Безопасные подключения в IoT-среде на примере роутеров Robustel
Самыми распространенными решениями для удаленной связи с мобильным IoT-оборудованием стали сотовые сети и устройства для работы с ними. Эксперты говорят, что предпочтительнее использовать 3G/4G роутеры ввиду расширенного функционала, их повышенной надежности и безопасности. К тому же такие устройства, как Robustel, легко настроить на работу с VPN, а значит, сделать соединения более безопасными.
Почему роутеры лучше модемов
Расстояние от пункта управления до промышленного оборудования, которым необходимо управлять, может превышать сотни километров.
Получение данных с оборудования, включение и выключение устройств – это типовые задачи, которые решают территориально-распределенные предприятия. Как правило, для удаленной связи используются промышленный компьютер, PLC или набор датчиков и счетчиков, которые подключены к сети с помощью 3G/4G модемов или 3G/4G роутера. Сетевое оборудование передает данные оператору предприятия.
Эксперты утверждают, что подключение через роутеры более надежно и безопасно. Роутеры для связи IoT-устройств позволяют реализовать более широкий спектр подключений, нежели 3G/4G модемы. Дополнительный функционал продвинутых сетевых устройств позволяет производить тонкую настройку. Поэтому речь в статье пойдет про роутеры.
Варианты подключений с помощью сетевого оборудования
Типовые варианты подключений:- по статическому IP адресу;
- с использованием услуги DDNS;
- через внешний сервер со статическим IP адресом;
- с использованием услуги провайдера Private APN;
- с организацией VPN-канала.
Подключение к удаленному объекту по статическому IP адресу
Это вариант возможно реализовать, когда в роутере используется SIM-карта с «белым» статическим IP-адресом.Преимущества:
- легкость настройки;
- простая конфигурация сети;
- доступ к каждому объекту по уникальному адресу.
Недостатки:
- количество статических IP адресов обычно ограничено;
- каждый статический IP оплачивается у провайдера дополнительно;
- подверженность взлому, сниффингу, DoS-атакам, лишний расход трафика.
Организация такого подключения чревата нарушением безопасности и попыткам несанкционированного доступа. Если оборудование доступно по выделенному IP, то доступ к такому адресу могут получить различные компьютеры и не только из организации.
Пример: Сервера компании находятся в Америке, а удаленные объекты – в Казахстане. Смену топологии сети в компании сочли невозможной. В некоторые дни оборудование не выходило на связь в течение нескольких часов. Анализ логов показал, что к устройствам пытались непрерывно подключиться с различных IP-адресов. Такие действия злоумышленников приводили к отказу системы и избыточному расходованию мобильного трафика. Поэтому такой способ для удаленного подключения не рекомендуется.
Подключение к удаленному объекту с использованием услуги динамического сервера доменных имен (Dynamic DNS)
Преимущества:- адреса устройств могут быть динамическими, находится за NAT провайдера;
- наличие бесплатных DDNS;
- сложность сниффинга адресов удаленных объектов.
Недостатки:
- нестабильное соединение, особенно с бесплатными DDNS;
- DDNS сервера могут быть недоступны;
- подверженность взлому/перехвату трафика.
Подключение к удаленному объекту с использованием внешнего сервера со статическим IP адресом
Преимущества:
- легкость в настройке роутера;
- нет доступа извне к роутеру
Недостатки:
- по-прежнему трафик не шифруется, есть вероятность перехвата и взлома.
Этот способ подключения – наиболее безопасный из вышеперечисленных. Удаленный роутер сам подключается к серверу по заранее известным IP. Ответственность за аутентификацию, безопасность, защиту от атак лежит на стороне сервера.
Подключение к удаленному объекту с использованием услуги провайдера Private APN
Преимущества:
- безопасное соединение;
- «серые» IP (расположенные за NAT провайдера), нет доступа извне, только через шлюз провайдера.
Недостатки:
- сложность настройки;
- могут быть проблемы с назначением IP адресов, масок и т.п;
- в случае кражи/утери SIM карты появляется доступ ко всей сети сегмента;
- услуга платная.
Этот вариант достаточно безопасный. За конфиденциальность данных, аутентификацию и назначение IP-адреса отвечает провайдер. Как правило, при подключении выделяются «серые» IP-адреса. Просто так из интернета доступ к этим адресам не получить. Доступ возможен только через шлюз и файервол провайдера.
Подключение к удаленному объекту с организацией VPN-канала
Преимущества:
- безопасное соединение с использованием протоколов шифрования;
- аутентификация пользователей;
- «серые» динамические IP на удаленных объектах;
- повышенная сложность взлома сети и перехвата трафика.
Недостатки:
- сложность настройки;
- необходимость в актуализации сертификатов защиты;
- нужен сервер со статическим «белым» IP.
Это наиболее безопасный способ подключения из всех рассмотренных. В данном случае используются протоколы шифрования. Статический адрес достаточно иметь только на сервере. Подключение к серверу обеспечивается безопасно, запрашивается аутентификация, применяются сертификаты шифрования.
Также в этом типе подключений создаются безопасные туннели между удаленными объектами и локальной сетью и возможно подключить к оборудованию мобильных пользователей. Весь трафик может быть зашифрован.
Для эффективного дистанционного управления промышленным оборудованием рекомендуется использовать VPN.
Оборудование Robustel
Во всех роутерах Robustel установлена операционная система RobustOS. В ней по умолчанию предусмотрено простое подключение к таким видам VPN, как GRE, OpenVPN и IPSec. Через центр приложений дополнительно устанавливаются типы соединений DMVPN, PPTP и L2TP.
