos Ethernet

◦Un puerto Modbus-SL

• Con radio:

◦IEEE 802.15.4 (no activo de forma predeterminada)

◦Infraestructura Wi-Fi

Protocolos compatibles

EcoStruxure Panel Server admite los siguientes protocolos:

• HTTPS (TLS v1.2) para configuración a través de herramientas de

configuración y páginas web integradas

• Cliente VPN para acceso remoto (abierto al Centro de Atención al Cliente de

Schneider Electric)

• Modbus TCP y Modbus-SL para comunicaciones con otros dispositivos de

tecnología operativa (OT)

• DHCP para el direccionamiento IP en la red

• DNS para la resolución de nombres de red

• NTP para la sincronización horaria

• DPWS para la detección de redes

• IEEE 802.15.4 para la comunicación inalámbrica con comunicación por

radiofrecuencia de banda ISM 2,4 GHz

• WPA2 y WPA para la comunicación Wi-Fi

• SFTP para la publicación de archivos CSV en un servidor SFTP

Funciones de seguridad

EcoStruxure Panel Server admite las siguientes funciones de seguridad:

• Solo el firmware firmado digitalmente por Schneider Electric puede instalarse

en Panel Server.

• En cada arranque, la firma digital del firmware se valida antes de la ejecución

para garantizar que no se ha manipulado.

• Las contraseñas de usuario se almacenan como contraseñas con sal y hash

(SHA256).

• Para borrar toda la información de Panel Server, use el botón Reiniciar.

DOCA0211ES-07 9

EcoStruxure Panel Server Características del dispositivo

• El dispositivo tiene un reloj interno y recuerda su fecha y hora durante unos

meses sin alimentación.

• La clave de autenticidad de Panel Server se almacena en un chip Common

Criteria CC EAL6+ muy seguro.

10 DOCA0211ES-07

Funciones del dispositivo EcoStruxure Panel Server

Funciones del dispositivo

Actualización de firmware

Actualice EcoStruxure Panel Server a la versión de firmware más reciente para

obtener las funciones más recientes y tener actualizados los parches de

seguridad. Todo el firmware diseñado para EcoStruxure Panel Server está

firmado con la infraestructura de clave pública (PKI) de Schneider Electric para

contribuir a garantizar la integridad y la autenticidad del firmware que se ejecuta

en EcoStruxure Panel Server. Para que la PKI funcione correctamente, mantenga

sincronizada la fecha del dispositivo (consulte Fecha y hora, página 11).

Si desea que recibir información sobre actualizaciones de seguridad, regístrese

en Security Notifications en Cybersecurity Support Portal de Schneider Electric.

Fecha y hora

En EcoStruxure Panel Server hay firmas digitales y certificados. Para evitar

errores, es importante mantener la fecha y la hora sincronizadas. Para obtener

más información sobre la fecha y la hora, consulte DOCA0172ES EcoStruxure

Panel Server - Guía del usuario.

Desactivar funciones no utilizadas

EcoStruxure Panel Server le permite desactivar los puertos y los servicios no

utilizados para contribuir a reducir al mínimo las vías de acceso de atacantes

dañinos.

Se recomienda desactivar:

• Wi-Fi (no activo de forma predeterminada). El Wi-Fi se puede desactivar de

forma permanente.

• IEEE 802.15.4 (no activo de forma predeterminada). El IEEE 802.15.4 se

puede desactivar de forma permanente.

• Pasarela Modbus (activa de forma predeterminada). Se puede desactivar en

cada interfaz (Ethernet 1, Ethernet 2 o Wi-Fi) de las páginas web de Panel

Server.

• DPWS (protocolo de detección sobre IP v4/6; activo de forma

predeterminada).

Para obtener más información sobre cómo deshabilitar las funciones sin utilizar

de EcoStruxure Panel Server, consulte DOCA0172ES EcoStruxure Panel

Server - Guía del usuario.

Puertos TCP

Los siguientes puertos TCP se utilizan en EcoStruxure Panel Server:

• Puerto 443: HTTPS

• Puerto 502: Modbus

• Puerto 5357: DPWS (puede cambiarse)

NOTA: El Panel Server no incorpora ningún tipo de servidor SSH.

DOCA0211ES-07 11

EcoStruxure Panel Server Funciones del dispositivo

Registros de auditoría

EcoStruxure Panel Server genera registros de auditoría que registran eventos

como actualizaciones de firmware e intentos de inicio de sesión no válidos.

Los registros no contienen información personal.

