Mantenimiento de la consola de administración local (legado)

Importante

Defender para IoT recomienda ahora el uso de servicios en la nube de Microsoft o la infraestructura de TI existente para la supervisión central y la administración de sensores, y planea retirar la consola de administración local el 1 de enero de 2025 1 de enero de 2025.

Para obtener más información, consulte Implementación de la administración de sensores de OT híbridos o con disponibilidad inalámbrica.

En este artículo se describen actividades adicionales de la consola de administración local que puede realizar fuera de un proceso de implementación mayor.

Cautela

Solo se admiten parámetros de configuración documentados en el sensor de red de OT para la configuración del cliente. No cambie los parámetros de configuración no documentados ni las propiedades del sistema, ya que los cambios pueden provocar comportamientos inesperados y errores del sistema.

Quitar paquetes del sensor sin aprobación de Microsoft puede provocar resultados inesperados. Todos los paquetes instalados en el sensor son necesarios para la funcionalidad correcta del sensor.

Prerrequisitos

Antes de realizar los procedimientos de este artículo, asegúrese de que tiene:

• Una consola de administración local instalada y activada.

• Acceso a la consola de administración local como un usuario Administrador. Los procedimientos seleccionados y el acceso a la CLI también requieren un usuario con privilegios. Para obtener más información, consulte usuarios y roles locales para la supervisión de OT con Defender para IoT.

• Un certificado SSL/TLS preparado si necesita actualizar el certificado del sensor.

• Si va a agregar una NIC secundaria, necesitará acceso a la CLI como un usuario con privilegios .

Descarga de software para la consola de administración local

Es posible que tenga que descargar software para la consola de administración local si instalar el software de Defender para IoT en sus propios dispositivos o actualizar versiones de software.

En Defender para IoT en el portal de Azure, use una de las siguientes opciones:

• Para una nueva instalación o actualización independiente, seleccione Introducción>consola de administración local.

  • Para una nueva instalación, seleccione una versión en el área Comprar un dispositivo e instalar software y, a continuación, Descargar.
  • Para realizar una actualización, seleccione su escenario de actualización en el área de la consola de administración local y, a continuación, seleccione Descargar .

• Si estás actualizando tu consola de administración local junto con los sensores OT conectados, usa las opciones en la página Sitios y sensores del menú >Actualización del sensor (Preliminar).

Agregar una NIC secundaria después de la instalación

Mejore la seguridad de la consola de administración local mediante la adición de una NIC secundaria dedicada a sensores conectados dentro de un intervalo de direcciones IP. Cuando se usa una NIC secundaria, la primera se dedica a los usuarios finales y la secundaria admite la configuración de una puerta de enlace para las redes enrutadas.

En este procedimiento se describe cómo agregar una NIC secundaria después de instalar la consola de administración local.

Para agregar un NIC secundaria:

1. Inicie sesión en la consola de administración local a través de SSH para acceder a la CLI de y ejecute:

   sudo cyberx-management-network-reconfigure
   

2. Escriba las siguientes respuestas a las siguientes preguntas:

   

   Parámetros	Respuesta al presionar enter
   dirección IP de la red de gestión	N
   máscara de subred	N
   DNS	N
   dirección IP de puerta de enlace predeterminada	N
   interfaz de supervisión del sensor Opcional. Relevante cuando los sensores están en un segmento de red diferente.	Yy seleccione un valor posible.
   una dirección IP para la interfaz de supervisión del sensor	Yy escriba una dirección IP accesible por los sensores.
   Una máscara de subred para la interfaz de supervisión del sensor	Yy escriba una dirección IP accesible por los sensores.
   Nombre del host	Escriba el nombre de host.

3. Revise todas las opciones y escriba Y para aceptar los cambios. El sistema se reinicia.

Carga de un nuevo archivo de activación

Ha activado la consola de administración local como parte de la implementación.

