Proxy (Acceso web a los dispositivos de la planta)
El Proxy de la plataforma Mirox permite el acceso directo a las interfaces web de los dispositivos de la red de la planta, sin cliente VPN, sin instalación local, puramente a través del navegador. Las interfaces de configuración de inversores, los paneles de data-loggers, las interfaces de cámaras, las páginas web de los armarios de conmutación o las herramientas de servicio autoalojadas pasan a ser accesibles a través de una URL única de Mirox, autenticadas mediante la cuenta Mirox del usuario y totalmente auditadas.
Concepto
El Proxy cierra la brecha entre la VPN y un panel cloud clásico:
- Sin necesidad de VPN: no se requiere instalar ningún perfil VPN. Cualquier usuario con el rol adecuado y un navegador normal puede abrir las interfaces de los dispositivos.
- Interfaz genuina del dispositivo: el usuario ve y opera la interfaz original del dispositivo sin modificar, no una versión simplificada renderizada por Mirox.
- URL única por dispositivo: cada destino accesible tiene su propia URL con el formato
<id>.proxy.mirox.io. Esta URL se puede guardar o compartir (el destinatario debe estar, a su vez, autorizado). - Totalmente auditado: cada llamada, cada transacción HTTP y cada conexión WebSocket alimenta un registro de auditoría conforme con KRITIS / NIS2.
Qué ofrece el Proxy
Acceso directo a las interfaces web de los dispositivos
Cuando un operador de planta configura un destino web para un dispositivo de red, ese destino pasa a ser accesible a través de un subdominio Mirox único. El navegador ve:
- Una conexión HTTPS normal al dominio de Mirox con un certificado wildcard válido
- El contenido del dispositivo sin modificar (HTML, CSS, JavaScript, imágenes, streams, subidas de archivos, …)
- Funcionalidad interactiva completa, incluidos formularios, descargas de archivos y streams WebSocket (p. ej. consolas en vivo, transmisiones de vídeo, gráficos en tiempo real)
El usuario se autentica una vez con Mirox; la sesión sigue siendo válida para todas las interfaces de dispositivos autorizadas en todas las plantas.
Dos capas de autenticación
Importante: el Proxy solo se encarga del transporte y del control de acceso del lado de Mirox al dispositivo; el propio dispositivo puede requerir además su propio inicio de sesión (normalmente usuario/contraseña, a veces claves de API o tokens específicos del dispositivo). Por tanto, existen dos capas de autenticación independientes:
- Autenticación Mirox (aplicada por el Proxy): ¿quién puede siquiera abrir el dispositivo? Se comprueba contra el inicio de sesión de Mirox y los permisos de la planta.
- Autenticación del dispositivo (aplicada por el propio dispositivo): ¿quién puede realizar qué acciones en el dispositivo? El formulario de inicio de sesión del dispositivo simplemente aparece en el navegador; el usuario se autentica con las credenciales proporcionadas por el fabricante o el operador de la planta.
Mirox registra (consulta Registro de auditoría) quién accedió a qué dispositivo y a qué páginas, pero la autoridad sobre los permisos internos del dispositivo (p. ej. "modo mantenimiento", "cambio de configuración") permanece en manos del inicio de sesión propio del dispositivo.
Almacenamiento seguro de las credenciales de los dispositivos
Para que no todo el personal autorizado tenga que conocer las credenciales de cada dispositivo (y para que nadie tenga que memorizar una contraseña personalmente o guardarla en una herramienta insegura), Mirox ofrece una bóveda de credenciales central y cifrada. Los operadores de planta pueden almacenar una vez las credenciales de acceso de sus dispositivos, tras lo cual quedan disponibles de forma cómoda para los usuarios autorizados cuando abren el destino web, sin distribuir las contraseñas en texto plano.
Ventajas:
- Sin distribución de contraseñas en texto plano por correo electrónico, chat o nota adhesiva.
- Uso auditable: quién accedió a qué utilizando credenciales almacenadas queda registrado en el registro de auditoría KRITIS / NIS2.
- Rotación central: cuando cambia la contraseña de un dispositivo, se actualiza una sola vez en Mirox y surte efecto de inmediato para todo el personal autorizado.
- Vinculado a permisos: el acceso a las credenciales almacenadas sigue los mismos permisos de planta y de rol de trabajo que el propio acceso al dispositivo.
Acceso por defecto y destinos web adicionales
Para cada dispositivo de red que el sistema descubre, el puerto web estándar se detecta automáticamente y se hace accesible sin configuración adicional. De este modo, los dispositivos recién descubiertos pueden examinarse en el navegador de inmediato, sin que el operador de la planta tenga que configurar nada de antemano.
Si un dispositivo tiene varias interfaces web relevantes (p. ej. una interfaz de servicio, un panel de diagnóstico independiente y una página de configuración), el operador de la planta puede definir destinos web adicionales. Cada destino web recibe un nombre significativo y su propia URL de Mirox, de modo que todas las interfaces quedan disponibles de forma ordenada una junto a otra.
