Üç Farklı Yaklaşım İle Güvenli Uzaktan Erişim Sağlamanın Yolları!

Fabrikanızdaki, üretim bandınızdaki sistemlere, uzaktan destek gerektiren makinalarınıza uzaktan
erişim çözümleri ile maliyetleri minimize edin.

COVID-19 salgını, birçok fabrikanın üretim süreçlerini negatif yönde etkiledi. Sosyal kısıtlamalar, evden çalışma, uluslararası ulaşımdaki kısıtlamalar hatta şehirler arası ulaşımdaki kısıtlamalar nedeniyle Fabrika üretim sistemlerininin bakımı, yazılımların yenilenmesi, sorunların giderilmesi çok zor hale geldi. Bu durum sadece fabrikalar için değil, bu problemleri yaşayan bir çok sektör için de sorun teşkil ediyor.

Uzaktan destek ile servis bakımı ve sorun giderme, OEM üreticilerinin ve makine üreticilerinin müşterilerini daha fazla verimlilikle desteklemelerinin yanı sıra verimliliği de artırma olanakları sunuyor. Uzaktan servis hizmeti sadece daha hızlı ve daha akıllı kararlar vermeyi kolaylaştırmakla kalmadı, aynı zamanda makine ve ekipmanların satış sonrası ve bakım maliyetlerini de azaltmaktadır.

Bu makalemde aşağıdaki 3 çözüm ve birbirleri ile ilişkileri hakkında yorumlarımı ileteceğim.

Moxa Remote Connect (MRC), güvenli bir bulut mimarisi üzerinden uzak makinelere erişimi kolay ve erişilir hale getirerek bu süreçte fabrikaların ve diğer sektörlerin karşılaştığı sorunlara çözümler sunmak için öne çıktı.

Peplink, LTE ( 4G ), LTE-A ( 4.5G ) ‘yi öne çıkaran, varolan kablolu veya kablosuz internet altyapısı ile bağlantıları yedekleyen, geniş routing ve yetenekli sd-wan vpn altyapısı ile iletişimde sınırları kaldırıyor.

Manage Engine PAM, Moxa ve Peplink ile kurduğumuz altyapısı GDPR ve IS27000 ile tamamlayan, kullanıcıların oturumlarını ( rdp, ssh, sql vs ) screen recording teknolojisi ile kayıt ederek yaptıkları değişiklikleri kayıt altına alan ve IT sorumlularının işlerini kolaylaştıran bir erişim altyapısı sunuyor.

Peki bu üç çözümü nerede ve nasıl kullanabiliriz? Her bir çözümü bağımsız veya birlikte nasıl kullanabiliriz?

Öncelikle Moxa’nın MRC çözümüne odaklanalım.

Moxa MRC çözümü,
Moxa MRC, vpn temelli bir teknolojidir. Hatta OpenVPN altyapısını kullanıyor.

VPN ile uzak bir sisteme erişip destek vermek yeni bir teknoloji veya yöntem değil. Eskiden beridir, IPsecVPN, sslVPN, L2TP over IPsecVPN vs yöntemleri ile veya vpn kullanmadan Port Forwarding yöntemi ile uzak erişimler sağlandı. Port forwarding yöntemi ise başlı başına bir güvenlik zafiyeti ve bir çözüm olarak sunmak mantıklı değil.

Ancak VPN erişiminde konfigürasyon zorluğu yani karmaşık VPN ayarları, kullanım zorluğu, yönetim zorluğu, denetleme zorluğu gibi konular bu tip vpn altyapısında karşılaştığımız zorluklardı.

Nedir bu zorluklar?