Es posible que tenga que reactivar la consola de administración local como parte de los procedimientos de mantenimiento, por ejemplo, si el número total de dispositivos supervisados supera el número de dispositivos para los que tiene licencia.

Para cargar un nuevo archivo de activación en la consola de administración local:

1. En Defender para IoT en el portal de Azure, seleccione Planes y precios.

2. Seleccione el plan y, a continuación, seleccione Descargar archivo de activación de la consola de administración local.

   Guarde el archivo descargado en una ubicación a la que se pueda acceder desde la consola de administración local.

   Todos los archivos descargados del portal de Azure están firmados por la raíz de confianza del sistema para garantizar que sus máquinas utilicen únicamente recursos firmados.

3. Inicie sesión en la consola de administración local y seleccione Configuración del sistema>Activación.

4. En el cuadro de diálogo de activación , seleccione ELIJA ARCHIVO y navegue hasta el archivo de activación que descargó anteriormente.

5. Seleccione Cerrar para guardar los cambios.

Administración de certificados SSL/TLS

Si está trabajando con un entorno de producción, implementaría una certificado SSL/TLS firmado por ca como parte de la implementación de la consola de administración local. Se recomienda usar certificados autofirmados solo con fines de prueba.

Los procedimientos siguientes describen cómo implementar certificados SSL/TLS actualizados, como si el certificado ha expirado.

Implementación de un certificado firmado por una CA

Para implementar un certificado firmado por CA:

1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema>certificados SSL/TLS.

2. En el cuadro de diálogo de certificados SSL/TLS, seleccione + Agregar certificado y escriba los valores siguientes:

   Parámetro	Descripción
   nombre de certificado	Escriba el nombre del certificado.
   frase de contraseña - opcional	Escriba una frase de contraseña .
   clave privada (archivo KEY)	Cargue una clave privada (archivo KEY).
   certificado (archivo CRT)	Cargue un certificado (archivo CRT).
   cadena de certificados (archivo PEM) - opcional	Cargue una cadena de certificados (archivo PEM).

   Por ejemplo:

   

   Si se produce un error en la carga, póngase en contacto con el administrador de TI o de seguridad. Para obtener más información, consulte requisitos de certificado SSL/TLS para los recursos locales y Creación de certificados SSL/TLS para dispositivos de OT.

3. Seleccione la opción Habilitar validación de certificados para activar la validación en todo el sistema para los certificados SSL/TLS con la emisora de entidad de certificación y listas de revocación de certificados.

   Si esta opción está activada y se produce un error en la validación, se detiene la comunicación entre los componentes pertinentes y se muestra un error de validación en el sensor. Para obtener más información, consulte requisitos de archivo CRT.

4. Seleccione Guardar para guardar los cambios.

Crear e implementar un certificado autofirmado

Cada consola de administración local se instala con un certificado autofirmado que se recomienda usar solo con fines de prueba. En entornos de producción, se recomienda usar siempre un certificado firmado por ca.

Los certificados autofirmados conducen a un entorno menos seguro, ya que el propietario del certificado no se puede validar y no se puede mantener la seguridad del sistema.

Para crear un certificado autofirmado, descargue el archivo de certificado desde la consola de administración local y, a continuación, use una plataforma de administración de certificados para crear los archivos de certificado que tendrá que volver a cargar en la consola de administración local.

Para crear un certificado autofirmado:

Vaya a la dirección IP de la consola de administración local en un explorador y, a continuación, haga lo siguiente:

1. Seleccione la alerta No segura en la barra de direcciones del explorador web y, a continuación, seleccione el icono de > junto al mensaje de advertencia "La conexión a este sitio no es segura". Por ejemplo:

   

2. Seleccione el icono Mostrar certificado para ver el certificado de seguridad de este sitio web.

3. En el visor de certificados panel, seleccione la pestaña Detalles, y a continuación seleccione Exportar para escribir un nombre para su archivo exportado y guardarlo en su equipo local.

