SIMATIC NET. Router EDGE/GPRS SINAUT MD Nota prévia, Índice. Utilização e funções. Colocação em funcionamento. Configuração.

Transcrição

1 Nota prévia, Índice Utilização e funções 1 SIMATIC NET Router EDGE/GPRS Manual do sistema Colocação em funcionamento 2 Configuração 3 Interface local 4 Interface externa 5 Funcionalidades de segurança 6 Ligações VPN 7 Acessos remotos 8 Estado, registo e diagnóstico 9 Outras funcionalidades 10 Dados técnicos 11 Normas e autorizações utilizadas 12 C79000-G8979-C Glossário Edição 10/2008

2 Classificação das indicações de segurança Este manual contém indicações que deverá observar para sua própria segurança bem como para evitar danos materiais. As indicações relativas à sua própria segurança estão realçadas através de um triângulo de aviso e as indicações apenas relativas a danos materiais não têm triângulo. Consoante o nível de perigo, as indicações de segurança são indicadas por ordem decrescente, como a seguir representado.!!! Perigo significa que ocorrerá a morte ou ferimentos graves se não forem tomadas as medidas adequadas. Aviso significa que poderá ocorrer a morte ou ferimentos graves se não forem tomadas as medidas adequadas. Cuidado com triângulo de aviso significa que poderão ocorrer ferimentos ligeiros se não forem tomadas as medidas adequadas. Cuidado sem triângulo de aviso significa que poderão ocorrer danos materiais se não forem tomadas as medidas adequadas. Atenção significa que poderá ocorrer um resultado ou estado indesejado se não for observada a indicação correspondente. Na existência de vários níveis de perigo é sempre utilizado o aviso de perigo do nível mais elevado. Se num aviso de perigo for utilizado o triângulo de aviso relativo a ferimentos pessoais, nesse mesmo aviso pode ser incluído um aviso relativo a danos materiais. Pessoal qualificado O aparelho/sistema correspondente apenas pode ser configurado e operado de acordo com esta documentação. A colocação em funcionamento e o próprio funcionamento de um aparelho/sistema só pode ser efectuado por pessoal qualificado. No âmbito das indicações de segurança desta documentação, pessoal qualificado são pessoas que têm autorização para operar, ligar à terra e assinalar aparelhos, sistemas e circuitos segundo as normas das técnicas de segurança. Utilização adequada Tenha em conta o seguinte:! Marcas Disclaimer Aviso O aparelho apenas pode ser utilizado nas situações previstas no catálogo e nas descrições técnicas e em ligação com os aparelhos e componentes recomendados ou autorizados pela Siemens. O funcionamento sem problemas e seguro do produto pressupõe o transporte, o armazenamento, a instalação e a montagem adequados bem como uma operação e manutenção cuidadosas. Todas as denominações marcadas com o símbolo de direito de propriedade são marcas registadas da Siemens AG. As restantes denominações neste texto podem ser marcas cuja utilização por terceiros para os seus objectivos pode lesar os direitos dos respectivos proprietários. Verificámos o conteúdo da impressão e a concordância com o software e hardware descrito. Apesar disso, não são de excluir algumas discrepâncias, pelo que não podemos garantir a total concordância. As indicações nesta impressão são verificadas com regularidade e as correcções necessárias são incluídas nas edições seguintes. Siemens AG Automation and Drives Postfach NÜRNBERG ALEMANHA N.º de encomenda C79000-G8979-C Edição 10/2008 Copyright Siemens AG 2008 Reservado o direito a alterações. 2 C79000-G8979-C236-02

3 Notas gerais sobre o produto O produto MD741-1 está em conformidade com a norma europeia EN60950, Segurança de Equipamento de Tecnologias de Informação. Antes da utilização do aparelho, leia com atenção as instruções de instalação. Mantenha o aparelho afastado de crianças, principalmente das mais pequenas. O aparelho não pode ser instalado e operado no exterior ou em áreas húmidas. Não coloque o aparelho em funcionamento se os cabos de conexão ou o próprio aparelho estiverem danificados. Fonte de alimentação externa Utilize apenas uma fonte de alimentação externa que corresponda igualmente à norma EN A tensão de saída da fonte de alimentação externa não pode ultrapassar os 30 V DC. A saída da fonte de alimentação externa tem de estar protegida contra curto-circuitos.! Aviso O apenas pode estar ligado a fontes de alimentação em conformidade com a norma IEC/EN Secção 2.5 "Fonte de corrente com potência limitada". A fonte de alimentação externa para o tem de estar em conformidade com as normas para os circuitos eléctricos NEC de classe 2, tal como definido no National Electrical Code (ANSI/NFPA 70). Observe as secções Alimentação dos terminais de parafuso e Normas de instalação desta documentação (capítulo 2.6) bem como as normas de montagem e utilização dos respectivos fabricantes da fonte de alimentação, da bateria ou do acumulador. Cartão SIM Para a instalação do cartão SIM é necessário abrir o aparelho. Antes de abrir o aparelho, desligue-o da tensão de alimentação. As cargas estáticas podem danificar o aparelho quando aberto. Descarregue a carga eléctrica do seu corpo antes de abrir o aparelho. Para isso, toque numa superfície ligada à terra, p. ex. a caixa de metal do armário de distribuição. Observe o capítulo 2.6. Manusear cabos Nunca retire a ficha da tomada puxando pelo cabo, mas sim pela ficha. As fichas com fixações por parafuso (D-Sub) têm de ser sempre bem apertadas. Não passe os cabos sobre arestas vivas sem protecção para arestas. Se necessário, assegure-se de que os cabos não estão demasiado esticados. Certifique-se de que, por motivos de segurança, de que é mantido o raio de curvatura dos cabos. A não manutenção do raio de curvatura do cabo de antena leva à diminuição das condições de envio e recepção do aparelho. O raio de curvatura mínimo não pode ser inferior a 5 vezes o diâmetro do cabo quando estático e a 15 vezes o diâmetro do cabo quando dinâmico. C79000-G8979-C

4 Aparelho de rádio! Aviso Nunca utilize o aparelho em áreas onde seja proibida a utilização de equipamentos de rádio. O aparelho contém um emissor de rádio, que pode eventualmente influenciar o funcionamento de aparelhos electrónicos médicos como aparelhos de audição ou pacemakers cardíacos. O seu médico ou o fabricante desses aparelhos podem aconselhá-lo. Para que os suportes de dados não sejam desmagnetizados, não guarde disquetes, cartões de crédito ou outros suportes de dados magnéticos na proximidade do aparelho. Montagem de antenas! Aviso Deve ser garantida a conformidade com os valores-limite de radiação recomendados pela comissão alemã de protecção contra radiações ( de 13 e 14 de Setembro de Montagem de uma antena externa Atenção Na instalação de uma antena no exterior é necessário que a mesma seja instalada correctamente por pessoal especializado. A antena externa deve ser ligada à terra para protecção contra relâmpagos. A blindagem da antena externa deve ser ligada à terra de forma segura. Na instalação devem ser cumpridas as respectivas normas de instalação nacionais. Nos EUA, esta norma é o National Electric Code NFPA 70, artigo 810, Na Alemanha, é a série de normas VDE 0185 (DIN EN 62305) parte 1 a 4 em caso de edifícios com equipamentos de protecção contra raios e a série de normas VDE 0855 (DIN EN ) em caso de falhas de um equipamento de protecção contra raios. Indicações e avisos relativos ao respeito pelas normas de segurança, telecomunicações, CEM e outras Atenção Observe as indicações e os avisos indicados no capítulo 12 antes de colocar o em funcionamento. 4 C79000-G8979-C236-02

5 Despesas de ligação com (E-) GPRS Atenção Tenha em conta que mesmo durante o (re)estabelecimento de uma ligação, as tentativas de ligação à estação remota (p. ex. devido a um servidor desligado, um endereço de destino incorrecto, etc.) bem como para a obtenção de uma ligação são trocados pacotes de dados sujeitos a cobrança. Firmware Open Source GPL/LGPL O firmware do contém software Open Source segundo os requisitos de GPL/LGPL. De acordo com a secção 3b do GPL e da secção 6b do LGPL disponibilizamos-lhe o código de origem. Envie um para s_opsource@gmx.net s_opsource@gmx.de No assunto da sua mensagem escreva "Open Source MD741", para ser mais fácil filtrá-la. C79000-G8979-C

6 Firmware com OpenBSD O firmware do contém partes do software OpenBSD. A utilização de software OpenBSD obriga à impressão da seguinte informação de direitos de autor: * Copyright (c) 1982, 1986, 1990, 1991, 1993 * The Regents of the University of California. All rights reserved. * * Redistribution and use in source and binary forms, with or without * modification, are permitted provided that the following conditions * are met: * 1. Redistributions of source code must retain the above copyright * notice, this list of conditions and the following disclaimer. * 2. Redistributions in binary form must reproduce the above copyright * notice, this list of conditions and the following disclaimer in the * documentation and/or other materials provided with the distribution. * 3. All advertising materials mentioning features or use of this software * must display the following acknowledgement: * This product includes software developed by the University of * California, Berkeley and its contributors. * 4. Neither the name of the University nor the names of its contributors * may be used to endorse or promote products derived from this software * without specific prior written permission. * * THIS SOFTWARE IS PROVIDED BY THE REGENTS AND CONTRIBUTORS ``AS IS'' AND * ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR * PURPOSE * ARE DISCLAIMED. IN NO EVENT SHALL THE REGENTS OR CONTRIBUTORS BE LIABLE * FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR * CONSEQUENTIAL * DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF SUBSTITUTE GOODS * OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS INTERRUPTION) * HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, * WHETHER IN CONTRACT, STRICT * LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) ARISING IN ANY WAY * OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE POSSIBILITY OF * SUCH DAMAGE. 6 C79000-G8979-C236-02

7 Nota prévia Objectivo desta documentação Esta documentação condu-lo a uma utilização com sucesso do modem GPRS/GSM. Não só apresenta o tema como lhe dá uma visão geral sobre a área de aplicação do hardware. A documentação explica-lhe como o modem deve ser colocado em funcionamento e configurado à luz das condições de serviço. A presente documentação apresenta os dados técnicos e as normas e homologações cumpridas para o modem GPRS/GSM MD Âmbito de validade da documentação O presente manual é válido para as seguintes versões do produto: Modem GPRS/GSM MD741-1 HW versão 2.x Suporte técnico SIMATIC Pode entrar em contacto com o suporte técnico para todos os produtos A&D através de Telefone: +49 (0) Fax: +49 (0) Pode encontrar mais informações sobre o nosso suporte técnico na Internet em Serviço e Suporte na Internet Além da nossa documentação, pode consultar informações mais completas na Internet em: Aqui encontra: Informações actuais sobre o produto (novidades), FAQs (perguntas frequentes), downloads, dicas e truques. A Newsletter fornece-lhe constantemente as informações mais actuais sobre os seus produtos. O Knowledge Manager encontra os documentos adequados ao seu caso. C79000-G8979-C

8 Nota prévia No Fórum, utilizadores e especialistas de todo o mundo trocam as suas experiências. Encontre a sua pessoa de contacto local para Industry Automation através da nossa base de dados de pessoas de contacto. Em Ligações encontrará informações sobre assistência no local, reparações, peças sobresselentes e muito mais. Pode encontrar a versão actual desta documentação sob a ID Ainda tem questões sobre a utilização dos produtos descritos no manual? Contacte o seu representante ou revendedor local da Siemens. Pode encontrar os endereços nos seguintes locais: Na Internet em: Na Internet em: especialmente para produtos SIMATIC NET No catálogo CA 01 No catálogo IK PI (especialmente para os produtos SIMATIC NET) No seguinte endereço poderá encontrar artigos, certificados e outras informações úteis relativas ao MD741-1: Centro de formação SIMATIC Para facilitar a sua introdução ao produto, disponibilizamos-lhe os cursos correspondentes. Informe-se junto do seu centro de formação regional ou junto do centro de formação central em D Nuremberga Telefone: +49 (911) Centro de formação SIMATIC NET Especificamente para cursos para os produtos SIMATIC NET, contacte a: SIEMENS AG A&D Informations- und Trainings-Center Dynamostr. 4 D Mannheim Telefone: +49 (621) Fax: +49 (621) C79000-G8979-C236-02

9 Índice 1 Utilização e funções Introdução Colocação em funcionamento Passo-a-passo Pré-requisitos para o funcionamento Parte frontal do aparelho Tecla de serviço (SET) Indicadores de operação Ligações Inserir o cartão SIM Montagem das calhas Configuração Configuração do TCP/IP da placa de rede no Windows XP Estabelecer uma ligação de configuração Página inicial da interface Web Definição do idioma Configuração Perfis de configuração Alterar a palavra-passe Reinício Carregar definições de fábrica Interface local Endereços IP da interface local Servidor DHCP para a rede local DNS da rede local Nome de anfitrião local Hora do sistema/ntp Rotas internas adicionais Interface externa Parâmetros de acesso ao EGPRS/GPRS Monitorização da ligação EGPRS/GPRS Nome de anfitrião através de DynDNS Funcionalidades de segurança Filtros de pacote Port Forwarding Funcionalidades de segurança avançadas Firewall Log (Registo da firewall) Ligações VPN Modo Roadwarrier VPN C79000-G8979-C