  • Servis veren mühendis, istediği zaman sisteme bağlanabilir, ne zaman bağlanacağını ancak manuel yöntemlerle idare edebilirsiniz.
  • Mühendisin lokal ağı ile bağlantı yaptığı uzak ağ aynı IP subnet’de ise routing problemleri ile karşılabilirsiniz.
  • Fabrikaya kurduğunu vpn ağ geçidi cihazın arkasında aynı IP subnet’de koşan farklı üretim bantları olsa, hatta çakışan IP adresleri olsa ne yapacaksınz?
  • Servis verilecek herbir üniteye farklı erişim izinleri vermek. Örneğin Mühendis Ali, A marka PLC’nin ModbusTCP portuna erişebilsin, Mühendis Veli ise konfigürasyon için x TCP portuna bağlanıp yazılım güncelleme vs yapabilsin.
  • Mühendis aynı anda iki farklı uzak noktaya bağlanarak servis verebilsin.
  • Operatör, istediğinde servis mühendisi sistem erişebilir mi, örneğin Operatör bir butona bastığında veya bir USB flash’ı Gateway’e taktığında.
  • UDP temelli ipsec portlarına izin vermek, nat-traversal problemleri ile ilgili sıkıntılar. Standart HTTPS ( TCP 443 ) ile bağlanılabilse keşke.

İşte bu ve bunun gibi sayabileceğimiz birçok zorluğu aşmak için Moxa MRC çözümü geliştirildi.

Moxa MRC çözümüne biraz daha yakından bakalım. Aşağıdaki figür-1’de gördüğünüz gibi bu çözüm MRC Server, MRC Gateway, MRC Client olmak üzere üç adet komponentden oluşuyor.

 

 

Figür-1

MRC Gateway, servis alacak makine parkı, üretim bandı, ITS ( Akıllı ulaşımda VMS, VTS), bina otomasyon, Havalimanı kontrol sistemleri, uzak elektrik sistemleri, baz istasyonları, ATM’ler, Su depoları, Oil&gas sistemleri, Utility sistemleri gibi akla gelebilecek bir çok alandaki noktalara yerleştirilen bir VPN router ünitesidir. Bu ünite sadece Ethernet WAN ve Ethernet LAN arabirimli bir model veya Ethernet LAN ve LTE arabirimli model olarak sunulmaktadır.

MRC Client, servis veya uzaktan bakım verecek mühendisin Windows bilgisayarında kurulu olan yazılımdır.

MRC Server ise şu anda Amazon (AWS) bulut üzerinde kurulabilen bulut tabanlı bir merkezi yönetim ve VPN Server uygulamasıdır. Virtual Appliance olarak kurulmaktadır. İleriki versiyonlarında kendi veri merkezinizde kurmanız için on-premise veriyonu çıkacaktır. MRC Server’ın görevi, sahadaki Gateway ve client’ları yönetmek ve birbirine kavuşturmaktır.

MRC Mimarisinde diğer Parametreler;

Device: MRC gateway ünitesinin LAN bacağında konumlu PLC, I/O, IP kamera, PC, robotik cihazlar vs.

Service: Device’ların dinlediği veya servis verdiği  TCP veya UDP portları ifade eder.

User: Device’lara uzaktan bağlanarak sorun giderecek uzaktan erişim yetkisi olan kullanıcı hesapları

MRC client, MRC gateway’e doğrudan bağlantı kurmaz.  Zaten kursaydı, MRC gateway’in önünde olabilecek olası firewall, router’larda ayarlar yapmak gerekecekti. MRC Client, MRC server tarafından sunulan sertifika ile MRC server’a https ( tcp 443) üzerinden bir tünel kurar. Benzer şekilde, sertifika yüklenip aktif edilen MRC gateway de MRC Server’a https üzerinden bir tünel kurar. Client, MRC Server üzerinden Gateway’in arkasındaki aygıtlara (device) yetkileri doğrultusunda erişmeye başlar.

 

 

MRC Çözümünün öne çıkan özellikleri;

• Uçtan uca AES-256 şifreleme

 

 

• Hangi user( Uzak destek veren Mühendis) hangi Gateway’in arkasındaki hangi cihazın ( PLC, SCADA, IP kamera vs ) hangi servis portuna ( modbusTCP( TCP 502 ), Profinet, RTSP, RDP vs ) erişecek MRC Sunucuda yapılacak ayarlar ile belirlenebilir.

 

 

MRC çözümü Firewall ve NAT dostudur. Gateway tarafında herhangi bir port yönlendirme gerekmez. Çünkü Bağlantıyı Gateway başlatır. Gateway’in sadece HTTPS ile internete ( MRC Server linkine ) ulaşması yeterlidir.

