使用工业路由器、DTU或交换机具有许多优点,但是与任何网络连接一样,安全性是设计系统时最重要的要素之一。我们将研究几个方面,以及蜂窝生态系统中可能出现安全漏洞的地方。有四个要考虑的主要领域:
● 外发数据
● 传入数据
● 公用/静态IP地址
● 专用IP地址。
让我们使用一个典型的应用程序来评估安全性问题:
在这种使用情况下,感性负载可能会导致电流和电压之间的相位不平衡。电力公司将远程接通和断开大型电容器组以校正功率因数。有许多公司制造功率因数监测设备。这些设备通常具有一个串行或以太网端口作为数据通信接口。这种初始情况的问题在于,要分析的功率因数数据是本地的,而监控设施则位于数十公里之外,甚至是全球范围的一半。
电力公司可以选择构建一个合适的RF遥测系统,其成本和有限的可扩展性将使其成为可行的解决方案。4g工业路由器使用基于标准的IP网络将数据从远程位置移动到全球范围。在这种情况下,功率因数监视设备将仅通过串口或以太网端口连接到工业路由器,从而允许数据移动。根据定义,串行端口没有地址;因此,使用具有串口和终端服务器类型支持的工业路由器可使应用程序转换串行数据以通过IP传输,这也固有地分配了地址。
简而言之:可以通过IP网络发送和接收诸如Modbus RTU串行协议之类的协议。据说这也暴露了相同的串行数据和将串行数据发送给相同类型的安全风险的设备。
如果您选择不使用允许传入数据的IP地址,则设备将被限制为仅发送出站数据。虽然这样可以保持安全性,但是它限制了您使用蜂窝IP网络的许多优点,即远程配置和管理的能力,包括通过MODBUS等协议发送命令的能力。
那么在这种用例中安全性在哪里发挥作用?如果唯一的要求是将数据从工业路由器推送到远程位置或基于云的网络,则不需要静态IP地址,您可以大大降低设备或数据网络受到攻击的风险。
如果您的需求包括工业路由器的外展或配置,或与工业路由器连接的任何物品,那么您将需要一种安全的方法来这样做。这通常以IP地址的形式出现。蜂窝网络的运营商很乐意向您出售一到数百个静态IP地址,但是这些静态地址是公开的,这意味着任何人都可以访问蜂窝设备及其网络上连接的任何东西,包括以太网和串口。在我们描述的用例中,这意味着功率因数监视设备容易受到黑客攻击。对于连接到蜂窝设备的任何以太网设备,情况也是如此。
使用VPN(虚拟专用网络)可以为您带来很多好处。VPN隧道在IP设备和其他连接的IP设备之间创建了非常安全的连接。除非您或连接到网络的设备具有正确的凭据,否则无法访问已分配的OpenVPN IP地址。这些地址是静态的,但不是公共的,允许对远程网络进行受控且受限制的访问。
不要错误地创建安全的VPN网络连接并使用运营商的静态IP地址,这里的弱点是运营商的IP地址,而与VPN隧道无关。
不要将加密与IP安全混淆,通常加密发生在数据流中。IP安全性是关于蜂窝生态系统网络上设备的 可访问性 。
永远不要保留默认设置。如果系统具有用户名和密码,这是常识,请立即更改它。 蜂窝运营商确实会发布公共IP地址,并且可以通过自动BOT ping所发布的公共静态IP地址的形式进行简单的黑客攻击,直到设备响应为止。然后,尝试使用已知的默认用户名和密码来访问设备。这可能会在安装新路由器的瞬间发生。
请始终牢记用于系统设计的设备的性质以及所支持的市场。我们将在此远程电源监控用例中进行的配置,连接和数据处理方面的细微调整也将转移到其他用例,例如储罐场监控,废水,公用事业以及许多其他基于IP的远程和隔离网络。