¿ Cómo prevenir el uso no autorizado de tu router Teltonika ?

En este post te indicamos algunas precauciones que debes tomar al configurar tu router para evitar que alguien no autorizado pueda acceder a él.

En la mayor parte de casos, nuestro router tendrá una dirección IP pública y accesible a través de Internet. Esta accesibilidad que es fundamental para poder realizar tareas de mantenimiento a acceso remoto a nuestros dispositivos tras el router también es un riesgo puesto que nuestro equipo está expuesto a cualquiera que tenga acceso a Internet.

¿ Qué peligros conlleva que alguien no autorizado pueda entrar en nuestro router?

  • cambios en la configuración del router haciéndolo inoperativo para nuestra aplicación
  • activación o desactivación de salidas digitales
  • posiblidad de envío de SMS a través del router con el consiguiente gasto en función del número destino

En este post vamos a indicarte algunos consejos para minimizar el riesgo de accesos no autorizados a nuestro router.

Actualiza tu router a la última versión

Siempre es recomendable tener la última versión de firmware disponible instalada en nuestro router. Disfrutaremos de las últimas prestaciones y correcciones de posibles fallos o bugs.

Podéis descargaros las últimas versiones de firmware disponibles a través de la wiki de Teltonika. Seleccionad vuestro modelo de router y descargad el fichero de firmware y el bootrom por si el router os lo solicita (depende de la diferencia entre la versión antigua y la nueva).

Como ejemplo, diremos que las últimas versiones a fecha actual obligan al usuario a cambiar el password por defecto de acceso al router ‘admin01’ por un texto de 8 caracteres mínimo con números y letras.

Accede siempre al router remotamente a través de HTTPS y no HTTP

Recordad que por defecto los acceso remotos SSH, HTTP y HTTPS están deshabilitados. En cualquier caso es muy probable que queramos acceder remotamente al router para cambiar algún parámetro de configuración o simplemente para ver su estado. Si es así, recomendamos habilitar sólo el acceso remoto HTTPS (securizado con SSL). De esta forma, cuando conectemos con el router a través de nuestro navegador toda la información irá encriptada y aunque alguien con un sniffer capturase dicho tráfico no podría averiguar el password de acceso al router.

Configura correctamente las opciones de DDOS del firewall del router

Los routers de Teltonika incluyen un firewall basado en las iptables de Linux. Dentro de este firewal incluyen una serie de mecanismos de protección antes ataques de denegación de servicios (DDOS).

Algunos mecanismos como el SYN flood o Port Scan ya vienen activados por defecto pero otros como el ICMP request o como los ataques SSH/HTTP/ HTTPS no vienen limitados por defecto. Todos estos mecanismos permiten limitar el número de accesos por unidad de tiempo. En cualquier caso tengamos cuidado, si los activamos, con los parámetros que indiquemos de intentos y tiempos ya que podríamos dejar innacesible nuestro rotuer a través de estos accesos.

HTTP attack - ¿ Cómo prevenir el uso no autorizado de tu router Teltonika ?IP pública fija o dinámica

Esta es una disyuntiva que muy pocos de vosotros os vais a encontrar ya que hoy en día salvo servicios concretos contratados con cierto volumen con el operador móvil todas las conexiones disponen de IP dinámica y deberemos normalmente acceder al router a través de un dominio DNS dinámico (salvo que paguemos un coste extra al mes para disponer de una dirección IP fija).

Sin embargo, no todo son ventajas con las IP públicas fijas. En este caso, al no variar la dirección es mucho más fácil de detectar por un scanner o sistema de acceso masivo. Con una IP dinámica, quizás puedan entrar en nuestro router en un momento determinado pero luego tendrán que volver a averiguar nuestra dirección IP pública para entrar de nuevo a nuestro dispositivo.

En el siguiente artículo de Teltonika podéis ver los diferentes tipos de IP pública que ofrecen los operadores móviles con sus ventajas y desventajas.

 

ESIM120 – Apertura de puertas a través de teléfono móvil

El ESIM120 es un controlador GSM/GPRS que permite abrir una puerta de un garaje o una barrera de acceso a través de una llamada perdida (sin cargo) de nuestro teléfono móvil o a través de un widget de nuestro smartphone. El equipo permite control y mantenimiento remoto y guarda un log con los accesos registrados.

