"> Soluții de securitate și sisteme IoT pentru furnizorii de utilități - Datanet Systems

mai 2018

Datanet Systems a prezentat recent, in cadrul unui workshop dedicat expunerii de noi tehnologii pentru furnizorii de utilitati, solutiile sale de telecitire de contoare si de comunicatii radio industriale LoRaWAN, precum si o serie de noutati in arhitectura de securitate IT Cisco aplicabila in acest sector economic.

In ultimii ani, numarul aplicatiilor LoRaWAN in domeniul Utilitatilor a crescut rapid. Evolutia este justificata de avantajele specifice acestei tehnologii, pe care Gabriel Musat, Directorul Executiv adjunct Datanet Systems, le-a prezentat succint in deschiderea workshop-ului sustinut in cadrul „Bucharest Technology Week 2018„. Potrivit specialistului Datanet, principalele caracteristici ale retelelor radio LoRaWAN sunt:

  • Acoperire radio de 10-15 km in zonele rurale si de 3-5 km in zonele urbane;
  • Debit de date scazut, pachete de 1-2 maxim 5 Kbps pe un canal (pot fi intre 3 si 8 canale per gateway, canalele fiind partajate de toate dispozitivele dintr-o anumita arie);
  • Utilizarea unor dispozitive terminale simple, cu cost scazut de achizitie si mentenanta si consum de baterie redus, care asigura autonomii extinse de pana la 10 ani;
  • Functionare in banda de frecvente de 868 MHz, care nu necesita licentiere;
  • Utilizarea unui protocol robust la interferenta;
  • Permit realizarea de topologii stea, cu densitati medii si mari de dispozitive.

Toate aceste caracteristici recomanda tehnologia LoRAWAN pentru utilizari in domeniul masurarii la distanta, colectarii si raportarii evenimentelor din teren, furnizarii de date despre starea de mentenanta; precum si – in anumite cazuri – aplicatii de geolocatie.

Grupul Soitron a valorificat parametrii tehnici ai tehnologiei LoRAWAN in doua solutii proprietare dezvoltate pe tehnologie Cisco: o aplicatie de citire la distanta a contoarelor pentru companiile de apa si un sistem de comunicatii Modbus TCP.

 

Solutii pentru companiile de apa

Domeniul serviciilor de alimentare cu apa se preteaza foarte bine dezvoltarii aplicatiilor tehnologiei LoRaWAN deoarece prezinta o serie de conditii deosebite: este un mediu dur, cu diferente mari de temperatura si umiditate crescuta, cu risc frecvent de inundatii si in care este dificil sau prea costisitor sa se asigure alimentarea cu energie electrica si/sau sa fie trase cabluri“, a explicat directorul executiv adjunct al Datanet Systems.

Solutia Soitron este o aplicatie de telecitire a consumurilor de apa cu urmatoarele caracteristici:

  • Usor de montat;
  • Permite dezvoltari ulterioare rapide (numarul contoarelor poate fi modificat simplu);
  • Este flexibila – nu este limitata doar la tehnologia LoRaWAN (functioneaza simultan si cu alte protocoale Low Power Wide Area Network);
  • Nu necesita intretinere la nivelul terminalelor (este astfel conceputa astfel incat, odata echipamentele instalate, functioneaza 5 ani fara nici o interventie);
  • Terminalele nu necesita alimentarea cu curent electric din exterior si nici un fel de cabluri.

Un alt avantaj major al solutiei prezentate este faptul ca se afla deja in productie la companii in domeniul distributiei apei. Solutia este utilizata pentru: citirea la distanta a consumurilor, detectia scurgerilor, depistarea pierderilor si identificarea tentativelor de frauda. Dispozitivele de citire culeg si transmit date din toata reteaua prin care se distribuie apa, livrand informatii corecte, in mod continuu, la un pret scazut. Pe baza acestor informatii, furnizorii de apa isi pot optimiza deciziile cu privire la operatiunile de mentenanta, pot vizualiza zonele care necesita interventia rapida si, in functie de valorile pierderilor, pot prioritiza interventiile in teren. Se obtine astfel o imbunatatire a suportului decizional, precum si o crestere a eficientei la nivel operational, cu economiile aferente.

Sistemul permite clientilor finali sa controleze si sa monitorizeze caracteristicile de consum (aplicatia ofera si un portal in care clientii isi pot vedea consumul curent, istoricul de consum, consumul mediu etc.), emite avertizari atunci sunt depasite valorile medii (utile mai ales in cazul aparitiei unor incidente) si poate realiza predictii de consum pe baza datelor istorice. Toate aceste facilitati oferite consumatorilor, precum si castigurile obtinute de furnizorii de apa prin utilizarea solutiei Soitron, au fost exemplificate printr-o demonstratie live realizata de catre Teodor Skeren, Senior Business Development Manager in cadrul grupului Soitron.