10 Índice 7.2 Modo padrão da VPN IPsec Carregar certificados VPN Regras de firewall para túneis de VPN Definições avançadas para ligações VPN Estado das ligações VPN Acessos remotos Acesso remoto HTTPS Acesso remoto SSH Acesso remoto através de ligações telefónicas Estado, registo e diagnóstico Indicador do estado de funcionamento Registo Login remoto Fotografias instantâneas Informações sobre o hardware Informações sobre o software Outras funcionalidades SMS de alarme Actualização do software Dados técnicos Normas e autorizações utilizadas Aparelho Declaração de conformidade CE Conformidade com FM, UL e CSA Conformidade com FCC Glossário C79000-G8979-C236-02

11 Utilização e funções Introdução O oferece uma ligação sem fios à Internet ou a uma rede privada. O oferece esta ligação em qualquer local em que esteja disponível uma rede GSM (Global System for Mobile Communication = rede de rádio móvel), que ofereça os serviços de EGPRS (Enhanced General Packet Radio Service = EDGE) ou GPRS (General Packet Radio Service). Pré-requisito é a existência de um cartão SIM de um operador GSM com os respectivos serviços desbloqueados. O liga assim uma aplicação ligada localmente ou redes inteiras à Internet através de ligações IP sem fios. Também é possível a ligação directa a uma Intranet onde, por sua vez, estejam ligadas as estações remotas externas. O consegue criar uma rede privada virtual (VPN - Virtual Private Network) entre uma aplicação/rede local e uma rede externa através de uma ligação IP sem fios, bem como proteger esta mesma rede contra o acesso de terceiros através do IPsec (Internet Protocol Security). Ao mesmo tempo, o aparelho reúne as seguintes funções: Modem GPRS para a comunicação de dados flexível através de GPRS Router de VPN para a transferência segura de dados através de redes públicas (Protocolo IPSec, codificação de dados 3DES, codificação AES) Firewall para protecção contra acesso não autorizado. O filtro de pacote dinâmico analisa os pacotes de dados com base no endereço de origem e de destino (stateful packet inspection) e bloqueia qualquer tráfego de dados não desejado (Anti-Spoofing). C79000-G8979-C

12 1 Utilização e funções Exemplos típicos da utilização do SINAUT S7-300 CPU TIM MD741-1 Central Station ST7cc DSL-Modem VPN-Router (E-)GPRS APN INTERNET VPN-Tunnel Figura 1-1 Ligação entre a CPU e o centro de ligações CPU TIM MD741-1 Central Station ST7cc VPN-Tunnel TIM CPU Logical connection TIM MD741-1 (E-)GPRS APN INTERNET DSL-Modem VPN-Router VPN-Tunnel Figura 1-2 Ligação entre duas CPU Configuração A configuração do aparelho ocorre através de uma interface Web, fácil de visualizar através de um Web browser. O acesso pode ocorrer através das seguintes formas: A interface local EGPRS/GPRS CSD (Circuit Switched Data = Ligações de acesso telefónico) do GSM 12 C79000-G8979-C236-02

13 1 Utilização e funções Connection via GSM-CSD MD741-1 PC with Web browser PC with Web browser Connection via (E-)GPRS PC with Web browser Figura 1-3 Ligações de configuração Funcionalidades de VPN O oferece as seguintes funcionalidades de VPN Protocolo: IPsec (modo de túnel) IPsec com codificação 3DES com 192 bits Codificação AES do IPsec com 128, 192 e 256 bits Autentificação de pacotes: MD5, SHA-1 Internet Key Exchange (IKE) com modo agressivo e principal Autenticação: Pre-Shared Key (PSK), certificados X.509v3, CA NAT-T Dead Peer Detection (DPD) Funcionalidades da firewall O oferece as seguintes funcionalidades de firewall para se proteger e à rede local contra ataques do exterior: Stateful Inspection Firewall Anti-Spoofing Port Forwarding NAT C79000-G8979-C

14 1 Utilização e funções Outras funcionalidades O oferece ainda as seguintes funcionalidades: Cache de DNS Servidor DHCP NTP Login remoto Ligar Desligar Interface Web para configuração Envio de SMS de alarme Consola SSH para configuração Cliente DynDNS Ligação de acesso telefónico para manutenção e configuração remota 14 C79000-G8979-C236-02

15 Colocação em funcionamento Passo-a-passo Durante a colocação em funcionamento do efectue os seguintes passos: Passo 1. Em primeiro lugar, familiarize-se com os pré-requisitos para o funcionamento do. Capítulo Leia com atenção as indicações de segurança e outras indicações no início deste documento e cumpra-as sem excepções. 3. Familiarize-se com os elementos de comando, ligações e indicadores de operação do. 4. Ligue um PC com Web browser (Admin-PC) à interface local (10/100 BASE-T) do. 5. Através da interface Web do, insira o PIN (número de identificação pessoal) do cartão SIM , Desligue o da tensão de alimentação Insira o cartão SIM no aparelho Ligue a antena Ligue o à tensão de alimentação Configure o consoante as suas necessidades. 3 até Ligue a aplicação local. 2.6 C79000-G8979-C

16 2 Colocação em funcionamento 2.2 Pré-requisitos para o funcionamento Para poder operar o é necessário dispor das seguintes informações e preencher os seguintes requisitos: Antena Uma antena, ajustada às bandas de frequência do operador GSM seleccionado: 850 MHz, 900 MHz, 1800 MHz ou 1900 MHz. Utilize apenas antenas originais para o. Ver o capítulo 2.6. Alimentação de tensão Uma alimentação de tensão com uma tensão entre 12 V DC e 30 V DC, que forneça electricidade suficiente. Ver o capítulo 2.6. Cartão SIM Um cartão SIM do operador de rede GSM seleccionado. PIN O PIN (= Personel Identification Number) do cartão SIM Desbloqueamento EGPRS/GPRS O cartão SIM tem de ser desbloqueado para os serviços EGPRS ou GPRS pelo operador de rede GSM. Os dados de acesso EGPRS/GPRS têm de ser conhecidos: Access Point Name (APN) Nome do utilizador Palavra-passe Desbloqueio de 9600 bits do CSD O cartão SIM tem de ser desbloqueado pelo operador de rede GSM para o serviço CSD se pretender utilizar a configuração remota através da ligação de acesso telefónico (ver o capítulo 8.3). 16 C79000-G8979-C236-02

17 2 Colocação em funcionamento 2.3 Parte frontal do aparelho A B Terminais de ligação da fonte de alimentação Tecla de serviço (SET) C Tomada para antena do tipo SMA D Indicadores de operação S, Q, C E X1 (serviço; USB) sem função F Terminais de ligação das saídas Ligar e Desligar (desligados) G X2 (tomada 10/100-Base-T - RJ45) para ligação da rede local H Indicadores de operação DC5V, LINK, VPN Figura 2-1 Parte frontal do aparelho 2.4 Tecla de serviço (SET) Na parte frontal do encontra-se um pequeno orifício (ver B), que tem a indicação SET e atrás do qual existe uma tecla. Com um objecto bicudo, por exemplo um clipe aberto, prima a tecla. Se premir a tecla durante mais de 5 s, o efectua um reinício e carrega as definições de fábrica. 2.5 Indicadores de operação O tem 6 luzes de sinalização (LEDs) para indicação do estado de funcionamento. As 3 luzes de sinalização na parte esquerda do aparelho mostram o estado do modem de rádio EGPRS: C79000-G8979-C

18 2 Colocação em funcionamento LED Estado Significado S (Status) Q (Quality) C (Connect) S, Q, C em conjunto Pisca lentamente Pisca rapidamente LIGADO DESLIGADO Transmissão do PIN Erro do PIN/Erro do SIM Transmissão do PIN com êxito Não está registado na rede GSM Pisca uma vez Força do sinal fraca (CSQ < 6) Pisca lentamente Força do sinal média (CSQ = 6..10) LIGADO, com breves Força do sinal boa (CSQ=11-18) interrupções LIGADO Força do sinal muito boa (CSQ > 18) DESLIGADO Sem ligação Pisca rapidamente Chamada de serviço através de CSD activa LIGADO com breves Ligação GPRS activa interrupções LIGADO Ligação EGPRS activa Luz rápida Iniciar Luz lenta Actualizar Piscar rápido Erro sincronizado 18 C79000-G8979-C236-02

19 2 Colocação em funcionamento As 3 luzes de sinalização na parte direita do aparelho mostram o estado de outras funcionalidades do aparelho: LED Estado Significado DC 5V LIGADO Aparelho ligado, tensão de serviço presente DESLIGADO Aparelho desligado, falta tensão de serviço LINK LIGADO Ligação à Ethernet da aplicação ou rede local foi estabelecida DESLIGADO Ligação à Ethernet da aplicação ou rede local não foi estabelecida VPN LIGADO com breves interrupções LIGADO DESLIGADO Transferência de dados através da ligação à Ethernet Existe pelo menos uma ligação à VPN Não existe qualquer ligação à VPN 2.6 Ligações As ligações do MD741-1 encontram-se na parte frontal do aparelho X2 (10/100-Base-T) Na ligação 10/100-Base-T é conectada a rede local com as aplicações locais, p. ex. o controlo programável de uma máquina com interface de Ethernet para a monitorização remota, um Notebook ou um PC. Para a configuração do ligue aqui o Admin-PC com Web browser. A interface suporta a autonegação. Assim é automaticamente reconhecido se são utilizados 10 Mbit/s ou 100 Mbit/s de velocidade de transmissão na Ethernet. O cabo de ligação utilizado tem de ter uma ficha RJ45. Pode ser um cabo cruzado ou patch. X1 (serviço; USB) Esta interface não tem função no estando reservado para aplicações posteriores. Não ligue aqui quaisquer aparelhos. O funcionamento do poderá ser afectado. C79000-G8979-C

20 2 Colocação em funcionamento Tomada para antena SMA O tem uma tomada para antena do tipo SMA para a ligação da antena. A antena utilizada tem de ter uma impedância de aprox. 50 Ohm. Tem de estar definida para GSM 900MHz e DCS 1800MHz ou GSM 850 MHz e PCS 1900 MHz, consoante as bandas de frequência utilizadas pelo operador de rede GSM. Na Europa e na China são utilizadas as frequências GSM 900MHz e DCS 1800MHz, nos EUA utiliza-se GSM 850 MHz e PCS 1900 MHz. Informe-se junto do seu operador de rede. O ajuste (VSWR) da antena deve ser 1:2,5 ou superior. Atenção: Utilize apenas antenas originais do. Outras antenas poderão afectar as características do produto ou levar a avarias. Na instalação da antena deve certificar-se de que existe uma qualidade de sinal suficiente (CSQ > 11). Observe os sinais luminosos do que indicam a qualidade do sinal. Certifique-se de que não se encontram grandes objectos metálicos (p. ex. betão armado) na proximidade da antena. Observe o manual de montagem e utilização da antena utilizada. Aviso: Na montagem externa da antena, esta tem de ser ligada à terra para protecção contra raios. Estes trabalhos têm de ser executados por pessoal qualificado. Observe as indicações de aviso relativamente à montagem externa de antenas no início deste documento. 20 C79000-G8979-C236-02

21 2 Colocação em funcionamento Alimentação dos terminais de parafuso (24V/0V) Figura 2-2 Alimentação dos terminais de parafuso (24V 0V) O funciona com uma tensão contínua de V DC, nominal 24 V DC. Esta tensão de alimentação é ligada aos terminais de parafuso na metade esquerda do aparelho. O consumo de corrente é de cerca de 510 ma com 12 V e 230 ma com 30 V. Aviso: A fonte de alimentação do não está desligada do potencial. Observe as indicações de segurança no início deste manual. Normas de instalação Utilize apenas ligações de cobre. Arame: 0,5...3 mm 2 (AWG ) Trança metálica: 0,5...2,5 mm 2 Binário de aperto para bornes com parafuso: 0,6...0,8 Nm C79000-G8979-C

22 2 Colocação em funcionamento 2.7 Inserir o cartão SIM Atenção: Antes de inserir o cartão SIM, introduza o PIN do cartão SIM no através da interface Web. Ver o capítulo 5.1. Figura 2-3 Gaveta do cartão SIM 1. Depois de inserir o PIN do cartão SIM, desligue completamente o SINAUT MD741-1 da tensão de alimentação. 2. A gaveta para o cartão SIM encontra-se na parte de trás do aparelho. Na abertura da caixa, encontra-se uma tecla amarela junto à gaveta para o cartão SIM. Prima essa tecla com um objecto bicudo, p. ex. um lápis. Ao premir a tecla, sai a gaveta do cartão SIM para fora da caixa. 3. Insira o cartão SIM de modo a ficarem visíveis os contactos dourados. 4. Volte a empurrar a gaveta com o cartão SIM completamente para dentro da caixa. Atenção: Nunca insira ou retire o cartão SIM com o aparelho em funcionamento. O cartão SIM e o poderão ficar danificados. 22 C79000-G8979-C236-02

23 2 Colocação em funcionamento 2.8 Montagem das calhas Em conformidade com a norma DIN EN 50022, está previsto que o SINAUT MD741-1 seja montado em calhas. O suporte adequado encontra-se na parte de trás do aparelho. Figura 2-4 Montagem das calhas C79000-G8979-C