¿ Cansado de tener que repartir mandos a distancia para abrir barreras o puertas de garaje ? ¿Necesitas dar acceso a usuarios tan sólo por unos días o incluso horas?

Si estás en alguna de estas situaciones te interesa el ESIM120. Se trata de un controlador GSM/GPRS con dos relés de salida que se pueden actuar al recibir una llamada perdida de algún teléfono dado de alta en su base de datos con capacidad hasta 2000 usuarios. También podemos abrir la puerta simplemente pulsando en un widget que deberemos instalarnos en nuestro smartphone.

El ESIM120 se configura localmente a través de un ordenador conectado por un puerto USB al equipo. Podremos dar de alta y baja usuarios y sus números de teléfono y configurar qué relé queremos actuar (uno, otro o ambos) y en qué franjas horarias podrá abrir o no cada usuario.

El ESIM120 también dispone de dos entradas digitales cuyo cambio de estado puede desencadenar el envío de un SMS con texto configurable a uno o varios usuarios definidos como operadores.

Una vez instalado, el ESIM120 se puede acceder remotamente a través de Internet gracias al módem GPRS que integra. De esta forma podremos añadir o quitar usuario o recuperar el registro de las llamadas recibidas sin tener que desplazarnos al lugar de la instalación.

El ESIM120 se entrega con una caja envolvente plástica y una antena magnética con cable de 3m. Admite alimentaciones de 12Vd o 24Vdc o 220Vac a través de un alimentador externo.

Puedes descargar el folleto del equipo o también una presentación en formato PDF a través de nuestra web. O si lo prefieres puedes ver el siguiente video donde explicamos cómo configurar el equipo.

 

Conversión de protocolos IEC61850

La familia de conversores de protocolos DG de Kyland permiten la integración de IEDs con diferentes protocolos en una arquitectura IEC61850 bien como simples bridges o pasarelas o bien como elementos capaces de almacenar datos de los IEDs en memoria interna para luego entregarlos bajo petición al sistema SCADA

La familia de gateways y conversores de protocolo DG-AX de Kyland integran modernas comunicaciones con un diseño robusto de alta fiabilidad y bajo consumo. Esta familia es capaz de realizar la conversión entre diferentes protocolos, la concentración y recopilación de datos en memoria interna y el procesado o cálculos sobre los mismos para su entrega a sistemas SCADA.

La configuración de los equipos se realiza de forma sencilla y gráfica a través de su software ICE capaz de volcar el modelado de objetos y valores en el equipo necesarios y específicos para cada aplicación.

A continuación veremos algunos de los principales escencarios de uso de estos dispositivos

Conversión de protocolos ‘Store-and-Deliver’

En esta aplicación el gateway DG actúa por un lado como un master hacia los IEDs definidos y conectados recopilando información de objetos de diferentes protocolos y almacenándola en su memoria interna. Esta información puede ser entregada bajo petición de sistemas superiores tipo SCADA bien bajo el mismo protocolo de comunicaciones o bajo otro cualquiera a través de la conversión y mapeo interno que hayamos definido en nuestra aplicación.

protocol conversion strore and deliver - Conversión de protocolos IEC61850Gateway de comunicaciones IEC61850

En esta aplición, el DG actúa como un proxy inteligente capaz de recopilar datos a través de sus puertos serie y Ethernet. Importando cualquier fichero IEC61850 SCL (.icd/.cid) y mapeando los datos  a los objetos internos recopilados de dichos dispositivos podemos convertir nuestro DG en un IED 61850 virtual de cada a nuestro sistemas SCADA.

IEC61850 bridge - Conversión de protocolos IEC61850Modo de tareas avanzadas

La herramienta gráfica de configuración ICE de la familia DG nos permite también definir tareas u operaciones avanzadas a través de scripts que pueden ser cargados en el dispositivo en modo on-line. A través de estas tareas podemos realizar cálculos lógicos, acumulaciones de resultados, triggers específicos o tareas en batch sobre múltiples IEDs añadiendo un universo de funcionalidades al dispositivo y descargando algunas tareas en nuestro SCADA.

dg advanced tasks - Conversión de protocolos IEC61850Si quieres ampliar esta información puedes visitar nuestra página de gateways inteligentes o descargarte el documento Kyland-TechnicalPaper-ProtocolConversion

