rapidM2M als Firewall für Linux-Systeme und Industrie-PCs

Beim direkten Verbinden von Linux-Systemen oder Industrie-PCs mit dem Internet sind alle auf diesen Systemen aktiven Dienste wie beispielsweise Remotezugänge sowie nicht geschlossene Sicherheitslücken Angriffen aus dem Internet ausgesetzt. rapidM2M Devices können als Gateways eingesetzt werden, um derartige Systeme sicher mit dem Internet zu verbinden. Die rapidM2M Devices übernehmen dabei die Funktion einer Firewall, da nur die zuvor im Data Descriptor definierten Datenpunkte (Messdaten und Konfiguration) über das Internet übertragen werden. Dies resultiert in einem deutlichen Sicherheitsgewinn und eignet sich auch für Systeme, für die keine Sicherheitsupdates mehr zur Verfügung gestellt werden.

Konzept mit höchstem Sicherheitsgrad und einfachster Umsetzung

Das rapidM2M Device und das Linux-System werden mittels RS232 verbunden. Am Linux-System läuft die Messwerterfassung wie gehabt. Es wird ein Programm erstellt und am Linux-System installiert, das die zu übermittelten Daten verschlüsselt und über die RS232 Schnittstelle an das rapidM2M Device überträgt. Dank der Programmierbarkeit des rapidM2M Devices kann das dazu verwendete Protokoll und die Verschlüsselung beliebig gewählt werden. Der eigentliche Kontakt zum Internet erfolgt über das rapidM2M Device, welches auf diese Weise sowohl als Modem und Firewall dient.

Bei diesem Hochsicherheitsszenario werden nur die Messdaten vom Linux-System zum rapidM2M Device übertragen. Ein Rückkanal vom rapidM2M Device zum Linux-System ist nicht implementierten. Bei diesem Konzept kann es zudem sinnvoll sein, einige Parameter wie beispielsweise das Übertragungsintervall über das Internet zum rapidM2M Device zu übermitteln. Da das Übertragungsintervall nur für das rapidM2M Device von Bedeutung ist, wird es nicht an das Linux- System weitergereicht. Der Rückkanal endet somit beim rapidM2M Device in seiner Funktion als Firewall da eine Weitergabe von Daten über die RS232 nicht implementiert/vorgesehen ist.

Die durch das rapidM2M Ökosystem bereitgestellten Device-Managementfunktionen können bei diesem Szenario uneingeschränkt genutzt werden. Zu diesen Funktionen zählen beispielsweise die Ermittlung der Position der einzelnen Geräte, das zentrale Updaten der Firmware der rapidM2M Devices und der darauf installierten Device Logik sowie die Übermittlung von Statusinformationen und Betriebszuständen.

Erweiterung des Konzepts um Konfigurationsparameter

Erweiterung des Konzepts um Konfigurationsparameter

Bei manchen Anwendungen kann es sinnvoll oder erforderlich sein Parameter wie beispielsweise das Messintervall über die Internetverbindung anpassen zu können. Dazu muss das oben vorgestellt Konzept lediglich um die Möglichkeit erweitert werden über die verschlüsselte RS232-Verbindung Daten vom rapidM2M Device zum Linux-System zu übermitteln. Dazu müssen wiederum sowohl das am Linux-System laufende Programm, welches die Parameter entgegennimmt, als auch die am rapidM2M Device installierte Device Logik angepasst werden.

Auch hier agiert das rapidM2M Device als Firewall und gibt nur die für das Linux-System bestimmten Parameter weiter. Das heißt, das rapidM2M Device empfängt zwar Werte für das Übertragungsintervall und das Messintervall gibt aber nur das Messintervall an das Linux-System weiter. Das Linux-System muss wissen wie oft die Daten gemessen werden sollen. Das Intervall für die Übertragung der Daten über die Internetverbindung zum rapidM2M Portal hingegen, ist nur für das rapidM2M Device relevant.

Zusätzliche Sicherheit entsteht dadurch, dass das Programm am Linux-System und die Device Logik am rapidM2M Device immer aufeinander abgestimmt sein müssen. Selbst wenn das rapidM2M Device versuchen würde weitere Parameter zu übermitteln, würden diese vom Linux-System ignoriert. Da bei diesem Konzept keine Möglichkeit besteht, die Software am Linux-System über die Internetverbindung zu verändern ist auch bei diesem Ansatz ein sehr hoher Grad an Sicherheit gegeben.

Eine Plausibilitätsprüfung (z.B. Minimalwert für das Messintervall) der empfangenen Parameter sowohl durch die Device Logik des rapidM2M Devices als auch durch das am Linux-System installierte Programm erhöhen die Sicherheit dieses Konzepts.

Erweiterung des Konzeptes, um die Möglichkeit das Linux-System zu aktualisieren

Erweiterung des Konzeptes um die Möglichkeit das Linux-System zu aktualisieren

Für die Übermittlung größerer Datenmengen an das rapidM2M Device steht der sogenannte File-Transfer zur Verfügung. Diese Funktion kann genutzt werden, um die oben vorgestellten Konzepte um die Möglichkeit zu erweitern, die Linux-Systeme mit Updates und Patches zu versorgen.  Beim File-Transfer können Daten also z.B. Update-Patches zentral über das rapidM2M Portal eingespielt und dann über das Internet automatisiert an die entsprechenden rapidM2M Devices verteil werden.

