O routerach Tosibox napisano już wiele artykułów, opisano ich funkcjonalność, a same urządzenia osiągnęły już pewien poziom sprzedaży na rynku polskim. Niewątpliwie jest to ogromna zasługa polskiego dystrybutora, który mocno przyczynił się do tego, że nie jedna osoba doceniła funkcjonalność tego typu urządzenia. Uważam jednak, że większość użytkowników zna praktycznie jedno zastosowanie tego routera, jakim jest zdalne połączenie i serwis maszyn czy linii produkcyjnych.
W poniższym artykule chciałbym podzielić się swoimi doświadczeniami z użytkowania urządzeń tej firmy. Pragnę się jednak skupić nie tylko na zdalnym połączeniu, ale również na trochę innych aspektach wykorzystania z routera niż znane większości czytelników z reklam i innych materiałów promocyjnych. Jestem użytkownikiem routerów Tosibox już od dłuższego czasu i myślę, że moje
doświadczenie i opinia może się przydać aktualnym i przyszłym odbiorcom sprzętu tej firmy. Chciałbym również, by mój artykuł był bezstronny i pokazał także czego, w moim odczuciu, brakuje w tych urządzeniach.
Jestem integratorem automatyki przemysłowej i właścicielem firmy IDBSystems. Nasze projekty przekraczają zakres standardowej automatyki, która często rozumiana jest jako sterowniki PLC, panele operatorskie, budowa szaf sterowniczych. Bardzo duży nacisk kładziemy na rozwiązania IT w branży przemysłowej i zauważamy coraz większą zainteresowanie tematami bezpieczeństwa informatycznego wśród ludzi związanych z automatyką. Jeżeli ktoś jeszcze nie uświadomił sobie, że rozwiązania IT, a szczególnie sieci komputerowe i elementy zarządzania sieciami, już dawno przekroczyły granicę biur, to od dziś powinien się tym mocniej zainteresować. Jeszcze całkiem niedawno słyszałem w rozmowach odnośnie zabezpieczania sterowników PLC, paneli HMI czy systemów SCADA – „Po co te wszystkie zabezpieczenia? Przecież one tylko utrudniają życie” lub nawet „A kto zabezpiecza sterownik PLC? Co tam można z niego ukraść?”. Nic bardziej mylnego, a opisy szkód jakie spowodowały włamania do systemu sieciowego sterowania, czy zarządzania produkcją można bez problemu odszukać w Internecie. Dziś, jeżeli nie posiada się infrastruktury zabezpieczającej przed nieupoważnionym dostępem osób trzecich – konsekwencje mogą być bardzo bolesne. Osobiście znam przypadki kiedy firma bazowała na przekierowaniu portów na standardowym routerze otwartym na świat. Na ich szczęście skończyło się tylko na problemach technicznych, które spowodował zwolniony pracownik. Obecnie, większość elementów automatyki posiada już interfejs sieciowy. Istnieją więc możliwości by podłączyć się przez sieć do tych urządzeń i np. ruszać maszynami bez zgody i wiedzy obsługi, bez wyobraźni, że komuś może stać się krzywda. Nie warto więc oszczędzać przysłowiowych kilku złotych na bezpieczeństwie – a w naszym przypadku na bezpieczeństwie informatycznym dedykowanym do naszych maszyn. Nie jeden integrator zna ze swojego życia sytuację, gdy klient choć jest laikiem w tej dziedzinie, nie da sobie przetłumaczyć na jakie zagrożenia się wystawia. Co bardziej zainteresowany klient skieruje nas do działu informatycznego,
żeby z nim ustalić szczegóły. A co często (nie chcąc generalizować i nie umniejszając wiedzy i zaangażowania działu w zakresie obsługi informatycznej przedsiębiorstwa) mówi dział IT? – „To nie nasz problem” lub „Przecież to nie są komputery, które trzeba chronić”, itp. Czasami, w końcu, po wielu dyskusjach, uzyskuję możliwość podłączenia się do wewnętrznej sieci poprzez VPN (jeżeli takową posiadają) i podpisuję zobowiązania, że żadne tajemnice nie wypłyną ze strony mojej firmy.
