Servisní a dohledová síť

Popis

Servisní a dohledová síť je virtuální struktura tvořená sadou softwarových modulů, které zajišťují pohodlný a silný nástroj při dálkové správě vybraných počítačů. Pracuje v prostředí LAN či WAN sítí, navázaných do internetu přes místní Proxy servery nebo Firewally. Jedná se o servisní Router, servisní Server, servisní Proxy a servisního Klienta.

Servisní síť je spravována v rámci námi provozované dohledové služby a zákazník se o její provoz nemusí starat. Služba se opírá o pronajatý server (servisní HUB Router), který je zařazen přímo do páteřní sítě internetu. Jednotlivé servisní HUB Servery jsou pak součástí zákaznické sítě LAN nebo WAN.

Spojení servisních HUB Serverů na servisní HUB Router je vzhledem k nutnosti zajistit co nejvyšší bezpečnost navazováno vždy zásadně směrem od servisního HUB Serveru. Je využit obdobný princip jako když se připojuje běžný webový prohlížeč ke vzdáleným WWW serverům. Nehrozí tedy, že by se někdo mohl zvenčí přihlásit do místní sítě. Není tedy nutné vytvářet další VPN síť pro servisní účely.

Schéma servisní sítě
Schéma servisní sítě

Prvky

Router servisní sítě (HUB Router)
HUB Router je SW nevizuální aplikace běžící na servisním HUB Serveru. Tvoří základ služeb celé sítě. Přes tento uzel procházejí všechny požadavky a odpovědi ze všech dalších uzlů. HUB Router zajišťuje autorizaci klientských uzlů a sleduje bezpečnost provozu celé sítě.

Server servisní sítě (HUB Server)
HUB Server je nevizuální SW aplikace běžící typicky na SCADA serveru zákazníka nebo telemetri EVE2. Jedná se v podstatě o TCP klienta, který se automaticky připojí k HUB Routeru a periodicky mu předává informace o svém provozním stavu. Ve struktuře sítě se jedná o uzel, který poskytuje služby klientům.

Klient servisní sítě (HUB Klient)
HUB Klient je grafická SW aplikace pro servisní pracovníky. Umožňuje jim po připojení a přihlášení na HUB Router využívat služeb HUB Serverů. HUB Klient může současně pracovat s více HUB Servery. Je dostupný pro platformy Windows a Android (Chytrý telefon).

Proxy servisní sítě (HUB Proxy)
HUB Proxy je nevizuální SW aplikace běžící typicky na SCADA serveru zákazníka. Jedná se v podstatě o HUB Server, který se automaticky připojí k HUB Routeru a zprostředkovává spojení od HUB serverů v rámci lokální LAN sítě, které samy nemají přímý přístup na HUB Router.

Provoz

Servisní síť se sama stará o svůj vlastní provoz. Jednotlivé uzly jsou vybaveny schopností automatického připojení po startu SCADA serveru a následně při výpadku spojení cyklicky prověřují možnost jeho opětovného navázání. Zpětně navázat spojení z HUB Routeru na jiný uzel není možné a tak provoz serverových uzlů sleduje lokální servisní aplikace, která reaguje na jejich případné výpadky. Pro zajištění 24 hodinové dostupnosti se serverové uzly automaticky restartují ve 4:00 hod. V tomto okamžiku mohou být na pár vteřin nedostupné. O výpadku uzlu je uživatel informován okamžitou alarmovou zprávou. Do servisní sítě je možné vstoupit všude tam, kde je dostupné připojení k internetu, ale je nutné mít nainstalovaného servisního klienta.

Bezpečnost

  • bezpečnost proti průniku do servisní sítě
  • bezpečnost datových přenosů

Proti průniku do servisní sítě je systém ochráněn především svou koncepcí. Strana SCADA serveru (PC v rámci LAN společnosti) se chová klientsky, ne serverově a tudíž se na ni nikdo nemůže z lokální LAN sítě nebo internetu žádným způsobem připojit. Naopak se sama připojuje na uzel dohledového centra systému StoneBase (HUB Router). Celý princip je obdobný jako připojení pomocí internet Exploreru na Web. Ke spojení jsou využívány zcela standardní prostředky, což umožňuje v 90% případů nasazení i bez spoluúčasti IT. Navíc je spojení koncipováno jako bod-bod (SCADA Server <-> HUB Router) s předem definovanými a neměnnými IP adresami. Spojení je možné uskutečnit buď přímo nebo pomocí firemního proxy serveru (SSL kanál). Navázat spojení z centrálního servisního uzlu (HUB Routeru) není z bezpečnostních důvodů možné. V rámci servisní sítě jsou definovány přístupové účty s vymezenými pravomocemi a definovanými přístupy na vybrané uzly. Tyto účty jsou spravovány centrálně a uživatelé jsou též centrálně do systému zaváděni.

Samotné datové přenosy probíhají neveřejným transportním protokolem SBTP a vlastní uživatelská data jsou komprimována a šifrována (AES-256).

Možnosti

Datové centrum

Servisní síť je provozována tak, že její centrální prvek - HUB Router je umístěn na fyzickém serveru společnosti Proteco Expert s.r.o., uloženého u poskytovatele forpsi.com v datovém centru CE Colo a.s. v Praze (dříve Sitel) se záložním zdrojem, generátorem a klimatizací. Má přidělenou pevnou IP adresu 81.2.209.221.

Záložní server

Pro účely nenadálého výpadku konektivity k HUB Routeru v datovém centru je k dispozici i HUB Router umístěný v prostorách společnosti Proteco Expert. V případě potřeby je pak možné realizovat připojení do servisní sítě pomocí této záložní varianty. Tento HUB Router má pevnou adresu 90.142.234.140.

Lokální LAN síť

Servisní síť je možné založit i v rámci LAN sítě zákazníka. Služby servisní sítě jsou pak omezeny a HUB Router je dostupný pouze pro HUB Servery a HUB Klienty v rámci této lokální sítě a není možné se k němu z internetu připojit. Svou úlohu jako řešení servisního dohledu proto tato varianta nesplňuje.

Funkce

  • terminálové služby (RDP/VNC tunel)
  • sledování hlášení SCADA systému, výpadků serverů, výpadků technologií...
  • přesměrování výstupů HTML konfigurací a aplikací spuštěných na lokálním PC na vzdálený server (HTTP tunel)
  • přesměrování výstupů systémových konzolí, grafického exploreru a dalších SCADA aplikaci spuštěných na lokálním PC na vzdálený server (TCP/IP tunel)
  • přesměrování výstupů SQL aplikací spuštěných na lokálním PC na vzdálený server (SQL tunel)
  • integrované systémové služby (správce úloh, správce služeb, správce registrů, správce souborů, MS-DOS příkazový řádek, systémové události atd.)
  • přesměrování komunikace s telemetrickými stanicemi EVE2 přes vzdálený server (TCP/UDP tunel)
  • komunikační systém mezi registrovanými uživateli a servery
  • a další...

Charakteristika

  • minimální náklady na pořízení
  • maximální bezpečnost
  • nepřetržitý provoz
  • snadná dostupnost odkudkoliv
  • jednoduché intuitivní ovládání
  • přidělení funkcí dle přístupových práv
  • a další...