У меня есть несколько IP-регистраторов данных (которые измеряют температуру, влажность, уровень освещенности), которые находятся внутри кучи складов / магазинов, причем каждый склад / магазин является отдельным клиентом с моей точки зрения. Эти регистраторы данных предоставляют информацию по протоколу HTTP (базовая аутентификация). Кроме того, мой сервер отправляет команды (снова через HTTP) регистратору данных для перезагрузки, обновления прошивки и т. Д. Сегодня я настроил его так, что каждому из них назначается IP-адрес в диапазоне private-192.168.XX. с уникальным номером TCP-порта, и ADSL-Router выполняет сопоставление портов, чтобы сделать их видимыми для моего сервера, который опрашивает эти регистраторы данных (на каждом сайте) каждые 5 минут, чтобы загрузить данные в кодировке base64. Регистраторы данных не могут быть обновлены программно (я не контролирую их), но я бы как-то защитил поток информации от ADSL-маршрутизатора к моему серверу. Сегодня количество таких клиентов невелико и поддается управлению, но я хотел бы масштабировать их, поэтому ищу решение, которое хорошо масштабируется, обеспечивает мне необходимую безопасность и является экономически эффективным.
Мои ожидания от «безопасности» здесь следующие: - - Отсутствие подслушивания / отслеживания - Отсутствие посредника - Без подделки - Без спуфинга Можно с уверенностью предположить, что мой главный интерес заключается в обеспечении связи между моим сервером и ADSL-роутер безопасен. Внутри склада я не так сильно переживаю.
На маршрутизаторе ADSL у меня есть брандмауэр, с дырявыми отверстиями (очевидно) для определенных портов, соответствующих регистраторам данных и созданному сопоставлению. Может ли VPN быть ответом? Какие есть альтернативы, подводные камни, ямы и т. Д.
Цените объяснения, указатели, предложения и т. Д.
TIA, ~ i ++
Да, будет обидчиво делать низкую цену. В основном ваши варианты:
Заставьте устройство использовать SSL или иным образом обеспечить безопасность (некоторые небольшие встроенные цели, которые у нас есть, не могут использовать SSL, но могут выполнять ручное шифрование SRP + ОК). Вы уверены, что это не то, что можно "включить" на устройствах?
Подключите маршрутизатор к VPN-туннелю - через что угодно, ipsec, ssl или даже pptp. Я предполагаю, что вы рассмотрели, какие варианты он там предоставляет, потому что все следующие варианты включают в себя «поставьте ящик, чтобы вы могли подключиться к нему».
Отбросьте свой собственный бастионный хост - в идеале какое-нибудь маленькое дешевое устройство Linux - а затем оттуда ipsec (openswan), ssl (openvpn) или pptp (pptpd) VPN. (Или что-то более гетто вроде stunnel).
Вы упомянули AWS; Некоторое время я пытался заставить OpenSwan работать там, но мне помешали; OpenSSL, вероятно, будет вашим лучшим выбором. Или pptp вроде работает, Я этого не делал. Amazon предлагает продукт VPN (VPC), но я не уверен, что это подойдет вам. Есть лучший коммерческий продукт, VPN. Однако ни один из них не решает "проблему конечной точки", если только ваш маршрутизатор ASDL не поддерживает vpn и не совместим.
Если вы не измеряете комнатную температуру на 10 Гц + (что было бы психозом), я не думаю, что вам нужно беспокоиться о накладных расходах SSL. Зависит от исходного количества конечных точек, которые у вас есть, но если предположить, что их всего несколько сотен, я бы не ожидал проблем с масштабированием (а если они есть, в идеале при работе на AWS, масштабирование выполняется легко, и, надеюсь, дополнительные 72 доллара в месяц - это снижение ведро за то, что вы заряжаете этих ребят ..)
Публикация того, какой маршрутизатор и какие устройства-коллекторы могут помочь людям дать вам более конкретную помощь ...
Если у вас нет контроля над самими устройствами, вам нужно полагаться на безопасный транспорт, такой как туннель IPSec между сайтами.
Хорошая новость заключается в том, что это общий стандарт, а возможности взаимодействия между поставщиками очень хорошие, поэтому любой достойный межсетевой экран будет иметь поддержку IPSec.
Плохая новость заключается в том, что вам необходимо развернуть межсетевые экраны с поддержкой IPSec на всех этих складах, которые могут / не могут находиться под вашим контролем (вы не указали, принадлежит ли вам сетевое оборудование или нет).
У меня аналогичная проблема, поэтому я тоже буду внимательно следить за ответами!
Я так понимаю, что регистраторы данных - это проприетарные устройства, а не настраиваемые серверы? В последнем случае, рассматривали ли вы возможность придерживаться существующей настройки и шифровать отправляемые данные, это может быть хорошим первым шагом без дополнительной сложности https / VPN и т. Д. Для начала работы
Можно ли настроить удаленные маршрутизаторы на прием запросов только с определенных диапазонов IP-адресов вашего известного центрального сервера (ов)? Это должно дать дополнительную уверенность «случайным» хакерам.
Одна вещь, которая беспокоит меня в моей настройке, заключается в том, что для масштабирования в какой-то момент вам понадобится несколько посадочных площадок VPN, а удаленные клиенты, возможно, потребуется настроить для разговора с конкретными, если только некоторые уловки multihost / dns (? Помимо меня) можно настроить. Однако VPN действительно кажется разумным решением, если ваши удаленные маршрутизаторы могут регулярно справляться со всеми сбоями, которые происходят на удаленных сайтах.
Еще одна вещь, которую вам нужно взвесить, это то, стоит ли эта дополнительная инфраструктура (стоимость / время / поддержка) по сравнению с внутренней ценностью данных для вас или клиентов вашего бизнеса.
Извините, мне больше нечего добавить, поскольку я говорю, что я тоже борюсь с этим.