Предусмотрена возможность шифрования трафика стандартными алгоритмами GRE 128/256. Роутеры поддерживают стандарты 2G/HSPA+/UMTS. Чтобы всегда быть онлайн, предусмотрено резервирование каналов SIM.
Роутерам Robustel доступна Robustlink – это централизованная облачная IoT/M2M-платформа управления. Облачная платформа RobustLink позволяет проводить мониторинг всех устройств в сети.
Ключевые возможности Robustlink:
- Удаленное управление всеми устройствами;
- Поддержка до 20 000 устройств;
- Мониторинг;
- Обновление ПО;
- Управление SIM картами;
- Возможность подключения RobustVPN как приложения;
- Возможность управления установленными на роутере приложениями.
Robustel в действии
С помощью различного оборудования Robustel предприятия реализуют различные сценарии, самые распространенные из которых – удаленный доступ к оборудованию, проверка сотрудников с помощью устройств, мониторинг активности и т.д.
Пример 1. Удаленный доступ к объектам нефтедобычи. Мониторинг и управление кустовыми насосными станциями
Одна крупная компания разработала станции управления насосами. Они обеспечивают:
- сбор и обработку параметров работы насосов;
- выполнение команд дистанционного управления оборудованием;
- передачу информации на верхний уровень;
- сигнализацию об аварийных ситуациях.
Для реализации этой задачи использовалось оборудование Robustel R3000-3P. Часть алгоритмов была реализована в роутере с применением SDK Robustel (комплект средств разработки), а передача данных на верхний уровень осуществлялась с помощью защищенных VPN-туннелей.
Robustel R3000-3P – это промышленный 3G-роутер с двумя SIM-картами для UMTS/HSPA сетей.
роутер R3000 S2-002
Отличительные особенности
- Поддержка HSPA+;
- Двойное резервирование SIM для непрерывной сотовой связи, поддерживает 3G;
- Метод антенного разделения (Antenna diversity) для улучшения производительности передачи;
- Два Ethernet порта, могут быть настроены как 2 LAN или 1 LAN – 1 WAN (поддерживает беспроводной WAN и резервирование по проводному WAN);
- Поддержка VLAN.
Пример 2. Телемедицина: Автоматизированная система проведения медицинских осмотров
Компания разработала программно-аппаратный комплекс, который позволяет проводить медицинский осмотр сотрудников, чья работа связана с повышенным риском или ответственностью (машинисты поездов, водители общественного транспорта и т.д.).
Задачей системы стали:
- исключение человеческого фактора при проведении осмотров;
- сокращение времени, повышение безопасности и дисциплины сотрудников;
- удаленный осмотр сотрудников в любой точке страны с фиксацией всех параметров в единой базе данных на удаленном сервере;
- развертывание более 100 терминалов по всей России.
Для реализации задачи подключение удаленных устройств осуществлялось при помощи промышленного сотового LTE-роутера Robustel R2000-4L. R2000-4L создан для организации беспроводной передачи данных в приложениях IoT/М2М.
Ключевые особенности:
- Поддержка Wi-Fi (в зависимости от модели);
- Резервирование передачи данных по двум SIM картам, обеспечение непрерывного соединения с сетью, поддержка 2G/3G/4G стандартов;
Различные режимы резервирования и проверки активности соединения.
Технические характеристики Robustel R2000-4L
Пример 3. Мониторинг сейсмической активности и метеорологической обстановки
Государственное учреждение реализовало удаленный сбор данных в сети из 40 сейсмостанций, которые обеспечивают круглосуточный сейсмический мониторинг в горной местности.
Задача контроля заключается:
- в оперативном оповещении населения о сейсмических событиях;
- в непрерывном сейсмологическом мониторинге на сети стационарных станций;
- изучение техногенной сейсмичности в местах добычи полезных ископаемых.
Для подключения оборудования использовалась модель роутера R3000-Quad. R3000 Quad – это надежный промышленный сотовый 3G-роутер
Ключевые особенности
- Резервирование передачи данных по двум SIM картам, обеспечение непрерывного соединения с сетью, поддержка 2G/3G стандартов;
- Автоматическая перезагрузка при помощи SMS, по звонку или в заданное время;
- Работа с Robustlink (Централизованная M2M платформа управления);
- Различные методы управления.
Технические характеристики R3000-Quad
3G/4G роутеры Robustel с успехом применятся также в таких сценариях, как банкоматы и вендинг, автоматическое считывание показаний измерительных приборов, промышленной автоматизации, в системах видеонаблюдения и т.д.
В России официальным дистрибьютором продукции Robustel является компания «ЕвроМобайл».
Компания Robustel имеет развитую сеть дистрибьюторов в более чем 120 странах мира. Продукция отличается высокой надёжностью, промышленным классом исполнения и приемлемой ценой. Компания «ЕвроМобайл», как официальный дистрибьютор и инжиниринговая компания, осуществляет гарантийное и постгарантийное обслуживание продукции Robustel, оказывает услуги по настройке, обновлению, интеграции и проектированию систем телеметрии на базе роутеров Robustel.
Продукция Robustel успешно решает задачи связи, управления и передачи данных в таких применениях, как: мониторинг бурения скважин, управление светофорными объектами, системы контроля проезда на красный свет, АСКУЭ, интеллектуальное управление перекрёстками, управление объектами водного хозяйства, обеспечение связи и интернета по защищённому каналу между филиалами компаний, умные парковки, управление городским освещением и другие решения для умного города.
Получить консультацию и заказать продукцию Robustel можно в компании « ЕвроМобайл».
Назад