使用工業路由器、DTU或交換機具有許多優點,但是與任何網絡連接一樣,安全性是設計系統時最重要的要素之一。我們將研究幾個方面,以及蜂窩生態系統中可能出現安全漏洞的地方。有四個要考慮的主要領域:
● 外發數據
● 傳入數據
● 公用/靜態IP地址
● 專用IP地址。
讓我們使用一個典型的應用程序來評估安全性問題:
在這種使用情況下,感性負載可能會導致電流和電壓之間的相位不平衡。電力公司將遠程接通和斷開大型電容器組以校正功率因數。有許多公司制造功率因數監測設備。這些設備通常具有一個串行或以太網端口作為數據通信接口。這種初始情況的問題在于,要分析的功率因數數據是本地的,而監控設施則位于數十公里之外,甚至是全球范圍的一半。
電力公司可以選擇構建一個合適的RF遙測系統,其成本和有限的可擴展性將使其成為可行的解決方案。4g工業路由器使用基于標準的IP網絡將數據從遠程位置移動到全球范圍。在這種情況下,功率因數監視設備將僅通過串口或以太網端口連接到工業路由器,從而允許數據移動。根據定義,串行端口沒有地址;因此,使用具有串口和終端服務器類型支持的工業路由器可使應用程序轉換串行數據以通過IP傳輸,這也固有地分配了地址。
簡而言之:可以通過IP網絡發送和接收諸如Modbus RTU串行協議之類的協議。據說這也暴露了相同的串行數據和將串行數據發送給相同類型的安全風險的設備。
如果您選擇不使用允許傳入數據的IP地址,則設備將被限制為僅發送出站數據。雖然這樣可以保持安全性,但是它限制了您使用蜂窩IP網絡的許多優點,即遠程配置和管理的能力,包括通過MODBUS等協議發送命令的能力。
那么在這種用例中安全性在哪里發揮作用?如果唯一的要求是將數據從工業路由器推送到遠程位置或基于云的網絡,則不需要靜態IP地址,您可以大大降低設備或數據網絡受到攻擊的風險。
如果您的需求包括工業路由器的外展或配置,或與工業路由器連接的任何物品,那么您將需要一種安全的方法來這樣做。這通常以IP地址的形式出現。蜂窩網絡的運營商很樂意向您出售一到數百個靜態IP地址,但是這些靜態地址是公開的,這意味著任何人都可以訪問蜂窩設備及其網絡上連接的任何東西,包括以太網和串口。在我們描述的用例中,這意味著功率因數監視設備容易受到黑客攻擊。對于連接到蜂窩設備的任何以太網設備,情況也是如此。
使用VPN(虛擬專用網絡)可以為您帶來很多好處。VPN隧道在IP設備和其他連接的IP設備之間創建了非常安全的連接。除非您或連接到網絡的設備具有正確的憑據,否則無法訪問已分配的OpenVPN IP地址。這些地址是靜態的,但不是公共的,允許對遠程網絡進行受控且受限制的訪問。
不要錯誤地創建安全的VPN網絡連接并使用運營商的靜態IP地址,這里的弱點是運營商的IP地址,而與VPN隧道無關。
不要將加密與IP安全混淆,通常加密發生在數據流中。IP安全性是關于蜂窩生態系統網絡上設備的 可訪問性 。
永遠不要保留默認設置。如果系統具有用戶名和密碼,這是常識,請立即更改它。 蜂窩運營商確實會發布公共IP地址,并且可以通過自動BOT ping所發布的公共靜態IP地址的形式進行簡單的黑客攻擊,直到設備響應為止。然后,嘗試使用已知的默認用戶名和密碼來訪問設備。這可能會在安裝新路由器的瞬間發生。
請始終牢記用于系統設計的設備的性質以及所支持的市場。我們將在此遠程電源監控用例中進行的配置,連接和數據處理方面的細微調整也將轉移到其他用例,例如儲罐場監控,廢水,公用事業以及許多其他基于IP的遠程和隔離網絡。
-20241213094735.png)
