这个话题来自于实际项目

我们碰到的客户的IP问题

我们客户在自行配置介器互联的服务的时候,发生了问题,告诉我们盒子的功能无法建立,需要我们支持。在得到客户授权的帐号的同时,我们也进行了同样的测试,发现也无法连接上,在和技术人员进行沟通后发现,客户工厂的PLC设备使用的IP地址有问题,内部使了公网的IP地址作为私网使用,这个过程被xCloud2M云端服务的安全守护给阻断了, 连接测试这边显示的响应是?ms,表示无法连通。

JayNest-iOS

我们碰到的这位客户,他们的内部设备IP,设置了公网IP段的IP,如果此设备(A)是孤立运行的,那么是没有问题。但是如果将A设备连接到互联网中去,A设备的IP将和公网的某个在用的设备B的IP冲突,当你在互联网上想连接到A时,有可能连接到了B。当然,这个还是小问题,而是当这个IP的设备上刚好有个黑客在跑一个特殊的服务时,设备A的会认为这个也是可信的,会发生很多不知的数据泄露,甚至各种安全问题。

借这个机会,我想来聊一下,工业互联网实施中如何来正确的设置设备的IP地址。

这里,首先要讲一下,什么是公网IP什么是私网IP。简单来讲,公网IP就是地理环境里面你公司的地址,私网IP就是你在公司的桌台。

私网IP

国际上分配ip的时候,留出一部分ip,仅用于内部局域网,比如企业内部,家庭内部,但不能在internet上使用。同时几乎所有骨干路由器把私有地址如a段的10.x.x.x 、c段的192.168.x.x等保留地址设置为了黑洞路由,无法在广域网内通讯。这些网段是 10.0.0.0/8, 172.16.0.0/12,192.168.0.0/16。私网IP不需要申请,任何人可以随意使用,同时私网IP在使用的时候前段有路由保护,泄露了私网IP并不会让外网的黑客找到你的电脑。

我们强烈要求,公司在实施设备互联的时候,使用私网IP段,这些网段是 10.0.0.0/8, 172.16.0.0/12,192.168.0.0/16

公网IP

公网IP就是国际互联网上的一个专有地址,可以在全球所有互联网上访问,我们访问的各种网站,包括我的博客https://qianyong.me 都有一个专有的IP地址,这个地址需要问ISP购买。但是我们使用的时候一般是向云服务器厂商租赁,比如上面这位客户设置的IP地址,实际是属于加拿大的。

我们强烈要求,公司在实施设备互联的时候,不使用公网IP。

介器的安全策略

互联的安全一直是介器互联很关心的话题,除了硬件JayBox层面的权限控制,BlueJayOS的权限管理,到客户端用户登录的授权策略,在云端也有部署一套安全策略。

物联带来的改进是增量式的,而机器设备的互联是这个改进的第一步。通过使用开放和兼容的硬件,在不改变原来设备架构的基础上,实现机器设备的无缝互联互通。物联会给行业带来一个共性的担忧,那就是设备的安全性。

介器互联基于 Linux 内核(Longterm support版本),开发的全新 BlueJayOS 系统. 管理了Jaybox所有文件的认证,加密、解密,密码设置及敏感数据处理等操作。

介器使用MachineID技术,通过专有的加密通道,使用目前最先进的加密算法,实时保障数据传输的安全,防止第三方嗅控;带有专利技术的硬件开关,则可让客户及时进行机械隔离操作。

xCloud2M 是全新设计的边缘计算云端服务,基于全球部署的顶尖服务器,可为客户提供高可靠性,高效率及安全的连接及管理服务。xCloud2M 将提供数以万次的连接,定制化的数据采集服务,并提供 xCLoud2M 边缘计算。

在实施工业互联的时候,公网的IP段是不允许作为内网使用的,工业设备是不允许暴露在公网上。设备就以为这个IP段的外网服务是内部网络服务,数据就泄露到外面去了,相当于盒子后面的设备全部都暴露在公网,黑客一般用这种方式来钓鱼。

欢迎大家联系我们,我们愿意为工业企业提供免费的互联安全建议。