HTTP-Tunneling
Firewall-sichere, nahtlose serielle Verbindungen über das Internet
Das Herstellen einer Verbindung zu auf serieller Kommunikation basierenden Remote-Geräten, wie z. B. dem seriellen Konsolenport eines Geräts oder einer industriellen PLC, geht in einem geschlossenen, dedizierten Netzwerk ganz einfach. Durch die Verwendung eines Seriell-zu-Ethernet Device Servers wie dem Perle IOLAN werden über den Port gesendete serielle Daten in Ethernet-Pakete verpackt und an eine Remote-IP-Anwendung oder einen Peer-IOLAN transportiert, wo die Daten für die Verbindung zu dem seriellen Remote-Peer-Gerät wieder in serielle Daten umgewandelt werden. Die IP-Adresse aller beteiligten Elemente ist bekannt, und die Client-Server-Beziehung ist eindeutig.
Wenn dies über das Internet erfolgen soll, ist es jedoch etwas schwieriger. In Unternehmensumgebungen sind Verbindungen zum Internet durch Firewalls, Router und Proxy-Server geschützt. Die IP-Adressen der einzelnen Geräte werden von Entitäten im Internet als dynamische übersetzte Netzwerkadressen (NAT) betrachtet und sind nicht direkt adressierbar.
Firewalls nehmen es auch mit den IP-Sitzungstypen, die auf das Internet und die Computer im Unternehmen zugreifen dürfen, äußerst genau. Das Hypertext Transfer Protocol (HTTP), das von Internetbrowsern verwendet wird, die TCP-Port 80 nutzen, ist firewall-sicher und wird allgemein durchgelassen. Andere Protokolle, wie z. B. SSH (Port 22) oder Telnet (Port 23), werden normalerweise abgelehnt. Um sie zuzulassen, muss die Firewall-Konfiguration geändert werden, was die bestehenden Sicherheitsrichtlinien des Unternehmens kompromittiert.
Durch die Nutzung der HTTP-Tunneling-Technologie sind die IOLANs von Perle die ersten und einzigen seriellen Device Server, die sichere Verbindungen zwischen seriellen Remote-Peer-Geräten über das Internet herstellen und serielle Daten transportieren können, ohne dass eine Änderung der Firewall-Einstellungen erforderlich ist.
Dies funktioniert so. Ein entfernter HTTP-Tunneling-IOLAN-Client, der sich hinter einer Firewall befindet, stellt eine HTTP-Sitzung zu einem als Gegenpol fungierenden IOLAN-Server im Internet her, der sich in einer DMZ (demilitarisierten Zone) des Unternehmens oder an einem Standort des Dienstanbieters befindet. Mit Hilfe der HTTP-Standardbefehle GET und SET können diese Peers jetzt untereinander Pakete übertragen. Serielle Daten eines angeschlossenen Geräts können vom IOLAN umgewandelt und über das Internet an den HTTP-Tunnel-Peer gesendet werden. Der IOLAN-Peer wandelt die Pakete dann wieder in serielle Daten um. Das Ergebnis ist eine firewall-sichere, nahtlose serielle Verbindung über das Internet.
Merkmale des HTTP-Tunneling
- Tunneln serieller Daten über das Internet mit firewall-freundlichem HTTP-Tunneling
- Senden von unbearbeiteten oder verschlüsselten Daten über HTTP-Port 80
- Senden von verschlüsselten Daten über HTTPS-Port 443
- Unterstützung von TCP- und UDP-Sitzungen
- Verwendung mit HTTP-Proxys möglich
- Gleichzeitige Verwendung mehrerer HTTP-Tunnel
- HTTP-Tunneling-Clients und -Server können auf demselben IOLAN ausgeführt werden
- Datentransport für IP-basierte Geräte durch HTTP-Tunnel
- Es kann festgelegt werden, welche seriellen und IP-basierten Geräte den Tunnel für Verbindungen verwenden können
- Es können die folgenden IOLAN-Services verwendet werden:
- Konsolen-Management (Reverse Telnet únd Reverse SSH)
- TCP-Sockets
- UDP-Sockets
- Terminal Server (Telnet, SSH, Rlogin)
- TruePort COM/TTY-Port-Redirector-Verkehr (TCP)
- Drucker-Verkehr
- Serielles Tunneling (serieller Port zu seriellem Port)
- Virtuelles Modem
- Modbus Gateway (TCP)
IOLAN-HTTP-Tunnel-Relais
Es kann Anwendungen geben, bei denen sich alle Endpunkt-Geräte hinter Firewalls befinden. Da Firewalls alle eingehenden Verbindungen aus dem Internet ablehnen, ist eine Tunnel-Relais-Komponente erforderlich. Ein IOLAN, der sich in der DMZ eines Unternehmens oder in einem Dienstanbieter-Netzwerk befindet und im Internet direkt adressierbar ist, kann als HTTP-Tunnel-Relais-Gerät konfiguriert werden. Dieser IOLAN nimmt dann die Remote-Tunnel-Verbindungen von den verschiedenen Endpunkten an, stellt die entsprechenden Assoziationen her und überträgt nahtlos den IP-Verkehr zwischen ihnen. Wiederum sind keine Änderungen der Firewall erforderlich.
