В данной статье мы рассмотрим удаленный доступ к роутерам RTU.
Потребность удаленного подключения может появляться в силу необходимости изменить какие-либо настройки, проверить статистику по трафику, что-то разрешить или наоборот запретить.
Вариантов удаленного доступа может быть несколько, и топологий сетей, в которых работают данные роутеры, тоже может быть много.
Мы остановимся на двух вариантах, а также рассмотрим пункт, относящийся к безопасности при работе с удаленным доступом:
1. Простой удаленный доступ, используя статический IP на SIM карте роутера.
2. Удаленный доступ к роутеру, который находится за VPN сетью.
3. Безопасность при работе с удаленным доступом.
1. Простой удаленный доступ
Данный пункт, исходя из своего названия, является самым простейшим способом получения удаленного доступа к роутеру.
Всё, что вам необходимо, это иметь статический (постоянный) IP-адрес на SIM-карте. При установке GPRS соединения с оператором связи адресация (передача пакетов данных) происходит посредством IP-адресов.
Существуют следующие типы IP-адресов:
1. Динамический внутренний IP
2. Динамический внешний IP
3. Статический (постоянный) внешний IP
4. Статический внутренний IP
- Динамический внутренний IP (так называемый «серый») - IP-адрес, который изменяется с каждым подключением (“плавающий»). Внутренний IP-адрес предоставляет устройству доступ к ресурсам Интернета, однако доступ к самому устройству из внешней сети невозможен.
- Динамический внешний IP — публичный IP-адрес, доступ к которому можно получить из любой точки глобальной сети. Динамический внешний адрес меняется с каждым подключением, что в большинстве случаев не позволяет его использовать для удаленного подключения извне.
Более подробно рассмотрим интересующие нас пункты 3 и 4:
- Статический (постоянный) внешний IP — фиксированный публичный IP-адрес, неизменный при каждом подключении. Необходим в случаях, когда устройство требует удалённого подключения извне. Данный IP-адрес доступен из любой точки мира в сети Интернет.
- Статический внутренний IP — фиксированный адрес, используемый в локальной сети. Подключение статических локальных IP-адресов обычно применяется на корпоративных тарифах, специально предназначенных для беспроводной передачи данных между удалёнными устройствами. Такие тарифы называются «Телематика», «Управление Удаленными Объектами», «М2М» и т. д. (точное название Вы можете узнать у оператора связи). Из-за того, что данный IP-адрес используется в локальной сети, то при его использовании нет возможности получить доступ в глобальную сеть Интернет.
Оба варианта подойдут для простого получения удаленного доступа, но при использовании варианта со статическим внутренним IP-адресом Вам необходимо иметь ввиду, что Ваш ПК должен находиться в этой же локальной сети, что и IP-адрес, полученный на роутере.
При использовании статического внешнего IP-адреса данный IP-адрес будет доступен из любой точки мира, и Вам всего лишь необходимо наличие выхода в Интернет на ПК, с которого Вы хотите получить удаленный доступ к роутеру.
Для получения удаленного доступа к самому роутеру необходимо открыть порт на роутере. Если Вам необходим доступ по SSH, то необходимо открыть порт 22, если же необходимо получить доступ к WEB-интерфейсу роутера, то необходимо открыть порт 80.
Со способом открытия порта на роутере можно ознакомиться в дополнительной статье по ссылке: https://teleofis.freshdesk.com/support/solutions/articles/19000040061-Как-открывать-или-перенаправлять-tcp-udp-порты-
2. Удаленный доступ за VPN сетью
При построении определенной топологии сети бывают ситуации, когда необходимо объединить две локальные сети в одну(например, офисные филиалы) или осуществить закрытый канал связи между двумя объектами, и в таких случаях часто используют VPN-туннелирование.
Данный метод удобно использовать тогда, когда роутер выступает в режиме VPN "Клиента" и подключается к какому-либо статическому IP-адресу VPN "Сервера". В данном случае нет необходимости в использовании статического IP-адреса на роутере.
Существуют различные виды VPN-туннелирования: L2TP,PPTP,GRE,OpenVPN и другие. После построения туннеля бывает необходимость воспользоваться удаленной настройкой оборудования (роутера), находясь на другом конце существующего туннеля. В данном методе основой является организованный VPN-туннель, при этом необходимо понимать, что в каждом случае могут возникать индивидуальные нюансы при построении туннеля, из-за этого данный метод может вызывать трудности.