Od czasu kiedy mam możliwość wykorzystania urządzeń Tosibox, problem praktycznie się dla mnie rozwiązał. Teraz spotykam się z managerami i informatykami prosząc o podłączenie Internetu na tej, czy tamtej maszynie / linii w konkretnym miejscu. odpowiadają najczęściej, że mają taką możliwość i nic ich to nie kosztuje. I w tym miejscu poznajemy pierwszą największą możliwość routerów Tosibox, które do działania potrzebują praktycznie tylko Internetu. Obojętnie, czy jest to sieć zakładowa, czy sieć telefonii komórkowej. Nie ma znaczenia czy mamy stałe wykupione IP, czy też przyznawane dynamicznie przez dostawcę usług internetowych. Router Tosibox jest transparentny i został zaprojektowany głównie w celu by automatyk nie musiał prosić administratora sieci o dostęp zdalny. Oczywiście pozostają nadal problemy natury kontroli nad dostępami do informacji, jednak nie są to już problemy techniczne. Jeżeli ktokolwiek z czytających ma pewne wyobrażenie o administracji siecią informatyczną, zapewne zna jedno z częściej stosowanych urządzeń pewnej firmy (nazwijmy ją firmą „C”), by nie robić niepotrzebnie reklamy. Możliwości tych urządzeń są ogromne, jednak uwierzcie mi, cena również. Często spotykamy się z myśleniem klienta, który doskonale rozumie, że przecież informatyzacja musi kosztować, więc urządzenia firmy „C” również. Jednakże system przemysłowy nie zawiera w nazwie „IT” więc według niego nie musi on ponosić tak wysokich kosztów. Urządzenia Tosibox wychodzą naprzeciw takim problemom, ich rozwiązania są bardzo podobne jak rozwiązanie firmy ”C” za znikomą kwotę w porównaniu do nich. Oczywiście zakres zabezpieczeń jest również mniejszy i zgodzę się, że nie zabezpieczymy infrastruktury sieciowej olbrzymiej korporacji na taką skalę jak wspomniana firma „C”, ale małe czy średnie przedsiębiorstwo już tak. Mamy więc możliwość, by wykorzystać urządzenia firmy Tosibox do zabezpieczeń maszyny, linii produkcyjnej, hali fabryki czy nawet całego przedsiębiorstwa – wliczając w to odziały w różnych częściach świata. Taką instalację zrobiłem osobiście i mogę z czystym sumieniem powiedzieć, że jest to możliwe. Zostały połączone ze sobą nie tylko sieci sterujące (jak np. Profinet), ale również sieci przemysłowe do zarządzania produkcją – czyli łączące ze sobą serwery produkcyjne: aplikacyjne czy bazodanowe. Archiwizacja danych jest wtedy możliwa na poziomie globalnym, a nie tylko lokalnym maszyny. Oczywiście wykraczamy tu poza standardowe routery Tosibox 100 czy 200 i wchodzimy w świat routera Tosibox 500, czy też serwera Virtual Central Lock.
Drogi czytelniku niech nie nie zraża Cię abstrakcja tak ogromnych systemów. Na celu mam uświadomienie, że system Tosibox jest skalowalny i że można wykorzystać go do czegoś więcej niż tylko zdalne połączenie. Zacznij więc od małych kroków, by zrozumieć opisane możliwości. Wielu dostawców sprzętu przemysłowego – czy to w kontaktach z klientem, czy to na konferencjach – głosi górnolotne hasła „Industry 4.0”. Jednak kiedy pytam kursantów na szkoleniach z programowania sterowników PLC – co to właściwie oznacza – mało kto potrafi odpowiedzieć. Tosibox, chociażby dzięki możliwościom sieciowym realizuje taki kierunek – nowoczesnego przemysłu: czyli skalowalność, bezpieczeństwo, mobilność w zarządzaniu systemami sterowania. Nie wyobrażam sobie dziś serwisowania sterowania maszyn czy linii produkcyjnych jako stanie przed szafą elektryczną z komputerem podłączonym po protokole RS, często w zgarbionej pozycji czy też w niekorzystnych warunkach przemysłowych jak choćby hałas. Wolę usiąść w biurze i na spokojnie zdiagnozować problem w czasie, kiedy nikt nie patrzy mi na ręce.
Pewnie nie jednemu z czytelników narzuca się pytanie, czy Tosibox to jedyna droga do uzyskania podobnej funkcjonalności? Odpowiem, że nie jest to jedyne rozwiązanie – choć artykuł ma dotyczyć firmy Tosibox. Miałem być obiektywny, więc muszę przyznać, że przetestowałem kilka podobnych urządzeń dostępnych na rynku europejskim – kuszących funkcjonalnością zdalnego połączenia. Każde z nich spełniało swoje zadanie i umożliwiało realizacje założonego celu. Okazało się jednak, że poza wspólnym celem, jakim jest zdalne połączenie z maszyną, urządzenia tego typu bardzo mocno się od siebie różnią. Uważam, że konkurencja jest jak najbardziej potrzebna i dobrze, że każdy może wybrać coś dla siebie, jakieś inne rozwiązanie, które mu bardziej pasuje. Wszystko zależy od tego, co chcielibyśmy uzyskać dodatkowo. Są producenci, którzy w ramach sprzedaży routera proponują dodatkową funkcjonalność np. tzw. analizę danych produkcyjnych w chmurze.