24 Configuração 3 A configuração das funcionalidades da VPN, do router e da firewall ocorre a nível local ou remotamente através da superfície de administração baseada na Web do. Configuração remota Uma configuração remota através de um acesso HTTPS ou CDS apenas é possível se o SINAUT MD741 estiver configurado para o acesso remoto. Para a configuração remota do aparelho, proceda como descrito no capítulo 0. Configuração através de uma interface local Os requisitos para a configuração através da interface local são: O computador (Admin-PC) onde é executada a configuração deve: estar ligado directamente a uma tomada de Ethernet do SINAUT MD741-1 através de um cabo de rede ou ter acesso directo ao através da rede local. A placa de rede do computador (Admin-PC) onde o utilizador executar a configuração deve ter a seguinte configuração TCP/IP: Endereço IP: Máscara de subrede: Em vez do endereço IP também pode utilizar outros endereços IP da área x. Se também pretender ter acesso à rede externa através do com o Admin-PC é necessário proceder ainda às seguintes definições: Gateway predefinido: Servidor de DNS preferido: Endereço do Domain Name Server C79000-G8979-C

25 3 Configuração 3.1 Configuração do TCP/IP da placa de rede no Windows XP Configuração da ligação de área local Clique em Iniciar, Ligar a, Mostrar todas as ligações Em seguida, clique em Ligação de área local. Na caixa de diálogo Propriedades de Ligação de área local, seleccione o separador Geral e marque a caixa TCP/IP (Protocolo Internet). Clique no botão Propriedades para abrir. É apresentada a janela Propriedades de TCP/IP (Protocolo Internet) (consulte a figura 3-1). Nota: O caminho para a caixa de diálogo Propriedades de Ligação de área local depende das suas configurações do Windows. Se não encontrar a caixa de diálogo, procure Ligação de área local ou Propriedades de TCP/IP (Protocolo Internet) na Ajuda do Windows. Figura 3-1 Propriedades de TCP/IP (Protocolo Internet) do Windows Introduza os seguintes valores para aceder à interface Web do : C79000-G8979-C

26 3 Configuração Endereço IP: Máscara de subrede: Além disso, introduza os seguintes valores se pretender aceder à rede externa com o Admin-PC através do : Gateway predefinido: Servidor de DNS preferido: Servidor de DNS preferido: Se navegar para endereços através de um nome de domínio (p. ex. é necessário procurar no Domain Name Server (DNS) qual o endereço IP ocultado por trás do nome. Como Domain Name Server pode determinar: o endereço de DNS do operador de rede, ou o endereço IP local do, desde que este esteja configurado para a resolução de nomes de anfitriões em endereços IP (ver o capítulo 4.3; Configurações de fábrica). De forma a determinar o Domain Name Server na configuração do TCP/IP da placa de rede, proceda tal como descrito em cima. 3.2 Estabelecer uma ligação de configuração Configurar o Web browser Proceda da seguinte forma: 1. Inicie um Web browser. (p. ex. MS Internet Explorer a partir da versão 7 ou Mozilla Firefox a partir da versão 2; o Web browser tem de suportar SSL (ou seja, HTTPS).) 2. Certifique-se de que o browser não selecciona automaticamente uma ligação ao iniciar. No MS Internet Explorer, proceda às seguintes definições: Menu Extras, Opções da Internet, separador Ligações: Em Definições de Acesso telefónico e rede privada virtual tem de estar activada a caixa Nunca estabelecer uma ligação. 26 C79000-G8979-C236-02

27 3 Configuração Chamar a página inicial do 3. Na barra de endereços do browser, introduza correctamente o endereço IP do. De acordo com as configurações de fábrica, é: Sequência: É apresentada uma indicação de segurança. Figura 3-2 Confirmar a indicação de segurança 4. Confirme a indicação de segurança com Prosseguir o carregamento deste Website..: Nota Como o aparelho apenas pode ser administrado através de acessos codificados, é fornecido com um certificado já assinado. No caso de certificados com assinaturas que não são reconhecidas pelo sistema operativo ocorre uma indicação de segurança. Pode visualizar o certificado. Nesse certificado tem de estar especificado que foi emitido para a Siemens AG. A interface Web é acedida através de um endereço IP e não através de um nome, por isso o nome indicado no certificado de segurança não corresponde ao nome indicado no certificado. C79000-G8979-C

28 3 Configuração Introduzir o nome de utilizador e a palavra-passe 5. É-lhe pedido para introduzir o nome de utilizador (User name) e a palavrapasse (código) (Password): Figura 3-3 Introduzir o nome de utilizador e a palavra-passe A predefinição de fábrica é a seguinte: Nome do utilizador: Código: admin sinaut Nota Aconselhamos sempre a alteração da palavra-passe (código). A predefinição de fábrica é conhecida por todos e não oferece uma protecção eficaz. No capítulo 0 descrevemos a forma de alterar a palavra-passe. A página inicial é apresentada Após a introdução do nome de utilizador e da palavra-passe é apresentada a página inicial do no Web browser com uma visão geral sobre o estado do funcionamento. Consulte o capítulo. A página inicial não é apresentada Se após repetidas tentativas o browser anunciar que a página não pode ser apresentada, experimente o seguinte procedimento: Verifique a ligação do hardware. Para isso, num computador com o Windows, introduza o seguinte comando na linha de comandos do DOS (Menu Iniciar, Programas, Acessórios, Linha de comandos): 28 C79000-G8979-C236-02

29 3 Configuração ping Se durante o período indicado não for apresentada a mensagem sobre a recepção dos 4 pacotes enviados, verifique o cabo, as ligações e o cartão do operador de rede. Certifique-se de que o browser não utiliza um servidor Proxy. No MS Internet Explorer (versão 7.0) efectue as seguintes definições: Menu Extras, Opções da Internet, separador Ligações: Em Definições de rede local, clique em Definições de LAN. Na caixa de diálogo Definições de rede local, certifique-se de que a entrada Utilizar um servidor proxy para a rede local em Servidor proxy não está activa. No caso de estarem outras ligações LAN activas no computador, desactive-as durante a configuração. No menu Iniciar do Windows, Ligar a, Mostrar todas as ligações, LAN ou Internet de alta velocidade clicar na respectiva ligação com o botão direito do rato e seleccionar Desactivar no menu de contexto. Introduza o endereço do com barra vertical: Página inicial da interface Web Depois de chamar a interface Web do e de introduzir o nome de utilizador e a palavra-passe é apresentada uma visão geral sobre o estado actual do funcionamento do. Figura 3-4 Página inicial/visão geral C79000-G8979-C

30 3 Configuração Nota Utilize a função Actualizar do browser para actualizar os valores apresentados. Current system time (Hora actual do sistema) Mostra a hora actual do sistema do, no formato: Ano Mês Dia, Horas - Minutos Connection (Ligação) Mostra se e qual ligação de rádio existe: Ligação EDGE (ligação IP através de EGPRS) Ligação GPRS (ligação IP através de GPRS) Ligação CSD (ligação de serviço através de CSD) External Hostname (Nome do anfitrião externo) Mostra o nome do anfitrião (p. ex. md741.mydns.org) do quando for utilizado um serviço DynDNS. Signal (CSQ Level) (Sinal (nível CSQ)) Indica a força do sinal GSM como valor CSQ. CSQ < 6: Força do sinal fraca CSQ= 6..10: Força do sinal média CSQ=11-18: Força do campo boa CSQ > 18: Força do campo muito boa CSQ = 99: Nenhuma ligação à rede GSM Assigned IP address (Endereço IP atribuído) Mostra o endereço IP onde se pode encontrar o no EGPRS ou GPRS. Este endereço IP é atribuído ao pelo EGPRS ou GPRS. Nota Pode acontecer que seja apresentada uma ligação EDGE (EGPRS) ou GPRS e também um endereço IP atribuído mas que a qualidade de ligação não seja suficiente para a transferência de dados. Por esse motivo, recomendamos a utilização da activação da monitorização de ligação (ver capítulo 5.2). 30 C79000-G8979-C236-02

31 3 Configuração Remote HTTPS (HTTPS remoto) Indica se são permitidos acessos remotos à superfície da Web do SINAUT MD741-1 através de EGPRS, GPRS ou CSD (ver capítulo 8.1). Visto branco sobre ponto verde: O acesso é permitido. Cruz branca sobre ponto vermelho: O acesso não é permitido. Remote SSH (SSH remoto) Indica se são permitidos acessos remotos à consola de SSH do através de EGPRS, GPRS ou CSD (ver capítulo 8.2). Visto branco sobre ponto verde: O acesso é permitido. Cruz branca sobre ponto vermelho: O acesso não é permitido. CSD Dial-In (Marcação CSD) Indica se são permitidas chamadas de serviço CSD remotas (ver o capítulo 8.3). Visto branco sobre ponto verde: O acesso é permitido. Cruz branca sobre ponto vermelho: O acesso não é permitido. 3.4 Definição do idioma O suporta a superfície de administração baseada na Web no idioma inglês e alemão. Figura 3-5 Selecção do idioma Automático Consoante as definições do Web browser utilizado, o selecciona o idioma da superfície de administração: Alemão, se o Web browser estiver definido em alemão Inglês, em todos os outros casos. C79000-G8979-C

32 3 Configuração Deutsch O utiliza o idioma alemão independentemente do Web browser utilizado. English O utiliza o idioma inglês independentemente do Web browser utilizado. Para mudar o idioma, active o botão GO e carregue novamente a página com o Web browser. 3.5 Configuração Para configurar o proceda da seguinte forma: Executar a configuração 1. Através do menu, ir para a área de configuração pretendida 2. na página relevante, proceder às entradas pretendidas ou eliminar as entradas actuais, ainda não gravadas, com a tecla Retroceder. 3. gravar, para que as definições sejam assumidas pelo aparelho. Figura 3-6 Barra de menus Notas Consoante a forma como configurar o, talvez seja necessário ajustar de seguida a interface da rede ou do computador ligado a nível local. Na introdução de endereços IP, insira apenas os números parciais do endereço IP sem os zeros iniciais, p. ex.: C79000-G8979-C236-02

33 3 Configuração Erros O verifica as entradas. Os erros são reconhecidos durante a gravação e o campo de entrada afectado é marcado. Figura 3-7 Erro marcado 3.6 Perfis de configuração As definições do podem ser gravadas em perfis de configuração (ficheiros) e ser novamente carregadas em qualquer altura. Figura 3-8 Manutenção > Perfis de configuração Upload Profile (Carregar o perfil) Carrega um perfil de configuração anteriormente criado e gravado no PC para o. Os ficheiros com perfis de configuração têm a extensão *.tgz. Com Durchsuchen (Procurar) pode procurar perfis de configuração no Admin-PC e com Absenden (Enviar) carrega o perfil de configuração para o. Será depois apresentado na tabela dos perfis de configuração gravados. C79000-G8979-C

34 3 Configuração Criar um perfil Grava as definições actuais do num perfil de configuração. Em primeiro lugar, atribua um nome ao perfil no campo de entrada. Com Anlegen (Criar), as definições de um perfil são gravados com esse nome e apresentadas na tabela dos perfis de configuração gravados. Saved Configuration Profiles (Perfis de configuração gravados) Download (Transferência) Carrega o perfil para o Admin-PC. Activate (Activar) O aceita as definições do perfil de configuração seleccionado e continua a funcionar com estas. Delete (Eliminar) O perfil de configuração será eliminado. O perfil Default configuration (Configuração padrão) contém as definições de fábrica e não pode ser eliminado. 3.7 Alterar a palavra-passe O acesso ao está protegido através de uma palavra-passe de acesso. Esta palavra-passe protege o acesso através da interface local à interface Web interface local à consola SSH bem como o acesso através de EGPRS ou GPRS com https à interface Web e EGPRS ou GPRS à consola SSH 34 C79000-G8979-C236-02

35 3 Configuração Figure 3-9 Access > Password Palavra-passe de acesso (definição de fábrica) A definição de fábrica para o é a seguinte: Palavra-passe: admin Nome do utilizador: sinaut (não pode ser alterado) Nota Altere a palavra-passe logo a seguir à colocação em funcionamento. A predefinição de fábrica é conhecida por todos e não oferece uma protecção eficaz. Nota O nome de utilizador para o acesso SSH é diferente do nome de utilizador da interface de administração baseada na Web. Nome do utilizador: root (não pode ser alterado) A palavra-passe corresponde à palavra-passe de acesso para o tal como determinado em cima. Nova palavra-passe de acesso (com repetição) Para alterar a palavra-passe, em New access password (Nova palavra-passe de acesso) insira a palavra-passe escolhida e repita a entrada no campo Retype new access password (Nova palavra-passe (repetição)). Com Reset (Retroceder), as entradas ainda não gravadas serão perdidas. Com Save (Gravar), a nova palavra-passe é aceite. C79000-G8979-C

36 3 Configuração 3.8 Reinício Apesar de o estar preparado para um funcionamento contínuo, por se tratar de um sistema tão complexo por vezes podem ocorrer avarias, muitas vezes causadas por influências externas. Um reinício poderá resolver estas avarias. O reinício retoma as funções do. As definições actuais correspondentes aos perfis de configuração não se alteram. Após o reinício, o continua a funcionar com estas definições. Figura 3-10 Manutenção > Reiniciar Reboot now (Reinício imediato) O reinício é imediatamente executado se clicar em Reboot (Reiniciar). Enable daily reboot (Utilizar o reinício diário) O reinício é executado automaticamente uma vez por dia se a funcionalidade for activada com Yes (Sim). Indique a hora do Reinício diário. O reinício ocorre na hora indicada. As ligações existentes serão interrompidas. Definição de fábrica Utilizar o reinício diário: Não Hora do reinício diário: 01:00 36 C79000-G8979-C236-02

