12 августа 2020

Как на базе роутеров Robustel можно реализовать безопасное подключение к среде IoT

Мобильные сети — наиболее распространенное решение для удаленного подключения к IoT-оборудованию. Согласно мнению экспертов, лучше всего для этих целей использовать роутеры 3G/4G, так как они отличаются многофункциональностью и высокой безопасностью.

А если использовать такие роутеры, как Robustel, то можно получить не только максимально надежное соединение и широкий функционал, но и возможность настройки VPN, что позволяет сделать работу предельно безопасной и защищённой.

Роутеры vs Модемы: кто кого

От Центра управления до оборудования, которым нужно управлять, может быть расстояние в несколько сотен километров. Выгружать информацию с оборудования, а также включать/выключать различные элементы инфраструктуры — типовые задачи, выполняемые компаниями, разнесенными территориально.

Обычно, для обеспечения удаленной связи применяются промышленные ПК, наборы счетчиков и датчиков или PLC, которые подключаются к 3G/4G-сети при помощи роутеров или модемов. Именно через это сетевое оборудование и передаются данные между объектами.

Согласно мнению экспертов, для решения подобных задач лучше всего использовать роутеры, так как это надежнее и безопаснее модемного подключения. Именно роутеры способны обеспечить максимальное число подключений и это их основное преимущество перед модемами.

А благодаря дополнительным функциям, которые пользователи получают при использовании современных сетевых устройств, можно удаленно выполнять максимально тонкую настройку оборудования. Вот почему роутеры больше всего подходят для решения наших задач.

Распространенные варианты сетевых подключений

Удаленное управление оборудованием через роутеры можно организовать при помощи таких типов подключений:

  • по статическому IP;

  • при помощи приложения DDNS;

  • по статическому IP с использованием внешнего сервера;

  • при помощи Private APN на стороне провайдера;

  • путем организации VPN-канала.

Рассмотрим каждый вариант более детально.

Подключение по статическому IP

Подобное решение применяется обычно тогда, когда роутер имеет слот для СИМ-карт и «белый» статический адрес.

Плюсы решения:

  • быстрая и легкая настройка;

  • быстрое конфигурирование сети;

  • можно организовать доступ к каждому устройству по уникальному IP;

Минусы решения:

  • статические IP имеют ограничение в количестве;

  • за каждый дополнительный адрес придется доплачивать провайдеру;

  • есть риск взлома, DDos-атак, сниффинга и расхода трафика.


Реализовав такое решение, повышается риск несанкционированного перехвата данных и даже подключения к оборудованию. То есть, если к оборудованию подключиться через выделенный адрес, то теоретические доступ к нему могут получить также ПК третьих лиц, а не только компьютеры предприятия.

Для примера: Сервер определенной организации расположен в Австрии, а оборудование, которое он использует — в Москве. Изменить топологию в компании посчитали невыполнимой задачей.

В определенные периоды времени устройства были недоступны на протяжении пары часов. Проанализировав ситуацию, стало известно, что к оборудованию пытались пробовали подключиться с разных IP.

Подобные действия недоброжелателей время от времени делали систему уязвимой, а расходование мобильного трафика постоянно росло. Вот почему подобное решение нельзя считать рекомендуемым.

Подключение при помощи приложения DDNS

Dynamic DNS также имеет свои преимуществ аи недостатки.

Плюсы:

  • каждое устройство инфраструктуры получает динамический адрес, который находится вне провайдерского NAT;

  • есть множество бесплатных DDNS;

  • значительно усложняется работы злоумышленников (снифферов).

Минусы:

  • связь будет крайне нестабильной, а особенно, если использовать бесплатные низкокачественные DDNS;

  • DDNS-сервера часто бывают вообще недоступными;

  • есть риск утечки данных.

Подключение по статическому адресу через внешний сервер

Этот вариант имеет такие плюсы:

  • роутеры очень легко настроить;

  • подключиться к сети извне практически невозможно.

Минусы:

  • трафик, как и в предыдущих случаях, не шифруется и риск его перехвата по прежнему есть.

Такой вариант подключения самый безопасный из всех, что мы рассматривали ранее. Удаленный роутер может подключаться к серверу через известные заранее адреса.

При этом, именно роутер несет ответственность за безопасную передачу данных, аутентификацию пользователей, а также защиту системы от несанкционированного подключения к ней третьих лиц.

Подключение при помощи Private APN на стороне провайдера

Плюсы решения:

  • максимально безопасное соединение;

  • адреса, к которым невозможно получить доступ извне, а только через провайдерский шлюз.

Минусы:

  • довольно трудоемкая настройка оборудования;

  • могут возникнуть трудности в плане назначения типа масок, IP-адресов и т. п.;

  • если СИМ-карту украдут или потеряют, сторонние лица могут получить доступ к целому сетевому сегменту;

  • услуга не бесплатная.

Подобный вариант подключения отличается высокой безопасностью. За защиту данных отвечает сторона провайдера. При организации доступа обычно используются «серые» IP и просто так к ним доступ не получить.

Подключение через VPN-канал

Решение с использованием канала VPN имеет такие положительные стороны:

  • связь с оборудованием максимально безопасная, так как будут задействованы протоколы шифрования;

  • каждый пользователь должен проходить аутентификацию;

  • для удаленного доступа используются «серые» адреса;

  • перехватить или взломать трафик довольно трудно.