Zanim jednak dokona się wyboru, trzeba się zastanowić jaką technologię bezpieczeństwa taki router posiada w swojej funkcjonalności. Porównując ceny takich urządzeń, można dojść do wniosku, że ceny są zbliżone. Czym się więc różnią? Osoba, która mało zna się na zagadnieniu zabezpieczeń powie, że Tosibox wypada drogo, ponieważ jeszcze trzeba zakupić jakiś mało zrozumiały klucz usb. Inne routery nie posiadają żadnych dodatkowych elementów sprzętowych. Można więc przypuszczać, że Tosibox jest droższy, przez to, że trzeba kupić dodatkowe urządzenie, którego cena może okazać się znacząca w stosunku do wartości routera. Jednak należy zdać sobie sprawę, że właśnie ten wspomniany klucz jest jednym z największych atutów tego rozwiązania. To właśnie on autoryzuje utworzenie tunelu komunikacyjnego poprzez szyfrowane połączenie VPN – znane ludziom zajmującym się sieciami korporacyjnymi. Ten klucz to nie wada tego rozwiązania – to właśnie element dający najwyższy poziom realizacji profesjonalnego zabezpieczenia sieci i zdalnego dostępu. Użytkownik nie musi kupować klucza do każdego urządzenia jakby się mogło wydawać. Wystarczy jeden do wszystkich zainstalowanych przez użytkownika routerów Tosibox. A więc koszt ten ponosi jednorazowo. Prawdą jest, że każda inna osoba mająca dostęp do połączenia również musi posiadać taki klucz, albo musi być on jej udostępniony. Może być to również klucz softwarowy, który nie zmusza użytkownika do noszenia urządzenia usb, a który niestety można zgubić. Jednak dzięki takiemu rozwiązaniu użytkownik ma pewność, że jego dane i autoryzacje nie są przechowywane u producenta – co jest jednym z ważniejszych atutów Tosibox. Z jednej strony daje to gwarancję bezpieczeństwa przed potencjalnym włamaniem na serwer producenta urządzenia, a z drugiej strony producent nie pomoże w przypadku zaginięcia klucza. O tym trzeba pamiętać i zabezpieczyć się przed taką ewentualnością.
Jak rozwiązana jest autoryzacja u innych producentów? Niestety dla bezpieczeństwa sieciowego o wiele prościej – gorzej niż ma to miejsce w routerach Tosibox. Wszystkie dane autoryzacyjne przechowuje producent na swoich serwerach, a samo połączenie jest realizowane po zalogowaniu się na swoim koncie i często (w przeciwieństwie do Tosibox) poprzez serwer producenta. Nie byłby to taki zły pomysł, gdyby nie potrzeba współdzielenia routera z innymi użytkownikami. Oczywiście producenci nie blokują możliwości zakładania nowych kont dla routerów lub współdzielenia autoryzacji. Niestety, użytkownik często za późno dowiaduje się, że musi zapłacić za kolejne konta. Nierzadko użytkownicy stosują więc kruczki w postaci zakładania pojedynczych kont do każdego routera osobno, by nie ponosić dodatkowych kosztów (jedno konto jest darmowe). Jednak szybko okazuje się, że w przypadku większej ilości routerów jest to trudne do ogarnięcia i zarządzania. Można więc dojść do wniosku, że cena globalna opisanych rozwiązań jest porównywalna lub wręcz niższa – na korzyść routerów Tosibox. Mam tylko nadzieję, że wzrastająca popularność tego rozwiązania nie przyczyni się szybko do zwiększenia ceny, zgodnie z prawem popytu i podaży.