Para detectar comportamientos inesperados (por ejemplo, reinicios frecuentes,

actualizaciones incorrectas del firmware o intentos de inicio de sesión no válidos),

se recomienda supervisar periódicamente los registros de auditoría. Para obtener

más información sobre los registros de diagnóstico, consulte

DOCA0172ESEcoStruxure Panel Server - Guía del usuario.

Eliminación del dispositivo

EcoStruxure Panel Server contiene información confidencial configurada durante

la puesta en marcha, valores de datos recientes y registros. Por ejemplo, esta

información puede incluir la topología del dispositivo Modbus, las redes

inalámbricas, las contraseñas Wi-Fi o los consumos de energía medidos.

Es necesario realizar un restablecimiento de los ajustes predeterminados antes

de eliminar EcoStruxure Panel Server. Debe tener acceso físico para apagar y

encender EcoStruxure Panel Server durante la ejecución de este procedimiento.

Consulte cómo restablecer los ajustes de fábrica de EcoStruxure Panel Server en

DOCA0172ES EcoStruxure Panel Server - Guía del usuario.

12 DOCA0211ES-07

Seguridad de red EcoStruxure Panel Server

Seguridad de red

Introducción

EcoStruxure Panel Server no se ha diseñado para soportar la exposición directa a

la Internet pública. Debe instalarse como mínimo tras la traducción de direcciones

de red (NAT) o, preferiblemente, tras varios cortafuegos. Si desea más

información, consulte los siguientes sitios web:

•Servicios de consultoría de ciberseguridad de Schneider Electric

•Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST)

•Agencia de la Unión Europea para la Ciberseguridad (ENISA)

Segmentación de red

EcoStruxure Panel Server es una pasarela. Crea un puente entre redes distintas.

La segmentación de la red ayuda a garantizar la ciberdefensa. Para mejorar la

segmentación de red, Panel Server cuenta con dos puertos Ethernet. Se pueden

aprovechar de forma independiente para tener un puerto dedicado a las

tecnologías de la información (TI) y otro, a la tecnología operativa (OT). La

segmentación de la red le permite mantener segmentadas las redes OT e IT, ya

que los paquetes de red no se reenvían de un lado al otro.

Se recomienda configurar la red por separado (para obtener más información

acerca de los ajustes de red, consulte DOCA0172ES EcoStruxure Panel Server -

Guía del usuario).

Esto le permite conectar Panel Server a lo siguiente:

• Dispositivos OT aguas abajo a través de Modbus TCP en un puerto Ethernet.

• PC de TI aguas arriba con SCADA y puesta en marcha de aplicaciones de

software en el otro puerto Ethernet.

HTTPS y Modbus están disponibles en las interfaces Ethernet de Panel Server

(ETH1, ETH2) y Wi-Fi.

La siguiente tabla presenta la configuración predeterminada para cada interfaz:

Interfaz Modbus

Ethernet en topología conmutada Activada

Ethernet en topología independiente Puerto ETH1 Activada

Puerto ETH2 Desactivado

Wi-Fi. Desactivado

Se recomienda inhabilitar el servicio Modbus en las redes donde no se utiliza.

Para obtener más información acerca de la activación del servicio, consulte

DOCA0172ESEcoStruxure Panel Server - Guía del usuario.

Certificado de servidor web del producto

Para admitir comunicaciones HTTP seguras, EcoStruxure Panel Server tiene un

certificado X.509v3 de forma predeterminada. Este certificado contribuye a

garantizar la integridad y la confidencialidad a la hora de configurar la

comunicación HTTPS.

Los navegadores solo reconocen certificados para sitios web públicos. Como

Panel Server se instala en una red de área local (LAN), los navegadores no

pueden distinguir un Panel Server de otro. Por lo tanto, aparece un mensaje de

seguridad en el navegador al conectarse a Panel Server.

Una conexión con cable directa ayuda a proteger la vía de comunicación con

Panel Server. Para obtener más información sobre el primer acceso a las páginas

DOCA0211ES-07 13

EcoStruxure Panel Server Seguridad de red

web de EcoStruxure Panel Server desde el PC, consulte DOCA0172ES

EcoStruxure Panel Server - Guía del usuario.

Huella digital de la clave del servidor SFTP

Si publica sus datos en un servidor SFTP, asegúrese de que la huella digital de la

clave, que se muestra al configurar la dirección del servidor, coincida con la clave

SFTP del servidor.

Si renueva la clave SFTP en el servidor, el Panel Server no podrá enviar los

archivos, ya que la conexión no se autenticará. Debe volver a configurar la

publicación del Panel Server para grabar la nueva huella digital de la clave SFTP.

Red inalámbrica

Los protocolos de radio son vulnerables a las infracciones de la seguridad física.