37 3 Configuração 3.9 Carregar definições de fábrica As definições de fábrica do podem ser restabelecidas de diversas formas. Figura 3-11 Manutenção > Definição de fábrica Reset to factory settings (Recuperar a configuração de fábrica) Ao premir o botão Reset (Retroceder), carrega as definições de fábrica, reverte as palavras-passe e elimina os perfis de configuração gravados e os registos arquivados. Tecla de serviço (SET) A recuperação das definições de fábrica também pode ser efectuada através da tecla de serviço (SET) (ver o capítulo 2.4). Configuração padrão Se apenas for necessário carregar as definições de fábrica sem eliminar os perfis de configuração e os registos arquivados, active apenas a configuração padrão tal como descrito no capítulo 3.6. C79000-G8979-C

38 Interface local 4 A interface local é a interface do para ligação à rede local. A interface está marcada no aparelho com X2. Trata-se de uma interface de Ethernet com 10Mbit/s ou 100Mbit/s de taxa de dados. A rede local é a rede que está ligada à interface local do. A rede local contém pelo menos uma aplicação local. As aplicações locais são componentes do operador de rede na rede local, p. ex., um comando programável, uma máquina com interface de Ethernet para a monitorização externa, um Notebook ou PC ou o Admin-PC. Configure a interface local e as funcionalidades relacionadas de acordo com as suas necessidades tal como descrito neste capítulo. 4.1 Endereços IP da interface local Neste ponto, são definidos os endereços IP e as máscaras de rede através dos quais o pode ser acedido por aplicações locais. Figura 4-1 Rede interna > Definições de base > IPs locais De fábrica, o traz as seguintes definições: IP Máscara de rede C79000-G8979-C

39 4 Interface local Estes endereços IP e a máscara de rede definidos de fábrica podem ser livremente alterados, mas deveriam seguir as recomendações (RFC 1918) válidas. Local application Local application Local application MD741-1 Admin PC Local IP and netmask Figura 4-2 Representação da rede local Podem ser determinados outros endereços através das quais o pode ser acedido por aplicações locais. Isto torna-se útil quando, p. ex., a rede local se divide em subredes. Assim, várias aplicações locais podem aceder ao a partir de várias subredes e através de vários endereços. Novo Adiciona outros endereços IP e outras máscaras de rede que depois podem ser alterados. Eliminar Elimina o respectivo endereço IP e a respectiva máscara de rede. A primeira entrada não pode ser eliminada. 4.2 Servidor DHCP para a rede local O inclui um servidor DHCP (DHCP = Dynamic Host Configuration Protocol). Se o servidor DHCP estiver ligado, atribui automaticamente às aplicações ligadas à interface local do os endereços IP, as máscaras de rede, o gateway e o servidor de DNS. Para isso, é necessário que nas aplicações locais esteja activada a procura automática do endereço IP e dos parâmetros de configuração através de DHCP. C79000-G8979-C

40 4 Interface local Local application Local application Local application MD741-1 IP addresses and so forth PC with Web browser Figura 4-3 Função do servidor DHCP Figura 4-4 Rede interna > Definições de base > DHCP Start DHCP server (Iniciar o servidor DHCP) Com DHCP Server starten (Iniciar o servidor DHCP) Yes (Sim) liga o servidor DHCP do e com No (Não) desliga-o. Local netmask (Máscara de rede local) Insira aqui a máscara de rede local que deve ser atribuída às aplicações locais. Default gateway (Gateway predefinido) Insira aqui o gateway predefinido que deve ser atribuído às aplicações locais. 40 C79000-G8979-C236-02

41 4 Interface local DNS server (Servidor de DNS) Insira aqui o servidor de DNS que deve ser atribuído às aplicações locais. Enable dynamic IP address pool (Activar o conjunto de endereços IP dinâmicos) Com Yes (Sim), os endereços IP atribuídos pelo servidor DHCP ao SINAUT MD741-1 são retirados de um conjunto de endereços dinâmico. Com No (Não), os endereços IP têm de ser atribuídos aos endereços MAC das aplicações locais em Static Leases (Atribuição estática). DHCP range start (Início de área DHCP) Indica o primeiro endereço do conjunto de endereços dinâmico. DHCP range start (Final de área DHCP) Indica o último endereço do conjunto de endereços dinâmico. Static Leases (Atribuição estática) Na atribuição estática dos endereços IP, pode determinar os endereços MAC de aplicações locais dos endereços IP correspondentes. Se uma aplicação local pedir por DHCP a atribuição de um endereço IP, a aplicação transfere o seu endereço MAC em resposta ao pedido do DHCP. Se este endereço MAC tiver um endereço IP atribuído de forma estática, o SINAUT MD741-1 atribui o endereço IP correspondente à aplicação. Endereço MAC do cliente o endereço MAC da aplicação local requisitante Endereço IP do cliente endereço IP atribuído Definição de fábrica De fábrica, o traz as seguintes definições: Iniciar o servidor DHCP Não Máscara de rede local Gateway predefinido Servidor de DNS Activar o conjunto de endereços IP dinâmicos Não Início de área DHCP Final de área DHCP C79000-G8979-C

42 4 Interface local 4.3 DNS da rede local O prepara um Domain Name Server para a rede local. Na aplicação local, introduza o endereço IP do como Domain Name Server (DNS). O responderá então aos pedidos do DNS a partir da sua cache. Se não conhecer o endereço IP de um endereço de domínio, o encaminha a consulta para um DNS externo. O período de tempo em que o mantém um endereço de domínio em cache depende do anfitrião endereçado. A consulta de DNS a um DNS externo fornece não só o endereço IP como a validade dessa informação. DNS of the network provider DNS in the Internet Remote network Private DNS Local application MD741-1 Router/ Firewall (E-)GPRS APN INTERNET DNS query to MD741-1 DNS query by MD741-1 Figura 4-5 Função do DNS Como DNS externos podem ser utilizados os servidores do operador de rede, servidores da Internet ou servidores da rede externa privada. Figura 4-6 Rede interna > Definições de base > DNS 42 C79000-G8979-C236-02

43 4 Interface local Selected nameserver (Nameserver do utilizador) Seleccione o DNS que o deverá consultar: Provider Defined (Fornecedor definido) Ao estruturar a ligação ao EGPRS ou GPRS, o operador de rede transmite automaticamente um ou vários endereços de DNS. Estes serão depois utilizados. Root Nameserver (Utilizador definido) Enquanto utilizador, selecciona o(s) seu(s) DNS preferido(s). Os DNS podem estar ligados à Internet ou ser um DNS privado da sua rede. Nameserver definido pelo utilizador Quando tiver seleccionado a opção User Defined (Utilizador definido), insira o endereço IP do DNS seleccionado como Server IP Address (Endereço IP do servidor). Com New pode adicionar mais DNS. Definição de fábrica De fábrica, o traz as seguintes definições: Nameserver do utilizador Fornecedor definido Nameserver definido pelo utilizador - em entrada nova C79000-G8979-C

44 4 Interface local 4.4 Nome de anfitrião local O também pode ser acedido pela rede local através de um nome de anfitrião. Para isso, defina um nome de anfitrião, p. ex. MD741. O pode então ser acedido por um Web browser enquanto MD741, por exemplo. Figura 4-7 Rede interna > Definições de base > DNS Nota O conceito de segurança do exige que para cada aplicação local que tenha de utilizar a função de nome de anfitrião seja criada uma regra de firewall. Ver o capítulo 6.1. Se não utilizar DHCP (ver o capítulo 0), no e nas aplicações locais têm de ser inseridos manualmente caminhos de procura idênticos. Se utilizar DHCP, as aplicações locais recebem o caminho de procura inserido no de acordo com o DHCP. Definição de fábrica De fábrica, o traz as seguintes definições: Caminho de procura Nome do anfitrião exemplo.local MD C79000-G8979-C236-02

45 4 Interface local 4.5 Hora do sistema/ntp A hora do sistema do pode ser definido manualmente ou sincronizado automaticamente com um servidor horário. Figura 4-8 Sistema > Hora do sistema Definir a hora do sistema manualmente Neste ponto, defina a hora do sistema para o. Esta hora do sistema será: utilizada como marca horária para todas as entradas no registo e utilizada como base temporal para todas as funções controladas pelas horas. Seleccione o ano, o mês e o dia bem como as horas e os minutos. Activate NTP synchronization (Activar a sincronização NTP) O também pode obter a hora do sistema através de NTP (= Network Time Protocol) a partir de um servidor horário. Na Internet existe uma série de servidores horários dos quais se pode obter a hora actual de forma muito precisa através de NTP. Local timezone / region (Fuso horário local/região) Os servidores horários de NTP transmitem a UTC (= Universal Time Coordinated), ou seja, a hora mundial coordenada. Seleccione uma cidade próxima do local em que o irá funcionar e determine assim o fuso horário. A hora desse fuso horário será então utilizada como hora do sistema. C79000-G8979-C

46 4 Interface local NTP server (Servidor NTP) Clique em New (Novo) para adicionar um servidor NTP e insira o endereço IP de um servidor NTP ou utilize o servidor de NTP definido de fábrica. Podem ser indicados vários servidores de NTP em paralelo. A introdução do endereço NTP como nome de anfitrião (p. ex., servidorhorario.org) não é possível. Poll interval (Intervalo entre sincronizações) A sincronização horária ocorre de forma cíclica. O intervalo em que ocorre a sincronização é determinado de forma automática pelo. O mais tardar após 36 horas ocorre uma nova sincronização. O intervalo entre sincronizações determina quanto tempo, no mínimo, decorre até à próxima sincronização do. Nota A sincronização da hora do sistema através de NTP causa um fluxo de dados adicional nas interfaces do EGPRS ou GPRS. Consoante o contrato de participação com o operador de rede GSM, a isto associam-se custos elevados. Serve system time to local network (Preparar a hora do sistema para a rede local) O também pode servir como servidor horário de NTP para as aplicações ligadas à sua interface local do operador de rede. Para activar esta funcionalidade seleccione Yes (Sim). O servidor horário NTP do pode ser acedido através do endereço IP local definido do (ver o capítulo 0). Definição de fábrica De fábrica, o traz as seguintes definições: Fuso horário local Activar a sincronização NTP UTC Não Servidor NTP Intervalo entre sincronizações Preparar a hora do sistema para a rede local 1.1 horas Não 46 C79000-G8979-C236-02

47 4 Interface local 4.6 Rotas internas adicionais Se a rede local se dividir em subredes, pode definir rotas adicionais. Ver também Glossário. Figura 4-9 Rede interna > Rotas internas adicionais Se pretender determinar outra rota para uma subrede, clique em New (Novo). Indique o seguinte: o endereço IP da subrede (rede), mais longe o endereço IP do gateway, através do qual a subrede está ligada. Pode determinar as rotas internas de que necessitar. Se pretender eliminar uma rota interna, clique em Delete (Eliminar). Definição de fábrica De fábrica, o traz as seguintes definições: Rotas internas adicionais - Simulações para novas rotas: Não Rede: /24 Gateway: C79000-G8979-C

48 Interface externa 5 A interface externa do liga o à rede externa. Para a comunicação será utilizado o EGPRS, o GPRS ou o GSM nesta interface. Uma rede externa poderá ser a Internet ou uma Intranet privada. As estações remotas são componentes de rede na rede externa, p. ex. servidor Web na Internet, router na Intranet, servidor de empresas central, um Admin-PC e muito mais. Configure a interface externa e as funcionalidades relacionadas de acordo com as suas necessidades tal como descrito neste capítulo. 5.1 Parâmetros de acesso ao EGPRS/GPRS Para o acesso aos serviços EGPRS e GPRS e para a rede de rádio GSM de base são necessários parâmetros de acesso que lhe são fornecidos pelo operador de rede GSM. PIN Username and password APN (public) INTERNET Local application SIM MD741-1 (E-)GPRS VPN APN (private) Figura 5-1 Parâmetros de acesso C79000-G8979-C

49 5 Interface externa O PIN protege o cartão SIM de utilizadores não autorizados. O nome de utilizador e a palavra-passe protegem o acesso ao EGPRS e GPRS e o APN (Access Point Name) define a transferência do EGPRS ou GPRS para outras redes IP relacionadas, p. ex. um APN público à Internet ou um APN privado a uma Virtual Private Network (VPN). Figura 5-2 Rede externa > EDGE/GPRS PIN Insira aqui o PIN do seu cartão SIM. Obtém o PIN do seu operador de rede. O também funciona com cartões SIM sem PIN. Se for esse o caso, insira NONE (NENHUM). Nesse caso, o campo de entrada fica vazio. Nota Se não inserir uma entrada no campo de entrada do PIN, este ficará vermelho depois de gravar. Nome do utilizador Insira aqui o nome de utilizador para EGPRS e GPRS. Alguns operadores de rede GSM/GPRS abdicaram do controlo de acesso através do nome de utilizador e/ou palavra-passe. Nesse caso, insira convidado no respectivo campo. Palavra-passe Insira aqui a palavra-passe para EGPRS e GPRS. Alguns operadores de rede GSM/GPRS abdicaram do controlo de acesso através do nome de utilizador e/ou palavra-passe. Nesse caso, insira convidado no respectivo campo. APN Insira aqui o nome da transferência de EGPRS e GPRS para outras redes. C79000-G8979-C

