Mantenimiento de la consola de administración local (heredado)

Importante

Defender para IoT recomienda ahora el uso de servicios en la nube de Microsoft o la infraestructura de TI existente para la supervisión central y la administración de sensores, y planea retirar la consola de administración local el 1 de enero de 2025.

Para obtener más información, consulte Implementación de la administración de sensores de OT híbridos o con disponibilidad inalámbrica.

En este artículo se describen las actividades adicionales de la consola de administración local que puede realizar fuera de un proceso de implementación mayor.

Precaución

Solo se admiten parámetros de configuración documentados en el sensor de red de OT y la consola de administración local para la configuración del cliente. No cambie ningún parámetro de configuración no documentado o sistemas de propiedades, ya que los cambios pueden provocar comportamientos inesperados y errores del sistema.

La eliminación de paquetes del sensor sin aprobación de Microsoft puede provocar resultados inesperados. Todos los paquetes instalados en el sensor son necesarios para su correcto funcionamiento.

Requisitos previos

Antes de realizar los procedimientos de este artículo, asegúrese de que tiene:

• Una consola de administración local instalada y activada.

• Acceso a la consola de administración local como usuario Administrador. Los procedimientos seleccionados y el acceso a la CLI también requieren un usuario con privilegios. Para obtener más información, consulte Usuarios y roles locales para la supervisión de OT con Defender para IoT.

• Un certificado SSL/TLS preparado si necesita actualizar el certificado del sensor.

• Si va a agregar una NIC secundaria, necesitará acceso a la CLI como usuario con privilegios.

Descarga de software para la consola de administración local

Es posible que tenga que descargar software para la consola de administración local si va a instalar el software de Defender para IoT en sus propios dispositivos o si va a actualizar versiones de software.

En Defender para IoT en Azure Portal, use una de las siguientes opciones:

• Para una nueva instalación o una actualización independiente, seleccione Comenzar en>consola de administración local.

  • Para una nueva instalación, seleccione una versión en el área Comprar un dispositivo e instalar software y, a continuación, seleccione Descargar.
  • Para una actualización, seleccione el escenario de actualización en el área Consola de administración local y, a continuación, seleccione Descargar.

• Si va a actualizar la consola de administración local junto con sensores de OT conectados, use las opciones del menú Sitios y sensores de la página >Actualización del sensor (versión preliminar).

Adición de una NIC secundaria tras la instalación

Mejore la seguridad en la consola de administración local agregando una NIC secundaria dedicada para los sensores conectados dentro de un intervalo de direcciones IP. Cuando use una NIC secundaria, la primera se dedica a los usuarios finales y la secundaria admite la configuración de una puerta de enlace para redes enrutadas.

En este procedimiento se describe cómo agregar una NIC secundaria después de instalar la consola de administración local.

Para agregar una NIC secundaria:

1. Inicie sesión en la consola de administración local a través de SSH para acceder a la CLI y, a continuación, ejecute:

   sudo cyberx-management-network-reconfigure
   

2. Escriba las siguientes respuestas a las siguientes preguntas:

   

   Parámetros	Respuesta para escribir
   Management Network IP address	N
   Máscara de subred	N
   DNS	N
   Default gateway IP Address	N
   Interfaz de supervisión de sensores Opcional. Relevante cuando los sensores están en un segmento de red diferente.	Y, y seleccione un valor posible
   Una dirección IP para la interfaz de supervisión de sensores	Y y escriba una dirección IP a la que puedan acceder los sensores.
   Una máscara de subred para la interfaz de supervisión de sensores	Y y escriba una dirección IP a la que puedan acceder los sensores.
   Nombre de host	Escriba el nombre de host.

3. Revise todas las opciones y escriba Y para aceptar los cambios. El sistema se reinicia.

Cargar un nuevo archivo de activación

Activaría la consola de administración local como parte de la implementación.

Es posible que tenga que reactivar la consola de administración local como parte de los procedimientos de mantenimiento, como si el número total de dispositivos supervisados supera el número de dispositivos para los que tiene licencia.

Para cargar un nuevo archivo de activación en la consola de administración local:

1. En Defender for IoT en el portal de Azure, seleccione Planes y precios.

2. Seleccione su plan y, a continuación, elija Descargar archivo de activación de la consola de gestión local.

   Guarde el archivo descargado en una ubicación a la que se pueda acceder desde la consola de administración local.

   Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.

3. Inicie sesión en la consola de administración local y seleccione Configuración del sistema>Activación.

4. En el cuadro de diálogo Activación, seleccione ELEGIR ARCHIVO y navegue hasta el archivo de activación que ha descargado previamente.

5. Seleccione Cerrar para guardar los cambios.

Administrar certificados SSL/TLS

Si trabaja con un entorno de producción, implementaría un certificado SSL/TLS firmado por CA como parte de la implementación de la consola de administración local. Se recomienda usar certificados autofirmados solo para propósitos de prueba.

En los procedimientos siguientes se describe cómo implementar certificados SSL/TLS actualizados, como si el certificado ha expirado.

