En los entornos industriales modernos, es fundamental garantizar una conexión segura y controlada entre la red IT (informática) y la red OT (tecnología operativa). Para lograr esto, se implementan dispositivos como el Scalance S615, que actúan como puente entre ambas redes, asegurando el aislamiento necesario y permitiendo únicamente el acceso a servicios específicos de forma segura.
En esta infraestructura, se busca ofrecer acceso remoto al PLC Siemens S7-1500 desde la red externa, sin comprometer la integridad ni la seguridad de la red de producción. A continuación se describe cómo está configurada esta red, incluyendo el uso de NAPT (Network Address Port Translation) y la apertura controlada de puertos específicos para distintos protocolos industriales.
🏗️ Infraestructura
La red OT (Operational Technology) está ubicada en la VLAN 100 correspondiente al entorno de producción.
🔌 Desde el switch Cisco, el router industrial Scalance S615 se conecta a través del puerto 22.
🔁 Conexiones físicas
El Scalance S615 tiene un puerto externo conectado al puerto 5 del switch Scalance.
El resto de los puertos en el Scalance se consideran internos.
🌐 Configuración de red
Dirección IP del Scalance: 192.168.0.100
Se ha configurado con NAPT (Network Address Port Translation) para permitir acceso externo al PLC Siemens S7-1500, ubicado en la red interna.
🔐 Redirección de Puertos y Reglas de Acceso
Con el objetivo de garantizar una comunicación segura entre los dispositivos externos y el PLC Siemens, se configuran redirecciones de puertos específicas. Estas redirecciones, combinadas con las reglas de acceso, permiten que los servicios deseados funcionen correctamente mientras se oculta la verdadera IP del PLC mediante el uso de NAPT (Network Address Port Translation).
Redirección de Puertos Configurada:
Protocolo
Puerto
Propósito
MQTT
8883
Comunicación segura entre dispositivos IoT
OPC UA
4840
Intercambio de datos industriales
S7
102
Comunicación con dispositivos Siemens
Cómo Funciona:
✅ Acceso seguro: Los dispositivos externos pueden acceder al PLC Siemens S7 a través del Scalance S615 mediante las redirecciones configuradas.
✅ Ocultamiento de la IP real: A través del NAPT, la IP interna del PLC se oculta, y se presenta una IP externa (la del Scalance S615). Esto mejora la seguridad al ocultar la infraestructura interna.
⚙️ Configuraciones
🔧 Conexión Paso a Paso
Es recomendable no realizar la configuración directamente conectando todos los dispositivos de una vez (como el Fortinet, el switch Cisco, etc.), sino proceder paso a paso. De esta manera, podrás concentrarte primero en configurar la Red OT correctamente, asegurando que todos los parámetros estén establecidos antes de conectar otros dispositivos. Este enfoque ayudará a detectar fallos o errores de configuración más fácilmente y a asegurarse de que cada parte del proceso esté funcionando correctamente antes de avanzar a la siguiente.
Por ejemplo, comenzamos configurando el Scalance S615 antes de conectar otros equipos como el Fortinet o el switch Cisco. Esto garantiza que la Red OT esté correctamente aislada y funcional antes de permitir la interconexión con otros dispositivos.
🔧 Configuración del Scalance S615
🌐 Acceso a la Interfaz Web
🖥️ Configuración de red de la PC
Para poder conectarte correctamente al Scalance, la PC desde la cual accedes debe estar dentro del mismo rango de red, es decir:
La IP de la PC debe estar dentro de la subred 192.168.0.x
Por ejemplo, podrías asignar manualmente a tu PC la IP 192.168.0.50
⚠️ Asegúrate de que no haya conflictos de IP en la red.
Para realizar configuraciones en el Scalance S615, es necesario acceder a su interfaz web de administración:
Abre un navegador web.
Ingresa la dirección IP del dispositivo: http://192.168.0.100
Inicia sesión con las siguientes credenciales por defecto:
Usuario: admin
Contraseña: admin
🧭 Esta dirección se obtuvo previamente utilizando la herramienta Siemens PRONETA.
🌐 Configuración de VLANs en el Scalance S615
El Scalance S615 permite segmentar el tráfico de red mediante la configuración de VLANs. En esta infraestructura se han definido las siguientes:
VLAN por defecto → para puertos sin asignación específica.
VLAN 100 - Producción → asignada específicamente al puerto 5, utilizado para la red OT.
🔧 Para crear y administrar VLANs:
Accede a la interfaz web del Scalance (http://192.168.0.100).
Dirígete al menú: **Layer2 > VLAN**
Desde allí podrás:
Crear nuevas VLANs.
Asignar puertos a VLANs específicas.
Establecer configuraciones de enrutamiento si se requiere comunicación entre VLANs.
💡 Recuerda aplicar los cambios y guardar la configuración para que se mantenga tras reinicios.
🛠️ Nota personal:
En mi configuración, he asignado el puerto 5 como puerto externo (marcado con la letra U en mayúscula en la tabla de puertos del Scalance), ya que allí está conectada la VLAN 100, que corresponde a la red de producción OT y fue previamente creada en el switch Cisco.