 

• MRC ile Gateway tarafında IP veya IP subnet değişimi yapmak zorunda kalmazsınız.İsterse tüm uç noktalarınız aynı IP bloğu oldun. Tünele giren trafiği NAT ile merkeze farklı göstererek bunu aşar.

 

 

MRC ile Sisteminize bağlananlar tam kontrolünüz altında, bunu servis ve zaman temelli izinlerle başarıyor.

• Lokal operator, sisteme erişimi kontrol edebilir. Peki hangi yollarla bunu başarır?
1- Gateway’in Dgital Input girişine bağlı bir buton vasıtasıyla.Operator butona bastığında Gateway tetiklenir ve MRC server’a tüneli kurar. Artık Servis mühendisi uzaktan destek verebilecektir.

 

 

2- Lokal operatör, sertifika yüklü bir USB dongle’ı Gateway’e takarsa Gateway tetiklenir ve MRC server’a tünel kurar. Artık Servis mühendisi uzaktan destek verebilecektir.

 

 

Merkezdeki yönetici, MRC Server üzerinde Gateway’i kapatıp açaiblir.Veya Servis mühendisi için açılan User hesabını açıp kapayarak erişimi kontrol edebilir.

Hangi Device’a hangi User erişebilir artık sizin kontrolünüzde.

Servis mühendisi uzaktan erişir ve 1 saatlik çalışma süresi ayarlanmıştır. 1 saat sonra otomatik olarak sisteme erişimi düşer. Tekrar izin istemelidir.

Bağlantı Seçenekleri;

Aşağıda görüldüğü gibi, birden fazla user ( servis mühendisi ) , aynı Gateway arkasındaki device’lara erişim sağlayabilir.

User, mobil cihazında da tünel kurarak uzak sisteme servis verebilir.

Gateway ile diğer gateway’ler arasında tüneller ile M2M iletişim de mümkün.

Site to Site VPN bu çözümde mümkün.

 

 

MRC Quick-Link – Ücretsiz,  Zahmetsiz, Hazır Moxa Public Cloud

Sistemin Hub noktası olan MRC Server’ı Amazon üzerinde kurmak yerine Public Cloud servisi üzeirnden almanız da mümkün. Küçük sayılı kullanımlar için MRC Quick-Link servisi burada imdadınıza yetişiyor.

MRC Quick Link İş Modeli

 

 

6 adımda Ücretsiz MRC Quick Link Servisini Aktif Edin!
MRC Gateway cihazınızı satın alın ve 6 adımda ücretsiz MRC Quick-Link servisinizi aktif edin.

 

 

MRC Portal’e eriştiniz.

 

 

Aşağıdaki modellerden birini seçin. Ethernet WAN portlu modelin WAN portuna herhangi bir internet router bağladığınızda internete çıkması yeterli olacaktır. Ortamdaki WiFi ağ bağlamak isterseniz WAN portuna  Client modda koşan bir Wifi AP bağlamanız yeterli olur. Veya LTE modelini alarak doğrudan LTE üzerinden internete çıkarmak da mümkün.

 

 

İzole, güvenli, kullanımı kolay servisiniz ile uzaktan erişim desteği vermeniz artık MRC Quick link ile çok kolay.

 

 

Peplink OoB çözümü,

Peplink,özellikle LTE temelli bonding donanımları ile öne çıkan ve SD-WAN dünyasına yeni bir soluk getiren bir üreticidir.

Bu çözümde donanım ve sanal gateway’ler ve bu gateway’leri yönetttiğimiz Bulut temelli Incontrol2 komponentlerini kullanıyoruz.

Remote Gateway Üniteleri;
Öncelikle, makina ve sistemlerin tarafına konumlandıracağımız ,Gateway ünitemizi seçelim. Seçeneklerimiz çok fazla olmasına rağmen , Özellikle 3 model üzerinde durmak istiyoruz.  Tüm seçenekleri aşağıdaki linklerden inceleyebilirisniz.
https://www.peplink.com/products/max-br1-series/

https://www.peplink.com/products/ubr-series/

• MAX-BR1-MINI
2 adet LAN portu var. LAN portlarından biri istenirse ek lisans ile WAN portu yapılabilir. 1 adet LTE veya LTE-Advanced modemi var. WiFi LAN ve WiFi WAN özelliği var. -40 ile +60C sıcaklıkta çalışabilen, Terminal tip güç girişl, Surge, EFT korumalıi endüstriyel tasarıma sahip.