Jaki router Tosibox wybrać do swojego projektu? Praktycznie przy jednostkowych dostępach do maszyn czy linii produkcyjnej mamy wybór ograniczony do wersji 100 lub 200. Byłoby czymś niesprawiedliwym, gdyby sprzedawca proponował do standardowych zastosowań wersję 500. Jest to zupełnie inny poziom połączenia. Tak naprawdę chodzi o ilość maksymalnie obsługiwanych połączeń szyfrowanych – w tym samym czasie oraz prędkość transmisji. Spróbujcie odszukać takie parametry u innych producentów. Może okazać się, że nie ma ograniczeń ilościowych. Jak to możliwe skoro router powinien szyfrować połączenia? Czy to oznacza, że router taki ma super procesor, że w locie obsłuży komunikację szyfrowaną o nieograniczonej ilości? Niestety nie, a wnioski powinny nasunąć się same. Tak więc jeżeli ktoś ma potrzebę połączenia się z jednostkową maszyną i nie są to duże ilości danych, a liczba połączeń równoległych nie przekroczy kilku – to wersja 100 spokojnie zaspokoi jego oczekiwania. Jest to najczęściej wykorzystywany model w naszych aplikacjach, który spisuje się rewelacyjnie. Dopiero kiedy ktoś myśli o połączeniach permanentnych, zbieraniu informacji z różnych lokalizacji, czy też łączenia różnych lokalizacji we wspólnej pracy – powinien pomyśleć o wersji 200 lub 500. Wersja 100 jest przeze mnie preferowana jeszcze z innego względu. Mianowicie możliwości połączenia się z routerem poprzez sieć WiFi. Router wersji 200 nie ma takiej możliwości – co uważam za jedną z wad tej wersji. Wyobraźcie sobie, że na dużej hali produkuje się maszyny w ilościach hurtowych lub budowana maszyna nie ma stałego miejsca. By podłączyć klasycznie taką maszynę do Internetu w celu np. zdalnych poprawek lub testów, należałoby doprowadzić kable ethernetowe. Każdy się ze mną zgodzi, że choć nie jest to sprawa trudna, często organizacyjnie kłopotliwa. Z routerem Tosibox100, który posiada wbudowaną sieć WiFi, istnieje możliwość skonfigurowania tego routera jako klienta sieci bezprzewodowej. Co to dla nas oznacza? Wystarczy zainstalować na hali AccesPoint naszej sieci internetowej (np. biurowej) za pomocą obojętnie jakiego urządzenia i dostarczyć do niego sygnał umożliwiający połączenie z Internetem. Naszego Tosibox’a w wersji 100 autoryzujemy we własnej sieci WiFi i konfigurujemy jako klient tej sieci, a nie jako autonomiczny AccesPoint. Dzięki takiemu zabiegowi uzyskujemy połączenie naszej maszyny do Internetu po stronie tzw. WAN czyli przed routingiem do sieci wewnętrznej na maszynie – do której podłączony jest np. nasz sterownik PLC (strona tzw. LAN). Tosibox nie umożliwia routingu w inny sposób niż tunelowanie VPN (szyfrowanie), co czyni go odpornym na standardowe próby włamania. Nie jest więc „otwarty” na świat jak standardowe routery wykorzystujące przekierowanie portów. Jednak czy to wada czy zaleta – każdy powinien ocenić sam. Dla mnie jest to zaleta choć często przydałaby mi się funkcjonalność standardowego routera.
Ktoś może zapytać: „A co w przypadku kiedy nie mamy wewnętrznego dostępu do Internetu i musielibyśmy skorzystać z sieci GSM lub LTE?” Nie ma najmniejszego problemu, ponieważ w wersji 100 można dołożyć modem na USB. Działa bezproblemowo z wieloma modemami dostępnymi na rynku. Z kwestią dostępu do różnych źródeł Internetu związana jest jeszcze jedna zaleta routerów Tosibox a mianowicie możliwość ustawienia priorytetu wyboru źródła sygnału internetowego. Można tu wybrać wszystkie trzy opcje: kabel fizyczny sieciowy, WiFi (klient) i GSM/LTE – czyli modem podpięty pod gniazdo USB. Kolejny atut Tosibox’a, który deklasuje konkurencję, to możliwość pracy poprzez tunel VPN nie tylko w warstwie 3 modelu ISO/OSI czyli po adresach IP, ale również w warstwie 2 czyli po adresach MAC. Router może nawiązać równoległe połączenia w różnych warstwach komunikacji – co doceni osoba, która chciałaby łączyć się z routerami nie tylko w celach serwisowych (do sterowników PLC), ale również permanentnie odczytywać dane z maszyn skonfigurowanych z tymi samymi adresami IP, czy nazwami komputerów. W konfiguracji istnieje nawet specjalna opcja do współpracy ze sterownikami Siemens, wykorzystująca przejście protokołu Profinet.
