有一些 IP 数据记录器(用于测量温度、湿度、光照水平)放在一堆仓库/商店中,从我的角度来看,每个仓库/商店都是不同的客户。这些数据记录器通过清晰通道 HTTP(基本身份验证)提供信息。此外,我的服务器向数据记录器发送命令(再次通过 HTTP),重新启动、进行固件升级等。我今天安装的方式是,在 private-192.168.XX 范围内为它们分配 IP 地址,每个 IP 地址都有一个唯一的 TCP 端口号,ADSL 路由器进行端口映射以使它们对我的服务器可见,服务器每 5 分钟轮询一次这些数据记录器(在每个站点),以下载 base64 编码数据。数据记录器无法通过软件升级(我无法控制它们),但是,我会以某种方式保护从 ADSL 路由器到我的服务器的信息流。如今,此类客户的数量很少,且易于管理,但我想扩大规模,因此需要寻找一种可扩展性好、能为我提供必要的安全性且经济高效的解决方案。
我对这里的“安全”的期望是: - 无窃听/窥探 - 无中间人 - 无篡改 - 无欺骗 可以肯定地说,我的主要兴趣是确保我的服务器和 ADSL 路由器之间的连接是安全的。在仓库里,我并不那么担心。
在 ADSL 路由器上,我打开了防火墙,并为数据记录器对应的特定端口和创建的映射设置了漏洞(显然)。VPN 可以解决问题吗?有哪些替代方案、问题、陷阱等。
谢谢您的解释、指点、建议等。
短暂性脑缺血发作,〜i ++
答案1
我遇到了类似的问题,所以我也会仔细观察答案!
我认为数据记录器是专有设备,而不是可定制的服务器?如果是后者,您是否考虑过坚持使用现有设置并加密您发送的数据,这可能是一个良好的开端,而无需使用 https / VPN 等额外的复杂性
你的远程路由器是否可以配置为只接受来自已知中央服务器的特定 IP 地址范围的请求?这应该可以让“临时”黑客更加放心
在我的设置中,有一件事让我很困扰,那就是为了扩展,有时你需要多个 VPN 登陆平台,并且远程客户端可能需要配置为与特定的登陆平台进行通信,除非可以设置一些多主机/dns 技巧(?超出我的理解范围)。但是,如果你的远程路由器能够定期处理远程站点上出现的所有中断,VPN 似乎是一个合理的解决方案。
您需要权衡的另一件事是,与数据对您或您的企业客户的固有价值相比,这些额外的基础设施(成本/时间/支持)是否值得。
抱歉,我没有太多可以补充的,因为我说我也在努力解决这个问题。
答案2
如果您无法控制设备本身,则需要依靠安全传输,例如站点到站点的 IPSec 隧道。
好消息是,它是一个通用标准,并且供应商之间的互操作性非常好,因此任何像样的防火墙都会支持 IPSec。
坏消息是,您需要在所有这些仓库部署支持 IPSec 的防火墙,这些仓库可能在您的控制之下/可能不在您的控制之下(您没有指定网络设备是否属于您)。
答案3
是的,要实现低成本,这很棘手。基本上,您的选择是:
让设备执行 SSL 或以其他方式确保安全(我们这里的一些小型嵌入式目标无法执行 SSL,但可以执行 SRP + 手动加密)。你确定这不是可以在设备上“打开”的东西吗?
将路由器连接到 VPN 隧道 - 通过任何方式,ipsec、ssl 甚至 pptp。我假设您已经查看了它在那里提供的选项,因为所有接下来的选项都涉及“在那里放置一个盒子,以便您可以网关”。
放弃您自己的堡垒主机 - 最好是一些便宜的小型 Linux 设备 - 然后从那里使用 ipsec (openswan) 或 ssl (openvpn) 或 pptp (pptpd) VPN。(或者像 stunnel 这样的更简陋的东西)。
您提到了 AWS;我尝试过一段时间让 OpenSwan 在那里工作,但失败了;OpenSSL 可能是您最好的选择。或者pptp 似乎有效,我还没有这样做。亚马逊确实提供了 VPN 产品(私有云平台)但我不确定它是否能满足你的需求。有更好的商业产品,VPNCubed。但是,除非您的 ASDL 路由器可以执行 vpn 并且兼容,否则这些都无法解决“端点问题”。
除非您以 10 Hz 以上的频率对室温进行采样(这很疯狂),否则我认为您无需担心 SSL 开销。这取决于您拥有的端点的原始数量,但假设它只有数百个,我预计不会出现扩展问题(如果有,最好是在 AWS 上运行,扩展很容易,希望额外的 72 美元/月对于您向这些人收取的费用来说只是九牛一毛。)
发布路由器和收集设备是什么可能会帮助人们给你更具体的帮助......