Seguridad del sistema: Cómo configurar una VPN

Si el sistema domótico de un cliente tiene acceso a Internet por motivos de control remoto, supervisión o mantenimiento, Simon Buddle explica cómo usar una VPN para proteger la conexión.

Acabo de regresar de una fantástica semana de esquí. Eran unas vacaciones que había planeado por más de dos años y había cancelado en varias ocasiones debido a la COVID-19. Pensamos que, una vez más, tendríamos que cancelarla por el cierre de las fronteras francesas a los británicos, pero encontramos un puerto que todavía estaba abierto y lo aprovechamos. Los suizos nos dejaron entrar.

Se ha hablado mucho con respecto a los sistemas de viviendas inteligentes y los ciberataques. Cuando se piensa en el mundo de los ordenadores hoy en día, todos están interconectados de alguna forma. Estamos conectados a Internet a través de routers, nuestros ordenadores de oficina están conectados a la red de área local y los países están conectados a través de enormes haces de fibra óptica que a menudo se encuentran en el fondo del mar. Es un mundo totalmente conectado, realmente global, de máquina a máquina, conectado a través de miles de kilómetros de cables.

Ya sea una frontera o un router, la gente siempre tratará de explotar un punto débil, y con los conocimientos adecuados (que mucha gente tiene) es fácil hackear una máquina o un sistema que se encuentra al otro lado del mundo.

La apertura del puerto TCP 3671 se ha utilizado históricamente para proporcionar acceso remoto a un sistema KNX. También abre una conexión en la red de área local del cliente y se puede usar con fines maliciosos. De hecho, se trata de una ventana a una casa, que se ha dejado abierta de par en par, y si se sabe dónde mirar y cómo acceder a ella, se puede entrar sin necesidad de controles de seguridad.

Dicho esto, ahora tenemos un arsenal de grandes dispositivos KNX que pueden proporcionar túneles seguros al sistema. El KNX IP Router de Jung y el Gira S1 son dos ejemplos obvios. Estos dispositivos establecen un enlace fuera de la propiedad sin crear rutas de acceso inseguras a la red de ordenadores domésticos del cliente. Pero es posible elegir entre un gran número de fabricantes, como Basalte, Weinzierl, Siemens, Schneider y ABB, todos ellos ofrecen productos para resolver ese rompecabezas.

La Red Privada Virtual o VPN

Es muy probable que el sistema o bus KNX no sea el único dispositivo al que tengamos que conectarnos de forma remota, y eso plantea un desafío ligeramente distinto. ¿Cómo me conecto al PLC Siemens que controla la sala de máquinas? ¿O a las interfaces Intesis AC, Modbus o BACnet?

La solución más obvia y segura en este caso es usar una Red Privada Virtual o VPN (Virtual Private Network). Pero, ¿cómo se configura? ¿es segura? Respondamos primero a la segunda pregunta. Es muy segura (suponiendo que sus contraseñas también lo sean). Crea un túnel virtual seguro de punto a punto a través de Internet entre su ordenador y la LAN del cliente. Una vez conectado, su ordenador aparece en la red del cliente.

Para crear una VPN sin utilizar un software como OpenVPN o NordVPN, hay dos requisitos básicos:

1) Una dirección IP fija de Internet o un router que admita DNS. 2) Un router que admita conexiones VPN.

La dirección IP fija o el router que admite DNS

Imagine que usted es un cartero que reparte el correo día tras día. Pero cada día los números de las casas cambian, así que el número 32 ahora está a veinte casas de distancia. Esto es análogo a su dirección IP de Internet. Cada vez que su router se reinicie, recibirá una nueva dirección IP de su Proveedor de Servicios de Internet (ISP). Esto significa que ya no sabemos dónde vive, por así decirlo. Por tanto, la dirección IP fija resuelve ese problema. La otra forma es proporcionar un DNS (Dynamic Name System). El DNS esencialmente proporciona un servicio de búsqueda de direcciones de Internet. Cada vez que la dirección IP de Internet de su router cambia, el router envía la nueva dirección al servidor DNS para que su registro pueda ser actualizado. Luego, puede usar el nombre DNS (que no cambia), por ejemplo, myhouse@dyndns.org.

Esta es la primera parte de la configuración de la VPN. Ahora puede encontrar siempre el router del cliente en Internet usando un servicio DNS.

El router que admite conexiones VPN

Hay dos pasos para crear una VPN. En primer lugar, hay que crear un «usuario». Cuando se conecte a través de la VPN, se solicitará el nombre de usuario y la contraseña. El segundo elemento es la configuración del protocolo de conexión VPN. Los protocolos más comunes son PPTP, IPSec, L2TP y Túnel SSL. PPTP tiene una seguridad débil y ya no es compatible con los dispositivos de Apple. El que más se utiliza es L2TP con una clave «precompartida». La mayoría de los routers DrayTek admiten la configuración de DNS y VPN y permiten un fácil acceso a la LAN del cliente.

Ahora solo es cuestión de configurar el perfil de la VPN en su ordenador portátil o PC de sobremesa usando los mismos criterios de inicio de sesión. Si necesita ayuda, DrayTek también ofrece un paquete de software de cliente VPN pequeño que lo hace sencillo. Por supuesto, Cisco, Unifi y cientos de otros fabricantes de routers ofrecen la misma funcionalidad. Quienes no lo hacen son BT, Sky y Virgin, es decir, todos los que regalan los ISP. Por lo tanto, si desea acceder a la red del cliente a través de la VPN, sin duda deberá tener un router para hacer el trabajo.

Conclusión

Imagínese cuando reciba esa llamada telefónica de un cliente que le dice «Tal cosa ha dejado de funcionar» y poder responderle «Me conectaré ahora mismo y comprobaré qué sucede». Ese tiene que ser un servicio que merezca la pena y que sea muy valioso para sus clientes. Con el router adecuado y una hora de su tiempo, es fácil aprender a configurar una conexión VPN. Esa hora le ahorrará innumerables horas de viaje de ida y vuelta al lugar.

No obstante, si hay una forma de acceder al sistema de su cliente desde el mundo exterior, es imperativo asegurarse de que no pueda ser explotada por quienes tienen intenciones maliciosas.

Para mí, configurar una VPN es una de las habilidades más valiosas que he aprendido. Puede sentarse en su escritorio y ver todos los datos en tiempo real a medida que se producen, tener varios ordenadores conectados a la misma casa y ver cada señal del sistema, sin quitarse el pijama. Y lo que es aún mejor, puede convertir esa habilidad en una oferta de supervisión y mantenimiento a distancia y ganar algo de dinero con ello.

Simon Buddle, CEng MIET, es consultor en Future Ready Homes y especialista en diseño de sistemas de servicios BMS y ELV.

http://www.futurereadyhomes.com