50 5 Interface externa Encontrará o APN nos documentos do seu operador de rede GSM/GPRS, na respectiva página Web ou pelo telefone. Definição de fábrica De fábrica, o traz as seguintes definições: PIN Nome do utilizador Palavra-passe APN NONE (NENHUM) guest (convidado) guest (convidado) NONE (NENHUM) 5.2 Monitorização da ligação EGPRS/GPRS Com a função Connection Check (Verificar a ligação), o verifica a sua ligação ao EGPRS ou GPRS e às redes externas conectadas, como p. ex. à Internet ou Intranet. Para isso, o envia regularmente pacotes Ping (ICMP) a até quatro estações remotas (anfitriões de destino). Isto ocorre independentemente das ligações de dados úteis. Se o receber uma resposta de pelo menos uma destas estações a um destes Ping, o SINAUT MD741-1 ainda se encontra ligado ao EGPRS ou GPRS e está pronto a funcionar. Alguns operadores de rede interrompem as ligações em caso de inactividade. Com a funcionalidade Connection Check (Verificar a ligação) esta situação será evitada. Ping for connection monitoring Destination host on the Internet Remote network Destination host on the Intranet Local application MD741-1 Router/ Firewall (E-)GPRS APN INTERNET User data connection Figura 5-3 Monitorização da ligação Aviso Através do envio dos pacotes Ping (ICMP) aumenta o número dos dados recebidos através de EGPRS ou GPRS. Isto pode levar a aumentos dos custos. 50 C79000-G8979-C236-02

51 5 Interface externa Figura 5-4 Rede externa > Definições avançadas > Verificar a ligação Enable connection check (Verificar a ligação) Com Yes (Sim) a funcionalidade é activada. Ping Targets Hostname (Anfitriões de destino Nome de anfitrião) Seleccione até quatro estações remotas a que o possa aceder. As estações remotas têm de estar sempre contactáveis e responder ao Ping. Nota Certifique-se de que as estações remotas seleccionadas não são afectadas. Connection check interval (minutes) (Intervalo para verificação da ligação (minutos)) Determina o intervalo em que os pacotes Ping da monitorização da ligação do são enviados. A indicação ocorre em minutos. Allowable number of failures (Número das tentativas falhadas permitidas) O envia pacotes Ping em simultâneo a todas as estações remotas (anfitriões de destino) definidas. Se pelo menos uma estação remota responder, isso significa que o teste à ligação decorreu com êxito. Se nenhuma estação remota responder, trata-se de uma tentativa falhada. No fim do intervalo definido, o processo é repetido. Se agora responder uma das estações remotas, o contador de tentativas falhadas é reposto. Se o número de tentativas de erro for atingido, será iniciada a acção em caso de ligação imperfeita. C79000-G8979-C

52 5 Interface externa Activity on faulty connection (Acção em caso de ligação imperfeita) Renew Connection (Renovar a ligação) O estabelece novamente a ligação ao EGPRS ou GPRS no caso de os pacotes Ping enviados não terem sido respondidos. Reboot MD741-1 (Reinício do MD741-1) O executa um reinício no caso de os pacotes Ping enviados não terem sido respondidos. Definição de fábrica De fábrica, o traz as seguintes definições: Verificar a ligação Não (desligado) Nome do anfitrião - Intervalo para monitorização da ligação Número das tentativas falhadas permitidas Acção em caso de ligação imperfeita 5 (minutos) 3 (tentativas falhadas) Renovar a ligação 52 C79000-G8979-C236-02

53 5 Interface externa 5.3 Nome de anfitrião através de DynDNS Os Domain Name Server dinâmicos (DynDNS ) possibilitam às aplicações da Internet ser acedidas através de um nome de anfitrião (p. ex. myhost.org), mesmo se essas aplicações não tiverem um endereço IP definido e o nome de anfitrião não estiver registado. Se registar o num serviço DynDNS também será possível aceder ao a partir da rede externa através de um nome de anfitrião, p. ex. mysinaut.dyndns.org. INFO: IP address + hostname DynDNS Question: IP for the hostname External network Local application MD741-1 Response: IP (E-)GPRS APN INTERNET Router/ Firewall User data connection Figura 5-5 Ligação DynDNS Mais informações sobre o DynDNS podem ser encontradas no Glossário. Figura 5-6 Rede externa > Definições avançadas > DynDNS Log this on to a DynDNS server (Registar este MD741-1 num servidor DynDNS) Seleccione Yes (Sim) se pretender utilizar um serviço DynDNS. C79000-G8979-C

54 5 Interface externa DynDNS provider O é compatível com dyndns.org. DynDNS username / password (Nome de utilizador/palavra-passe do DynDNS) Introduza aqui o nome de utilizador e a palavra-passe que o autorizam a utilizar o serviço DynDNS. O fornecedor de DynDNS fornece-lhe estes dados. DynDNS hostname (Nome de anfitrião DynDNS) Introduza aqui o nome de anfitrião que combinou para o com o fornecedor de DynDNS, p. ex. mysinaut.dyndns.org. Definição de fábrica De fábrica, o traz as seguintes definições: Registar o MD741-1 num servidor DynDNS Nome de utilizador DynDNS Palavra-passe DynDNS Nome de anfitrião DynDNS Não (desligado) guest (convidado) guest (convidado) myname.dyndns.org 54 C79000-G8979-C236-02

55 Funcionalidades de segurança Filtros de pacote O contém uma Stateful Inspection Firewall. Este é um método para a filtragem de pacotes. Os filtros de pacotes apenas deixam passar os pacotes se tal tiver sido definido anteriormente através de regras da firewall. Na regra da firewall será definido o seguinte: qual protocolo (TCP, UDP, ICMP) pode passar, a origem permitida dos pacotes IP (From IP / From Port (de IP/da porta)) o destino permitido dos pacotes IP (Nach IP / Nach Port (para IP/para a porta)) Da mesma forma, é aqui definido qual o procedimento a ter com os pacotes que não podem passar, p. ex. se são rejeitados ou recambiados. Num filtro de pacotes simples têm de ser sempre criadas duas regras de firewall para uma ligação: Uma regra para a orientação da consulta da origem para o destino e uma segunda regra para a orientação da resposta do destino para a origem. Se o tiver uma Stateful Inspection Firewall, o caso é diferente. Aqui apenas será criada uma regra de firewall para a orientação da consulta da origem para o destino. A regra de firewall para a orientação da resposta do destino para a origem resulta da análise dos dados anteriormente enviados. A regra de firewall para as respostas é novamente encerrada após recepção das respostas ou depois de decorrido um período curto de tempo. Assim, as respostas apenas podem ocorrer se tiver havido uma consulta. Assim, a regra de resposta não pode ser utilizada para acessos não autorizados. Procedimentos especiais também possibilitam a passagem de dados UDP e ICMP, apesar de estes dados não terem sido pedidos anteriormente. C79000-G8979-C

56 6 Funcionalidades de segurança Figura 6-1 Segurança > Filtros de pacote Firewall Rules (Incoming) (Regras de firewall de entrada) Com as regras de firewall de entrada é determinado qual deve ser o procedimento com pacotes IP recebidos de redes externas (p. ex. Internet) através de EGPRS ou GPRS. A origem é o emissor destes pacotes IP. O destino são as aplicações locais no. Em relação à definição de fábrica não está por enquanto definida uma regra de firewall de entrada, o que significa que não podem passar pacotes IP. New (Novo) Adiciona outra regra de firewall que depois poderá ser preenchida. Delete (Eliminar) Volta a eliminar regras de firewall criadas. Protocol (Protocolo) Seleccione o protocolo para o qual esta regra deve valer. Pode escolher entre TCP, UDP, ICMP. Se seleccionar Alle (Todos), a regra é válida para todos os protocolos. From IP (De IP) Insira o endereço da estação remota externa que pode enviar pacotes IP para a rede local. Para isso, indique o endereço IP ou um intervalo IP da estação remota /0 significa todos os endereços. Para indicar um intervalo, utilize a forma de escrita CIDR ver Glossário From Port (De porta) Insira a porta a partir da qual a estação remota pode enviar pacotes IP (apenas é avaliado nos protocolos TCP e UDP). 56 C79000-G8979-C236-02

57 6 Funcionalidades de segurança To IP (Para IP) Insira os endereços IP para os quais podem ser enviados pacotes IP na rede local. Insira o endereço IP ou um intervalo IP da aplicação na rede local /0 significa todos os endereços. Para indicar uma área, utilize a forma de escrita CIDR ver Glossário. To Port (Para porta) Insira a porta para a qual a estação remota pode enviar pacotes IP. Action (Acção) Seleccione, qual deve ser o procedimento com pacotes IP de entrada: Accept (Permitir) Os pacotes de dados podem passar, Reject (Recambiar) Os pacotes de dados são recambiados, o remetente recebe a respectiva mensagem, Drop (rejeitar) Os pacotes de dados são rejeitados sem mensagem para o remetente. Firewall Rules (Outgoing) (Regras de Firewall de saída) Com as regras de firewall de saída é determinado qual deve ser o procedimento a seguir para pacotes IP recebidos pela rede local. A origem é uma aplicação na rede local. O destino é uma estação remota externa, p. ex. na Internet ou numa rede privada. Segundo a definição de fábrica não está por enquanto definida uma regra de firewall de saída, o que significa que não podem passar pacotes IP. New (Novo) Adiciona outra regra de firewall que depois poderá ser preenchida. Protocol (Protocolo) Seleccione o protocolo para o qual esta regra deve valer. Pode escolher entre TCP, UDP, ICMP. Se seleccionar Alle (Todos), a regra é válida para todos os protocolos. From IP (De IP) Insira o endereço IP da aplicação local que pode enviar pacotes IP para a rede externa. Insira o endereço IP ou um intervalo IP da aplicação local /0 significa todos os endereços. Para indicar um intervalo, utilize a forma de escrita CIDR ver Glossário. From Port (De porta) Insira a porta a partir da qual a aplicação local pode enviar pacotes IP. Para tal, introduza o número da porta. (apenas será avaliado nos protocolos TCP e UDP) C79000-G8979-C

58 6 Funcionalidades de segurança Action (Acção) Seleccione, qual deve ser o procedimento com pacotes IP de saída: Accept (Permitir) O pacote de dados pode passar, Reject (Recambiar) Os pacotes de dados são recambiados, o remetente recebe a respectiva mensagem, Drop (Rejeitar) Os pacotes de dados são rejeitados sem mensagem para o remetente. Regras de firewall de entrada/saída Log (Registo) Para cada regra de firewall pode determinar se na aplicação da regra o evento deve ser protocolado Definir Log (Registo) para Yes (Sim) ou não Definir Log (Registo) para No (Não) (predefinição de fábrica) O protocolo será registado no registo da firewall. Ver o capítulo 6.4. Log Unknown Connection Attempts (Entradas do registo para tentativas de ligação desconhecidas) Com esta funcionalidade, todas as tentativas de ligação que não estejam abrangidas pelas regras são protocoladas. Definição de fábrica De fábrica, o traz as seguintes definições: Firewall de entrada Regras de firewall de entrada Protocolo - (Tudo bloqueado) Todos De IP /0 De porta Todos Para IP /0 Para porta Acção Registo Entradas do registo para tentativas de ligação desconhecidas Entradas do registo para tentativas de ligação desconhecidas Todos Permitir Não (desligado) Não (desligado) Não (desligado) 58 C79000-G8979-C236-02

59 6 Funcionalidades de segurança Firewall de saída Regras de firewall de saída Protocolo - (Tudo bloqueado) Todos De IP /0 De porta Todos Para IP /0 Para porta Acção Registo Entradas do registo para tentativas de ligação desconhecidas Todos Permitir Não (desligado) Não (desligado) 6.2 Port Forwarding Se existir uma regra para o Port Forwarding, então os pacotes de dados que entrarem numa porta IP definida do através da rede externa são reencaminhados. Os pacotes de dados de entrada são depois reencaminhados para um endereço e número de porta IP definido na rede local. O Port Forwarding pode ser configurado para TCP ou UDP. No Port Forwarding ocorre o seguinte: o cabeçalho de pacotes de dados de entrada da rede externa dirigidos ao endereço IP externo do bem como a uma determinada porta são reescritos de forma a serem reencaminhados na rede interna para um determinado computador e para uma determinada porta desse computador. Ou seja, o endereço IP e o número da porta no cabeçalho de pacotes de dados de entrada são alterados. Este procedimento também é denominado Destino NAT ou Port Forwarding. Nota Para que pacotes de dados de entrada possam ser reencaminhados para o endereço IP na rede local, tem de ser criada uma regra de firewall de entrada para esse endereço IP no filtro de pacotes. Ver o capítulo 6.1. C79000-G8979-C

60 6 Funcionalidades de segurança Figura 6-2 Segurança > Port Forwarding New (Novo) Adiciona outra regra de reencaminhamento que depois poderá ser preenchida. Delete (Eliminar) Volta a eliminar regras de reencaminhamento criadas. Protocol (Protocolo) Indique aqui o protocolo (TCP ou UDP) em que a regra se deve basear. Destination port (Entrar na porta) Indique aqui o número da porta (p. ex. 80) onde os pacotes de dados da rede externa que serão reencaminhados devem chegar. Forward to IP (Reencaminhar para IP) Indique aqui o endereço IP na rede local para onde devem ser reencaminhados os pacotes de dados de entrada. Forward to port (Reencaminhar para porta) Indique aqui o número da porta (p. ex. 80) na rede local para onde devem ser reencaminhados os pacotes de dados de entrada. Definição de fábrica De fábrica, o traz as seguintes definições: Regras para o reencaminhamento - Protocolo Todos Reencaminhar para IP Reencaminhar para porta 80 Registo Não (desligado) 60 C79000-G8979-C236-02

