Дистанционно следене състоянието на машини
Начало > Машини > Сп. Инженеринг ревю - брой 2/2016 > 31.03.2016
Cъс сигурност голям процент от производителите в областта на машиностроенето винаги са се интересували от възможностите да наблюдават отдалеч как работят машините, които са произвели. За тях като доставчици на множество машини в цеховете на крайните потребители, както и за самите потребители, разполагащи с широка мрежа от производствени обекти, въпросът за наблюдението от разстояние на функционирането на машинния парк е от особено значение.
Модемите с комутируема връзка и по-новите, използващи мобилната мрежа, са изпробвано и сигурно средство за осигуряване на такова наблюдение. Относително тясната им честотна лента обаче, и това дали има прекарани телефонни линии или покритие на сигнала са сред факторите, които усложняват тяхното ползване.
Макар че Ethernet TCP/IP мрежата е значително по-елегантно решение за осигуряване на отдалечен достъп, системните администратори в повечето фирми поради опасения за сигурността никак не са склонни да дават разрешение за общ достъп до мрежата на външни лица. От техническа гледна точка виртуалните частни мрежи (VPN) са отлично решение, но да се разреши по подходящ начин влизането в мрежата при гарантирана сигурност може да се окаже сложна задача, изискваща преговори със системните администратори в предприятията на крайните потребители.
Един оригинален начин да се осигури надежден отдалечен достъп до машините през интернет, който заобикаля необходимостта от намеса на системните администратори, е използването на изходяща VPN връзка през мрежов порт 443. При повечето конфигурации и настройки на защитните стени (firewall) не се изискват промени за установяването на изходящи, криптирани тунелни връзки (VPN tunnels).
VPN връзката използва HTTPS през порт 443 (обичайно запазен за сигурен достъп до уебсайтове посредством SSL). Това обикновено не отваря много работа за системните администратори в предприятията на крайните потребители – те трябва да направят съвсем малко (или почти нищо), за да осигурят надеждна дистанционна връзка към контролери, операторски интерфейси и други устройства.
ПОДОБНИ СТАТИИ
Модернизация на машинния парк с европейско финансиране
Проекти за модернизация на машинния парк с европейско финансиране
Отдалечен достъп за специалистите
Възможността специалисти отдалеч да имат достъп до системата за управление на една машина може да спомогне за решаването на около 60% до 70% от текущите проблеми и няма да се налага екипи по поддръжката да пътуват в града или по-далеч. Много от проблемите, които могат да спрат производствения процес, не изискват ремонт на машината, а само малка корекция в програмния код или настройка на някои параметри като например при промяна на суровините, при отчитане на износването на някои машинни детайли и на други изменящи се във времето величини, важни за производството.
Това спестява не само разходите за пътуване, а бързото решаване на проблема означава по-кратък престой и по-бързо възстановяване на нормалния производствен ритъм. В случаите, когато се налага да се командирова човек на място, прегледът отдалеч може да помогне за правилната преценка на проблема и с оглед на това да бъде изпратен специалист с подходящите умения, подходящите резервни части и инструменти. Така се увеличава шансът проблемът да бъде решен още при първото посещение.
Факторите, които водят до налагането на отдалечения достъп в индустрията, се засилват все повече в последните години във връзка с постепенното оттегляне на експертите, познаващи из основи машините и технологичния процес. Знанията и уменията на тези, които остават след тях, трябва да се разширят и да обхванат повече машини, все по-често доставени от чужбина. Машиностроителите осъзнават, че отдалеченият достъп отваря нови възможности за проактивно и превантивно обслужване, което ще е от полза за потребителите. Традиционните начини за свързване често са скъпи, неудобни или пък отнемат доста време за установяване и настройка.
Връзка с модеми
Може би най-привлекателна в отдалечения достъп чрез модеми с комутируема връзка или използващи мобилната мрежа е възможността да се достигне до данните на контролерите, без да се минава през мрежата на предприятието. Този начин за отдалечен достъп обаче изисква на производствената площадка да има прекарани телефонни линии. Освен това доста тясната честотна лента на модемите с комутируема връзка може да е недостатъчна за приложения с интензивен поток от данни.
