Dispositivo compatto e poco costoso per garantire comunicazioni non protette con dispositivi di campo

Naviga le tue risposte
1

Ho il seguente problema. Il nostro prodotto si integra con i segni LED di un determinato produttore. La comunicazione con questi dispositivi avviene tramite HTTP (contengono un server Web per l'interfaccia utente di amministrazione e un servizio Web). Il dispositivo non offre alcun metodo di autenticazione, il che significa che se è possibile connettersi al dispositivo tramite la rete TCP, si ha pieno accesso al dispositivo.

Il nostro team di vendita e i nostri clienti apprezzano molto questi segnali a causa della loro versatilità e li vogliono. Il produttore non è molto preoccupato per la mancanza di sicurezza e non ha fretta di aggiungere qualsiasi (HTTPS, nome utente + login pw, ecc.).

Mi chiedo se ci siano piccoli dispositivi che potrebbero essere "aggiunti" a ciascun segno LED per imporre la comunicazione crittografata e autenticata con tali segni. Ecco cosa ho in mente. Il dispositivo è fisicamente collegato a un segnale (interno o esterno.) Il dispositivo ha due porte Ethernet: una porta viene connessa alla porta Ethernet del segnale LED, l'altra alla porta Ethernet Intranet nel muro Il server principale che controlla i segnali LED ora è possibile stabilire una comunicazione sicura con tali dispositivi (VPN?) e tutte le comunicazioni HTTP da e verso i segnali a LED sono tunnelizzate in modo sicuro attraverso tali dispositivi.

Ho cercato Internet per un po 'e non sono riuscito a trovare alcun dispositivo di questo tipo, probabilmente perché non so come chiameresti un dispositivo del genere.

Un altro vincolo: il server principale che controlla i segni LED esegue Windows 2008 R2 e versioni successive, quindi qualunque software venga eseguito sul server principale per consentire a quei tunnel di funzionare su Windows.

Grazie!

    
posta christoph 10.09.2016 - 21:07
fonte

2 risposte

4

Qualsiasi piccolo computer a basso costo che esegue Linux e ha 2 porte Ethernet ti consente di farlo. Utilizzare NGINX, HAProxy o simili sul computer per eseguire un proxy inverso che termina la connessione HTTPS e inoltra il traffico HTTP non crittografato. Ricorda che HTTPS è semplicemente HTTP con la crittografia TLS aggiunta. Il server di origine non si preoccuperà.

Se non riesci a trovare un computer a basso costo adatto (prova a cercare alcuni dei cloni Raspberry Pi, sono sicuro che uno avrà 2 porte Ethernet), la tua alternativa sarebbe quella di inserire un singolo computer nel segmento di rete livello - es disporre del proxy di terminazione HTTPS in esecuzione sul bordo della rete locale ragionevolmente affidabile. Questo è lo stesso principio, ma è semplicemente la riduzione dei costi mediante l'aggregazione del traffico attraverso un singolo PC: edificio, pavimento o qualsiasi limite di sicurezza ha senso per il cliente. Meglio ancora utilizzare 2 PC per resilienza se i segni sono abbastanza importanti.

Questo è davvero il contrario di ciò che si potrebbe fare quando si esegue un servizio Web su larga scala. In tal caso, è possibile terminare le connessioni HTTPS ai margini del data center utilizzando server dedicati per ridurre il carico sui server Web interni. Lo stesso principio qui, ma stai mantenendo il traffico cifrato il più a lungo possibile e decifrando in un punto conveniente vicino ai cartelli.

AGGIORNAMENTO: per quanto riguarda l'hardware possibile, ecco alcuni suggerimenti.

Potresti usare un Pi (o simile) con un adattatore Ethernet USB come secondo adattatore.

Potresti consultare il database di compatibilità OpenWRT per i dispositivi adatti. OpenWRT è una versione di Linux specifica per il router open source.

Ci sono anche alcuni dispositivi Linux incorporati con 2 porte Ethernet integrate.

Infine, a seconda della topologia degli edifici che devi supportare, potrebbe essere possibile costruire una rete separata solo per gli schermi. Non è così difficile come sembra, ma il vincolo potrebbe essere il numero di porte di riserva degli edifici. È ipotizzabile che tutto ciò che è necessario sia qualche re-patching della rete. Se il personale di rete è aperto, potrebbe persino essere sufficiente impostare logicamente le schermate sulla propria VLAN.

Scusa, sto vagando ora! Quello che sto cercando di superare con questo ultimo punto è che potrebbe essere necessaria solo la crittografia tra gli edifici e, a seconda dell'hardware e della configurazione della LAN, potresti essere in grado di utilizzare il firewall di un edificio per terminare la crittografia (es. Usando una VPN - non anche quello se la WAN è una moderna MPLS poiché è già cifrata point-to-point). Quindi, una volta all'interno dell'edificio, puoi segmentare fisicamente o logicamente il traffico dello schermo.

    
risposta data 11.09.2016 - 02:23
fonte
1

Grazie ai suggerimenti di Julian sono riuscito a trovare almeno una serie di dispositivi che si avvicina molto a ciò che sto cercando: la serie di router Nexx WT3020. Questi router miniaturizzati hanno due porte Ethernet e quella più economica del WT3020A ha il WiFi (non necessario) e nessun USB. Ho visto i prezzi tra $ 15-30 su Internet.

La serie WT3020 è supportata dal sistema operativo embedded OpenWRT (basato su Linux), il che significa che potrebbero essere facilmente personalizzati per supportare ciò che sto cercando. Se solo potessero essere eseguiti usando power-over-Ethernet, senza dover fare un lavoro di saldatura personalizzata: link

    
risposta data 13.09.2016 - 18:37
fonte

Leggi altre domande sui tag

È md5 (md5 (password) .salt) sicuro? [duplicare] Devo (badare a) installare gli aggiornamenti di sicurezza se corro su VirtualBox