Konsolen-Management
IT-Administratoren, die Terminal-Console Server in mehreren entfernten Niederlassungen installieren möchten, um Verbindungen zu den seriellen Konsolenports der Geräte herzustellen, können hierzu entweder das Unternehmensnetzwerk oder das Internet verwenden. Netzwerke an entfernten Standorten, die an das Internet angeschlossen sind, sind normalerweise durch Firewalls geschützt. Bei Verwendung traditioneller Konsolenserver ist diese Art von Zugang nur möglich, indem die Firewall so konfiguriert wird, dass eingehende Telnet- oder SSH-Sitzungsanforderungen (Port 23 bzw. 22) aus dem Internet zugelassen werden. Diese Vorgehensweise kompromittiert die bestehenden Sicherheitsrichtlinien und macht das Netzwerk für Angriffe anfällig. Außerdem haben die Ziel-Konsolenserver wahrscheinlich eine dynamische NAT-IP-Adresse, was die Adressierung durch einen Benutzer im Internet erschwert.
Anders als traditionelle Konsolenserver verfügt der fortgeschrittenere Perle IOLAN über eine HTTP-Tunneling-Funktion, die direkte Telnet- oder SSH-Verbindungen zum IOLAN Console Server ermöglicht, selbst wenn er sich hinter einer Firewall befindet.
Der Remote-IOLAN erstellt nach dem Einschalten einen HTTP-Tunnel auf Port 80 zu einem über das Internet adressierbaren IOLAN in der Zentrale. Die entfernte Firewall lässt diese Verbindung zu, da der IOLAN die etablierten Sicherheitsrichtlinien einhält, indem er firewall-freundliche HTTP- oder HTTPS-Verbindungen verwendet.
Administratoren in der Zentrale können jetzt auf die seriellen Konsolenports in den Niederlassungen zugreifen, indem sie einfach eine Telnet-Sitzung bei dem lokalen IOLAN in der DMZ aufbauen. Der Remote-IOLAN ermöglicht auch eine Gateway-Verbindung zu anderen IP-basierten Geräten, wo andere administrative Tools, wie z. B. Telnet, SSH, RDP und VNC, verwendet werden können.
Falls Administratoren auch hinter einer Firewall Verbindungen herstellen, muss ein Tunnel-Relais-IOLAN im Internet oder in der DMZ des Unternehmens installiert werden, um IP-Verkehr zwischen der Administrator-Workstation und Remote-Geräten zu übertragen.
Connexion d’applications série vers des ports série distants
Un autre scénario commun : La connexion d’équipements série distants sur Internet avec une application logicielle située dans une location centrale. L’application logicielle doit rester en place en utilisant Internet comme réseau de transport. En utilisant un serveur Perle IOLAN et Trueport, le redirecteur de Ports COM de Perle, cela devient possible.
Anschluss einer seriell-basierten Anwendung an serielle Remote-Ports
Ein weiteres gängiges Szenario ist der Anschluss seriell-basierter Remote-Geräte über das Internet an eine wertvolle ältere Softwareanwendung an einem zentralen Standort. Die Softwareanwendung muss beibehalten werden, und das Internet soll als Transportmedium verwendet werden. Dies kann durch Verwendung von IOLANs von Perle und Trueport, dem COM-Port-Redirector von Perle, realisiert werden.