61 6 Funcionalidades de segurança 6.3 Funcionalidades de segurança avançadas As funcionalidades de segurança avançadas servem para proteger o SINAUT MD741-1 e as aplicações locais contra ataques. Para fins de protecção, é assumido que apenas um determinado número de ligações ou pacotes Ping recebidos são autorizados e desejados e que no caso de um amontoar repentino esteja a ocorrer um ataque. Figura 6-3 Segurança > Avançada Maximum number (Número máximo ) As entradas Maximum number of parallel connections (Número máximo de ligações simultâneas) Maximum number of new incoming TCP connections per second (Número máximo de ligações TCP novas de entrada por segundo) Maximum number of new outgoing TCP connections per second (Número máximo de ligações TCP novas de saída por segundo) Maximum number of new incoming ping packets per second (Número máximo de pacotes Ping novos de entrada por segundo) Maximum number of new outgoing ping packets per second (Número máximo de pacotes Ping novos de saída por segundo) definem limites superiores. As predefinições (ver figura) estão seleccionadas de modo a nunca serem atingidas numa utilização prática e normal. No caso de ataques, contudo, são facilmente atingidos pelo que através da limitação se estabelece uma protecção adicional. Se o seu ambiente de trabalho tiver exigências especiais, pode alterar os valores respectivamente. C79000-G8979-C

62 6 Funcionalidades de segurança External ICMP to the (ICMP de externo para MD741-1) Com esta opção pode influenciar o comportamento na recepção de pacotes ICMP que forem enviados da rede externa na direcção do. Tem as seguintes possibilidades: Drop (Rejeitar): Todos os pacotes ICMP enviados para o são rejeitados. Ping Erlauben (Permitir Ping): Apenas pacotes Ping (ICMP Tipo 8) enviados para o serão aceites. Accept (Permitir): Todos os pacotes ICMP enviados para o são aceites. Definição de fábrica De fábrica, o traz as seguintes definições: Número máximo de ligações simultâneas 4096 Número máximo de ligações TCP novas de entrada por segundo Número máximo de ligações TCP novas de saída por segundo Número máximo de pacotes Ping novos de entrada por segundo 3 Número máximo de pacotes Ping novos de saída por segundo 5 ICMP de externo para MD741-1 Rejeitar 62 C79000-G8979-C236-02

63 6 Funcionalidades de segurança 6.4 Firewall Log (Registo da firewall) No registo da firewall é registado quando foram aplicadas regras individuais da firewall. Para tal tem de estar activada a funcionalidade LOG para as diferentes funcionalidades da firewall. Figura 6-4 Segurança > Registo da firewall Nota O registo da firewall é perdido sempre que houver um reinício. C79000-G8979-C

64 Ligações VPN 7 O pode ligar a rede local a uma rede remota segura através de um túnel VPN. Os pacotes de dados IP, trocados entre as duas redes, são codificados e estão protegidos contra manipulações não autorizadas pelo túnel VPN. Assim também se podem utilizar redes públicas não protegidas como a Internet para o transporte de dados sem arriscar a confidencialidade ou a integridade dos mesmos. Figura 7-1 VPN do IPSec > Ligações Para que o possa criar um túnel VPN, a rede remota tem de dispor de um gateway VPN como posto de destino do. Local network Remote network Admin PC Local applikation MD741-1 (E-)GPRS APN INTERNET VPN gateway Ad Local application VPN tunnel Figura 7-2 Ligação VPN C79000-G8979-C

65 7 Ligações VPN O utiliza o procedimento IPsec para o túnel da VPN no modo de túnel. Desta forma, os pacotes de dados IP a transferir são completamente codificados e é-lhes atribuído um novo cabeçalho antes de serem enviados para o gateway VPN da estação remota. Uma vez lá, os pacotes de dados recebidos são descodificados e transformados nos pacotes de dados originais. Estes serão depois encaminhados para o destino na rede remota. Distingue-se entre dois modos das ligações VPN: No modo VPN Roadwarrier, o pode aceitar ligações VPN de estações remotas com endereço desconhecido. Estas podem ser, por exemplo, estações remotas móveis que procuram o seu endereço IP de forma dinâmica. A ligação VPN tem de ser estabelecida pela estação remota. Apenas é possível uma ligação VPN no modo Roadwarrier. As ligações VPN no modo padrão, por outro lado, podem funcionar em paralelo. No modo VPN padrão tem de ser conhecido o endereço (IP ou nome de anfitrião) do gateway de VPN da estação remota para que a ligação VPN possa ser estabelecida. A ligação VPN pode ser estabelecida pelo SINAUT MD741-1 ou pelo gateway de VPN da estação remota. O estabelecimento da ligação VPN está dividida em duas fases. Em primeiro lugar, na fase 1 (ISAKMP = Internet Security Association and Key Management Protocol) é estabelecida a relação de segurança (SA = Security Association) para a troca de códigos entre o e o gateway de VPN da estação remota. Em seguida, na fase 2 (IPsec = Internet Protocol Security) é estabelecida a relação de segurança (SA = Security Association) para a ligação IPsec entre o e o gateway de VPN da estação remota. Requisitos do gateway de VPN da rede remota Para que uma ligação IPsec possa ser estabelecida com êxito, a estação remota de VPN tem de suportar o IPsec com a seguinte configuração: Autentificação através de certificados X.509, certificados CA ou Pre-Shared Key (PSK) ESP Grupo Diffie-Hellman 1, 2 ou 5 Encriptação 3DES ou AES Algoritmos MD5 ou SHA-1 Hash Modo de túnel Modo rápido Modo principal SA Lifetime (1 segundo até 24 horas) C79000-G8979-C

66 7 Ligações VPN Se a estação remota for um computador com o Windows 2000, tem de estar também instalado o Microsoft Windows 2000 High Encryption Pack ou pelo menos o Service Pack 2. Se a estação remota estiver atrás de um router NAT, então tem de suportar NAT- T. Ou então o router NAT tem de conhecer o protocolo IPsec (IPsec/VPN Passthrough). 7.1 Modo Roadwarrier VPN O modo Roadwarrier possibilita à VPN do SINAUT MD741 aceitar uma ligação VPN iniciada por uma estação remota com endereço IP desconhecido. A estação remota tem de se autenticar correctamente; no entanto, nesta ligação VPN, abdica-se da identificação da estação remota com base no endereço IP ou do nome de anfitrião da estação remota. Figura 7-3 VPN do IPSec > Modo Roadwarrier Configure o em conformidade com o acordado com o administrador de sistema da estação remota. 66 C79000-G8979-C236-02

67 7 Ligações VPN Roadwarrior Mode Edit Settings (Modo Roadwarrier - Editar as definições) Figura 7-4 Modo Roadwarrier > Editar as definições Authentication method (Procedimento de autenticação) Seleccione o procedimento de autenticação em conformidade com o acordado com o administrador de sistema da estação remota. O suporta três procedimentos: Certificado X.509 Certificado CA Pre-Shared Key Certificado X.509, Certificado CA Nos procedimentos de autenticação Certificado X.509 e Certificado CA são utilizados códigos para a autenticação que foram anteriormente assinados por um posto certificado (CA = Certification Authority). Estes procedimentos são considerados especialmente seguros. Um CA pode ser um prestador de serviços, mas também, p. ex., o administrador de sistema do seu projecto, desde que este disponha das ferramentas de software necessárias. O CA cria para ambas as estações remotas de uma ligação VPN um ficheiro de certificação (PKCS12) com a extensão *p12. Este ficheiro de certificação contém o código público e privado da própria estação, o certificado assinado do CA e o código público do CA. Durante o procedimento de certificação X.509 existe adicionalmente para cada uma das duas estações um ficheiro de código (*.pem, *.cer ou *.crt) com o código público da própria estação. C79000-G8979-C

68 7 Ligações VPN Certificado X.509 A troca dos códigos públicos (ficheiro com extensão *.pem, *.cer ou *.crt) entre o e o gateway de VPN da estação remota ocorre manualmente, p. ex. através de CD-ROM ou correio electrónico. O carregamento do certificado ocorre de acordo com o capítulo 7.3. Certificado CA A troca do código aberto entre o e o gateway de VPN da estação remota ocorre através da ligação de dados na estruturação da ligação VPN. Uma troca manual de ficheiros de códigos não é necessária. Pre-Shared Secret Key (PSK) Este procedimento é principalmente suportado através de implementações de IPsec mais antigos. A autenticação ocorre através de uma sequência de sinais anteriormente combinada. Para atingir um nível de segurança elevado, a sequência de sinais deverá ter aprox. 30 caracteres aleatórios maiúsculos, minúsculos e dígitos. Remote certificate (Certificado da estação remota) Se o procedimento de autenticação for o Certificado X.509, será aqui apresentada a lista dos certificados da estação remota que já foram carregados para o SINAUT MD O certificado para a ligação VPN deve ser seleccionado. Remote ID, Local ID (ID remota, ID local) A ID local e a ID remota são utilizadas pelo IPsec para identificar as estações remotas no estabelecimento da ligação VPN de forma inequívoca. A própria ID local cria a ID remota da estação remota e o inverso. Na autenticação com o Certificado X.509 ou Certificado CA: Mantendo a definição de fábrica NONE (NENHUM), os Distinguished Names do próprio certificado e do certificado da estação remota são automaticamente aceites como ID local e ID remota. Se se alterar a entrada manualmente para a ID local ou remota, então as entradas correspondentes da estação remota têm de ser ajustadas. A entrada manual para a ID local ou remota tem de ocorrer no formato ASN.1, p. ex. "C=XY/O=XY Org/CN=xy.org.org" Na autentificação com Pre-Shared Secret Key (PSK): No modo Roadwarrier tem de ser inserida a ID remota manualmente. A ID remota tem de ter o formato de um nome de anfitrião (p. ex. RemoteStation.de) ou o formato de um endereço de (remote@station.de) e corresponder à ID local da estação remota. A ID local pode permanecer com NONE. Neste caso, o endereço IP é utilizado com endereço IP local. Se se inserir uma ID local, esta tem de ter o formato de um nome de anfitrião (p. ex. RemoteStation.de) ou o formato de um endereço de (remote@station.de) e corresponder à ID remota da estação remota. 68 C79000-G8979-C236-02

69 7 Ligações VPN Roadwarrier Mode - Edit IKE (Modo Roadwarrier - Editar IKE) Definição das características da ligação VPN consoante os requisitos e o acordado com o administrador da estação remota. Figura 7-5 Modo Roadwarrier > Processar as definições ISAKMP-SA encryption, IPsec-SA encryption (Codificação ISAKMP-SA, Codificação IPSec-SA) Campo de selecção para definir o procedimento de codificação acordado com o administrador da estação remota para o ISAKMP-SA e o IPSec-SA. O SINAUT MD741-1 suporta os seguintes procedimentos: 3DES-168 AES-128 AES-192 AES-256 3DES-168 é um procedimento utilizado com frequência e está por esse motivo definido como padrão. O procedimento pode ser definido de forma diferente para ISAKMP-SA e IPSec. C79000-G8979-C

70 7 Ligações VPN Nota: Quantos mais bits tiver um algoritmo de codificação (indicado pelo número anexado), mais seguro se torna. O procedimento ES-256 é por isso considerado o mais seguro. Claro que quanto mais comprido for o código, mais demorado e mais exigente para as capacidades matemáticas se torna o procedimento de codificação. ISAKMP-SA Hash, IPSec-SA Hash Campo de selecção para definir o procedimento que deve ser utilizado para o cálculo de montantes de verificação/hash durante a fase de ISAKMP e de IPSec. Pode escolher entre: MD5 ou SHA-1 (Reconhecimento automático) MD5 SHA-1 O procedimento pode ser definido de forma diferente para ISAKMP-SA e IPSec. ISAKMP-SA mode (Modo ISAKMP-SA) Campo de selecção para definir o procedimento que deve ser utilizado para regatear o ISAKMP-SA. Pode escolher entre: Main mode (Modo principal) Aggressive mode (Modo agressivo) Nota: Na utilização do procedimento de autentificação Pre-Shared Key tem de se definir o modo agressivo no modo Roadwarrier. ISAKMP-SA lifetime, IPsec-SA lifetime (Duração do ISAKMP-SA, Duração do IPSec-SA) Os códigos de uma ligação IPsec são renovados em determinados intervalos para aumentar a dificuldade de um ataque ocorrer a uma ligação IPsec. Campo de entrada para definir a duração dos códigos acordados para o ISAKMP- SA e IPSec-SA (em segundos). A duração pode ser definida de forma diferente para ISAKMP-SA e IPSec-SA. 70 C79000-G8979-C236-02

71 7 Ligações VPN NAT-T É possível que entre o e o gateway de VPN da rede remota exista um router NAT. Nem todos os routers NAT deixam passar os pacotes de dados IPsec. Por isso, pode ser necessário encapsular os pacotes de dados IPsec e UPD para conseguirem passar o router NAT. On (Ligado) Se o reconhecer um router NAT que não deixa passar os pacotes de dados IPsec inicia automaticamente o encapsulamento UDP. Force (Obrigar): Ao regatear os parâmetros da ligação VPN é exigido que os pacotes de dados sejam transferidos encapsulados durante a ligação. Off (Desligado): A função NAT-T está desactivada. Enable dead peer detection (Activar o Dead Peer Detection) Se a estação remota suportar o protocolo DPD, cada parceiro pode reconhecer se a ligação IPsec ainda está válida ou se necessita de ser novamente estabelecida. Consoante a configuração, sem DPD é necessário esperar até ao término da duração do SA ou iniciar novamente a ligação manualmente. Para verificar se a ligação IPsec ainda está válida, o próprio DPD envia consultas DPD para a estação remota. Se não receber resposta, a ligação IPsec será considerada interrompida depois de decorrido o número de tentativas falhadas permitidas. Aviso Através do envio de consultas DPD aumenta o número dos dados recebidos e enviados através de EGPRS ou GPRS. Isto pode levar a aumentos dos custos. Yes (Sim) O DPD está activado. Independentemente da transmissão de dados úteis, o reconhece uma perda da ligação e espera pelo novo estabelecimento da ligação através das estações remotas. No (Não) O DPD é desactivado. C79000-G8979-C

