Requisitos previos
Antes de comenzar, asegúrese de contar con:
- Dispositivo Access Gate con fuente de alimentación
- Tres cables Ethernet
- Puerto de switch disponible con acceso a la red
- Dirección IP para la interfaz de administración de Access Gate
- Navegador web (Chrome, Firefox o Edge)
- Credenciales de administrador para la configuración inicial
- Conocimiento del diseño final de la arquitectura de red
Al finalizar este tutorial, habrá añadido tres capacidades a su red:
- Access Gate será accesible desde un navegador web en la IP 10.0.4.10 (parte de la red de administración)
- Access Gate escuchará datos netflow en la IP 10.0.3.100 (parte de la red OT existente)
- Se creará un Secure Twin para dirigir el tráfico a través de Access Gate para el control
Diseño final de la red
Descripción general: cuatro pasos hacia la visibilidad y el control
- Conectar: Integrar Access Gate en su red existente
- Descubrir: Permitir que Access Gate construya su inventario de activos
- Segmentar: Crear un enclave protegido alrededor de los activos sensibles
- Autorizar: Conceder acceso a los usuarios mediante políticas basadas en identidad
Tiempo requerido: 15-20 minutos
Paso 1: Conexión física
Access Gate ofrece seis puertos físicos, que pueden configurarse para realizar funciones específicas (overlay Zero-Trust, administración, monitoreo de red).
Se recomienda comenzar con la siguiente configuración:
| Puerto | Función | Conecta a | Propósito |
|---|---|---|---|
| Puerto 1 | Overlay | Router (preferiblemente 2,5 Gb) | Aplicación del control de acceso |
| Puerto 5 | Monitor | Red OT / red existente | Ingesta de NetFlow, descubrimiento |
| Puerto 6 | Admin | VLAN de administración | Acceso a la interfaz web |
- Puerto 1 (Overlay): Para desplegar las capacidades de control de acceso
- Puerto 5 (Monitor): Para visibilidad de red e inspección de tráfico
- Puerto 6 (Admin): Para acceder a la interfaz de administración
Topología de conexión básica
Configuración de puertos en Access Gate
Pasos de conexión
- Conecte el Puerto 1 directamente a su router (se recomienda usar puertos de 2,5 Gb con cable Ethernet CAT6 para un mejor rendimiento)
- Conecte el Puerto 5 a su red OT existente
- Conecte el Puerto 6 a su red de administración (misma VLAN que su estación de trabajo de administrador)
- Encienda el dispositivo
- Espere 60 segundos a que se complete la secuencia de arranque
El dispositivo obtendrá una dirección IP mediante DHCP en el Puerto 6, o usará 10.0.0.1/24 como alternativa si DHCP no está disponible.
Paso 2: Configuración inicial
Para acceder a la interfaz de administración
- Abra un navegador web y navegue a la dirección IP de Access Gate:
https://{ip} - Acepte la advertencia del certificado autofirmado (la configuración adecuada de TLS se realizará más adelante)
- Inicie sesión con las credenciales predeterminadas: Usuario: admin, contraseña: hello
- Una vez conectado, vaya a Configuración → Cuentas.
- Cambie la contraseña de administrador.
- Cree un usuario dedicado para usted con los niveles de permisos adecuados
Paso 3: Descubrimiento de activos
Ahora viene la parte interesante: ver qué hay realmente en su red.
Iniciar el descubrimiento
- Configure el segundo puerto como Monitor
- Acceda a su router para enviar Netflow hacia este puerto de monitoreo
- El panel comenzará a poblarse con el tráfico y los dispositivos descubiertos
Ejemplo de la pestaña de monitoreo con dispositivos registrados
Generar inventario de activos
- Desde la pestaña Monitor, haga clic en el botón Registrar activo para los dispositivos desconocidos y añádalos a su inventario
- Complete el nombre del activo
- Vaya a la pestaña Activos para ver el inventario completado
Ejemplo de activos en la pestaña de inventario de activos
Para cada activo, puede especificar más información, como nombre, número de serie, nivel de riesgo..., haciendo clic en el icono del lápiz.
Paso 4: Crear un enclave protegido
Ahora que puede ver su red, puede desplegar los pilares de protección.