Cada destino web, incluido el acceso por defecto, puede ser habilitado o deshabilitado individualmente por el operador de la planta. Un destino web deshabilitado ya no es accesible a través del proxy, mientras que el resto de destinos del dispositivo y de la planta siguen funcionando. Esto hace que el acceso por proxy sea controlable con un grano fino, sin bloquear toda la planta.
Protocolos soportados
- HTTP (todos los métodos, incluidas subidas de archivos de tamaño arbitrario)
- Endpoints HTTPS (el TLS termina en el agente de la planta)
- WebSockets, totalmente bidireccionales
- Server-Sent Events (SSE) y otros streams de larga duración (sin límite de tiempo en la sesión global)
- Descargas de archivos (en streaming, sin límite de tamaño)
Mensajes de error resilientes
Cuando algo no funciona, el proxy devuelve un mensaje de error claro con información de diagnóstico en lugar de una página 502 anónima. El usuario puede ver, por ejemplo, si
- el dispositivo de destino no es accesible,
- el agente de la planta aún no está listo,
- la planta no tiene instalado un agente data-scraper,
- o si una respuesta procede realmente del propio dispositivo.
Esta información resulta útil para la resolución de problemas sin que el usuario tenga que consultar los archivos de registro.
Seguridad y control
Autenticación mediante la cuenta Mirox
El Proxy requiere una cookie de Mirox válida. Los navegadores que no han iniciado sesión se redirigen a la página de inicio de sesión habitual de Mirox y, tras un inicio de sesión correcto, se reenvían automáticamente al dispositivo solicitado.
Comprobación de permisos por planta
En cada solicitud, el sistema comprueba si el usuario que ha iniciado sesión tiene el permiso necesario para esta planta concreta. La comprobación respeta todo el sistema de permisos, incluidas la pertenencia a la organización, las cooperaciones y los roles de trabajo. Sin el permiso requerido, el usuario recibe una respuesta 403.
Gestión segura de redirecciones
Si el dispositivo de destino emite sus propias redirecciones (p. ej. tras un inicio de sesión hacia una URL interna distinta), el proxy las normaliza para que el navegador nunca vea direcciones internas de Mirox ni IPs de la planta. La URL se mantiene de forma coherente con el formato <id>.proxy.mirox.io.
Endpoint de diagnóstico para comprobaciones de conectividad
Un endpoint de diagnóstico reservado permite a un operador verificar que la autenticación y el enrutamiento del lado de la plataforma funcionan correctamente, sin contactar con ningún dispositivo concreto. Esto hace posible distinguir los problemas de la plataforma de los problemas de la planta.
Auditoría y cumplimiento
Cada llamada a través del Proxy alimenta un registro de auditoría conforme con KRITIS / NIS2 en la Capa 7 (HTTP). El registro de auditoría captura:
- Quién realizó la sesión (instantánea de la cuenta y del correo electrónico al inicio de la sesión)
- Qué dispositivo y qué destino web se utilizaron
- Cuándo comenzó y terminó la sesión
- Número de solicitudes y los métodos HTTP utilizados
- Volumen de datos transferidos (entrante / saliente)
- Las URLs realmente invocadas (las cadenas de consulta se censuran)
- Dirección IP pública, ubicación e información del navegador del usuario
- Una breve descripción generada por IA de la actividad ("Cambio de configuración en el inversor", "Acceso de lectura a la página de diagnóstico" …). Si la IA no está disponible al cierre de la sesión, la descripción se completa posteriormente: es una parte fija de cada sesión, no opcional.
Una sesión se cierra automáticamente cuando han transcurrido 10 minutos de inactividad. La actividad posterior a ese momento inicia una nueva sesión.
El registro de auditoría del Proxy se presenta en una vista de acceso unificada junto con el registro de auditoría de la VPN para el operador de la planta y se conserva durante al menos 730 días. Para más detalles, consulta Registro de auditoría.
Diferencias con funciones relacionadas
| Función | Cuándo resulta útil | Requisitos para el usuario |
|---|---|---|
| Proxy (esta página) | "Quiero abrir rápidamente la interfaz de un dispositivo en mi navegador, posiblemente desde un equipo de terceros." | Solo un navegador y el inicio de sesión de Mirox. Sin instalación. |
| VPN | "Quiero usar SSH, Modbus, mis propios scripts o herramientas arbitrarias contra dispositivos de varias plantas." | Instalación única de un perfil VPN por dispositivo. |
| VPN directa de parque | Acceso clásico a la planta (un perfil por parque) | Configuración independiente por planta. |
Funciones relacionadas
- VPN — túnel personal para herramientas más allá del navegador
- Registro de auditoría de acceso — vista de acceso unificada de todas las sesiones de VPN y Proxy
- Sistema de permisos — roles, permisos a nivel de trabajo y cooperaciones
- Inspector de red local — descubrimiento automático de nuevos dispositivos de red