contato@baumier.com.br
| Phone: +55 11 4332 3280 | Fax: +55 11 4332 7640

Contato
1000 characters left
Select

Soluções de Comunicação para Redes Industriais   

19 Abril 2017

A Solução SECOMEA vs a VPN Tradicional

Como superar as limitações de uma VPN Tradicional

“Relay VPN” da Secomea e a VPN tradicional têm basicamente o mesmo propósito. Elas permitem que dois dispositivos IP em locais distintos se comuniquem de forma segura pela Internet, como se os dispositivos estivessem conectados na mesma rede física. Embora a VPN tradicional seja amplamente usada e atenda os propósitos gerais de conexão de redes remotas de forma normalmente satisfatória, ela possui sérias desvantagens para o monitoramento e gerenciamento remoto de dispositivos. A primeira geração da Secomea também era baseada na VPN tradicional, mas com otimizações significantes na criação mais simples dos túneis. A atual terceira geração da solução Secomea entretanto, evoluiu para uma tecnologia baseada em Internet que especificamente endereça os requerimentos de segurança e usabilidade dos engenheiros com os equipamentos industriais.

 

1. Conflitos de Subredes:

– As redes conectadas via uma VPN tradicional não podem usar a mesma subrede local. Mas um fabricante de máquinas ou integrador de sistemas gerenciam dezenas de instalações de clientes onde precisam lidar com localizações usando os mesmos endereços de subrede. Pedir ao cliente para alterar seus esquemas de endereçamento é raramente uma opção, e a manipulação de regras NAT para lidar com os esquemas de endereçamento existentes pode facilmente se tornar um pesadelo.

– Com a Solução Relay VPN da Secomea, todos os sites podem ter a mesma sub-rede e todos os equipamentos podem ter o mesmo endereço IP. O engenheiro e o dispositivo remoto são simplesmente conectados um ao outro de forma direta e inteligente.

 

2. Conexões pré configuradas são requeridas:

– As conexões entre os membros de uma VPN tradicional não podem ser estabelecidas dinamicamente sobre uma requisição, mas precisam ser configuradas de antemão. Isso precisa de envolvimento do pessoal de TI e leva tempo – todas as vezes.

– Uma vez que o engenheiro com o “LinkManager Client” possua uma conta no GateManager representada por seu certificado x.509 pessoal, o administrador do GateManager pode, por associação “point-and-click”, associar a conta com apenas o site ou grupo de equipamentos que o técnico dever ter acesso e, isso é atualizado imediatamente na lista de sites disponíveis no LinkManager client.

 

3. Desafios de roteamento:

– Conectar duas redes remotas com a VPN tradicional via um concentrador de VPN central requer configuração e gerenciamento de regras avançadas de roteamento. Além disso, o roteador normalmente precisa se capaz de suportar NAT-T (NAT transversal) e encapsulamento UDP.

– A solução Secomea não utiliza roteamento e consequentemente nenhuma regra NAT é requerida. Os endereços IPs são simplesmente ligados via um servidor proxy central. VPNs tradicionais são adequadas para conexões um-para-um ou vários-para-um, mas não para um-para-vários (um engenheiro para vários sites), ou vários-para-vários (vários engenheiros para vários sites). A solução de Acesso Remoto da Secomea administra facilmente milhares de engenheiros precisando de acesso a milhares de sites, incluindo gerenciamento de direitos de acesso, e até limitando acesso a específicos tipos de equipamento, ou protocolos/serviços específicos do equipamento.

 

4. Desafios na abertura do Firewall:

– A VPN tradicional baseada em IPSec requer que portas especiais e protocolos sejam abertos (permitidos) no firewall para que possam comunicar.

– Todas as conexões da solução Relay VPN da Secomea dos SiteManagers e LinkManagers são estabelecidas de dentro para fora, e apenas portas padrões da Web são usadas (como a 443). Todas essas conexões criptografadas são terminadas no servidor GateManager (baseada em Internet), e por meio dessas conexões criptografadas, a conexão entre os engenheiros e os dispositivos são estabelecidas dinamicamente.

 

5. Desafios de bloqueio no Firewall:

– A VPN roteia tudo e não apenas os protocolos que você precisa, a menos que esforços sejam feitos na criação e gerenciamento de um número de regras no firewall.

– Os dispositivos agentes definidos no SiteManager são automaticamente litados a apenas permitir o acesso para as portas ou serviços definidos para o tipo de agente; por exemplo, para um determinado PLC no SiteManager, as portas que são abertas são as portas TCP 987, 5120, 48897-48899 e UDP 48898-48899. Apenas essas portas são ativadas quando um LinkManager se conecta com o agente representando esse PLC.

 

6. Gerenciamento de Certificado:

– Uma boa solução VPN é normalmente baseada em certificados x.509 que são trocados ou assinados por uma Autoridade Certificadora (CA). Isso adiciona uma sobrecarga e torna cansativo a configuração de uma conexão individual.

– O GateManager age como a autoridade certificadora para ambos SiteManagers e clientes LinkManager. O acesso do cliente é protegido por um sistema duplo (certificado e senha), como no sistema bancário. Mas o certificado x.509 da solução Secomea não é apenas uma medida de segurança. Com a introdução do LinkManager, foi incluído no certificado todos os detalhes de configuração e assim elimina-se a necessidade do usuário configurar alguma coisa. Instalando-se o LinkManager e o certificado, o LinkManager saberá onde se conectar e com quem; nenhuma configuração adicional do LinkManager é necessária.

 

7. Registro de Atividade (Logging):

– O princípio da VPN tradicional é conectar duas redes e ter tudo acessível entre dois membros. Assim o registro de eventos é, na melhor das hipóteses, apenas feito quando se está estabelecendo a conexão, mas uma vez conectado, nada é registrado.

– O servidor GateManager irá não apenas centralizar o registro de quem fez a conexão e para o quê, mas também quando a conexão for estabelecida, e quais serviços foram acessados. O registro é mantido centralmente no GateManager e não pode ser deletado pelo administrador, e pode assim, funcionar como e vidência em caso de necessidade.

 

8. Gerenciando o ”Concentrador”

– A solução típica VPN baseada em IPSec requer um concentrador (administrado pelo pessoal de IT), uma vez que requer conhecimento de rede. Também, concentradores distribuídos precisam normalmente ser instalados em cada fornecedor de serviço (service provider), a fim de se evitar configurações muito complexas roteamento e firewall. Soluções de VPNs baseadas em SSL superam algumas questões das VPNs baseadas em IPSec, mas roteamento avançado e configurações de regras de firewall não são serviços expostos para clientes em soluções “hosted”.

– O ”concentrador” para a solução de Acesso Remoto da Secomea é um serviço central na forma do servidor GateManager, onde cada fornecedor de serviço (service provider) recebe uma conta isolada. Aqui o administrador gera os certificados das contas, organiza seus equipamentos e usuários em estruturas de domínios e controla dinamicamente a qual equipamento e a qual site cada engenheiro deve ter acesso. Não existe necessidade de habilidades de rede ou de TI.