Configurar el Puerto 1 como Overlay
- Navegue a Configuración → Configuración de puertos del dispositivo
- Haga clic en el primer puerto (o en el que desee configurar)
- Introduzca la información relevante para su red
- Haga clic en Guardar
Configurar el Secure Twin
Un Secure Twin es una copia virtual de su red existente que permite una migración controlada desde su configuración actual hacia una red completamente segura, sin tiempo de inactividad. Nuestro documento explicativo ofrece más detalles.
- Navegue a Configuración → Subredes Twin
- Añada un bloque Twin con la información relevante para su red.
- Introduzca un nombre DNS (por ejemplo, acme.tr-sec.net)
- Haga clic en Guardar
Configuración de VNet para desplegar una superposición
Ahora, en su router, deberá instalar:
- Una VLAN de interconexión entre su router y el puerto 1 de Access Gate (en el rango
100.65.0.0/29en este caso) - Una ruta para enviar todo el tráfico del Secure Twin hacia Access Gate
/ip/address/add interface=ether1 address=100.65.0.1/29
/ip/route/add gateway=100.65.0.4 dst-address=100.64.0.0/16
Crear el enclave
- Navegue a Enclaves → Crear enclave
- Asigne un nombre descriptivo a su enclave: Planta_Producción o Acceso_Ventas_Sistemas_CUI
- Complete la Descripción y el Nivel de seguridad
- Haga clic en Guardar
Añadir activos y principales
- Navegue al enclave recién creado Enclaves → [Su enclave]
- Añada activos y principales haciendo clic en el botón Editar principales
- Seleccione las entidades que desea gestionar en este enclave.
En este punto, el enclave existe, pero ahora es necesario conceder acceso.
Añadir usuarios, grupos de usuarios y activos a un enclave
Paso 5: Configurar el control de acceso
Ahora, defina los permisos dentro del enclave.
Conceder acceso
- En la vista de tabla que tiene delante, haga clic en un mosaico Bloqueado
- Use el interruptor para conceder acceso
- El menú desplegable Avanzado mostrará las capacidades avanzadas de control de acceso: TLS, VPN, Pantalla de acceso
- Haga clic en Guardar
Este es el momento en que Access Gate comienza a controlar el acceso de forma activa.
Paso 6: Probar el acceso
Ahora probemos el acceso a través del enclave y la seguridad del proxy:
- Desde su equipo, compruebe que ahora resuelve este activo:
nslookup {asset_name}.{DNS_name} /// por ejemplo cui_server.acme.tr-sec.net - Compruebe que puede hacer ping a la IP devuelta
- Ahora pruebe que el protocolo previsto es accesible:
curlhttp://cui_server.acme.tr-sec.net/// por ejemplo para un servidor HTTP
El proxy de Access Gate intercepta y reenvía el tráfico de forma transparente según los permisos.
Lo que ha logrado
En 15-20 minutos, ha obtenido:
- Visibilidad de red - Inventario de activos en IT, OT e IoT
- Enclave protegido - Sistemas sensibles aislados con redes de superposición
- Acceso DNS - Capacidad de resolver IPs de activos mediante URL
- Sin cambios en la infraestructura - Sin modificaciones de VLAN ni reasignaciones de IP
Esta configuración base aborda de inmediato múltiples requisitos de cumplimiento normativo:
- Inventario y clasificación de activos
- Control de acceso y autenticación
- Segmentación de red
Próximos pasos
A continuación, implemente el acceso basado en identidad, para que los usuarios deban autenticarse antes de acceder a los activos protegidos. Continúe aquí.
Solución de problemas
Access Gate no responde en la interfaz de administración
- Compruebe las conexiones físicas de los cables
- Verifique que el puerto del switch esté activo (luz de enlace encendida)
- Confirme la dirección IP mediante DHCP o los registros de red
- Asegúrese de que ninguna regla de firewall bloquee HTTPS (puerto 443)
- Asegúrese de intentar acceder a la interfaz de administración con HTTPS
No aparecen dispositivos en el descubrimiento
- Verifique que el puerto monitor recibe tráfico reflejado (compruebe la configuración de netflow del switch)
- Asegúrese de que el puerto monitor incluye tráfico de entrada y de salida
- Compruebe que la VLAN monitorizada incluye dispositivos activos
- Revise Configuración → Registros** para ver si Access Gate genera algún error
Los activos del enclave no son accesibles desde Access Gate
- Verifique que Access Gate puede alcanzar los activos en la red subyacente
- Compruebe que los firewalls de los activos permiten la IP de Access Gate
- Compruebe que se han creado dos rutas en su router: una para Access Gate y otra para el rango de superposición