skip to Main Content
En router eller modem för 3G och 4G har många fördelar, men som med alla nätverksanslutningar är säkerhet en av de viktigaste faktorerna att ta hänsyn till vid dimensionering av system. Det här är ett par tips på vägen till säkrare kommunikation via mobilnäten.

Det finns 4 huvudområden vi skall fokusera på:

Utgående data
Inkommande data
Offentliga/statiska IP-adresser
Privata IP-adresser

Ett exempel från kraftindustrin

Låt oss titta på en typisk applikation för att belysa viktiga säkerhetsfrågor. En anläggning med solceller fjärrövervakas för att inhämta viktiga driftsdata och under drift styra stationen optimalt.

Fjärranslutning till solcellsanläggning

Vid produktion av elektricitet med solceller handlar det om att balansera effektuttag med producerad el. Det finns många företag som tillverkar utrustning för övervakning av denna typ av anläggningar och dessa har vanligtvis en seriell eller ethernet-port för anslutning av kommunikationslösning. Utmaningen är när lokala mätvärden skall analyseras av övervakningsanläggningen som ligger många kilometer bort eller till och med i ett annat land.

Säker uppkoppling av IP-nätverk

Kraftbolaget har flera alternativ när det gäller att designa ett robust kommunikationssystem och även om detta inlägg handlar om kommunikation via mobilnäten rekommenderar vi att uppkopplingen dubbleras med en backuplösning om uppkopplingen är driftskritisk. Ett privat radionät är en bra backuplösning och kan täcka avstånd upp till 10-tals mil. När det gäller uppkoppling via en 4G router använder routern ett standardiserat IP-nätverk för att flytta data från den avlägsna plats där stationen ligger till en valfri plats över i stort sett hela världen. Hårdvaran för effektstyrningen skulle i detta fall enkelt kunna kopplas till routern via en seriell port (RS-232/RS-485) eller en ethernet-port som möjliggör dataöverföring. Per definition har den seriella porten ingen adress därför ger en mjukvarufunktion i routern möjlighet att konvertera seriell data för till IP-paket, detta ger också fördelen att datapaketet tilldelas en unik adress.

Protokoll som Modbus RTU, som är ett protokoll för seriella enheter, kan konverteras till IP-trafik och skickas och tas emot via ett IP-nätverk. Detta gör dock att seriell data plötsligt utsätts för samma säkerhetsrisker som enheter på IP-nätverk.
Enheten kan inte nås från utsidan

Enheten kan inte nås från utsidan

Om man i applikationen väljer att inte använda en statisk eller dynamisk känd IP-adress (fast IP-adress eller DDNS) går det inte att nå enheterna från utsidan för konfiguration eller inhämtning av data. I en del applikationer är detta en del systemet och då kan man begränsa enheterna till att bara kunna skicka data. Det här är så klart säkrare för angrepp på de enskilda understationerna men begränsar mycket av fördelarna med att jobba med IP-nätverk via mobilnäten. Om det enda kravet är att data ska skickas från en enhet via en router till en plats eller ett molnbaserat nätverk är det inte nödvändigt med en statisk eller fast IP-adress vilket kan minska risken för att ett nätverk attackeras.

Abonnemang med IP-adress

Om applikationen innebär att man från tid till annan måste kunna fjärrkonfigurera routern eller något som är kopplat till routern, behövs en statisk eller dynamisk IP-adress som gör att routern kan nås utifrån. Det finns en rad olika abonnemangslösningar som ger en

dynamisk publik IP-adress
fast publik IP-adress
fast privat IP-adress

Tänk igenom vilket typ av abonnemang du skall välja, publika IP-adresser är publika, privata är privata, det ger ju en viss fingervisning på att privata ger ett något högre skydd. Det finns också möjlighet att skydda sin lösning genom ett privat APN men att bara förlita sig på en privat IP-adress eller privat APN utan att komplettera med ytterligare nivå av säkerhet för kritiska system är inte att rekommendera. I det fallet vi beskriver kan det betyda att övervakningsutrustningen är i riskzonen för att attackeras om inte ytterligare skydd implementeras.

Rätt säkerhetslösning

Ökad säkerhet med VPN

VPN (virtuellt privat nätverk) ger många fördelar. VPN-tunnlar skapar en mycket säker anslutning mellan en IP-enhet och andra anslutande IP-enheter. Tilldelade OpenVPN IP-adresser kan inte nås av enheter som ansluter till nätverket om de inte har rätt behörighet. Dessa adresser är statiska, men de är inte offentliga och de tillåter bara en kontrollerad och begränsad åtkomst till ditt fjärranslutna nätverk.

Du har möjlighet att antingen använda en VPN-lösning från din operatör eller använda en VPN-tjänst från tredje part. En fördel med att använda en VPN-tjänst från tredje part är den fungerar oavsett operatör, byter du operatör behöver inte VPN-anslutningen konfigureras om.

Ett bra val är att använda en lösning som OpenVPN, det eliminerar detta problem. Du kan behålla den säkra uppkopplingen oavsett operatör. Att behöva konfigurera om hundratals routrar för att du flyttar från en operatör till en annan är inte attraktivt.

Botar kan snabbt hacka sig in

Mobila enheter kan snabbt lokaliseras genom att automatiserade BOT-ar pingar IP-adresser tills en enhet svarar. Då försöker BOT-en få tillgång till enheten med hjälp av att logga in med kända standardanvändarnamn och lösenord. Detta kan klaras av på bara ett fåtal minuter redan när du installerar din router. Så standardinställningar… ändra dem genast. Om ett system har ett standardanvändarnamn och ett lösenord, ändra det omedelbart. Och, ja vi vet att detta händer i verkligheten, vi har sett enheter attackeras som suttit uppmonterade med privat IP-adress men med standardlogin och utan någon form av ytterligare skydd.

Det här inlägget beskriver riskerna i ett tillämpningsområde med fjärrstyrning inom elkraftsektorn men samma typ av risker återfinns i VA-system, industriell automation, fastighetsautomation och många andra IP-baserade nätverk som skall nås via öppna mobilnät.

Back To Top
Sök