Por ejemplo, un ataque por denegación de servicio puede interferir

intencionadamente con la señal de radio mediante un emisor de radio potente

situado cerca.

Por lo tanto, se recomienda adaptar la seguridad física a la importancia de la

información que depende de los protocolos de radio. Para ello, las redes

inalámbricas (Wi-Fi e IEEE 802.15.4) se pueden desactivar de forma permanente

en el Panel Server. Si cree que nunca necesitará redes inalámbricas (Wi-Fi e

IEEE 802.15.4), únicamente en este caso podrá desactivarlas de forma

permanente. Para obtener más información sobre la desactivación permanente y

concurrente de las redes inalámbricas, consulte DOCA0172ES EcoStruxure

Panel Server - Guía del usuario.

Se recomienda realizar la puesta en marcha de los dispositivos inalámbricos

IEEE 802.15.4 en un lugar protegido de los transmisores de radio no autorizados,

como una sala de administración.

Para la red Wi-Fi, se recomienda utilizar el protocolo WPA2 (Wi-Fi Protected

Access versión 2).

NOTA: El Protocolo de integridad de clave temporal (TKIP) no es compatible.

Dispositivos conectados

Se recomienda comprobar periódicamente la lista de dispositivos conectados a la

red IEEE 802.15.4 del Panel Server . Si hay un dispositivo conectado

desconocido, localícelo y quítelo. También puede reconstruir la red y reconectar

solo los dispositivos identificados.

14 DOCA0211ES-07

Seguridad de la aplicación en la nube EcoStruxure Panel Server

Seguridad de la aplicación en la nube

Seguridad de datos en movimiento

Schneider Electric con aplicaciones en la nube EcoStruxure implementa prácticas

recomendadas, como:

• Todas las comunicaciones que tienen como origen y destino EcoStruxure

Panel Server con sistemas internos de Schneider Electric o sistemas

externos de terceros están cifradas con HTTPS (el nivel mínimo requerido es

TLS 1.2).

• Los certificados que participan en estas sesiones cifradas utilizan el algoritmo

hash seguro SHA 256. Esto se aplica a las comunicaciones entre la

aplicación de Panel Server y los servidores de las plataformas en la nube de

Microsoft Azure.

Seguridad de datos en reposo

Schneider Electric sigue las prácticas recomendadas para crear soluciones

seguras y limitar el riesgo de que los datos se comprometan de manera

significativa a la vez que protege la privacidad, el control y la autonomía de los

datos de cada cliente independientemente de cualquier otro.

Todas las credenciales y tokens de sistema a sistema se almacenan y cifran en

plataformas en la nube de Microsoft Azure.

Extremos esperados

Schneider Electric recomienda solo permitir el acceso a los dominios requeridos

en función de sus necesidades.

En la tabla siguiente se enumeran los nombres de dominio y los protocolos

utilizados cuando Panel Server se conecta a la nube.

Nombre del dominio Protocolo Descripción

cbBootStrap.gl.StruXureWareCloud.com HTTPS (puerto TCP

443) Se utiliza en la primera conexión de Panel

Server a la nube (o después de un

restablecimiento de los ajustes de fábrica) para

autenticar y registrar Panel Server.

cnm-ih-na.azure-devices.net HTTPS (puerto TCP

443) Se utiliza para la comunicación de Panel

Server con servicios en la nube de Schneider

Electric, como configuración, datos o alarmas.

time.gl.StruXureWareCloud.com NTP (UDP 123) Permite que el reloj de Panel Server

permanezca sincronizado.

etp.gl.StruXureWareCloud.com HTTPS (puerto TCP

443) Se utiliza para descargar la actualización del

firmware.

RemoteShell.rsp.Schneider-Electric.com HTTPS (puerto TCP

443) Permite al Centro de Atención al Cliente de

Schneider Electric acceder de forma remota a

las páginas web de Panel Server.

https://cnmdapiappstna.blob.core.windows.net/ HTTPS (puerto TCP

443) Permite al Panel Server cargar registros y

archivos de diagnóstico cuando así lo solicite el

Centro de Atención al Cliente de Schneider

Electric.

https://cnmiothubappstna.blob.core.windows.net/file-upload HTTPS (puerto TCP

443) Permite al Panel Server cargar una topología

de gran tamaño (>250 kB) en los servicios en

la nube de Schneider Electric.

NOTA: Los nombres de dominio no distinguen entre mayúsculas y

minúsculas.