При успешной организации VPN-туннеля на Вашем ПК будет доступен локальный IP-адрес удаленного роутера. Всё, что Вам необходимо будет сделать - это произвести открытие необходимых портов роутера, о которых говорилось в пункте 1.
Со способом реализации можно ознакомиться в дополнительной статье по ссылке: https://teleofis.freshdesk.com/support/solutions/articles/19000040061-Как-открывать-или-перенаправлять-tcp-udp-порты-
3. Безопасность при работе с удаленным доступом
Необходимо понимать, что если Вы используете статический внешний IP-адрес, то данный IP-адрес доступен для всех пользователей сети Интернет в любой точке мира. Это может привести к сетевым атакам извне с помощью специальных утилит или бот-программ.
При использовании удаленного доступа к роутеру в открытой сети Интернет необходимо уделить большое значение настройкам безопасности.
3.1. Изменение пароля и имени пользователя.
Одним из обязательных пунктов защиты роутера является изменение пароля по умолчанию, а также в определенных ситуациях и логина.
Настоятельно рекомендуем изменить пароль для доступа по умолчанию на уникальный, желательно более 8 символов.
Со способом изменения пароля и логина к роутеру RTU можно ознакомиться в статье по ссылке: https://teleofis.freshdesk.com/support/solutions/articles/19000036906-Как-изменить-имя-пользователя-и-пароль-к-роутеру-
3.2. Защита роутера для работы по SSH.
Одним из наиболее часто встречающихся методов атаки со стороны глобальной сети является "брутфорс", т.е. перебор логина/пароля по заданному алгоритму.
Данный тип атаки приводит к тому, что рано или поздно злоумышленник может получить доступ к Вашей учетной записи роутера. Также это может привести к загруженности беспроводного канала и влиять на общее состояние связи!
В глобальной сети довольно много различных ботов и автоматизированных систем, которые проводят анализ открытых портов устройств на доступных IP-адресах. Зачастую на устройствах для удаленного доступа по SSH используется по умолчанию 22 порт, и большая часть "зловредов" анализирует именно данный порт.
Данный порт по умолчанию доступен в LAN-сети, но если Вы используете статический внешний IP-адрес и планируете воспользоваться данным портом для доступа из сети Интернет, то Вам необходимо открыть данный порт для WAN-интерфейса.
Для этого необходимо перейти в раздел "Сеть" -> "Межсетевой экран", далее в подпункт "Правила для трафика". В данном пункте необходимо выбрать нужный Вам порт(22 для SSH по умолчанию) и добавить новое правильно.
Одним из методов защиты роутера для доступа по SSH является изменение порта по умолчанию к службе SSH.
Для этого необходимо в WEB-интерфейсе перейти в раздел "Система" -> "Управление" и в разделе Dropbear изменить порт по умолчанию с 22 на другой(рекомендуем использовать порты больше 1024). Не забывайте, что при обращении из глобальной сети данный порт необходимо будет открыть для доступа по WAN-интерфейсу из пункта выше!
Также мы рекомендуем сделать перенаправление порта: при обращении на внешний порт из глобальной сети(например 5001), мы будем попадать на внутренний порт 22 (служба SSH для удаленного подключения). Тем самым порт 22 не будет открыт для доступа из глобальной сети, а будет открыт порт 5001, что поможет обеспечить защиту от сканирования Вашего IP-адрес по стандартным портам.
Для этого необходимо перейти в раздел "Сеть" -> "Межсетевой экран", далее в подпункт "Перенаправление портов".
Создаем новое правило:
- Внешняя зона - WAN
- Внешний порт - порт на который будет происходить обращение из глобальной сети(>1024).
- Внутренняя зона - LAN
- Внутренний IP-адрес - IP-адрес роутера( по умолчанию 192.168.88.1).
- Внутренний порт - по умолчанию порт 22(SSH), но если Вы ранее его изменили на другой, то тут необходимо указать измененный.
Мы рекомендуем воспользоваться как минимум данными методами защиты и считаем их "базовыми" для защиты роутера.
Но это не единственные варианты защиты, если Вы планируете более глубоко защитить Ваш роутер, то необходимо изучить более детально эту и другую информацию в сети Интернет.
Для более продвинутой защиты оборудования необходимо обладать достаточными знаниями в профильных направлениях сетевого администрирования.
Если Вы не обладаете подобными знаниями, рекомендуем обратиться к специалисту! В рамках технической поддержки данные услуги не оказываются.
Сопутствующие статьи:
Как подключиться к роутеру RTU?
Дополнительная информация: