В данной статье мы рассмотрим удаленный доступ к роутерам RTU.
Потребность удаленного подключения может появляться в силу необходимости изменить какие-либо настройки, проверить статистику по трафику, что-то разрешить или наоборот запретить.
Вариантов удаленного доступа может быть несколько, и топологий сетей, в которых работают данные роутеры, тоже может быть много.
Мы остановимся на двух вариантах, а также рассмотрим пункт, относящийся к безопасности при работе с удаленным доступом:
1. Простой удаленный доступ, используя статический IP на SIM карте роутера.
2. Удаленный доступ к роутеру, который находится за VPN сетью.
3. Безопасность при работе с удаленным доступом.
1. Простой удаленный доступ, используя статический IP на SIM-карте роутера
Данный пункт, исходя из своего названия, является самым простейшим способом получения удаленного доступа к роутеру.
Всё, что вам необходимо, это иметь статический (постоянный) IP-адрес на SIM-карте. При установке GPRS соединения с оператором связи адресация (передача пакетов данных) происходит посредством IP-адресов.
Существуют следующие типы IP-адресов:
- Динамический внутренний IP - IP-адрес, который изменяется с каждым подключением ("плавающий"). Внутренний IP-адрес предоставляет устройству доступ к ресурсам Интернета, однако доступ к самому устройству из внешней сети невозможен.
- Динамический внешний IP — публичный IP-адрес, доступ к которому можно получить из любой точки глобальной сети. Динамический внешний адрес меняется с каждым подключением, что в большинстве случаев не позволяет его использовать для удаленного подключения извне.
- Статический (постоянный) внешний IP — фиксированный публичный IP-адрес, неизменный при каждом подключении. Необходим в случаях, когда устройство требует удалённого подключения извне. Данный IP-адрес доступен из любой точки мира в сети Интернет.
- Статический внутренний IP — фиксированный адрес, используемый в локальной сети. Подключение статических локальных IP-адресов обычно применяется на корпоративных тарифах, специально предназначенных для беспроводной передачи данных между удалёнными устройствами.
Оба варианта подойдут для простого получения удаленного доступа, но при использовании варианта со статическим внутренним IP-адресом вам необходимо иметь в виду, что ваш ПК должен находиться в этой же локальной сети, что и IP-адрес, полученный на роутере.
При использовании статического внешнего IP-адреса данный IP-адрес будет доступен из любой точки мира, и вам всего лишь необходимо наличие выхода в Интернет на ПК, с которого вы хотите получить удаленный доступ к роутеру.
Для получения удаленного доступа к самому роутеру необходимо открыть порт на роутере. Если вам необходим доступ по SSH, то необходимо открыть порт 22, если же необходимо получить доступ к WEB-интерфейсу роутера, то необходимо открыть порт 80.
Со способом открытия порта на роутере можно ознакомиться в дополнительной статье по ссылке.
2. Удаленный доступ за VPN сетью
При построении определенной топологии сети бывают ситуации, когда необходимо объединить две локальные сети в одну (например, офисные филиалы) или осуществить закрытый канал связи между двумя объектами, и в таких случаях часто используют VPN-туннелирование.
Данный метод удобно использовать тогда, когда роутер выступает в режиме VPN "Клиента" и подключается к какому-либо статическому IP-адресу VPN "Сервера". В данном случае нет необходимости в использовании статического IP-адреса на роутере.
Существуют различные виды VPN-туннелирования: L2TP, PPTP, GRE, OpenVPN и другие. После построения туннеля бывает необходимость воспользоваться удаленной настройкой оборудования (роутера), находясь на другом конце существующего туннеля. В данном методе основой является организованный VPN-туннель, при этом необходимо понимать, что в каждом случае могут возникать индивидуальные нюансы при построении туннеля, из-за этого данный метод может вызывать трудности.
При успешной организации VPN-туннеля на вашем ПК будет доступен локальный IP-адрес удаленного роутера. Всё, что вам необходимо будет сделать, это произвести открытие необходимых портов роутера, о которых говорилось в пункте 1.
