Remote monitoring tramite routers LTE nelle applicazioni IIoT

Remote monitoring tramite routers LTE nelle applicazioni IIoT

Il concetto di Industry 4.0 col quale si identifica la smart factory nell’automazione industriale, si concretizza grazie alla connessione e all’integrazione di macchinari e sistemi così da consentire la raccolta di tutti i dati sulla produzione, l’infrastruttura e i prodotti finiti.

Questa raccolta dati, effettuata grazie a device e sensori, permette un’analisi dei parametri e delle condizioni della macchina con l’obiettivo di aumentare la produttività dell’impianto e di effettuare manutenzione predittiva per anticipare ed evitare così i fermi di produzione.

L’uso della tecnologia GSM/LTE viene utilizzato dai machine builder allo scopo di poter monitorare le macchine in uso al cliente quando:

  • Vi è l’impossibilità di accesso alla macchina per le policy di sicurezza interne dei reparti IT
  • Posizionamento dei macchinari in località difficili da raggiungere

Per poter gestire questo tipo di connessioni Antaira offre una gamma di Router industriali  con connessioni a reti LTE di ultima generazione, avendo così la garanzia di avere una connessione stabile e veloce.

Questi dispositivi permettono di gestire il reindirizzamento delle connessioni su diverse subnetwork e interfacce (lan, wifi).

Per poter garantire la sicurezza della connessione, dunque evitare l’intercettazione dei dati da personale non autorizzato, si utilizzano protocolli VLAN che garantiscano la sicurezza e la privacy della comunicazione, come ad esempio Open VPN. Questo software opensource, utilizzato per creare delle connessioni VPN (Virtual Private Network), utilizza una chiave di criptazione con username e password.

Fig.1 IoT Cloud Gateway ARS-2131-LTE

Fig.1  IoT Cloud Gateway ARS-2131-LTE

Le differenti modalità di tunnelling

Le modalità di tunnelling sono

  • Router mode

In questa modalità gli indirizzi IP del tunnel sono differenti, prevenendo una possibile ripetizione dell’indirizzo IP in tutta l’intera rete. Le comunicazioni in layer2 (broadcast/multicast frame) non passano attraverso questo tunnel.

  • Bridge mode

In questa modalità vi è un bridge tra le diverse reti che permette di avere gli stessi indirizzi IP e dunque non aver limiti di comunicazione, ma è più complesso da configurare.

In entrambe le soluzioni vi è un client ed un server, il ruolo di quest’ultimo è l’attesa della trasmissione dati dalla VPN in un porta TCP definita.

Router di Sim card con indirizzo IP statico

Per questa ragione il server deve essere accessibile e deve avere un indirizzo IP fisso.

È necessario quindi dotare i router di Sim card con indirizzo IP statico.

L’uso di sim con questa tipologia di servizio è più costoso a confronto di sim con indirizzi IP dinamici, la soluzione è quella di usare router equipaggiati con la possibilità di connessione a servizi Cloud che garantiscano la trasmissione criptata.

Un esempio di questi device è l’ARS-2131-LTE che opera in Advanced LTE mode con servizio di Cloud Server VPN. Con l’esecuzione del server Open VPN nel cloud la connessione è semplice e configurabile in pochi step.

Il device ha la funzionalità di IoT gateway e permette l’accesso remoto al sistema di supervisione nelle aree coperte dal servizio di rete.

Fig. 2 Antaira IoT Cloud Gateway operating principles

Fig. 2 Antaira IoT Cloud Gateway operating principles

Il funzionamento è presentato nella figura 2, la sicurezza è garantita dalla VPN criptata con chiave a 2048 o 4096 bit.

La semplicità d’uso e il basso costo del trasferimento dati è un vantaggio ma la sicurezza non deve essere trascurata.

La combinazione dell’IT corporate e delle Industrial network (OT) crea una struttura a livelli dove per ogni livello viene definito specifiche, requisiti e architettura delle connessioni al mondo esterno.

Defence in Depth

Con il risultato che la protezione di questo tipo di reti assomiglia ad una protezione multilivello viene chiamata anche “Defence in Depth” o “Castle Approach”.

È suddivisa in 3 aspetti:

  • Fisico
  • Tecnico
  • Amministrativo

Un sistema di sicurezza ben progettato di una rete industriale necessita di tools per forzare il comportamento dell’utente in modo corretto, monitorare e rilevare modifiche del codice dannoso, reagire prontamente e ripristinare la continuità delle lavorazioni in caso di attacco.

Uno degli standard ampliamente conosciuto è l’IEC 62443 (fig.3).

Questo prevede una lista di potenziali problemi che bisogna tenere in considerazione quando si progettano apparecchiature di rete e poterle definire sicure. I router GSM garantire la sicurezza nei livelli 3 e 4.

Figure 3 Layer structure of the ICS system – IEC 62443 standard (ISA.ORG)

Figure 3 Layer structure of the ICS system – IEC 62443 standard (ISA.ORG)

I prodotti Antaira garantiscono accessi remoti sicuri e velocità fino a centinaia di Mbps usando una rete VPN criptata. Questo permette di eseguire una prima assistenza tecnica all’impianto senza dover sostenere tempi e costi di trasferta di tecnici qualificati.