72 7 Ligações VPN DPD - delay (seconds) (Atraso do DPD (segundos))duração em segundos após a qual as consultas DPD devem ser enviadas. Estas consultas testam se a estação remota ainda está disponível. DPD - timeout (seconds) (Validade do DPD (segundos)) Duração em segundos após a qual a ligação à estação remota deverá ser considerada inválida se não forem obtidas respostas às consultas do DPD. DPD - maximum failures (DPD Número máximo de tentativas falhadas) Número das tentativas falhadas permitidas antes de a ligação IPsec ser considerada interrompida. Definição de fábrica De fábrica, o traz as seguintes definições: Nome Activado Todos Não (desligado) Procedimento de autenticação Certificado X.509 ID remota ID local NONE (NENHUM) NONE (NENHUM) Certificado da estação remota - Codificação ISAKMP-SA Codificação IPsec-SA ISAKMP-SA Hash IPSec-SA Hash Modo ISAKMP-SA 3DES-168 3DES-168 MD5 MD5 Principal Duração ISAKMP-SA (segundos) Duração IPSec-SA (segundos) NAT-T Activar o Dead Peer Detection Ligado Sim Atraso do DPD (segundos) 150 Validade do DPD (segundos) 60 DPD Número máximo de tentativas falhadas 5 72 C79000-G8979-C236-02

73 7 Ligações VPN 7.2 Modo padrão da VPN IPsec São apresentadas as ligações VPN já criadas. É possível activar ou desactivar cada ligação individualmente (Activado = Yes (Sim), Desactivado = No (Não). Com New (Novo) podem ser adicionadas outras ligações VPN, com Edit Settings (Processar definições) e Advanced Settings (Processar IKE) podem ser definidas e com Delete (Eliminar) podem ser eliminadas. Figura 7-6 VPN do IPSec > Modo padrão VPN Standard Mode - Edit Settings (Modo padrão da VPN Processar as definições) Figura 7-7 Modo padrão da VPN > Processar as definições C79000-G8979-C

74 7 Ligações VPN Connection name (Nome da ligação) Aqui deve ser inserido um nome para a nova ligação. Remote host (Endereço do gateway da VPN da estação remota) Local network Campo de entrada para o endereço da estação remota, seja como nome de anfitrião (p. ex. myadress.com) ou como endereço IP. Remote network Admin PC MD741-1 Address of the remote network Admin PC Local application (E-)GPRS APN INTERNET VPN gateway External remote stations Local application VPN tunnel Figura 7-8 Anfitrião remoto > Endereço da estação remota Certificado X.509, Certificado CA Nos procedimentos de autenticação Certificado X.509 e Certificado CA são utilizados códigos para a autenticação que foram anteriormente assinados por um posto certificado (CA = Certification Authority). Estes procedimentos são considerados especialmente seguros. Um CA pode ser um prestador de serviços, mas também, p. ex., o administrador de sistema do seu projecto, desde que este disponha das ferramentas de software necessárias. O CA cria para ambas as estações remotas de uma ligação VPN um ficheiro de certificação (PKCS12) com a extensão *p12. Este ficheiro de certificação contém o código público e privado da própria estação, o certificado assinado do CA e o código público do CA. No procedimento de certificação X.509 existe adicionalmente para cada uma das duas estações um ficheiro de código (*.pem, *.cer ou *.crt) com o código público da própria estação. Certificado X.509 A troca dos códigos públicos (ficheiro com extensão *.pem, *.cer ou *.crt) entre o e o gateway de VPN da estação remota ocorre manualmente, p. ex. através de CD-ROM ou . Para carregar o certificado, consulte o capítulo 7.3. Certificado CA A troca dos códigos abertos entre o e o gateway de VPN da estação remota ocorre através da ligação de dados no estabelecimento da ligação VPN. Não é necessária a troca manual de ficheiros de códigos. 74 C79000-G8979-C236-02

75 7 Ligações VPN Pre-Shared Secret Key (PSK) Este procedimento é principalmente suportado através de implementações de IPsec mais antigas. A autenticação ocorre através de uma sequência de sinais anteriormente combinada. Para atingir um nível de segurança elevado, a sequência de sinais deverá ter aprox. 30 caracteres aleatórios maiúsculos, minúsculos e dígitos. Remote ID, Local ID (ID remota, ID local) A ID local e a ID remota são utilizadas pelo IPsec para identificar de forma inequívoca as estações remotas no estabelecimento da ligação VPN. Na autenticação com o Certificado X.509 ou Certificado CA: Mantendo a definição de fábrica NONE (NENHUM), os Distinguished Names do próprio certificado e do certificado da estação remota são automaticamente aceites e utilizados como ID local e ID remota. Se se alterar a entrada manualmente para a ID local ou remota, então as entradas correspondentes da estação remota têm de ser ajustadas. A própria ID local tem de corresponder à ID remota da estação remota e o inverso. As entradas para a ID local ou remota têm de ocorrer no formato ASN.1, p. ex. "C=XY/O=XY Org/CN=xy.org.org" Na autentificação com Pre-Shared Secret Key (PSK): Ao manter a definição de fábrica NONE (NENHUM), será automaticamente aceite o próprio endereço IP como ID local e o endereço IP da estação remota como ID remota. Se se alterar a entrada para a ID local ou remota manualmente, as entradas terão de ter o formato de um nome de anfitrião (p. ex. RemoteStation.de) ou o formato de um endereço de correio electrónico (remote@station.de). A própria ID local tem de corresponder à ID remota da estação remota e o inverso. Nota: Se em Pre-Shared Secret Key (PSK) não for utilizado o endereço IP como ID remota, então terá de ser definido o modo agressivo como modo ISAKMP-SA. Scalance S ID Quando é carregado o certificado de uma Scalance S para o pode ler a ID remota do certificado premindo a tecla Scalance S ID. O valor lido é depois inserido como ID remota. Wait for remote connection (Esperar por uma ligação da estação remota) Yes (Sim) O espera que o gateway da VPN da rede remota inicie o estabelecimento da ligação VPN. C79000-G8979-C

76 7 Ligações VPN No (Não) O inicia o estabelecimento da ligação. Remote net address (Endereço da rede remota) Campo de entrada para o endereço IP (p. ex ) da rede remota. A rede remota pode ser apenas um computador. Local network Gegenüberliegendes Netz Admin PC Address of the local network Address of the remote network Admin PC MD741-1 Local applikation (E-)GPRS APN INTERNET VPN gateway External remote stations Local application VPN tunnel Figura 7-9 Endereço da rede remota Remote subnet mask (Máscara da rede remota) Campo de entrada para a máscara de rede (p. ex ) da rede remota. A rede remota pode ser apenas um computador. Local net address (Endereço da rede local) Campo de entrada para o endereço IP (p. ex ) da rede local. A rede local pode ser apenas um computador. Local subnet subnet mask (Máscara da rede local) Campo de entrada para a máscara de rede (p. ex ) da rede local. A rede local pode ser apenas um computador. Firewall rules for VPN tunnel (Regras de firewall para túneis de VPN) Ver o capítulo 7.4. VPN VPN Standard Mode - Edit IKE (Modo padrão da VPN Processar IKE) Definição das características da ligação VPN consoante os requisitos e o acordado com o administrador da estação remota. 76 C79000-G8979-C236-02

77 7 Ligações VPN Figura 7-10 Modo padrão da VPN > Processar IKE ISAKMP-SA encryption, IPsec-SA encryption (Codificação ISAKMP-SA, Codificação IPSec-SA) Campo de selecção para o procedimento de codificação que deve ser utilizado para o ISAKMP-SA e o IPSec-SA. O suporta os seguintes procedimentos: 3DES-168 AES-128 AES-192 AES-256 3DES-168 é um procedimento utilizado com frequência e está por esse motivo definido como padrão. O procedimento pode ser definido de forma diferente para ISAKMP-SA e IPSec. Nota: Quantos mais bits tiver um algoritmo de codificação (indicado pelo número anexado), mais seguro se torna. O procedimento ES-256 é por isso considerado o mais seguro. Claro que quanto mais comprido for o código, mais demorado e mais exigente para as capacidades matemáticas se torna o procedimento de codificação. C79000-G8979-C

78 7 Ligações VPN ISAKMP-SA Hash, IPSec-SA Hash Campo de selecção para o procedimento para o cálculo de montantes de verificação/hash durante a fase de ISAKMP e de IPSec. Pode escolher entre: MD5 ou SHA-1 (Reconhecimento automático) MD5 SHA-1 O procedimento pode ser definido de forma diferente para ISAKMP-SA e IPSec. ISAKMP-SA mode (Modo ISAKMP-SA) Campo de selecção para o procedimento para regatear o ISAKMP-SA. Pode escolher entre: Main mode (Modo principal) Aggressive mode (Modo agressivo) DH/PFS group (Grupo DH/PFS) Campo de selecção para o grupo DH, utilizado para a troca de códigos. ISAKMP-SA lifetime, IPsec-SA lifetime (Duração do ISAKMP-SA, Duração do IPSec-SA) Os códigos de uma ligação IPsec são renovados em determinados intervalos para aumentar a dificuldade de um ataque ocorrer a uma ligação IPsec. Campo de entrada para definir a duração dos códigos acordados para o ISAKMP- SA e IPSec-SA (em segundos). A duração pode ser definida de forma diferente para ISAKMP-SA e IPSec-SA. NAT-T É possível que entre o e o gateway de VPN da rede remota exista um router NAT. Nem todos os routers NAT deixam passar os pacotes de dados IPsec. Por isso, pode ser necessário encapsular os pacotes de dados IPsec e UPD para conseguirem passar o router NAT. On (Ligado) Se o reconhecer um router NAT que não deixa passar os pacotes de dados IPsec inicia automaticamente o encapsulamento UDP. Force (Obrigar) Ao regatear os parâmetros da ligação VPN é exigido que os pacotes de dados sejam transferidos encapsulados durante a ligação. 78 C79000-G8979-C236-02

79 7 Ligações VPN Off (Desligado) A função NAT-T está desactivada. Enable dead peer detection (Activar o Dead Peer Detection) Se a estação remota suportar o protocolo DPD, cada parceiro pode reconhecer se a ligação IPsec ainda está válida ou se necessita de ser novamente estabelecida. Consoante a configuração, sem o DPD é necessário esperar até ao término da duração do SA ou iniciar novamente a ligação manualmente. Para verificar se a ligação IPsec ainda está válida, o próprio DPD envia consultas DPD para a estação remota. Se não receber resposta, a ligação IPsec será considerada interrompida depois de decorrido o número de tentativas falhadas permitidas. Aviso Através do envio de consultas DPD aumenta o número dos dados recebidos e enviados através de EGPRS ou GPRS. Isto pode levar a aumentos dos custos. Yes (Sim) O DPD está activado. Será tentado estruturar novamente a ligação IPsec se esta for declarada inactiva independentemente da transferência de dados úteis. No (Não) O DPD está desactivado. DPD - delay (seconds) (Atraso do DPD (segundos)) Duração em segundos após a qual as consultas DPD devem ser enviadas. Estas consultas testam se a estação remota ainda está disponível. DPD - timeout (seconds) (Validade do DPD (segundos)) Duração em segundos após a qual a ligação à estação remota deverá ser considerada desactivada se não forem obtidas respostas às consultas do DPD. DPD maximum failures (DPD Número máximo de tentativas falhadas) Número das tentativas falhadas permitidas antes de a ligação IPsec ser considerada interrompida. Definição de fábrica De fábrica, o traz as seguintes definições: Nome Activado NewConnection Não (desligado) Procedimento de autenticação X.509 C79000-G8979-C

80 7 Ligações VPN ID remota ID local NONE (NENHUM) NONE (NENHUM) Certificado da estação remota - Esperar por uma ligação da estação remota Endereço da rede remota Máscara da rede remota No (Não) Endereço da rede local Máscara da rede local Codificação ISAKMP-SA Codificação IPsec-SA ISAKMP-SA Hash IPSec-SA Hash 3DES-168 3DES-168 MD5 MD5 Grupo DH/PFS DH Modo ISAKMP-SA Principal Duração ISAKMP-SA (segundos) Duração IPSec-SA (segundos) NAT-T Activar o Dead Peer Detection Ligado Sim Atraso do DPD (segundos) 150 Validade do DPD (segundos) 60 DPD Número máximo de tentativas falhadas 5 80 C79000-G8979-C236-02

81 7 Ligações VPN 7.3 Carregar certificados VPN Carregar e gerir certificados e códigos. Figura 7-11 VPN do IPSec > Certificados Upload remote certificate (Carregar certificados da estação remota) Campo para carregar ficheiros de códigos (*.pem,*.cer ou *.crt) com certificados de estações remotas e códigos públicos de estações remotas para o SINAUT MD Os ficheiros têm de estar gravados no Admin-PC. Um certificado de uma estação remota apenas será necessário no procedimento de autentificação com o Certificado X.509. Upload PKCS12 file (.p12) (Carregar o ficheiro PKCS12 (.p12)) Campo para carregar o ficheiro do certificado (ficheiro PKCS12) com a extensão.p12 para o. O ficheiro do certificado tem de estar gravado no Admin-PC. Atenção Se já existir um ficheiro de certificado no aparelho tem de ser eliminado antes de carregar um novo ficheiro. Password (Palavra-passe) O ficheiro do certificado (ficheiro PKCS12) está protegido por uma palavra-passe. Campo de entrada para a palavra-passe do ficheiro do certificado. C79000-G8979-C