Den oben vorgestellten Konzepten folgend würde das rapidM2M Device den erhaltenen Patch über die verschlüsselte RS232 Verbindung in binärer Form an das Linux-System weiterreichen. Das am Linux-System laufende Programm legt die erhaltenen Daten im Dateisystem ab und startet nach Erhalt des vollständigen Pakets den Updateprozess. Die automatisierte Verteilung der zentral eingespielten Dateien ist Teil der durch das rapidM2M Ökosystem bereitgestellten Device-Managementfunktionen. Das heißt, die komplette Aktualisierung aller Softwarekomponenten (Firmware des rapidM2M Devices, am rapidM2M Device installiert und durch den Benutzer erstellbare Device Logik, Updates für das Linux-System) kann zentral gemanagt und automatisiert werden. Anders als bei der direkten Anbindung der Linux-Systeme ist es nicht erforderlich die Updates und Patches durch eine Remote-Verbindung zu installieren.

Der in rapidM2M integrierte File-Transfer berücksichtig, dass bei entlegenen Einsatzorten, die für die Herstellung der Internetanbindung verwendete Mobilfunkverbindung während der Dateiübertragung unterbrochen werden, kann und führt die Übermittlung der Dateien nach einer Unterbrechung selbstständig fort. Dabei wird in jedem Fall die Integrität der Datei gewährleistet.

Auch dieser Ansatz gewährt einen deutlich höheren Sicherheitsgrad als die direkte Anbindung des Linux-System an das Internet. Selbst wenn irrtümlicherweise durch den Benutzer ein mit einer gravierenden Sicherheitslücke versehenes oder kompromittiertes Updatepaket über das rapidM2M Portal eingespielt wird (welches dann an die über die rapidM2M Devices angebundenen Linux-Systeme verteilt wird) hält sich der mögliche Schaden in Grenzen. Das rapidM2M Device übernimmt auch bei diesem Szenario die Funktion einer Firewall. Selbst wenn am Linux-System durch das kompromittierte Updatepaket eine Software installiert wird, die es zum Teil eines Bot-Netzwerkes machen sollte, darauf abzielt das System als Spam-Server zu verwenden oder versucht wird Backdoors einzuschleusen, sind die negativen Auswirkungen begrenzt, da das System an sich keinen Zugang zum Internet herstellen kann.

Alternative Anbindung von rapidM2M Device und Linux-System

Alternative Anbindung von rapidM2M Device und Linux-System

rapidM2M Devices wie beispielsweise das rapidM2M M23x verfügen zusätzlich zur RS232 Schnittstelle über eine USB-Schnittstelle und einen größeren Datenspeicher. Das Linux-System kann somit per RS232 und USB mit dem rapidM2M Device verbunden werden. Die Messdaten und Konfigurationen können wie in den oben beschriebenen Szenarien über RS232 übertragen werden. Die Updatepakte hingegen können vom rapidM2M Device zunächst vollständig heruntergeladen und im internen Datenspeicher abgelegt werden. Das Linux-System greift anschließend über die USB-Schnittstelle auf den als FAT formatierten Datenspeicher zu und installiert das darin abgelegte Updatepaket.

Des Weiteren sind zudem rapidM2M Devices mit WiFi oder LAN-Schnittstelle verfügbar. Die Anbindung von Linux-Systemen und Industrie-PCs an rapidM2M Devices ist somit auch über diese Schnittstellen möglich.

Fazit

Der Artikel zeigt konzeptionell, dass rapidM2M Device als Firewall für Linux-System und Industrie-PCs genutzt werden können. Aufgrund der standardmäßig in den rapidM2M Devices implementierten Funktionen ist eine Realisierung dieser Konzeptionierung sehr einfach möglich. Derartige Konzepte, in den rapidM2M Devices als Firewall für die sichere Übertragung von Daten ins Internet und umgekehrt genutzt werden, sind bereits in Projekten realisiert und erfolgreich im Einsatz.

Neben der Funktionalität einer Firewall können die Linux-Systeme und Industrie-PCs von weiteren Features der rapidM2M Devices, wie beispielsweise dem File Transfer für Update-Patches profitieren.

Profitieren Sie von den vielfältigen Möglichkeiten rapidM2M Devices als Ergänzung und Erweiterung für Ihre bestehenden Produkte und Lösungen einzusetzen! Sichern Sie sich noch heute einen Termin zu einem unverbindlichen, virtuellen IoT Coffee. Erzählen Sie uns von Ihren Ideen und Herausforderungen. Die Microtronics Experten zeigen Ihnen wie rapidM2M Ihre Anwendung sicher zum Erfolg macht.

Ich möchte den Microtronics Newsletter erhalten

Es gilt unsere Datenschutzerklärung.

Josef