Tunneling HTTP
Connexions série réelles et compatibles avec les pare-feux sur Internet
La connexion à un équipement de communication série distant, que ce soit le port console série d’un appareil basique ou un Automate Programmable Industriel (API), est un procédé simple dans le cadre d’un réseau fermé et dédié. En utilisant un serveur de périphériques Série à Ethernet comme les Perle IOLAN, les données série entrant et sortant du port sont groupées en paquets Ethernet et transférés sur une application IP distante ou un IOLAN apparié, ou elles seront reconverties en données série pour la connexion avec l’équipement série distant. L’adresse IP de chacun des éléments impliqués est connue et la relation client-serveur est claire.
En revanche, cette opération est loin d’être aussi simple sur Ethernet. Dans les environnements d’entreprise, les connexions à Internet sont protégées par des pare-feux, des routeurs et des proxys. Les adresses IP individuelles apparaissent comme des adresses NAT dynamiques aux entités basées sur internet et ne peuvent pas être adressées directement..
Les pare-feux sont également très sélectifs au niveau du type de sessions IP qui peuvent recevoir ou émettre des informations depuis ou vers Internet. Le protocole http, le standard utilisé par les navigateurs Internet et opérant sous le port TCP 80, est adapté aux Pare-feux et universellement autorisé. D’autres protocoles comme SSH (Port 22) ou Telnet (Port 23) sont généralement bloqués. Afin de permettre ceux-ci, la configuration du pare-feu doit être changée, ce qui peut menacer les règles de sécurité existant dans l’entreprise..
En incorporant la technologie de tunneling HTTP, les serveurs Perle IOLAN sont les premiers, et les seuls à ce jour, à permettre la connexion sécurisée et le transport des données série entre des équipements séries distants, via Ethernet, sans besoin de changer les réglages des Pare-feux.
Cela fonctionne ainsi: Un client IOLAN distant de tunneling HTTP, derrière un pare-feu, établit une session HTTP avec un serveur IOLAN connecté à Internet et basé sur la zone démilitarisée (DMZ) d’une entreprise ou le Fournisseur de Service. En utilisant les commandes HTTP standard GET et SET, les deux équipements appariés ont maintenant la possibilité d’échanger des paquets. Les données série d’un équipement peuvent être convertis par l’IOLAN et envoyés sur Internet vers son pair sur le tunnel HTTP. Le second IOLAN reconvertit ensuite les données au format série. Le résultat est une connexion série naturelle et adaptée aux pare-feux sur Internet.
Tunneling HTTP: Fonctions Principales
- Tunneling des données série sur Internet avec le Tunneling http adapté aux pare-feux
- Envoi de données brutes ou cryptées sur le port HTTP 80
- Envoi de données cryptées sur le port HTTPS 443
- Support des sessions TCP et UDP
- Fonctionne avec des proxys HTTP
- Création de tunnels HTTP multiples et simultanés
- Prise en charge des clients Tunneling HTTP et Serveur sur le même IOLAN
- Transport de données pour les équipements IP sur les tunnels HTTP
- Définit quel équipement IP ou série peut être connecté au tunnel
- Les services IOLAN suivants peuvent être utilisés
- Gestion de Console Management ( Reverse Tel et Reverse SSH )
- Sockets TCP
- Sockets UDP
- Terminal Server ( Telnet, SSH, Rlogin )
- Redirecteur de ports COM/tty Trueport (TCP)
- Trafic d’impression
- Tunneling Série (Port Série vers Port Série)
- Modem Virtuel
- Portail Modbus ( TCP )
Relais de Tunnel HTTP IOLAN
Il arrive pour certaines applications que tous les équipements en fin de lignes se trouvent derrière des pare-feux. Dans la mesure ou les pare-feux bloqueront toute connexion entrante d’Internet, un composant de relais de tunnel est alors nécessaire. Un IOLAN situé sur le DMZ d’une entreprise ou le réseau d’un fournisseur de service et directement adressable sur Internet est configuré comme un équipement relais de tunnel http. Cet IOLAN pourra ensuite accepter et associer les connexions de tunnels distants depuis les différentes extrémités du réseau et permettre au trafic IP de circuler entre elles. Une fois de plus, aucun changement n’est nécessaire sur les pare-feux.
Mise a part une connexion simple entre deux ports série sur Internet, examinons deux autres scénarios communs.
Gestion de Console
Les administrateurs souhaitant installer des Serveurs de Ports Console sur des sites multiples pour connecter les ports série de leurs équipements peuvent le faire en utilisant le réseau d’entreprise ou Internet. Les sites distants équipés de réseaux connectés à Internet sont généralement protégés par des pare-feux. Ce type d’accès au moyen de Console Servers traditionnels n’est pas possible sans ouvrir une faille dans le pare-feu en autorisant les sessions entrantes Telnet ou SSH (Ports 23 et 22 respectivement) depuis Internet. C’est compromettre la sécurité du réseau d’entreprise et l’exposer a de possibles attaques. De plus, le Console Server de destination aura probablement une adresse IP dynamique NAT et sera difficilement adressable pour un utilisateur sur Internet.
Les serveurs Perle IOLAN les plus avancés ont une capacité de Tunneling HTTP permettant des connexions Telnet ou SSH directes sur un Console Server IOLAN, même s’il se trouve derrière un pare-feu
L’IOLAN distant établit un tunnel HTTP sur le port 80 vers un IOLAN adressable par Internet au siège de la société. Le firewall distant permet cette connexion puisque l’IOLAN opère dans les limites des règles de sécurité en utilisant des connexions HTTP et HTTPs acceptées par les pare-feux.
Les Administrateurs sur le site principal peuvent ainsi accéder aux ports console série sur les sites distants en créant simplement une session Telnet vers le serveur IOLAN local dans la zone démilitarisée. L’IOLAN distant offre également une connexion passerelle pour d’autres périphériques IP, ou d’autres outils d’administration tels que Telnet, SSH, RDP ou VNC peuvent être utilisés.
Si les administrateurs se connectent également derrière un pare-feu, un relais de tunnel IOLAN doit être installé sur Internet ou sur la zone démilitarisée de l’entreprise pour connecter et transférer le trafic IP entre le poste de travail de l’administrateur et les équipements distants.
Connexion d’applications série vers des ports série distants
Un autre scénario commun : La connexion d’équipements série distants sur Internet avec une application logicielle située dans une location centrale. L’application logicielle doit rester en place en utilisant Internet comme réseau de transport. En utilisant un serveur Perle IOLAN et Trueport, le redirecteur de Ports COM de Perle, cela devient possible.
Connexion d’une application TCP aux Ports Série distants
D’une manière similaire, une application TCP (ou UDP) sur le serveur central peut également être utilisée pour connecter des équipements série sur Internet. L’application TCP centrale enverra et recevra simplement des paquets par la passerelle IOLAN locale pour le tunneling vers les équipements série distants rattachés à un IOLAN apparié.