Implementación de un certificado firmado por una entidad de certificación

Para implementar un certificado firmado por una entidad de certificación:

1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema>Certificados SSL/TLS.

2. En el cuadro de diálogo Certificados SSL/TLS, seleccione + Agregar certificado y escriba los valores siguientes:

   Parámetro	Descripción
   Nombre del certificado	Escriba el nombre del certificado.
   Frase de contraseña - Opcional	Especifique una frase de contraseña.
   Clave privada (archivo KEY)	Cargue una clave privada (archivo KEY).
   Certificado (archivo CRT)	Cargue un certificado (archivo CRT).
   Cadena de certificados (archivo PEM) - Opcional	Cargue una cadena de certificados (archivo PEM).

   Por ejemplo:

   

   Si aparece el error en una carga, póngase en contacto con el administrador de TI o de seguridad. Para más información, consulte Requisitos de certificados SSL/TLS para recursos locales y Creación de certificados SSL/TLS para dispositivos OT.

3. Seleccione la opción Habilitar validación de certificados para activar la validación en todo el sistema de los certificados SSL/TLS con la entidad de certificación emisora y las listas de revocación de certificados.

   Si esta opción se activa y produce un error en la validación, se detiene la comunicación entre los componentes pertinentes y se muestra un error de validación en el sensor. Para obtener más información, consulte Requisitos de archivos de CRT.

4. Haga clic en Guardar para guardar los cambios.

Crear e implementar un certificado autofirmado

Cada consola de administración local se instala con un certificado autofirmado que se recomienda usar solo con fines de prueba. En entornos de producción, le recomendamos usar un certificado firmado por una entidad de certificación.

Los certificados autofirmados conducen a un entorno menos seguro, ya que el propietario del certificado no se puede validar y no se puede mantener la seguridad del sistema.

Para crear un certificado autofirmado, descargue el archivo de certificado desde la consola de administración local y, a continuación, use una plataforma de administración de certificados para crear los archivos de certificado que tendrá que volver a cargar en la consola de administración local.

Para crear un certificado autofirmado:

Vaya a la dirección IP de la consola de administración local en un explorador y entonces:

1. Seleccione la alerta No seguro en la barra de direcciones de su navegador web, después, seleccione el icono > que aparece junto al mensaje de advertencia "Su conexión a este sitio no es segura". Por ejemplo:

   

2. Seleccione el icono Mostrar certificado para ver el certificado de seguridad de este sitio web.

3. En el panel Visor de certificados, seleccione la pestaña Detalles y, a continuación, seleccione Exportar para escribir un nombre para el archivo exportado y guardarlo en el equipo local.

4. Use una plataforma de administración de certificados para crear los siguientes tipos de archivos de certificado SSL/TLS:

   Tipo de archivo	Descripción
   .crt: archivo contenedor de certificados	Un archivo .der o .pem, con una extensión diferente para que sea compatible con el Explorador de Windows.
   .key: archivo de claves privadas	Un archivo de clave tiene el mismo formato que un archivo .pem, con una extensión diferente para la compatibilidad con el Explorador de Windows.
   .pem: archivo de contenedor de certificados (opcional)	Opcional. Un archivo de texto con una codificación Base64 del texto del certificado y un encabezado y pie de página de texto sin formato para marcar el principio y el final del certificado.

   Por ejemplo:

   1. Abra el archivo de certificado descargado y seleccione la pestaña Detalles>Copiar en archivo para ejecutar el Asistente para exportación de certificados.

   2. En el Asistente para exportación de certificados, seleccione Siguiente>Binario codificado en DER X.509 (. CER)> y seleccione Siguiente de nuevo.

   3. En la pantalla Archivo para exportar, seleccione Examinar, elija una ubicación para almacenar el certificado y seleccione Siguiente.

   4. Seleccione Finalizar para exportar el certificado.

Nota

Es posible que tenga que convertir tipos de archivos existentes en tipos compatibles.

Cuando haya terminado, use los procedimientos siguientes para validar los archivos de certificado:

• Comprobación del acceso al servidor CRL
• Importación del certificado SSL/TLS en un almacén de confianza
• Prueba de los certificados SSL/TLS

Para implementar un certificado autofirmado:

1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema>Certificados SSL/TLS.

2. En el diálogo Certificados SSL/TLS, mantenga seleccionada la opción predeterminada Certificado autofirmado generado localmente (no seguro, no recomendado).

3. Seleccione CONFIRMAR para confirmar la advertencia.

4. Seleccione la opción Habilitar validación de certificados para validar el certificado en un servidor CRL. El certificado se comprueba una vez durante el proceso de importación.

   Si esta opción se activa y produce un error en la validación, se detiene la comunicación entre los componentes pertinentes y se muestra un error de validación en el sensor. Para obtener más información, consulte Requisitos de archivos de CRT.