DOCA0211ES-07 15

EcoStruxure Panel Server Seguridad física del dispositivo

Seguridad física del dispositivo

Etiqueta antimanipulación

EcoStruxure Panel Server tiene una etiqueta antimanipulación que contribuye a

garantizar la seguridad física del dispositivo. Debe estar limpia y no mostrar

ningún signo de manipulación (por ejemplo, roturas, rasgones o arañazos).

Schneider Electric recomienda no usar dispositivos claramente manipulados.

Instalación

Para contribuir a garantizar la seguridad física del dispositivo, se recomienda la

siguiente instalación:

• Instale EcoStruxure Panel Server en un armario protegido adecuadamente

según el nivel de riesgo de su instalación (por ejemplo, un armario con

candado o llave).

• Si EcoStruxure Panel Server se monta en un panel, instale el panel en una

sala segura (por ejemplo, con puerta cerrada o cámara).

16 DOCA0211ES-07

Recomendaciones de seguridad para el mantenimiento EcoStruxure Panel Server

Recomendaciones de seguridad para el

mantenimiento

Operaciones de mantenimiento

Durante la vida útil de EcoStruxure Panel Server, se recomienda realizar las

siguientes operaciones con regularidad:

• Comprobar la seguridad física de EcoStruxure Panel Server (consulte la

etiqueta antimanipulación, página 16).

• Asegurarse de tener la actualización de firmware más reciente. Debe

haberse registrado para recibir notificaciones de seguridad, página 11.

• Comprobar los dispositivos conectados, página 14 para asegurarse de que

no haya dispositivos desconocidos.

• Consultar los registros de auditoría, página 12 para comprobar que no haya

comportamientos inesperados, como intentos de inicio de sesión no válidos o

rearranques frecuentes.

• Comprobar la fecha y la hora, página 11 para no desviarse de la fecha actual.

Verificación de las funciones de seguridad

Para cumplir la certificación IEC 62443, las pruebas siguientes permiten verificar

el funcionamiento previsto de las funciones de seguridad a través de las páginas

web de EcoStruxure Panel Server.

Autenticación web

1. Intente iniciar sesión en las páginas web de EcoStruxure Panel Server sin

contraseña o introduzca una contraseña incorrecta.

Resultado: EcoStruxure Panel Server no proporciona acceso a las páginas

web.

2. Repita esta operación 9 veces más.

Resultado: EcoStruxure Panel Server se bloquea durante 10 minutos.

3. Inténtelo de nuevo 5 veces.

Resultado: EcoStruxure Panel Server se bloquea durante 60 minutos.

Autorización web

1. Inicie sesión en las páginas web de EcoStruxure Panel Server.

2. Guarde como marcador una página web (por ejemplo, Configuración)

3. Abra una ventana de navegación privada en el navegador y abra la página

web anteriormente guardada como marcador.

Resultado: no podrá acceder a la página web, pero se le redirigirá a la

página de inicio de sesión.

Auditar

1. Tras realizar todas o algunas de las pruebas anteriores, acceda a la página

web Registros.

2. Descargue los archivos de registro.

DOCA0211ES-07 17

EcoStruxure Panel Server Recomendaciones de seguridad para el mantenimiento

3. Compruebe que los intentos fallidos estén presentes en los registros.

Actualización de firmware

1. Vaya a la página web Actualización de firmware.

2. Cargue un archivo aleatorio (por ejemplo, una imagen o un documento de

texto).

Resultado: EcoStruxure Panel Server informa de una firma incorrecta.

3. Acceda a los registros de auditoría.

4. Compruebe que la actualización del firmware que ha fallado esté presente en

los registros.

Desactivación de servicios

1. Si desea acceder al menú para desactivar servicios, seleccione

Configuración > Comunicación de red > DPWS.

2. Conecte un PC con el sistema operativo Windows a la misma red local.

3. Haga clic en Red en el Explorador de archivos.

Resultado: EcoStruxure Panel Server no se detecta, por lo que no aparece

en la lista de dispositivos de la red.

18 DOCA0211ES-07

Cybersecurity Support Portal de Schneider Electric EcoStruxure Panel Server

Cybersecurity Support Portal de Schneider Electric

Descripción general

El cybersecurity support portal de Schneider Electric describe la política de

gestión de vulnerabilidad de Schneider Electric.

El objetivo de la política de gestión de vulnerabilidad de Schneider Electric es

abordar las vulnerabilidades en la ciberseguridad que afectan productos y

sistemas de Schneider Electric para proteger las soluciones instaladas, los

clientes y el entorno.

Schneider Electric trabaja junto a investigadores, equipos de CERT (del inglés

Cyber Emergency Response Team, equipo de respuesta ante ciberemergencias)

y propietarios de equipos para asegurar que se proporcione información precisa

de manera oportuna para proteger correctamente las instalaciones.