82 7 Ligações VPN Remote certificates (*.pem,*.cer, *.crt) (Certificados da estação remota (*.pem,*.cer, *.crt)) Aqui os certificados carregados da estação remota são apresentados numa lista. Com Delete (Eliminar) pode eliminar certificados de estações remotas que já não sejam necessários. Device certificates (.p12) (Certificados próprios (.p12)) Neste ponto, é apresentado o nome e o estado dos ficheiros de certificado (ficheiro PKCS12) carregados. Um visto branco sobre um ponto verde indica que o respectivo componente do ficheiro de certificado existe e uma cruz branca sobre um ponto vermelho indica que o respectivo componente está em falta ou que a palavra-passe está errada. 7.4 Regras de firewall para túneis de VPN A superfície para a definição das regras de firewall para túneis de VPN encontrase em IPsec VPN > Verbindungen (VPN do IPsec > Ligações): Figura 7-12 Regras de firewall para túneis de VPN 82 C79000-G8979-C236-02

83 7 Ligações VPN IPsec VPN Edit Firewall Rules (VPN de IPsec processar as regras de Firewall) Figura 7-13 VPN de IPsec > Processar as regras de firewall Função Basicamente, a ligação VPN de IPsec é considerada segura. Assim, por norma, o tráfego de dados através desta ligação não é limitado. No entanto, é possível criar regras de firewall para a ligação VPN. O procedimento na criação das regras de firewall para a ligação VPN corresponde ao estabelecimento da funcionalidade do filtro de pacotes da firewall geral (ver capítulo 6.1). As regras aqui definidas apenas são válidas para a respectiva ligação VPN. Definição de fábrica De fábrica, o traz as seguintes definições: Regras de firewall para túneis de VPN Sem limitações C79000-G8979-C

84 7 Ligações VPN 7.5 Definições avançadas para ligações VPN Definição de funcionalidades especiais, tempos de espera e intervalos em ligações VPN. Figura 7-14 IPSec de VPN > Avançadas NAT-T keepalive interval (seconds) Se NAT-T estiver activado (ver o capítulo 7.2) serão enviados pacotes de dados Keepalive periódicos do através da ligação VPN. Isto serve para impedir que um router NAT entre o e a estação remota interrompa a ligação nas pausas do tráfego de dados. O intervalo entre os pacotes de dados Keepalive pode ser alterado aqui. Phase 1 Timeout (seconds) (Validade Fase 1 (segundos)) A Validade Fase 1 determina quanto tempo o tem de esperar até ser concluído um processo de autentificação do ISAKMP-SA. Se a validade definida for ultrapassada, então o processo de autentificação é interrompido e reiniciado. A validade pode ser alterada aqui. Phase 2 Timeout (seconds) (Validade Fase 2 (segundos)) A Validade Fase 2 determina quanto tempo o tem de esperar até ser concluído um processo de autentificação do IPsec-SA. Se a validade definida for ultrapassada, então o processo de autentificação é interrompido e reiniciado. A validade pode ser alterada aqui. 84 C79000-G8979-C236-02

85 7 Ligações VPN DynDNS tracking (Rastreio de DynDNS) Se o gateway de VPN da estação remota utilizar o endereço IP de um serviço DynDNS e nenhuma DPD faz sentido que o verifique com regularidade se o gateway de VPN da estação remota ainda pode ser acedido. O rastreio de DynDNS tem essa função. Com Yes (Sim), a função é activada e com No (Não) é desactivada. DynDNS tracking interval (minutes) (Intervalo de rastreio de DynDNS (minutos)) Defina aqui a que intervalos deve ser verificado se a estação remota ainda pode ser acedida. Definição de fábrica De fábrica, o traz as seguintes definições: NAT-T Keepalive Intervall (segundos) 60 Validade Fase 1 (segundos) 15 Validade Fase 2 (segundos) 10 Rastreio de DynDNS Sim Intervalo de rastreio de DynDNS (minutos) 5 C79000-G8979-C

86 7 Ligações VPN 7.6 Estado das ligações VPN Mostra o estado das ligações VPN activas e a possibilidade de carregar um ficheiro de protocolo para o Admin-PC. Figura 7-15 IPSec de VPN > Estado Enabled VPN Connections (Ligações VPN activas) Um visto branco sobre um ponto verde indica que a respectiva relação de segurança (SA =Security Association) foi estabelecida com êxito. Uma cruz branca sobre um ponto vermelho indica que a relação de segurança não existe. Download VPN protocol (Transferir o protocolo de VPN) Com esta funcionalidade pode transferir o ficheiro de protocolo da VPN para o Admin-PC. 86 C79000-G8979-C236-02

87 Acessos remotos Acesso remoto HTTPS O acesso remoto HTTPS (= HyperText Transfer Protocol Secure) possibilita um acesso seguro à interface Web do a partir de uma rede externa através de EGPRS, GPRS ou CSD. A configuração do através do acesso remoto HTTPS ocorre da mesma forma que a configuração com o Web browser através da interface local (ver o capítulo 3). Figura 8-1 Acesso > HTTPS Enable HTTPS remote access (Activar o acesso remoto HTTPS) Yes (Sim) O acesso à interface Web do através de HTTPS a partir da rede externa é permitido. No (Não) O acesso através de HTTPS não é permitido. C79000-G8979-C

88 8 Acessos remotos HTTPS remote access port (Porta para o acesso remoto através de HTTPS) Padrão: 443 (definição de fábrica) Pode ser definida outra porta. Se, no entanto, for definida outra porta, a estação remota externa que tenta o acesso remoto tem de indicar o número da porta na indicação do endereço antes do endereço IP. Exemplo: Se o for acessível através do endereço pela Internet e se estiver definido o número de porta 442 para o acesso remoto, então tem de ser indicado o seguinte na estação remota externa no Web browser: Firewall rules for HTTPS remote access (Regras de firewall para o acesso remoto HTTPS) New (Novo) Adiciona uma regra de firewall nova para o acesso remoto HTTPS que terá de ser preenchida posteriormente. Delete (Eliminar) Elimina uma regra de firewall criada para o acesso remoto através de HTTPS. From IP (extern) (De IP (externo)) Campo de entrada para os endereços dos computadores aos quais é permitido o acesso. Nas indicações existem as seguintes possibilidades: Endereço IP ou área de endereço: /0 significa todos os endereços. Para indicar uma área é utilizada a forma de escrita CIDR. Action (Acção) Campo de selecção com o qual é definido o procedimento a ter nos acesso às portas de HTTPS indicadas: Accept (Aceitar) significa que os pacotes de dados podem passar. Reject (Recambiar) significa que os pacotes de dados são recambiados de modo a que o remetente tenha informações sobre os motivos do recâmbio. Drop (Rejeitar) significa que os pacotes de dados não podem passar. São rejeitados de modo a que o remetente não tenha informações sobre a sua localização. Log (Registo) Para cada regra de firewall pode ser definido se a aplicação de uma regra deve ser protocolada definir o Log (Registo) para Yes (Sim) - ou não - definir o Log (Registo) para No (Não) (predefinição de fábrica). O protocolo será registado no registo da firewall. Ver o capítulo C79000-G8979-C236-02

89 8 Acessos remotos Definição de fábrica De fábrica, o traz as seguintes definições: Activar o acesso remoto HTTPS Não (desligado) Porta para o acesso remoto através de HTTPS 443 Simulações para regras novas: De IP (externo) /0 Acção Registo Aceitar Não (desligado) 8.2 Acesso remoto SSH O acesso remoto SSH (= Secured SHell) possibilita um acesso seguro ao sistema de ficheiros do a partir de uma rede externa através de EGPRS, GPRS ou CSD. Para isso é necessário criar uma ligação da estação remota externa ao SINAUT MD741-1 com um programa de SSH. O acesso remoto SSH deve ser utilizado por utilizadores familiarizados com o sistema de ficheiros LINUX. Por predefinição, esta opção está desactivada. Figura 8-2 Acesso > SSH Atenção Através do acesso remoto SSH é possível configurar este aparelho tão incorrectamente que terá de ser enviado para a assistência técnica. C79000-G8979-C

90 8 Acessos remotos Enable SSH remote access (Activar o acesso remoto SSH) Yes (Sim) O acesso ao sistema de ficheiros do através de SSH a partir da rede externa é permitido. No (Não) O acesso através de SSH não é permitido. SSH remote access port (Porta para acesso remoto através de SSH) Padrão: 22 (definição de fábrica) Pode ser definida outra porta. Se, no entanto, for definida outra porta, a estação remota externa que tenta o acesso remoto tem de indicar o número da porta, aqui indicada, na indicação do endereço antes do endereço IP. Exemplo: Se o for acessível através do endereço pela rede externa e se estiver definido o número de porta para o acesso remoto, então tem de ser indicado a seguinte porta na estação remota externa no cliente SSH (p. ex. PUTTY): ssh -p Firewall rules for SSH remote access (Regras de Firewall para o acesso remoto SSH) New (Novo) Adiciona uma regra de firewall nova para o acesso remoto SSH que terá de ser preenchida posteriormente. Delete (Eliminar) Elimina uma regra de firewall criada para o acesso remoto através de SSH. From IP (extern) (De IP (externo)) Campo de entrada para os endereços dos computadores aos quais é permitido o acesso. Nas indicações existem as seguintes possibilidades: Endereço IP ou área de endereço: /0 significa todos os endereços. Para indicar uma área é utilizada a forma de escrita CIDR. Action (Acção) Campo de selecção para escolher o procedimento nos acessos às portas SSH indicadas: Accept (Aceitar) significa que os pacotes de dados podem passar. 90 C79000-G8979-C236-02

91 8 Acessos remotos Reject (Recambiar) significa que os pacotes de dados são recambiados de modo a que o remetente tenha informações sobre os motivos do recâmbio. Drop (Rejeitar) significa que os pacotes de dados não podem passar. São rejeitados de modo a que o remetente não tenha informações sobre a sua localização. Log (Registo) Para cada regra de firewall pode ser definido se a aplicação de uma regra deve ser protocolada definir o Log (Registo) para Yes (Sim) - ou não - definir o Log (Registo) para No (Não) (predefinição). O protocolo será registado no registo da firewall. Ver o capítulo 6.4. Definição de fábrica De fábrica, o traz as seguintes definições: Activar o acesso remoto SSH Não (desligado) Porta para acesso remoto através de SSH 22 Simulações para regras novas: De IP (externo) /0 Acção Registo Aceitar Não (desligado) C79000-G8979-C

92 8 Acessos remotos 8.3 Acesso remoto através de ligações telefónicas O acesso telefónico CSD possibilita o acesso à interface Web do SINAUT MD741-1 através de uma ligação de acesso telefónico (CDS = Circuit Switched Data). Para esse fim, o deve ser contactado com um modem analógico através do número de chamada de dados ou com um modem GSM através do número de chamada de voz ou dados do seu cartão SIM. Figura 8-3 Acesso > Chamada CSD O aceita a chamada se o número da ligação de origem estiver gravado na lista de números permitidos do e o número de origem for transmitido pela rede telefónica (função CLIP) A chamada tem de ser efectuada com um cliente PPP. Enable CSD dial-in (Activar a chamada CSD) Yes (Sim) O acesso à interface Web do através de chamada de acesso telefónico a partir da rede externa é permitido. No (Não) O acesso através de chamada de acesso telefónico não é permitido. PPP username / password (Nome de utilizador/palavra-passe do PPP) Os campos de entrada para o nome de utilizador e a palavra-passe com os quais um cliente PPP (p. ex. ligação de acesso telefónico do Windows) se tem de registar no. O mesmo nome de utilizador e a mesma palavrapasse têm de ser utilizados pelo cliente PPP. 92 C79000-G8979-C236-02

93 8 Acessos remotos Approved Call Numbers (Números permitidos) Campo de entrada para o número da ligação telefónica a partir da qual a ligação de acesso telefónico é criada. A ligação telefónica tem de suportar a transmissão do número (CLIP - Calling Line Identification Presentation) e a funcionalidade tem de estar activa. O número registado no tem de corresponder exactamente ao número anunciado e eventualmente incluir o código internacional e o indicativo da área, p. ex Quando vários números da instalação de um posto secundário têm de ter acesso autorizado é possível utilizar o sinal * como joker, p. ex *. Todos os números que começam com serão então aceites. Nota As regras de firewall introduzidas para o acesso de HTTPS ou SSH também são válidas para o acesso CSD. Como endereço IP de origem ( From IP ( de IP )) para o acesso CSD está definido New (Novo) Adiciona um número novo permitido para o acesso remoto CSD que terá de ser preenchido posteriormente. Delete (Eliminar) Elimina o número para o acesso remoto CSD. Definição de fábrica De fábrica, o traz as seguintes definições: Activar a chamada CSD Nome de utilizador PPP Palavra-passe PPP Não (desligado) Assistência técnica Assistência técnica Números permitidos * C79000-G8979-C

94 Estado, registo e diagnóstico Indicador do estado de funcionamento Figura 9-1 Sistema > Estado Nota Com a função Refresh (Actualizar) do browser pode actualizar os valores apresentados. Current system time (Hora actual do sistema) Mostra a hora actual do sistema do, no formato: Ano Mês Dia, Horas - Minutos C79000-G8979-C