 

Aplicatii Modbus TCP

Cea de a doua aplicatie LoRaWAN, prezentata de catre Gabriel Musat, este o solutie de transport de trafic Modbus TCP, la distanta, dedicata zonelor unde este prea dificila si/sau prea costisitoare asigurarea unei legaturi IP prin alte tehnologii. Solutia Soitron este deja utilizata in zonele care nu beneficiaza de acoperire din partea operatorilor mobili si in care nu este disponibila alta cale de comunicare decat conexiunea prin satelit, cu costurile aferente.

In astfel de situatii, tehnologia LoRaWAN este o solutie eficienta atat din punct de vedere al performantei, cat si economic, utilizand dispozitive cu cost relativ scazut. Exista cateva dificultati aparente reprezentate de faptul ca, pe de o parte, pachetele transmise prin retelele LoRaWAN sunt mai scurte decat pachetele Modbus, iar pe de alta de faptul ca tehnologia LoRaWAN asigura debite mici de date cu intarzieri mari – sunt situatii in care aplicatiile clientilor nu pot sa astepte mult timp pentru a primi un raspuns de la un anumit dispozitiv. Pentru a rezolva aceste probleme, am prevazut in codul software din dispozitivele terminale si din serverul central de comunicatie module de fragmentare/reasamblare si de compresie a datelor. In felul acesta am obtinut o comunicatie Modbus TCP prin LoraWAN cu timp de raspuns sub 20 de secunde“, a explicat Directorul Executiv adjunct al Datanet Systems, care a detaliat ulterior modul in care poate fi utilizata aplicatia LoRaWAN dezvoltata intr-un mediu SCADA.

In continuare Gabriel Musat a prezentat infrastructura LoRaWAN Cisco Actilitypentru retele private, pe care Datanet o integreaza in cadrul solutiei de comunicatie LPWA pentru furnizorii de utilitati. In prezentare s-au evidentiat caracteristicile tehnice deosebite ale acesteia si noutatea tehnologica incorporata in aceste produse. Infrastructura LoRaWAN Cisco pentru retele private se caracterizeaza prin simplitate in proiectare si utilizare, scalabilitate foarte buna – intr-o astfel de retea putand sa functioneze pana la 20.000 de dispozitive – precum si deschiderea acesteia catre multiple aplicatii actuale si viitoare din sfera IoT.

 

Noutati in domeniul securitatii

In cea de a doua parte a workshop-ului, Octavian Szolga, Consultant de securitate in cadrul echipei Datanet Systems, a prezentat principalele noutati aduse de Cisco solutiilor de securitate, explicand cum pot fi valorificate de catre companii, precum si cele mai uzuale utilizari in sectorul Utilitatilor. Un prim element abordat au fost functionalitatile introduse pe echipamentele ASA cu Firepower Services de noua generatie. „La ora actuala exista un cod unificat, Firepower Threat Defense (FTD). Pentru a facilita migrarea serviciilor ASA la FTD, Cisco a introdus un instrument dedicat, in FTD configurarea realizandu-se prin Firepower Management Center“ (poate fi atat virtuala cat si fizica/appliance), a explicat Octavian Szolga.

Identity Services Engine (ISE), element central al arhitecturii de securitate Cisco, beneficiaza si el de noi versiuni (2.3 si 2.4), actualizariile incluzand:

  • Un instrument de migrare de la vechea solutie ACS la ISE a regulilor, echipamentelor de retea, datelor utilizatorilor etc.;
  • Suport IPv6 pentru Radius;
  • O unealta de verificare a oportunitatii unui upgrade (exista cazuri in care upgrade-ul nu poate fi realizat – certificate care tocmai au expirat, baza de date corupta etc.);
  • Imbunatatiri pe zona Posture, definirea unui interval de timp in care un utilizator conectat la infrastructura isi poate remedia problemele;
  • Posibilitatea integrarii cu platforma de management Cisco Industrial Network Director, utila furnizorilor de utilitati prin faptul ca livreaza platformei ISE atribute cu privire la echipamentele conectate la retea, folosind servicii de tip Profiling.

Pe zona de Web Security Appliance (WSA), specialistul Datanet a prezentat versiunile OS 10.x si 11.x care aduc: • posibilitatea configurarii suportului TLS v1.1 si v1.2 pentru dferite module (management, LDAPS, etc); • Suport pentru AMP Private Cloud (integrare on-premise); • Inspectia fisierelor din arhive; • Posibilitatea masinilor virtuale de a rula si in medii HyperV; • Functionalitati de tip Web Traffic Trap, utile atunci cand exista solutii complementare de inspectie a traficului web.