Со способом реализации можно ознакомиться в дополнительной статье по ссылке.
3. Безопасность при работе с удаленным доступом
Необходимо понимать, что если вы используете статический внешний IP-адрес, то данный IP-адрес доступен для всех пользователей сети Интернет в любой точке мира. Это может привести к сетевым атакам извне с помощью специальных утилит или бот-программ.
При использовании удаленного доступа к роутеру в открытой сети Интернет необходимо уделить большое значение настройкам безопасности.
3.1 Изменение пароля и имени пользователя
Одним из обязательных пунктов защиты роутера является изменение пароля по умолчанию, а также в определенных ситуациях и логина.
Настоятельно рекомендуем изменить пароль для доступа по умолчанию на уникальный, желательно более 8 символов.
Изменить пароль можно в пункте "Система" - "Администрирование":
3.2 Защита роутера для работы по SSH
Одним из наиболее часто встречающихся методов атаки со стороны глобальной сети является "брутфорс", т.е. перебор логина/пароля по заданному алгоритму.
Данный тип атаки приводит к тому, что рано или поздно злоумышленник может получить доступ к вашей учетной записи роутера. Также это может привести к загруженности беспроводного канала и влиять на общее состояние связи!
В глобальной сети довольно много различных ботов и автоматизированных систем, которые проводят анализ открытых портов устройств на доступных IP-адресах. Зачастую на устройствах для удаленного доступа по SSH используется по умолчанию 22 порт, и большая часть "зловредов" анализирует именно данный порт.
Данный порт по умолчанию доступен в LAN-сети, но если вы используете статический внешний IP-адрес и планируете воспользоваться данным портом для доступа из сети Интернет, то вам необходимо открыть данный порт для WAN-интерфейса.
Для этого необходимо перейти в раздел "Сеть" -> "Межсетевой экран", далее в подпункт "Правила для трафика". В данном пункте необходимо добавить новое правило.
Пропишем следующее правило:
Итоговое правило будет выглядеть следующим образом:
Одним из методов защиты роутера для доступа по SSH является изменение порта по умолчанию к службе SSH.
Для этого необходимо в WEB-интерфейсе перейти в раздел "Система" -> "Администрирование" -> "Доступ по SSH" и в разделе Dropbear изменить порт по умолчанию с 22 на другой (рекомендуем использовать порты больше 1024). Не забывайте, что при обращении из глобальной сети данный порт необходимо будет открыть для доступа по WAN-интерфейсу из пункта выше!
Также мы рекомендуем сделать перенаправление порта: при обращении на внешний порт из глобальной сети (например, 5001), мы будем попадать на внутренний порт 22 (служба SSH для удаленного подключения). Тем самым порт 22 не будет открыт для доступа из глобальной сети, а будет открыт порт 5001, что поможет обеспечить защиту от сканирования вашего IP-адреса по стандартным портам.
Для этого необходимо перейти в раздел "Сеть" -> "Межсетевой экран", далее в подпункт "Перенаправление портов".
Создаем новое правило:
- Внешняя зона - WAN
- Внешний порт - порт, на который будет происходить обращение из глобальной сети (>1024).
- Внутренняя зона - LAN
- Внутренний IP-адрес - IP-адрес роутера (по умолчанию 192.168.88.1).
- Внутренний порт - по умолчанию порт 22 (SSH), но если вы ранее его изменили на другой, то тут необходимо указать измененный.
Итоговое правило:
Мы рекомендуем воспользоваться как минимум данными методами защиты и считаем их "базовыми" для защиты роутера.
Но это не единственные варианты защиты, если вы планируете более глубоко защитить ваш роутер, то необходимо изучить более детально эту и другую информацию в сети Интернет.
Для более продвинутой защиты оборудования необходимо обладать достаточными знаниями в профильных направлениях сетевого администрирования.
Если вы не обладаете подобными знаниями, рекомендуем обратиться к специалисту! В рамках технической поддержки данные услуги не оказываются.