4. Use una plataforma de administración de certificados para crear los siguientes tipos de archivos de certificado SSL/TLS:

   Tipo de archivo	Descripción
   .crt: archivo contenedor de certificados	Un archivo .pem, o .der, con una extensión diferente para admitirlo en el Explorador de Windows.
   .key: archivo de clave privada	Un archivo de clave tiene el mismo formato que un archivo de .pem, con una extensión diferente para admitirlo en el Explorador de Windows.
   .pem: archivo de contenedor de certificados (opcional)	Opcional. Un archivo de texto con una codificación Base64 del texto del certificado y un encabezado y pie de página de texto sin formato para marcar el principio y el final del certificado.

   Por ejemplo:

   1. Abra el archivo de certificado descargado y seleccione la pestaña Detalles>Copiar en el archivo para ejecutar el Asistente para la exportación de certificados .

   2. En el Asistente para exportación de certificados , seleccione Siguiente>binario codificado en DER X.509 (.CER)> y, a continuación, seleccione de nuevo Siguiente.

   3. En la pantalla Archivo para exportar, seleccione Examinar, elija una ubicación para almacenar el certificado y, a continuación, seleccione Siguiente.

   4. Seleccione Finalizar para exportar el certificado.

Nota

Es posible que tenga que convertir los tipos de archivos existentes en tipos admitidos.

Cuando haya terminado, use los procedimientos siguientes para validar los archivos de certificado:

• Comprobar el acceso al servidor CRL
• Importar el certificado SSL/TLS a un almacén de confianza
• Probar los certificados SSL/TLS

Para implementar un certificado autofirmado:

1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema>certificados SSL/TLS.

2. En el cuadro de diálogo Certificados SSL/TLS, mantenga seleccionada la opción predeterminada Certificado autofirmado generado localmente (no seguro, no recomendado).

3. Seleccione I CONFIRM para confirmar la advertencia.

4. Seleccione la opción Habilitar validación de certificados para validar el certificado contra un servidor CRL de . El certificado se comprueba una vez durante el proceso de importación.

   Si esta opción está activada y se produce un error en la validación, se detiene la comunicación entre los componentes pertinentes y se muestra un error de validación en el sensor. Para obtener más información, consulte los requisitos de archivo de CRT .

5. Seleccione Guardar para guardar la configuración del certificado.

Solución de errores de carga de certificados

No podrá cargar certificados en los sensores de OT si los certificados no se crean correctamente o no son válidos. Use la tabla siguiente para comprender cómo realizar acciones si se produce un error en la carga del certificado y se muestra un mensaje de error:

error de validación de certificados	Recomendación
frase de contraseña no coincide con la clave	Asegúrese de que tiene la frase de contraseña correcta. Si el problema continúa, intente volver a crear el certificado con la frase de contraseña correcta. Para obtener más información, vea Caracteres admitidos para claves y frases de contraseña.
No se puede validar la cadena de confianza. El certificado proporcionado y la Autoridad de Certificación raíz no coinciden.	Asegúrese de que un archivo .pem se correlaciona con el archivo .crt. Si el problema continúa, intente volver a crear el certificado mediante la cadena de confianza correcta, tal como se define en el archivo .pem.
Este certificado SSL ha expirado y no se considera válido.	Cree un nuevo certificado con fechas válidas.
la CRL ha revocado este certificado y no puede ser de confianza para una conexión segura	Cree un nuevo certificado sin revocar.
No se puede acceder a la ubicación CRL (Lista de Revocación de Certificados). Compruebe que se puede acceder a la dirección URL desde este dispositivo	Asegúrese de que la configuración de red permite que el sensor llegue al servidor CRL definido en el certificado. Para obtener más información, consulte Comprobación del acceso al servidor CRL.
error de validación de certificados	Esto indica un error general en el dispositivo. Póngase en contacto con soporte técnico de Microsoft.

