有一些IP数据logging器(测量温度,湿度,光照水平)坐在一堆仓库/商店内,每个仓库/商店都不同于我的观点。 这些数据logging器通过通道清晰的HTTP(基本authentication)提供信息。 另外,我的服务器(通过HTTP再次发送命令)到数据logging器,重新启动,进行固件升级等。我今天assembly的方式是在private-192.168.XX范围内分配IP地址,每个与一个唯一的TCP端口#和ADSL路由器做端口映射,使这些可见我的服务器轮询这些数据logging器(在每个站点)每5分钟,下载base64编码的数据。 数据logging器不能进行软件升级(我无法控制它们),但是我会以某种方式确保信息从ADSL路由器到我的服务器的stream动。 今天,这样的客户数量不多,可以pipe理,但是我想扩大规模,寻找一个可以很好扩展的解决scheme,为我提供必要的安全保障,并且具有成本效益。
我对这里的'安全'的期望是: – 没有冒险/窥探 – 没有中间人 – 没有篡改 – 没有欺骗假设我的主要兴趣在于确保我的服务器和ADSL路由器是安全的。 在仓库里面,我并不担心。
在ADSL路由器上,我有了防火墙,并且在数据logging器和创build的映射对应的特定端口上插入了明显的漏洞。 VPN可以成为答案吗? 什么是一些替代品,陷阱,陷坑等
欣赏解释,指针,build议等
TIA,〜i ++
我也面临类似的问题,所以我会仔细的看着答案!
我认为数据logging器是专有设备,而不是可定制的服务器? 如果是后者,是否考虑过坚持使用现有的设置并对发送的数据进行encryption,这可能是一个很好的开始,而不需要https / VPN等额外的复杂性来开始
您的远程路由器是否可以configuration为只接受来自已知中央服务器的特定IP地址范围的请求(s?)这应该给予“休闲”黑客更多的保证
在我的设置中,有一件事让我感到困扰,那就是扩展性,在某些情况下,您需要多个VPN着陆点,而远程客户端可能需要configuration为与特定的话机进行通话,除非某些多主机/ dns欺骗(超出了我)可以设置。 但是,如果您的远程路由器能够定期处理似乎在远程站点发生的所有中断,VPN似乎是一个合理的解决scheme。
另一件需要加以衡量的事情是,如果将这种额外的基础设施(成本/时间/支持)与您或您的企业客户的固有数据价值进行比较,
对不起,我没有更多的补充,正如我所说的,我也正在努力。
如果您无法控制设备本身,则需要依靠安全的传输,如站点到站点的IPSec隧道。
好消息是这是一个通用的标准,供应商之间的互操作性非常好,所以任何象样的防火墙都会支持IPSec。
坏消息是,您需要将IPSec防火墙部署到所有这些仓库,这些仓库可能不受您的控制(您没有指定networking设备是否属于您)。
是的,做低成本会很棘手。 基本上你的select是:
让设备做SSL或以其他方式安全(我们这里有一些小的embedded式目标不能做SSL,但可以做SRP + manunalencryption确定)。 你确定这不是可以在设备上“打开”的东西吗?
获取路由器到VPN隧道 – 通过任何,ipsec或ssl甚至pptp。 我假设你已经看过它在那里提供了什么选项,因为所有的下一个选项都涉及到“在那里放一个盒子,所以你可以通过网关”。
放下自己的堡垒主机 – 最好是一些便宜的Linux设备 – 然后是ipsec(openswan)或ssl(openvpn)或pptp(pptpd)VPN。 (或者像stunnel更像贫民窟)。
你提到了AWS; 我尝试了一段时间让OpenSwan在那里工作,并受挫。 OpenSSL可能是你最好的select。 或者PPT似乎工作 ,我还没有做到。 亚马逊不提供VPN产品( VPC ),但我不确定它是否适合您的需求。 有一个更好的商业产品, VPNCubed 。 虽然这两个解决了“端点问题”,除非你的ASDL路由器可以做VPN和兼容。
除非你是在10赫兹+(这将是精神病)采样室温,我不认为你需要担心的SSL开销。 取决于您拥有的端点的原始数量,但假设只有几百个,我不会期望出现扩展问题(如果有的话,理想情况下在AWS上运行,缩放比较容易,希望额外$ 72 /月是一个下降斗你为这些家伙充电..)
发布什么路由器和什么collections家设备可能会帮助人们给你更具体的帮助…