🌐 Configuración de la IP de la VLAN 100
Para asignar la IP a la VLAN 100 en el Scalance S615, sigue estos pasos:
Navega a: **Layer3 > Subnets**
Asigna la IP deseada para la VLAN 100, en este caso: 192.168.100.100/24
💡 Recuerda que esta IP se utilizará para la comunicación dentro de la red de producción y debe estar dentro del rango de direcciones asignadas a la VLAN 100.
Guarda los cambios realizados.
🌐 Configuración de NAT/NAPT en el Scalance S615
Para habilitar el acceso externo a la VLAN 100 y permitir que los dispositivos externos se comuniquen de manera segura con los dispositivos internos, se utiliza NAPT (Network Address Port Translation). Este proceso traduce las direcciones IP de los paquetes que pasan entre la red interna y la red externa, lo que mejora la seguridad y control del tráfico.
🔧 Proceso de configuración:
Ve a la sección de: **Layer3 > NAT/NAPT**
Configura el Source:
Selecciona la VLAN 100 como la fuente.
Configura el Destino:
Define como **IP que es traducida para el externo : 192.168.100.100
MQTT (Puerto 8883)
OPCUA (Puerto 4840): Intercambio de datos industriales.
S7 (Puerto 102): Protocolo de comunicación con equipos Siemens.
Indica la IP de destino traducida:
La dirección IP real del Siemens 192.168.0.1, que será traducida a la IP externa 192.168.100.100 para los dispositivos externos.
Guarda la configuración para que los cambios surtan efecto.
💡 _La configuración de NAPT garantiza que el tráfico externo se redirija adecuadamente a los dispositivos correctos dentro de la red interna de la VLAN 100, manteniendo el control sobre los accesos y mejorando la seguridad.
🔒 Configuración de Reglas de Firewall para Permitir Tráfico
Para permitir que el tráfico externo llegue a los dispositivos correctos dentro de la red interna, es necesario crear reglas de firewall específicas para cada servicio. Estas reglas se configuran dentro de la sección de IP Services en el firewall del Scalance S615.
Pasos para crear las reglas de firewall:
Accede a la interfaz web del Scalance S615 (http://192.168.0.100).
Dirígete a: **Security > Firewall > IP Services**
Crea un servicio para cada puerto necesario:
MQTT (Puerto 18883): Comunicación segura entre dispositivos IoT.
Configura la regla de firewall para permitir el tráfico en el puerto 8883.
OPCUA (Puerto 4840): Intercambio de datos industriales.
Crea una regla para permitir el tráfico en el puerto 4840.
S7 (Puerto 102): Protocolo de comunicación con equipos Siemens.
Crea la regla para habilitar el tráfico en el puerto 102.
🔐 Configuración de Reglas de Firewall para Permitir el Tráfico
Una vez creados los servicios en el apartado de IP Services, es necesario configurar las reglas de firewall que permitirán el tráfico entre las redes externas e internas, específicamente para los servicios de MQTT, OPCUA y S7.
Pasos para configurar las reglas de firewall:
Accede a la interfaz web del Scalance S615 (http://192.168.0.100).
Navega a: **Security > Firewall > IP Rules**
Configura las reglas de firewall:
Origen (Source):
VLAN 100 (Externo): Esta es la red externa que tiene acceso a la red interna.
IP de la estación de ingeniería: 192.168.30.100/24. Esta es la IP de la estación de ingeniería desde la cual se gestionará el acceso.
Destino (Destination):
VLAN 1 (Interno): La red interna a la que se redirigirá el tráfico.
IP del PLC: 192.168.0.1/32. Es la IP del PLC Siemens S7-1500 al cual se le permitirá el acceso.
Servicios Permitidos:
Para cada servicio creado (MQTT, OPCUA, S7), selecciona el correspondiente. Asegúrate de habilitar el acceso para los puertos de estos servicios.
MQTT: Puerto 8883.
OPCUA: Puerto 4840.
S7: Puerto 102.
Acción de la Regla:
Asegúrate de que la acción esté configurada en "Aceptar" (Accept) para permitir el tráfico de estos servicios entre la estación de ingeniería y el PLC.
Guardar los cambios:
Después de configurar las reglas, no olvides guardar la configuración para que las reglas se apliquen correctamente y el tráfico de los servicios configurados sea permitido.
💡 Estas reglas de firewall garantizan que solo el tráfico necesario para la comunicación entre el VLAN 100
y el PLC (a través de MQTT, OPCUA y S7) sea permitido, brindando seguridad y control sobre el acceso a la red interna.
🌐 Acceso a la Interfaz Web desde la VLAN 100
Para permitir el acceso a la interfaz web del Scalance S615 desde la VLAN 100, se debe habilitar la comunicación segura por HTTPS.
📍 La dirección de acceso será: https://192.168.100.100
✅ Pasos para habilitar el acceso:
Accede a la interfaz web del Scalance.
Ve a la sección: **Security > Firewall > Predefined**
Activa la opción de HTTPS para permitir el acceso desde la red VLAN 100.