MAX-BR1 MINI ile neler yapabiliriz?
– Hizmet verilecek Device’ları LAN bacağından veya WiFi LAN üzerinden bağlayaibilriz
– Ek komponent ile RS232 seri port sunabiliriz.
– Internete nasıl çıkarız?
1-  LTE üzerinden. İki SIM slotu ile faklı servis sağlayıcılardan yedekli servis kullanımı.
2- Ortamda Wireless servisi varsa WiFi WAN üzerinden
3-  WAN portuna bağlı bir DSL, fiber vs modem üzerinden üç şekilde çıkabiliriz.

Birden gazla internet çıkış seçenekleri ile, LTE giderse Wi-Fi WAN veya WAN üzeirnden internete çıkar ve tünelini devam ettirir.

 

 

• Speedfusion Engine

    • 1 adet LAN portu var. Bu port aynı zamanda WAN portu olarak da aynı anda kullanılabilir.Aynı anda aktif çalışan iki adet LTE modemi var. Yani İki linki de bonding ile birleştirebilir.
    • Avuç içine sığan kompakt boyut.
    • Endüstriyel tasarım.
    • Birden gazla internet çıkış seçenekleri ile, LTE giderse WAN üzerinden internete çıkar ve tünelini devam ettirir.

 

• MAX-BR1-IP 67
IP 67 muhafaza ile doğrudan dış ortamda konumlandırılabilir. 1 adet LAN portu var. 1 adet LTE modemi var. WiFi LAN ve WiFi WAN özelliği var. -40 ile +60C sıcaklıkta çalışabilen, Surge, EFT korumalıi endüstriyel tasarıma sahip.  LTE ve WiFi antenleri muhafazanın içinde ve entegre.

MAX-BR1 IP 67 ile neler yapabiliriz?
– Hizmet verilecek Device’ları LAN bacağından veya WiFi LAN üzerinden bağlayaibilriz
– Internete nasıl çıkarız?
1-  LTE üzerinden. İki SIM slotu ile faklı servis sağlayıcılardan yedekli servis kullanımı.
2- Ortamda Wireless servisi varsa WiFi WAN üzerinden

Birden gazla internet çıkış seçenekleri ile, LTE giderse Wi-Fi WAN üzerinden internete çıkar ve tünelini devam ettirir.

 

 

Merkez için Sanal Gateway : FusionHub
Çözmümüzde kullanım kolaylığı ve basitliği ile merkeze VPN Hub olarak koşacak Sanal Gateway FusionHub öneriyoruz.
Merkeze VPN HUB olarak koşacak Peplink Balance serisi bir donanım konumlandırmak da mümkün.

 

 

• FusionHub ile binlerce uç noktayı sonlandırmamız mümkün.

• Fusion hub, AWS, Google Cloud, microsoft Azure gibi Public cloud üzerinde veya veri merkezinizdeki Vmware, KVM, Citrix gibi Hypervisor’ler üzerinde kurulabilir.

• FusionHub ile Uç noktalar arasında Layer3 veya Layer2 tünel kurulabilir. Layer2 tünel, uç noktanın merkezin LAN bacağına bir kablo gibi bağlanması ve aynı broadcast domain’inde koşması demektir.

• FusionHub Sanal Gateway’de throughput sınırlaması yoktur.

• FusionHub’da lisanslama, Incontrol2 cloud management veya SD-WAN controller üzerinden yönetilir

• FusionHub Sanal Gateway’de lisanslama SD-WAN tünel sayısına göredir. Tabloda görüldüğü gibi Tek bir Gateway üzerinde 4000 uç nokta sonlandırılabilir. Daha fazla uç nokta için ek FusionHub Gateway’ler devreye alınabilir.

 

 

Tüm gateway ünitelerini yönetmek için Incontrol2 Platformu:

• Incontrol2, SD-WAN Controller platformudur.