El equipo CPCERT (del inglés Corporate Product Cyber Emergency Response

Team, equipo de respuesta ante ciberemergencias para productos corporativos)

de Schneider Electric es responsable de administrar y emitir alertas sobre

vulnerabilidades y mitigaciones que afectan a productos y soluciones.

El CPCERT coordina las comunicaciones entre los CERT pertinentes, los

investigadores independientes, los gerentes de productos y todos los clientes

afectados.

Información disponible en Cybersecurity Support Portal de Schneider

Electric

Cybersecurity Support Portal brinda lo siguiente:

• Información sobre vulnerabilidades de ciberseguridad de los productos.

• Información sobre incidentes de ciberseguridad.

• Una interfaz que permite a los usuarios declarar incidentes o vulnerabilidades

de ciberseguridad.

Informes y gestión de vulnerabilidades

Los incidentes y las potenciales vulnerabilidades de ciberseguridad pueden

notificarse mediante el sitio web de Schneider Electric Informar de una

vulnerabilidad.

DOCA0211ES-07 19

EcoStruxure Panel Server

Glosario

DPWS: Devices Profile for Web Services (perfil de dispositivos para

servicios web):

Conjunto mínimo de restricciones de implementación que ayudan a permitir de

manera segura los servicios web de mensajería, detección, descripción y eventos

en los dispositivos de recursos restringidos.

HTTP: protocolo de transferencia de hipertexto:

Protocolo de red que gestiona la entrega de archivos y datos en la World Wide

Web.

HTTPS: protocolo seguro de transferencia de hipertexto:

Variante del protocolo de transferencia web estándar (HTTP) que añade una

capa de seguridad a los datos que se transportan a través de una conexión de

protocolo de capa de sockets seguros (SSL) o seguridad de la capa de transporte

(TLS).

IP : protocolo de Internet:

Las direcciones IP se utilizan para identificar dispositivos conectados a la intranet

de la empresa o a Internet.

LAN: red de área local:

Hace referencia a la intranet o la red de TI de la empresa.

Modbus TCP/IP:

Protocolo que proporciona comunicación de cliente/servidor entre dispositivos y

TCP/IP, el cual proporciona comunicación a través de una conexión Ethernet.

OT: tecnología operativa:

Hace referencia a los sistemas de hardware y software que la empresa utiliza

para supervisar y controlar directamente los procesos y equipos de producción,

lo que también se conoce como red de control industrial (IC). OT se suele utilizar

para hacer referencia a la red operativa de la empresa, en contraposición a su

red de TI.

PKI: infraestructura de clave pública:

Define un conjunto de servicios que se utilizan para generar y autenticar firmas

digitales. Una infraestructura de clave pública está diseñada para garantizar la

confidencialidad, la integridad y la autenticidad de la información.

DOCA0211ES-07 21

EcoStruxure Panel Server

Política de seguridad:

La política de seguridad de un sistema es la configuración de seguridad aplicada

en todo el sistema protegido. Las políticas de seguridad suelen hacer referencia

al uso de normas. Se usan para definir la configuración de seguridad compartida

por todos los dispositivos.

SCADA - Supervisory control and data acquisition:

Hace referencia a los sistemas diseñados para obtener datos en tiempo real

sobre los procesos y equipos de producción para supervisarlos y controlarlos

remotamente.

SFTP - Secure File Transfer Protocol:

Una versión segura del protocolo de transferencia de archivos que facilita el

acceso a los datos y su transferencia mediante un flujo de datos de Secure Shell

(SSH).

TCP/IP - Transmission control protocol/Internet protocol:

Hace referencia al conjunto de protocolos que se utilizan para las

comunicaciones por Internet.

TI: tecnologías de la información:

Hace referencia a los sistemas de información y a la red de información de la

empresa en contraposición a su red de OT (tecnología operativa).

VPN: red privada virtual:

Las VPN se utilizan para establecer un "túnel" protegido o privado entre un punto

de acceso externo autenticado y la red empresarial de confianza.

22 DOCA0211ES-07

Schneider Electric

35 rue Joseph Monier

92500 Rueil Malmaison

Francia

+ 33 (0) 1 41 29 70 00

www.se.com

Debido a que las normas, especificaciones y diseños cambian

periódicamente, solicite la confirmación de la información dada en esta

publicación.

DOCA0211ES-07

Schneider Electric EcoStruxure Panel Server Guía del usuario

Marca: Schneider Electric

Modelo: EcoStruxure Panel Server

Tipo: Guía del usuario

Descargar PDF

informe