Из недостатков решения можно выделить:

  • трудоемкая настройка оборудования;

  • нужно постоянно актуализировать защитные сертификаты;

  • сервер должен иметь статический «белый» IP.

Подобный вариант организации удаленного доступа самый надежный из всех, что были описаны. А все благодаря протоколам шифрования. При этом, в качестве дополнительной защиты используется аутентификация пользователей. Статический IP можно заменять только на серверной стороне.

Кроме того, в решении с использованием VPN будут созданы туннели между взаимодействующими объектами (Центром управления и удаленным оборудованием). Вот почему для максимально защищенного управления ресурсами стоит применять именно VPN-подключение.

Роутеры Robustel

Каждый роутер производства Robustel работает на основе собственной ОС RobustOS. Эта ОС предлагает пользователю следующие варианты подключения: VPN, PPTP, OpenVPN, GRE, DMVPN и L2tp.

Также, Robustel предлагает встроенную функцию шифрования трафика по GRE-алгоритму (128/256). Оборудование имеет поддержку UMTS, HSPA+ и 2G стандартов, а чтобы постоянно оставаться онлайн, реализована функция резервирования СИМ-каналов.

Оборудование Robustel может работать с облаком Robustlink — централизованной средой для управления M2M и IoT. С помощью этого решения можно проводить мониторинг абсолютно всего сетевого оборудования.

Возможности устройств Robustel:

  1. Организация удаленного доступа ко всем устройствам.

  2. Функция мониторинга.

  3. Управление СИМ-картами.

  4. Возможность получать обновления для программного обеспечения.

  5. Поддержка одновременной работы с 20 тыс. устройств.

  6. Использование RobustVPN в качестве приложения.

  7. Управление ПО, установленном на роутере.

Как работает Robustel

Используя разнообразные устройства Robustel, компаниями реализовываются разные сценарии и самые частые из них — удаленное подключение к устройствам инфраструктуры, проверка работников при помощи оборудования, анализ активности и т. д.

Пример 1

Крупной компании необходимо организовать доступ к нефтедобывающему оборудованию для анализа его работы и управления станциями, добывающим «черное золото».

Предприятие имеет собственные станции управления насосным оборудованием, которые:

  • собирают и обрабатывают данные каждого насоса;

  • «слушают» команды с удаленного Центра управления;

  • передают информацию на верхние уровни;

  • отправляют данные о каких-либо внештатных ситуациях.


Чтобы реализовать вышеописанную задачу, были задействованы устройства Robustel R3000-3P. Несколько алгоритмов было реализовано на основе роутеров с использованием штатного ПО разработчика (DK Robustel), а отправка данных на уровни выше была организована при помощи защищенных VPN.

Модель Robustel R3000-3P представляет собой роутер с поддержкой 3G, который может одновременно работать с двумя СИМ-картами для сетей передачи данных HSPA и UMTS.

Остальные особенности модели Robustel R3000-3P:

  • работает с HSPA+;

  • имеет поддержку 3G и обеспечивает двойное резервирование при помощи СИМ-карт;

  • использует метод antenna diversity (антенного разделения) для максимально производительной передачи информации;

  • имеет 2 Ethernet-разъема, которые можно настроить, как LAN-1 — WAN-1 и LAN-2;

  • поддерживает VLAN.

Пример 2

Предприятие разработало комплекс для медосмотра сотрудников, работающих в условиях повышенного риска получить травму и высокой ответственности (шоферы городского транспорта, машинисты поездов и т. п.)

Главные проблемы, которые должен решать комплекс:

  • минимизировать человеческий фактор в процессе осмотра сотрудников;

  • дисциплинировать работников и повысить их безопасность;

  • позволить проводить удаленный осмотр из любой точки страны с дальнейшей отправкой данных в единую базу на сервере;

  • сократить временные затраты на осмотр работников;

  • развернуть от 100 терминалов на территории РФ.

Чтобы решить такую задачу, для организации подключения были выбраны роутеры промышленного типа Robustel R2000-4L. Эта модель была разработана специально для создания беспроводного канала передачи информации в ПО IoT и M2M.

Особенности этого роутера следующие:

  • поддерживает отправку данных по беспроводной сети WiFi;

  • имеет функцию резервирования по 2-м СИМ-картам, которая работает в режиме 2G, 3G и 4G;

  • может работать в нескольких режимах проверки соединения и резервирования.

Пример 3

Госпредприятию требовалось организовать получение информации с сети сейсмических станций (40 штук), которые проводят анализ сейсмической активности в режиме «24 на 7».

Подобный мониторинг имеет следующие цели:

  • оперативно сообщать о различных сейсмических событиях в регионе;

  • круглосуточно проводить мониторинг в сети из 40-а станций;

  • изучать техногенную сейсмоактивность на объектах добычи ископаемых.

Чтобы реализовать задуманное, было принято решение использовать промышленный роутер Robustel R3000-Quad, работающий в сети 3G.

Особенности модели:

  • резервирование данных при помощи использования двух СИМ-карт в сетях 2 и 3G;

  • автоматический перезапуск оборудования при помощи отправки СМС-сообщения или звонку в указанное время;

  • доступ к штатному решению Robustlink;

  • несколько вариантов организации управления.

Кроме всего вышеописанного, роутеры Robustlink часто применяются при решении других задач. Например, для: организации доступа к банкоматам, в вендинге, при автоматическом получении данных с измерительных приборов, в промышленной автоматизации, в системах видеонаблюдения и т. п.