5. Seleccione Guardar para guardar la configuración de la conexión.

Solución de problemas de errores de carga de certificados

No podrá cargar certificados en los sensores de OT ni en las consolas de administración locales si los certificados no se crean correctamente o no son válidos. Use la siguiente tabla para saber cómo actuar si falla la carga del certificado y se muestra un mensaje de error:

Error de validación de certificado	Recomendación
La frase de contraseña no coincide con la clave	Asegúrese de tener la frase de contraseña correcta. Si el problema continúa, intente volver a crear el certificado con la frase de contraseña correcta. Para obtener más información, vea Caracteres admitidos para claves y frases de contraseña.
No se puede validar la cadena de confianza. El certificado y la CA raíz proporcionados no coinciden.	Asegúrese de que un archivo .pem se correlaciona con el archivo .crt. Si el problema persiste, intente volver a crear el certificado usando la cadena de confianza correcta, tal y como se define en el archivo .pem.
Este certificado SSL ha expirado y no se considera válido.	Cree un certificado nuevo con fechas válidas.
La CRL ha revocado este certificado y no se puede confiar en él para una conexión segura	Cree un nuevo certificado sin revocar.
No se puede acceder a la ubicación de la CRL (lista de revocación de certificados). Compruebe que se puede acceder a la dirección URL desde este dispositivo	Asegúrese de que la configuración de su red permite que el sensor o la consola de administración local puedan llegar al servidor CRL definido en el certificado. Para más información, consulte Comprobar el acceso al servidor CRL.
Error de validación de certificado	Esto indica un error general en el dispositivo. Póngase en contacto con Soporte técnico de Microsoft.

Cambio del nombre de la consola de administración local

El nombre predeterminado de la consola de administración local es la consola de administración y se muestra en la GUI de la consola de administración local y los registros de solución de problemas.

Para cambiar el nombre de la consola de administración local:

1. Inicie sesión en la consola de administración local y seleccione el nombre en la parte inferior izquierda, justo encima del número de versión.

2. En el diálogo Editar la configuración de la consola de administración, escriba el nuevo nombre. El nombre debe tener un máximo de 25 caracteres. Por ejemplo:

   

3. Haga clic en Guardar para guardar los cambios.

Recuperación de una contraseña de usuario con privilegios

Si ya no tiene acceso a la consola de administración local como usuario con privilegios, recupere el acceso desde el Azure Portal.

Para recuperar el acceso de usuario con privilegios:

1. Vaya a la página de inicio de sesión de la consola de administración local y seleccione Recuperación de contraseñas.

2. Seleccione el usuario para el que desea recuperar el acceso, ya sea el usuario Soporte técnico o CyberX.

3. Copie el identificador que se muestra en el cuadro de diálogo Recuperación de contraseñas en una ubicación segura.

4. Vaya a Defender para IoT en la Azure Portal y asegúrese de que está viendo la suscripción que se usó para incorporar los sensores de OT conectados actualmente a la consola de administración local.

5. Seleccione Sitios y sensores>Más acciones>Recuperar una contraseña de consola de administración local.

6. Escriba el identificador de secreto que copió anteriormente de la consola de administración local y seleccione Recuperar.

   Se descarga un archivo password_recovery.zip desde el explorador.

   Todos los archivos descargados de Azure Portal están firmados por la raíz de confianza para que las máquinas solo usen recursos firmados.

7. En el cuadro de diálogo Recuperación de contraseñas de la consola de administración local, seleccione Cargar y seleccione el archivo password_recovery.zip que ha descargado.

Se muestran las nuevas credenciales.

Edición del nombre de host

El nombre de host de la consola de administración local debe coincidir con el nombre de host configurado en el servidor DNS organizativo.

Para editar el nombre de host guardado en la consola de administración local:

1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema.

2. En el área Redes de la consola de administración, seleccione Red.

3. Escriba el nuevo nombre de host y seleccione GUARDAR para guardar los cambios.

Definición de nombres de VLAN

Los nombres de VLAN no se sincronizan entre el sensor de OT y la consola de administración local. Si ha definido nombres de VLAN en el sensor de OT, se recomienda definir nombres de VLAN idénticos en la consola de administración local.

Para definir nombres de VLAN:

1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema.

2. En el área Redes de la consola de administración, seleccione VLAN.

3. En el cuadro de diálogo Editar configuración de VLAN, seleccione Agregar VLAN y escriba el identificador y el nombre de la VLAN, de uno en uno.

4. Seleccione Guardar para guardar los cambios.

Configuración del servidor de correo SMTP

Defina la configuración del servidor de correo SMTP en la consola de administración local para configurar la consola de administración local para enviar datos a otros servidores y servicios de asociados.

Por ejemplo, necesitará un servidor de correo SMTP configurado para configurar el reenvío de correo y configurar reglas de alertas de reenvío.

Requisitos previos:

Asegúrese de que puede acceder al servidor SMTP desde la consola de administración local.

Para configurar un servidor SMTP en la consola de administración local:

1. Inicie sesión en la consola de administración local como usuario con privilegios a través de SSH/Telnet.

2. Ejecute:

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. Escriba los siguientes detalles del servidor SMTP como se le solicite:

   • mail.smtp_server
   • mail.port. El puerto predeterminado es 25.
   • mail.sender

Pasos siguientes

Para más información, consulte:

• Actualización del software del sistema OT
• Administración de sensores desde la consola de administración
• Solución de problemas de una consola de administración local