Servisní a dohledová síť

Popis

Servisní a dohledová síť je virtuální struktura tvořená sadou softwarových modulů, která zajišťuje pohodlný a silný nástroj při dálkové správě vybraných počítačů v prostředí LAN či WAN sítí, navázaných do internetu přes místní Proxy servery nebo Firewally. Jedná se o servisní router, servisní server, servisní proxy a servisního klienta.

Servisní síť je spravována v rámci námi provozované dohledové služby a zákazník se o její provoz nemusí starat. Služba se opírá o pronajatý server (servisní Router), který je zařazen přímo do páteřní sítě internetu. Jednotlivé servisní Servery jsou pak součástí zákaznické sítě LAN nebo WAN.

Spojení servisních Serverů na Router je vzhledem k nutnosti zajistit co nejvyšší bezpečnost navazováno vždy zásadně směrem od servisního Serveru. Je využit obdobný princip jako když se připojuje běžný webový prohlížeč ke vzdáleným WWW serverům. Nehrozí tedy, že by se někdo mohl zvenčí přihlásit do místní sítě. Není tedy nutné vytvářet další VPN síť pro servisní účely.

Schéma servisní sítě
Schéma servisní sítě

Prvky

Router servisní sítě (HubRouter)
HubRouter je SW nevizuální aplikace běžící na servisním serveru. Tvoří základ služeb celé sítě. Přes tento uzel procházejí všechny požadavky a odpovědi ze všech dalších uzlů. HubRouter zajišťuje autorizaci klientských uzlů a sleduje bezpečnost provozu celé sítě.

Server servisní sítě (HubServer)
HubServer je nevizuální SW aplikace běžící typicky na SCADA serveru zákazníka nebo teemetri EVE2. Jedná se v podstatě o TCP klienta, který se automaticky připojí k HubRouteru a periodicky mu předává informace o svém provozním stavu. Ve struktuře sítě se jedná o uzel, který poskytuje služby klientům.

Klient servisní sítě (HubClient)
HubClient je grafická SW aplikace pro servisní pracovníky. Umožňuje jim po připojení a přihlášení na HubRouter využívat služeb HubServerů. HubClient může současně pracovat s více HubServery. Je dostupný pro platformy Windows a Android (Chytrý telefon).

Provoz

Servisní síť se sama stará o svůj vlastní provoz. Jednotlivé uzly jsou vybaveny schopností automatického připojení po startu SCADA serveru a následně při výpadku spojení cyklicky prověřují možnost jeho opětovného navázání. Zpětně navázat spojení z HubRouteru na jiný uzel není možné a tak provoz serverových uzlů sleduje lokální servisní aplikace, která reaguje na jejich případné výpadky. Pro zajištění 24 hodinové dostupnosti se serverové uzly automaticky restartují ve 4:00 hod. V tomto okamžiku mohou na pár vteřin nedostupné. O výpadku uzlu je uživatel informován okamžitě alarmovou zprávou. Do servisní sítě je možné vstoupit všude tam, kde je dostupné připojení k internetu, ale je nutné mít nainstalovaného servisního klienta.

Bezpečnost

  • bezpečnost proti průniku do servisní sítě
  • bezpečnost datových přenosů

Proti průniku do servisní sítě je systém ochráněn především svou koncepcí. Strana SCADA serveru (PC v rámci LAN společnosti) se chová klientsky, ne serverově a tudíž se na ni nikdo nemůže z lokální LAN sítě nebo internetu žádným způsobem připojit. Naopak se sama připojuje na uzel dohledového centra systému StoneBase (HubRouter). Celý princip je obdobný jako připojení pomocí internet Exploreru na Web. Ke spojení jsou využívány zcela standardní prostředky, což umožňuje v 90% případů nasazení i bez spoluúčasti IT. Navíc je spojení koncipováno jako bod-bod (SCADA Server <-> HubRouter) s předem definovanými a neměnnými IP adresami. Spojení je možné uskutečnit buď přímo nebo pomocí firemního proxy serveru (SSL kanál). Navázat spojení z centrálního servisního uzlu (HubRouteru) není z bezpečnostních důvodů možné. V rámci servisní sítě jsou definovány přístupové účty s vymezenými pravomocemi a definovanými přístupy na vybrané uzly. Tyto účty jsou spravovány centrálně a uživatelé jsou též centrálně do systému zaváděni.

Samotné datové přenosy probíhají neveřejným transportním protokolem SBTP a vlastní uživatelská data jsou komprimována a šifrována (AES-256).

Možnosti

Datové centrum

Servisní síť je provozována tak, že její centrální prvek - HubRouter je umístěn na fyzickém serveru společnosti Proteco Expert s.r.o., uloženého u poskytovatele forpsi.com v datovém centru CE Colo a.s. v Praze (dříve Sitel) se záložním zdrojem, generátorem a klimatizací. Má přidělenou pevnou IP adresu 81.2.209.221.

Záložní server

Pro účely nenadálého výpadku konektivity k HubRouteru v datovém centru je k dispozici i HubRouter umístěný v prostorách společnosti Proteco Expert. V případě potřeby je pak možné realizovat připojení do servisní sítě pomocí této záložní varianty. Tento HubRouter má pevnou adresu 90.142.234.140.

Lokální LAN síť

Servisní síť je možné založit i v rámci LAN sítě zákazníka. Služby servisní sítě jsou pak omezeny a HubRouter je dostupný pouze pro HubServery a HubClienty v rámci této lokální sítě a není možné se k němu z internetu připojit. Svou úlohu jako řešení servisního dohledu proto tato varianta nesplňuje.

Funkce

  • terminálové služby (RDP/VNC tunel)
  • sledování hlášení SCADA systému, výpadků serverů, výpadků technologií...
  • přesměrování výstupů HTML konfigurací a aplikací spuštěných na lokálním PC na vzdálený server (HTTP tunel)
  • přesměrování výstupů systémových konzolí, grafického exploreru a dalších SCADA aplikaci spuštěných na lokálním PC na vzdálený server (TCP/IP tunel)
  • přesměrování výstupů SQL aplikací spuštěných na lokálním PC na vzdálený server (SQL tunel)
  • integrované systémové služby (správce úloh, správce služeb, správce registrů, správce souborů, MS-DOS příkazový řádek, systémové události atd.)
  • přesměrování komunikace s telemetrickými stanicemi přes vzdálený server (TCP/UDP tunel)
  • komunikační systém mezi registrovanými uživateli a servery
  • a další...

Charakteristika

  • minimální náklady na pořízení
  • maximální bezpečnost
  • nepřetržitý provoz
  • snadná dostupnost odkudkoliv
  • jednoduché intuitivní ovládání
  • a další...