Başarılı bir IoT çözümünün faydaları çok sayıda, tamamlayıcı ve geniş kapsamlıdır. IoT bağlantısının sunduğu tüm fırsatlarla birlikte, hala güvenlik açıkları, iletişim zorlukları ve lojistik engeller var. Uzaktan cihaz erişimi, bu sorunların ele alınmasında önemli bir bileşendir.
İki Senaryo Düşünün
- Cihazlar yereldir : IoT bağlantısı etkin cihaz, geliştiricinin özel ağındadır. Bir düğmeye basarak cihazda oturum açabilir, günlük dosyalarını okuyabilir, cihaz komutlarını çalıştırabilir ve hatta cihazı sıfırlayabilir.
- Cihazlar müşterinin sahadadır : Geliştiricinin bu harici ağa erişimi yoktur. Olası bir sorunu gidermek için, yalnızca cihazdan gönderilen verilere güvenebilir ve görünürlük çok az veya hiç yoktur.
İkinci senaryonun ortaya çıkardığı sorunu anlamak için, potansiyel sorunları çözmek için önceden programlanmış eylemlerin işe yaramadığı arızalı bir asansör hayal edin. Bu durumda, servis personelinin sorunu gidermek için fiziksel olarak sahaya gitmekten başka seçeneği yoktur.
Olası Uzaktan Erişim Çözümleri
İlk günlerde işletmeler, herkese açık bir web sunucusuna benzer şekilde cihazlarda uzaktan oturum açmak için statik genel IP adreslerini kullanıyordu. Bununla birlikte, cihazları kamuya açık alanda bırakmak, onları hatalar veya kaba kuvvet parola saldırıları yoluyla hacker saldırılarına karşı savunmasız hale getirir. Bu, Mirai botnet saldırılarından farklı değildir.
İkinci bir yaklaşım, özel IP adreslerini kullanmak ve merkezi bir sunucuya bağlanan her cihaza bir VPN veya uzaktan yönetim istemcisi dağıtmaktır. Bu şekilde, istemci bir VPN sunucusuna güvenli bir bağlantı kurar ve geliştirici daha sonra önce merkezi sunucuda ve oradan da cihazın kendisine oturum açarak daha gerçek zamanlı gözetim sunar.
Ne yazık ki, tüm IoT cihazları uzak istemci yazılımını çalıştırmak için yeterli işleme ve enerji kapasitesine sahip değil. Dahası, farklı VPN istemcilerini ve güncellemelerini yönetmek, özellikle farklı cihaz türleri söz konusu olduğunda zahmetlidir. Yani, bu seçenek de idealden daha az.
Tercih Edilen Çözüm
Daha iyi bir yaklaşım, bir sanal özel ağ (VPN) ve hücresel bağlantı sağlayıcısı tarafından sunulan statik özel IP adreslerini kullanarak uzaktan cihaz erişimi elde etmektir. Bu yaklaşımın aşağıdakiler dahil birçok avantajı vardır:
- Cihazlar hücresel sağlayıcı ağında gizlidir ve hiçbir saldırgan cihazlara trafik tarayamaz veya cihazlara trafik gönderemez.
- Sanal özel ağ, her cihaz arasında değil, yalnızca mobil ağ altyapısı ile yöneticinin VPN istemcisi arasında oluşturulur.
- Yönetici, cihazda oturum açabilmesi için mobil ağın VPN Ağ Geçidi ile kimlik doğrulaması yaparak cihaza erişebilir.
Geleneksel operatörlerde bu kurulum zaman alıcı, karmaşık ve pahalıdır çünkü statik IP adreslerini yönetmek için gerekli olan özel bir APN kurmaları gerekir. Özel APN’nin operatörün DNS’si içinde duyurulması ve müşteri cihazında yapılandırılması gerekiyordu. Kurulum için birkaç hafta ve yüzlerce Euro ve özel IP adresleri ve VPN için aylık ücret harcamak gerekmektedir.
Tercih edilen bir çözüm, ücretsiz olarak uzaktan erişim sağlamanın temelini oluşturan özel statik IP adresleri sağlayan bir bağlantı sağlayıcısı ile çalışmaktır. Her bir SIM kart, özel bir APN kurmaya veya bunun için ödeme yapmaya gerek kalmadan ayrı bir özel IP adresi alır.
OpenVPN
Bir Open VPN istemcisi kullanarak, işletmeler cihazlarına herhangi bir iş istasyonundan, dizüstü bilgisayardan veya sanal makineden doğrudan erişebilirler. Bir OpenVPN istemcisinin kullanılmasıyla, müşteriler bir VPN Ağ Geçidine bağlanabilir ve tüm cihazlara erişim sağlayabilir. VPN Ağ Geçidi ve Dizüstü Bilgisayar arasındaki uzaktan erişim iletişimi şifrelenmiştir.
IPSec
Cihaz verilerine ek bir güvenlik katmanı eklemek isteyen işletmeler IPSec kullanmalıdır. Bir dizüstü bilgisayar veya harici cihazdan güvenli bir bağlantı oluşturan OpenVPN’in aksine, IPSec, uygulama ile VPN ağ geçidi arasında güvenli bir bağlantı kurar. İşletmeler, cihazlarına yalnızca uygulama altyapılarından uzaktan oturum açmakla kalmaz, aynı zamanda cihaz iletişimi uygulamaya giden yolda şifrelenir.
Not: Uygulama altyapısını OpenVPN kullanarak mobil ağa bağlamak da mümkün olsa da, bu önerilmez. OpenVPN, tüm cihazların paylaştığı yaklaşık 20 Mbps’lik maksimum bant genişliği sınırlamasına sahiptir ve cihazın çalışmasını etkileyebilir. Ayrıca, OpenVPN ile yönlendirme yalnızca bir IP adresine yapılırken, IPSec tam uygulama alt ağına yapılır.
Özet
Uzaktan erişim, uzaktan dağıtılan her başarılı IoT çözümü için önemli bir bileşendir. Güvenlik açısından, halka açık internete güvenmek yerine uzaktan erişimi etkinleştirmek için özel IP adreslerinin kullanılması önerilir. Temel bir seçenek, OpenVPN aracılığıyla uzaktan erişim sağlamaktır. Ek olarak cihaz ve altyapı güvenliği için, IPSec veya Cloud Connect ise veri yolunun şifrelenmesini sağlar.
