Dispositivo compacto y económico para asegurar la comunicación no segura con dispositivos de campo

1

Tengo el siguiente problema. Nuestro producto se integra con señales LED de un determinado fabricante. La comunicación con estos dispositivos se realiza a través de HTTP (contienen un servidor web para la IU de administración y un servicio web). El dispositivo no ofrece ningún método de autenticación, lo que significa que si puede conectarse al dispositivo a través de la red TCP, tiene acceso completo al dispositivo.

A nuestro equipo de ventas y a nuestros clientes les gustan mucho estas señales debido a su versatilidad y las quieren. El fabricante no está muy preocupado por la falta de seguridad y no tiene prisa por agregar ninguno (HTTPS, nombre de usuario + inicio de sesión pw, etc.).

Me pregunto si hay dispositivos pequeños que podrían "agregarse" a cada señal LED para hacer cumplir la comunicación cifrada y autenticada con esas señales. Esto es lo que tengo en mente. El dispositivo está conectado físicamente a un letrero (dentro o fuera. El dispositivo tiene dos puertos Ethernet. Uno de ellos se conecta al puerto Ethernet del letrero LED y el otro al puerto Ethernet Intranet en la pared. El servidor principal que controla los letreros LED Ahora puede establecer una comunicación segura con esos dispositivos (¿VPN?) y toda la comunicación HTTP hacia y desde las señales LED se canaliza de forma segura a través de esos dispositivos.

Busqué en Internet durante bastante tiempo y no pude encontrar ningún dispositivo de este tipo, posiblemente porque no sé cómo llamarías a ese dispositivo.

Una restricción más: el servidor principal que controla los letreros LED ejecuta Windows 2008 R2 y versiones posteriores, por lo que cualquier software que se ejecute en el servidor principal para habilitar esos túneles debe ejecutarse en Windows.

¡Gracias!

    
pregunta christoph 10.09.2016 - 21:07
fuente

2 respuestas

4

Cualquier computadora pequeña y de bajo costo que ejecute Linux y tenga 2 puertos Ethernet le permitirá hacer esto. Use NGINX, HAProxy o similar en la computadora para ejecutar un proxy inverso que termina la conexión HTTPS y pasa el tráfico HTTP sin cifrar. Recuerde que HTTPS es simplemente HTTP con cifrado TLS agregado. El servidor de origen no le importará.

Si no puede obtener una computadora adecuada de bajo costo (intente buscar algunos de los clones de Raspberry Pi, estoy seguro de que uno tendrá 2 puertos Ethernet), su alternativa sería instalar una sola computadora en el segmento de red. nivel - por ejemplo haga que el proxy de terminación HTTPS se ejecute en el borde de la red local de confianza razonable. Este es el mismo principio, pero simplemente reduce los costos mediante la agregación de tráfico a través de una sola PC: por construcción, piso o cualquier límite de seguridad que tenga sentido para su cliente. Mejor aún, use 2 PC para la resistencia si las señales son lo suficientemente importantes.

Esto es realmente lo contrario de lo que podría hacer cuando ejecuta un servicio web de Internet a gran escala. En ese caso, puede terminar las conexiones HTTPS en el borde de su centro de datos utilizando servidores dedicados para reducir la carga en sus servidores web internos. El mismo principio aquí, pero mantienes el tráfico cifrado todo el tiempo que puedas y descifraslo en algún punto conveniente cerca de las señales.

ACTUALIZACIÓN: con respecto al posible hardware, aquí hay algunos consejos.

Podría usar un Pi (o similar) con un adaptador Ethernet USB como el segundo adaptador.

Puede revisar la base de datos de compatibilidad OpenWRT para obtener los dispositivos adecuados. OpenWRT es una versión de Linux de enrutador de código abierto.

También hay algunos dispositivos Linux integrados con 2 puertos Ethernet integrados.

Finalmente, dependiendo de la topología de los edificios que necesite soportar, podría ser factible construir una red separada solo para las pantallas. Esto no es tan difícil como parece, pero la restricción puede ser la cantidad de puertos de repuesto que tienen los edificios. Es concebible que todo lo que se necesita es un nuevo parche de la red. Si el personal de su red está abierto a ello, incluso podría ser suficiente para configurar lógicamente las pantallas a su propia VLAN.

Lo siento, estoy divagando ahora! Lo que estoy tratando de mostrar con este último punto es que es posible que solo necesite el cifrado entre edificios y, dependiendo del hardware y la configuración de la LAN, es posible que pueda usar el firewall de un edificio para terminar el cifrado (por ejemplo, mediante una VPN, no incluso si la WAN es una MPLS moderna ya que ya está cifrada punto a punto). Luego, una vez dentro del edificio, puede segmentar física o lógicamente el tráfico de la pantalla.

    
respondido por el Julian Knight 11.09.2016 - 02:23
fuente
1

Gracias a las sugerencias de Julian, pude encontrar al menos una serie de dispositivos que se parecen bastante a lo que estoy buscando: la serie de enrutadores Nexx WT3020. Estos enrutadores en miniatura tienen dos puertos Ethernet, y el WT3020A, el más barato, tiene Wifi (no es necesario) y no tiene USB. Vi precios entre $ 15-30 en Internet.

La serie WT3020 es compatible con el sistema operativo integrado OpenWRT (basado en Linux), lo que significa que podrían personalizarse con bastante facilidad para admitir lo que estoy buscando. Si solo pudieran ejecutarse con Power-over-Ethernet, sin tener que hacer un trabajo de soldadura personalizado: enlace

    
respondido por el christoph 13.09.2016 - 18:37
fuente

Lea otras preguntas en las etiquetas