** Configura la regla de firewall para permitir el tráfico HTTPS:
Ve a: **Security > Firewall > IP Rules**
Crea una nueva regla que permita el tráfico en el puerto 443 (HTTPS) desde la VLAN 100 hacia la IP del Scalance (192.168.100.100).
🛠️ Configuración en el Switch Cisco
Ahora ya podrás conectarte el cisco
Una vez accedemos a la consola del switch, seguimos los siguientes pasos:
💡 El enlace troncal permite que múltiples VLANs viajen entre el switch y el firewall Fortinet a través de una única interfaz agregada.
💻 Conexión desde un equipo en la VLAN 100:
Asegúrate de que tu PC esté conectada a un puerto asignado a la VLAN 100.
En tu navegador, ingresa la siguiente URL para acceder al Scalance S615: https://192.168.100.100
✅ Comprobación: Si puedes acceder a la interfaz web correctamente desde el VLAN 100, la configuración de NAT/NAPT está funcionando como se espera y la conexión segura está habilitada.
Con esta configuración, ahora podrás gestionar y configurar el Scalance S615 desde la VLAN 100 de forma segura, asegurando que solo el tráfico autorizado pueda llegar a la interfaz de administración.
🔐🛡️ Próximo paso: Reglas en el firewall Fortinet
Para que la Estación de Ingeniería en VLAN 30 pueda comunicarse con los dispositivos en la VLAN 100 (por ejemplo, el PLC Siemens), debes crear reglas en tu firewall Fortinet que permitan el tráfico de los servicios necesarios (MQTT, OPCUA, S7).
Estas reglas asegurará que el tráfico de los servicios MQTT, OPCUA y S7 pueda fluir de manera segura y controlada entre las redes IT y OT, garantizando la comunicación eficiente y protegida.
🔐🛡️ Configuración de Fortinet
🔐 Acceso y Configuración del Fortinet
Para conectarte correctamente al panel del administrador de Fortinet, tu PC debe estar en el mismo rango de red que el Fortinet:
La IP de tu PC debe estar en la subred 192.168.1.x
Por ejemplo: 192.168.1.50
⚠️ Asegúrate de que no haya conflictos con otras IPs activas en la red.
Pasos para acceder al Fortinet:
Abre un navegador web.
Escribe la dirección IP: http://192.168.1.99
Inicia sesión con las credenciales por defecto:
Usuario: admin
Contraseña: _(vacía)
🧱 Creación de una VLAN en Fortinet
Para integrar la VLAN 100, es necesario crear una nueva interfaz virtual VLAN en el Fortinet:
Ve a: Network > Interfaces
Haz clic en Create New y selecciona Interface.
Configura los siguientes parámetros:
Type: VLAN
VLAN ID: 100
Nombre: (Ej: Producción`)
Dirección IP asignada: 192.168.100.1/24(será la puerta de enlace para esa VLAN)
Realiza el mismo procedimiento para la VLAN 30 de la estación de ingeniería, cambiando la etiqueta de VLAN, el nombre y la puerta de enlace a 192.168.30.1/24.
🔒 Reglas fortinet
Ir a la sección de reglas de firewall:
En el menú principal del panel de Fortinet, ve a: Policy & Objects
Luego selecciona: Firewall Policy
Aquí es donde se crean y gestionan las reglas que permiten o bloquean el tráfico entre redes.
Para permitir que la estación de ingeniería (192.168.30.100) se conecte al PLC Siemens S7 (192.168.100.100) mediante NAT, se crea una política de firewall específica que autoriza únicamente los protocolos necesarios.
📦 Creación de Objetos
Antes de crear la política, es recomendable definir objetos de dirección y servicios para facilitar la configuración:
Objeto de dirección origen: EstacionING → 192.168.30.100
Objeto de dirección destino: PLC_S7 → 192.168.100.100
Objeto de servicios personalizados (si es necesario) para los puertos que se usarán
Protocolo
Puerto
Función
OPC UA
4840
Intercambio de datos industriales
S7
102
Comunicación con PLC Siemens
HTTP
80
Acceso web no cifrado (opcional)
HTTPS
443
Acceso web cifrado
🛠️ Comprobación de la Conexión desde la Estación de Ingeniería (VLAN 30)
Verifica desde la estación de ingeniería si puedes acceder al PLC Siemens o realizar otras comunicaciones necesarias.
Nota: Si todo está bien configurado, deberías poder realizar conexiones seguras a través de los servicios configurados (MQTT, OPCUA, S7).
🔒 Configura VPN + RDP: Acceso remoto seguro para tu estación de ingeniería
¡Un siguiente gran paso para potenciar la seguridad y el acceso remoto es configurar una VPN junto con acceso por RDP para la estación de ingeniería!
Esto garantizará una conexión remota totalmente segura y controlada, permitiendo gestionar los sistemas industriales desde cualquier lugar sin riesgos.
Para que no te compliques, te comparto un ejercicio práctico que integra ambos elementos y te lleva de la mano paso a paso para implementarlos en Fortinet.
.jpg)