Z powyższą funkcjonalnością związany jest jeszcze jeden atut routera Tosibox, a mianowicie tzw. NAT’owanie adresów IP wykorzystywanych w warstwie 3 modelu ISO/OSI. Istnieje możliwość przekierowania komunikacji pomiędzy urządzeniami skonfigurowanymi w różnych podsieciach IP do konkretnych urządzeń po stronie LAN. Przykładem są tu kamery IP, o tym samym adresie, do których chciałby ktoś skonfigurować zdalny dostęp poprzez router. Przedstawia to poniższa ilustracja:
Niestety routery Tosibox posiadają w moim przekonaniu również wady. Jednak nie są one na tyle uciążliwe, żeby dyskwalifikować te urządzenia w naszych projektach. Niewątpliwą wadą jest brak standardowej możliwości wykonania backupu konfiguracji routera. Oznacza to, że niestety każdy przeze mnie konfigurowany router (nawet jeżeli ma zostać zainstalowany w takiej samej maszynie budowanej hurtowo) musi zostać skonfigurowany ręcznie od początku do końca, co może przyczynić się do pomyłki w konfiguracji. Podobno jest dodatkowo płatny mechanizm do wykonania kopii zapasowej, jednak taka polityka Tosibox’a jest dla mnie niezrozumiała i rodzi niechęć do zakupu takiej funkcjonalności. Nie miałem jednak jeszcze możliwości tego osobiście przetestować.
Kolejną niezrozumiałą dla mnie sprawą jest brak możliwości konfigurowania szczegółowych parametrów routera podczas przełączenia go w tryb automatycznego tunelowania do innego, nadrzędnego routera tzw SubLock. Oczywiście taka możliwość jest niewątpliwie atutem, którego brakuje innym producentom podobnych urządzeń, natomiast sam brak możliwości dostania się do takiego routera połączonego jako SLAVE – mnie osobiście dziwi. Jednak to właśnie ta funkcjonalność pozwala na bezpieczne połączenie urządzeń w tej samej sieci IP – w różnych lokalizacjach, niezależnie od stałego czy dynamicznego adresu IP przyznanego przez dostawcę Internetu.
Ostatnią wadą, która nasuwa mi się podczas pisania tego artykułu, to polityka firmy Tosibox względem kluczy autoryzacyjnych. Klucz sprzętowy wraz z licencją na połączenie kosztuje praktycznie tyle samo, co klucz softwarowy, który sprzętu nie wymaga. Niby wygoda, ale uważam, że klucz programowy powinien być tańszy!
Pragnę podzielić się również naszymi rozwiązaniami, które jako firma zaimplementowaliśmy używając routera Tosibox.
Jednym z przykładów wykorzystania routera w naszych aplikacjach jest zainstalowanie go w każdej, takiej samej – hurtowo produkowanej maszynie. Sprzedajemy maszyny, które nazywamy „robotem aptecznym”. Jest to maszyna dedykowana do aptek, która wspiera proces magazynowania i sprzedaży leków w aptekach. Jest to magazyn opakowań porównywalny z magazynem wysokiego składowania – jednak w mniejszej skali. Farmaceuta nie musi chodzić po każde opakowanie leku, które sprzedaje – wystarczy, że wybierze je na komputerze, a opakowania same podjadą mu pod rękę.
Maszyna zawiera w swojej sieci lokalnej sterownik PLC, moduły I/O połączone po sieci Profinet, dwa komputery, cztery kamery IP i rejestrator video. Maszyna jest produkowana powtarzalnie przez co zdecydowaliśmy się, by wszystkie komponenty sieciowe w każdej maszynie posiadały te same adresy IP i te same nazwy komputerów czy nazwy profinetowe. Do każdej maszyny ma dostęp kilka osób, których połączenie może być równolegle obsługiwane przez router Tosibox. Mamy więc swobodny i bezpieczny dostęp do programu PLC, zdalnych pulpitów, zasobów komputerów, połączeń z instancjami baz danych SQL, dostęp do serwera www służącego jako serwer raportów, przeglądania archiwum video i dostęp do kamer IP.
Mam nadzieję, że przytoczone przeze mnie informacje i opisy rozwiązań spowodują większe zainteresowanie się bezpieczeństwem informatycznym w przemyśle – a może również większe zainteresowanie produktem Tosibox.
Jako integrator automatyki przemysłowej i systemów bazodanowych zachęcam do współpracy i wymiany doświadczeń. Chętnie sam poczytam o Waszych doświadczeniach z wykorzystania urządzeń Tosibox.
Pozdrawiam i do usłyszenia.
Michał Wysocki
IDBSystems
Jeżeli chcesz otrzymać ofertę na TOSIBOX kliknij w poniższy baner, lub zajrzyj na Allektro.pl
Artykuł został nagrodzony w konkursie „Wygraj TOSIBOX„