Има и безжични модеми, които комуникират през мрежите за данни на мобилните оператори, и се предлагат от много доставчици на програмируеми контролери. При тях не са необходими телефонни линии или връзка към мрежата на предприятието, но пък наличието на сигнал в производствените помещения може да е проблем. Работата с мобилния оператор също има своите специфични особености. SIM картите с фиксиран IP адрес струват по-скъпо и отнема време, докато се доставят и конфигурират.
И, разбира се, при ползването на такива модеми и при непрекъсната връзка сметките за плащане могат бързо да нараснат. Повечето машиностроители биха избегнали този разход, особено ако поддържането на непрекъсната връзка не е наложително.
Като алтернатива на модема, инсталиран редом до контролера на общата шинна платка в шкафа, отдалеченият достъп може да се извършва и през модем, закачен към контролен компютър с подходящия операторски интерфейс. Посредством VNC (virtual network computing) или с друг софтуер за отдалечен достъп се поема управлението на този компютър.
При този метод софтуерът прави копие на работния плот и локално поема управлението на отдалечения компютър. Всичко това предполага наличието на индустриален компютър, който може да стартира въпросното приложение. Трябва да се понесат и евентуалните разходи за допълнителния хардуер и софтуер.
Проблеми на сигурността и облачно базиран достъп до машините
За производителите на оборудване, които предлагат поддръжка и диагностика на инсталираните от тях машини чрез отдалечен достъп, сигурността очевидно е сериозен проблем. Сигурността също така е проблем и за системните администратори в предприятията, където се намират машините.
След инсталирането на една машина в предприятието при крайния потребител, с нейния производител или доставчик често се сключва договор за поддръжка в рамките на определен гаранционен срок. В миналото доставчикът на машината щеше да изпраща инженер по поддръжката, който за решаването на всеки проблем по време на гаранционния срок да пътува до предприятието на крайния потребител, дори ако то се намира на хиляди километри в друга държава.
Много от системните администратори, поддържащи мрежите в предприятието на краен потребител, вероятно нямат друг опит за осигуряване на отдалечен достъп, освен с традиционните VPN методи. При такива традиционни VPN администраторите трябва да конфигурират и поддържат специален входящ VPN тунел за всеки един доставчик, който да минава през защитната стена (firewall) на фирмената мрежа. След като премине през защитната стена и влезе вътре в мрежата, инженерът по поддръжката вече може да достигне до средствата, с които се управлява дадената машина. Типичните проблеми, свързани с тези традиционни VPN тунели, веднага си проличават.
Първо, средствата за управление на машината (програмируеми контролери, операторски станции, задвижвания и др.) трябва да бъдат свързани към мрежата на предприятието. Това означава, че екипът на доставчика още по време на инсталирането на място трябва да зададе мрежови (IP) адреси на тези устройства. Така всяка машина трябва да бъде конфигурирана след всяка инсталация.
Второ, системните администратори трябва да предоставят на доставчика на оборудването копие на предпочитания от тях VPN софтуер и да му помогнат да го конфигурира за всеки компютър или лаптоп, който ще се ползва за отдалечения достъп. Очевидно е, че с тези компютри ще работят специалистите на доставчика и може да се стигне до положение, при което те не спазват строгите правила за сигурност, прилагани спрямо компютрите от локалната мрежа на предприятието.
Тъй като системните администратори разрешават на външен потребител да има достъп до тази мрежа, те трябва също така да вземат достатъчно предпазни мерки, за да я защитят от действията на такъв потребител, върху които имат ограничени възможности за въздействие. Мерките могат да са разнообразни – от ограничаване на IP адресите, до които специалистите на доставчика могат да имат достъп, до сложни системи за предотвратяване на непозволени прониквания, за проверка на пакетите и антивирусен контрол.
Отчитайки всичко това, много системни администратори решават, че потенциалните рискове за сигурността на мрежата на предприятието тежат повече от оперативните предимства, произтичащи от отдалечения достъп до машините, предоставен на съответните специалисти.
Но вече има модерни решения за облачно базиран отдалечен достъп, при които не е необходимо да се предприемат описаните по-горе действия, тъй като те работят по принципно различен начин в сравнение с традиционните VPN тунели. Използва се рутер с VPN конфигурация и с облачна услуга за отдалечен достъп.
Машини, изолирани от мрежата на предприятието
Първата грижа е проблемът за изолирането на конкретната машина от мрежата на предприятието. VPN рутерът може както да изолира от мрежата частта, обслужваща машината, така и същевременно да установи връзка през защитна стена между двете. Така свързаните с управлението на машината устройства нямат директна връзка с локалната мрежа и могат да им бъдат зададени IP адреси, така както е удобно на отговорните за нейната поддръжка специалисти.