Cambiar el nombre de la consola de administración local

El nombre predeterminado de la consola de administración local es consola de administracióny se muestra en la GUI de la consola de administración local y los registros de solución de problemas.

Para cambiar el nombre de la consola de administración local:

1. Inicie sesión en la consola de administración local y seleccione el nombre en la parte inferior izquierda, justo encima del número de versión.

2. En el cuadro de diálogo Editar configuración de la consola de administración, escriba el nuevo nombre. El nombre debe tener un máximo de 25 caracteres. Por ejemplo:

   

3. Seleccione Guardar para guardar los cambios.

Recuperación de una contraseña de usuario con privilegios

Si ya no tiene acceso a la consola de administración local como usuario con privilegios , recupere el acceso desde Azure Portal.

Para recuperar el acceso de usuario con privilegios:

1. Vaya a la página de inicio de sesión de la consola de administración local y seleccione recuperación de contraseñas.

2. Seleccione el usuario al que desea recuperar el acceso, ya sea el usuario de Soporte o el usuario de CyberX.

3. Copie el identificador que se muestra en el cuadro de diálogo recuperación de contraseñas en una ubicación segura.

4. Vaya a Defender para IoT en el portal de Azure y asegúrese de que está viendo la suscripción que se usó para integrar los sensores OT conectados actualmente a la consola de administración local.

5. Seleccione Sitios y sensores>Más acciones>Recuperar una contraseña de consola de administración local.

6. Escriba el identificador secreto que copiaste anteriormente de la consola de administración local y seleccione Recuperar.

   Se descarga un archivo password_recovery.zip desde el explorador.

   Todos los archivos descargados del portal de Azure están firmados por confianza de raíz para que sus máquinas solo usen activos firmados.

7. En el cuadro de diálogo de recuperación de contraseñas de en la consola de administración local, seleccione Cargar y cargue el archivo que había descargado.

Se muestran las nuevas credenciales.

Editar el nombre de host

El nombre de host de la consola de administración local debe coincidir con el nombre de host configurado en el servidor DNS organizativo.

Para editar el nombre de host guardado en la consola de administración local:

1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema.

2. En el área de redes de la consola de administración , seleccione Network.

3. Escriba el nuevo nombre de host y seleccione GUARDAR para guardar los cambios.

Definición de nombres de VLAN

Los nombres de VLAN no se sincronizan entre un sensor de OT y la consola de administración local. Si ha nombres de VLAN definidos en el sensor de OT, se recomienda definir nombres de VLAN idénticos en la consola de administración local.

Definir nombres de VLAN:

1. Inicie sesión en la consola de administración local y seleccione Configuración del sistema.

2. En el área de redes de la consola de administración de , seleccione VLAN.

3. En el cuadro de diálogo Editar configuración de VLAN, seleccione Agregar VLAN y, a continuación, escriba el identificador y el nombre de la VLAN, de uno en uno.

4. Seleccione GUARDAR para guardar los cambios.

Configuración del servidor de correo SMTP

Defina la configuración del servidor de correo SMTP en la consola de administración local para configurar la consola de administración local para enviar datos a otros servidores y servicios asociados.

Por ejemplo, necesitará un servidor de correo SMTP configurado para el reenvío de correo y establecer reglas de alerta de reenvío .

requisitos previos:

Asegúrese de que puede acceder al servidor SMTP desde la consola de administración local.

Para configurar un servidor SMTP en la consola de administración local:

1. Inicie sesión en la consola de administración local como un usuario con privilegios a través de SSH/Telnet.

2. Correr:

   nano /var/cyberx/properties/remote-interfaces.properties
   

3. Escriba los siguientes detalles del servidor SMTP como se le solicite:

   • mail.smtp_server
   • mail.port. El puerto predeterminado es 25.
   • mail.sender

Pasos siguientes

Para obtener más información, consulte:

• Actualizar el software del sistema de OT
• Administrar sensores desde la consola de administración
• Solución de problemas de la consola de administración local