• Incontrol2, gateway ünitelerinin support paketi devam ettiği sürece public cloud üzerinden ücretsiz kullanılabilir.

• Incontrol2, tercih edilirse, On-premise lisans ile kendi veri merkezinizde kullanılabilir.

• Incontrol2, Zero-touch configuration yeteneği sunar.

• Merkezi konfigürasyon, merkezi uzaktan destek, merkezi loglama ve grafiksel istatistik, merkezi firmware yönetimi ve birçok özellik sağlar.

• Incontrol2, API desteği ile northbound arayüz üzerinden üst katmandaki yönetim sistemleri ile etkileşebilir.

• Incontrol2, mobil desteği ile tüm ağı yönetmenizi kolaylaştırır.

 

 

Peplink ile Çözümler:

      1.Çözüm: FusionHub

• Bu çözümümüzde Veri merkezimize bir FusionHub kuruyoruz. Uç lokasyonlara da MAX router ünitemizi fabrikadan geldiği gibi gönderiyoruz.

• Max router, LTE üzerinden varsayılan olarak Internet APN’i tarar ve internete bağlanır. Internet bağlantısı ayağa kalktığı anda, gateway Incontrol2’de belirir. Merkezi vpn, firewall, template vs konfigürasyonlarını alarak merkeze tüneli kurar.

• Bu aşamada artık Uzak uçlar erişilebilir durudadır.

• Servis mühendisi, Windows, Android veya Apple platformalarından L2TP over ipsec VPN ile FusionHub’a bağlantı kurar. Kulanıcı veritabanı, FusionHub,LDAP veya Active Directory üzerinde tutulabilir.

• Incontrol2 platformunda, gateway veya user ancak işi olduğunda aktif edilerek uzaktan erişim merkezi olarak kontrol altında tutulur.

 

 

2.Çözüm: OpenVPN

• Bu çözümümüzde Veri merkezimize bir OpenVPN Server kuruyoruz. Uç lokasyonlara da MAX router ünitemizi fabrikadan geldiği gibi gönderiyoruz.

• Max router, LTE üzerinden varsayılan olarak Internet APN’i tarar ve internete bağlanır. Internet bağlantısı ayağa kalktığı anda, gateway Incontrol2’de belirir. Merkezi vpn, firewall, template vs konfigürasyonlarını alarak merkeze tüneli kurar.

• Bu aşamada artık Uzak uçlar erişilebilir durudadır.

• Servis mühendisi, Windows, Android veya Apple platformalarından OpenVPN client ile merkeze tünel kurar. Kulanıcı veritabanı, FusionHub,LDAP veya Active Directory üzerinde tutulabilir.

• Incontrol2 platformunda, gateway veya user ancak işi olduğunda aktif edilerek uzaktan erişim merkezi olarak kontrol altında tutulur.

 

 

3.ÇözümPAM ile Screen Recording

• Bu çözümümüzde Veri merkezimize bir OpenVPN Server veya FusionHub kuruyoruz. Uç lokasyonlara da MAX router ünitemizi fabrikadan geldiği gibi gönderiyoruz.

• Max router, LTE üzerinden varsayılan olarak Internet APN’i tarar ve internete bağlanır. Internet bağlantısı ayağa kalktığı anda, gateway Incontrol2’de belirir. Artık gateway merkezi olarak yönetileiblir durumdadır.

• Servis mühendisi merkeze iki türlü erişim sağlayabilir.

    1. Önce ManageEngine PAM SSL Portal’e bağlanır. Ardından yönetim için izin verilen bir workstation’a RDP yapar. Ve RDP yaptığı PC üzerinden uç noktalardaki sistemlere erişim sağlar.
    2. Önce OpenVPN server veya FusionHub’a tünel kurar. Ardından PAM SSL Portali üzeirnden yönetim için izin verilen bir workstation’a RDP yapar. Ve RDP yaptığı PC üzerinden uç noktalardaki sistemlere erişim sağlar.

• Servis mühendisinin tüm işlemleri PAM tarafından loglanır ve screen Recording ile kayıt altına alınır.