Noile versiuni ale Email Security Appliance (ESA 10.x si 11.x) ofera: • Functionalitati de Forged Messages Detection (verifica si certifica identitatea expeditorului unui email); • Imbunatatiri pe zona de feedback din partea clientilor (atunci cand se doreste modificarea reputatiei unui server sau a unui domeniu); • Un modul imbunatatit de Data Loss Prevention (DLP); • Utilizarea de atribute de geolocalizare in politicile de filtrare/procesare a mail-urilor; • Scanarea URL pentru link-urile incluse in atasamente. Si Cisco AnnyConnect Secure Mobility Client si-a imbogatit oferta, beneficiind acum de: • Suport extins pe zona de Linux; (Un modul de Network Visibility (ofera informatii despre cine este logat, ce procese ruleaza)• Functionalitate de Captive Portal Detection (utila atunci cand accesul la Internet se face prin hotspot-uri wireless publice).

Noua versiune a aplicatiei poate opri procese si instala aplicatii, iar atunci cand pe end-point-uri sunt instalate aplicatii care nu sunt autorizate, lucrul acesta poate fi remediat automat de AnnyConnect fara a mai fi necesare alte solutii“, a precizat specialistul Datanet.

Si pentru Umbrella, aplicatie relativ noua in portofoliul Cisco, se anunta o serie de functionalitati noi importante, cum ar fi cele de de blocare/permitere a accesului aplicatiilor via DNS sau posibilitatea definirii de politici de decriptare selectiva.

In ceea ce priveste Advanced Malware Protection (AMP) for Endpoints, Octavian Szolga a nominalizat printre principalele noi functionalitati: • Exploit Prevention (identifica aplicatiile posibil vulnerabile, remapeaza librariile si intrarile DLL si le muta intr-o locatie aleatoare la fiecare lansare a respectivelor aplicatii, impiedicand astfel codurile malitioase sa le acceseze); • System Process Protection (analizeaza si valideaza relatiile dintre procese); • Malicious Activity Protection (verifica pentru orice aplicatie nou lansata scrierile, citirile si accesarile pe care aplicatia le face intr-un interval de timp); • AMP Unity (integreaza consola AMP la nivel de endpoint cu solutiile AMP prezente pe WSA, ESA si Firepower).

 

Scenarii de utilizare

In final, specialistul Datanet a prezentat cateva scenarii uzuale de utilizari integrate ale solutiilor Cisco:

  • ISE + ASA cu FirePower Services – scenariu in care o companie creeaza reguli de control acces pe baza identitatii utilizatorilor, nu folosind adresele IP, ceea ce ofera mobilitate crescuta utilizatorilor finali si o incarcare administrativa mai mica;
  • ISE + WSA – „combinatie“ folosita pentru a oferi acces utilizatorilor de tip „guest“, prin integrarea cu ISE obtinandu-se informatii detaliate despre cine si ce tip de trafic a facut, ce resurse a accesat etc.;
  • ISE + Posture – „Integrarea este utila, de exemplu, atunci cand utilizatorii mobili incearca sa acceseze VPN-ul companiei cu un device care a fost deconectat un interval lung de timp, ceeea ce poate insemna lipsa unor update-uri de securitate, a unor aplicatii necesare etc. Cererea de acces ajunge la ISE, care ii verifica identitatea si il introduce intr-o stare temporara cu status nedeterminat. Agentul de Posture verifica daca sunt respectate conditiile si trimite un raport catre ISE, care, ulterior, schimba autorizarea in functie de rezultatul obtinut“, a explicat consultantul de securitate Datanet.

Workshop-ul dedicat aplicatiilor LoRaWAN si arhitecturilor de securitate integrate face parte dintr-o serie extinsa de evenimente organizate de catre Datanet Systems,adresate atat profesionistilor in domeniul cybersecurity, cat si organizatiilor care activeaza in zona furnizarii de servicii de Utilitati.

Datanet livreaza la cheie proiecte de monitorizare a sistemelor si colectare a datelor la distanta, asigurand:

  • Proiectarea de sistem pentru retelele private LoRaWAN;
  • Fabricarea echipamentelor terminale pentru aplicatii specifice;
  • Dezvoltarea software-ului pentru echipamentele terminale si a aplicatiei centrale pentru conectarea cu aplicatiile clientilor, pentru anumite destinatii;
  • Radio-site survey pentru reteaua proiectata, calificarea retelei, instalarea produselor, integrarea intregii solutii, service si suport tehnic.

Totodata, Datanet este unul dintre principalii integratori de sistem din Romania cu competente avansate in domeniul arhitecturilor integrate de securitate, fapt confirmat de numeroasele proiecte implementate in infrastructuri critice, institutii financiar-bancare, operatori telecom etc.

Pentru informatii suplimentare, contactati office@datanets.ro