Нещо повече, всяка машина, произведена от машиностроителната фирма, би могла да бъде идентична с всяка друга от същия модел, което намалява сложността, както и разходите по проектирането, изработката и инсталирането.
Един различен начин да се направят VPN мрежите по-сигурни
Следващата трудна задача е да се обезпечи сигурността на мрежата на предприятието срещу евентуални нежелани действия от страна на инженерите, работещи при доставчика на оборудването. В идеалния вариант те могат да достигнат единствено до устройствата, свързани с машината, за които са отговорни, и до никоя друга част от мрежата. А точно това осигуряват облачно базираните решения.
След като веднъж е активиран, всеки VPN рутер отваря изходящ, надежден VPN тунел според протокол PPTP до точно определен акаунт във VPN облака. Този подложен на удостоверяване, криптиран HTTPS тунел минава през мрежата на предприятието, излиза през защитната стена в интернет, докато достигне един от многото сървъри, формиращи облака.
Инженерът в машиностроителната фирма също установява надеждна VPN връзка към този акаунт в избрания облак. По този начин той може да има достъп единствено до устройствата, разположени на облака и в изолираната част от мрежата, обслужваща машината. Няма никаква допирна точка, през която този инженер да взаимодейства по някакъв начин с други устройства в мрежата на предприятието – такива, които не са доставени от същата машиностроителна фирма, и до които поради това няма защо да има достъп.
По-голяма сигурност и по-малко работа за системните администратори на предприятието
Тъй като всеки VPN тунел се създава отвътре, от страната на мрежата на предприятието, и тръгва навън към облака, единственото, което се иска от мрежата, е тя да може да установи изходяща връзка към интернет през порта и защитната стена.
Поради това няма нужда системните администратори да се грижат за безопасното влизане на външния потребител във VPN мрежата, което дава големи предимства от гледна точка на гарантиране на сигурността. Няма входящи портове, отворени към интернет, не се изискват статични IP адреси и специалистите от фирмата доставчик на машината нямат достъп до мрежата на предприятието.
Изходящата VPN връзка, използвана от VPN рутера, минава през HTTPS порта 443, който за голямото болшинство защитни стени е предварително отворен. Изходящите връзки могат да се осъществяват по всеки физически носител, по който може да се поддържа IP трафик, в това число кабелен Ethernet, WiFi, 3G или дори сателит.
Крайният потребител контролира отдалечения достъп
Както при всяка система за отдалечен достъп, предприятията на крайните потребители се отнасят с особено внимание към възможността производителят на дадена машина да може да я следи и да й въздейства, тъй като тя работи и изпълнява производствена програма именно в завода на крайния потребител.
Ето защо, за осигуряването на допълнителна сигурност и контрол VPN тунелът може да бъде разрешаван и забраняван през цифров вход на ползвания VPN рутер. На свой ред този вход може да бъде свързан към обикновен ключ или към изход на програмируемия контролер. Това означава, че производителят на машината ще има достъп до нея само тогава, когато крайният потребител го разреши.
Удостоверяване и валидиране при всяка сесия
Удостоверяването при всяка сесия се използва широко от сериозните уебсайтове с повишена сигурност като тези за онлайн банкиране. В такива системи обикновено се изпраща уникален, еднократен код с SMS до мобилния телефон на потребителя в момента на свързване. Целта е да се удостовери, че човекът, който иска връзка, е истинският потребител, а не такъв, който иска да проникне незаконно, използвайки крадено потребителско име и парола.
Подобни системи за сигурност са наречени с термина системи с двустепенно удостоверяване (2-factor authentication), тъй като разчитат на повече от една предпазна мярка, за да разрешат достъпа по сигурния канал. Използването на такава система с двустепенно удостоверяване трябва да бъде неразделна част от всяко техническо решение, осигуряващо отдалечен достъп на производителя до доставеното от него оборудване. По този начин се добавя второ ниво на сигурност, за да се преодолеят проблемите, произтичащи от ненадеждни пароли или от злоумишлени посегателства.
Вижте още от Машини
Ключови думи: дистанционно следене, VPN, машинен парк, отдалечен достъп, Ethernet TCP/IP мрежи
Новият брой 9/2024