RAX711 – Puntos de demarcación certificados MEF 2.0

Los equipos RAX711-L (1G) y RAX711-C (10G) son puntos de demarcación certificados MEF2.0 que incorporan todas las prestaciones necesarias para ofrecer servicios E-LINE,E-LAN y E-TREE sobre redes Ethernet de transporte (L2CP, Q-inQ, ERPS, HCar,…). También disponen de medidas de activación del servicio (RFC2544 e ITU Y1564) y de monitorización (Y1731 y TWAMP-lite)

RAX711-L

El RAX711-L es un punto de demarcación (EDD) de última generación. Dispone de dos interfaces GE SFP hacia el lado red (NNI) y 4 interfaces COMBO hacia el lado usuario (UNI). También puede incorporar 4 interfaces E1 PWE y una salida/entrada de reloj a 2MHz gracias al soporte del protocolo SyncE. El ISCOM RAX711-L puede ser implementado en servicios E-Line, E-LAN y E-Access para Mobile backhaul, comunicaciones corporativas o de acceso SMBE. El dispositivo permite asegurar el SLA de rendimiento extremo a extremo gracias a su hardware de última generación de acuerdo a los estándares OAM, CFM e Y.1731. La tecnología H-Qos permite diferenciar flujos y asegurar prioridades de tráfico dentro de cada EVC. También soporta el estándar ITU-T G.8032/1 para proporcionar protección lineal o en anillo con recuperación en tiempo inferior a 50ms. El RAX711-L dispone de una versión especial que incorpora el estándar ITU-T G.8262 SyncE para transporte de sincronización a través de redes Ethernet. +Info


RAX711 L 300x97 - RAX711 - Puntos de demarcación certificados MEF 2.0

RAX711-C

El RAX711-C es un equipo de demarcación  de alta capacidad que incorpora 2 puertos 10G SFP+ como NNI y 2 puertos 10G SFP+ y 12 puertos 1G SFP como UNI. El equipo soporta medidas de activación del servicio SAT (Service Activation Test) según RFC2544 y ITU Y.1564 pudiendo generar tráfico de pruebas a 10G así como medidas de monitorización de nivel de servicio (SLA) según Y.1731 y TWAMP-Lite. Dichas medidas o KPIs pueden analizarse y mostrarse de forma gráfica a través de la plataforma ‘SLA Portal’. Asimismo dispone de protocolos ELPS ITU G.8031 y ERPS ITU G.8032 para la protección lineal y en anillo así como protección lineal G.8131 para MPLS-TP. Finalmente el equipo también soporta los protocolos de sincronimsmo IEEE1588v2 PTP y SyncE.. +info
711c 400 - RAX711 - Puntos de demarcación certificados MEF 2.0
A través del software de getión NView para la creación y parametrización de servicios Carrier Ethernet podemos también generar mediciones para la activación del servicio según RFC2544 e ITU.Y1564. Asimismo, a través de la aplicación basada en web SLA Portal podemos monitorizar el SLA comprometido en los diferentes servicios creados gracias a las mediciones ‘in service’ según ITU.Y1731 de los equipos y la generación de alarmas en caso de que los umbrales sean excedidos.
SLA portalv2 300x165 - RAX711 - Puntos de demarcación certificados MEF 2.0
l3x 2D1Z 300x180 - RAX711 - Puntos de demarcación certificados MEF 2.0

DG-A6 – Servidores de terminales de 8/16 puertos con redundancia Ethernet

El DG-A6 es un servidor de terminales con 8 o 16 puertos RS232/485/422 y 2 puertos Gigabit y 4 puertos Fast Ethernet. Podemos segmentar los puertos serie asociándolos a diferentes puertos Ethernet o incluso asociarlos a varios puertos a la vez para dotarlos de redundancia active/standby o load-balancing.

El servidor de terminales DG-A6 proporciona hasta 16 puertos RS232/485/422 en un formato para montaje en sub bastidores de 19” y altura 1U. Dispone de 2 puertos Gigabit 10/100/1000BaseTX y 4 puertos 10/100BaseTX. Cada puerto puede mapearse a uno o varios puertos serie y también un puerto serie puede asignarse a más de un puerto Ethernet para redundancia. Esta redundancia admite dos modos de funcionamiento: active/standby donde un puerto está activo y el otro en espera o load-balancing donde el equipo reparte el tráfico entre ambos puertos Ethernet. En el modo active/standby asignamos ambos interfaces físicos a un mismo interfaz ethernet vitual con una única dirección IP y MAC de cara al servidor de terminales y por tanto al envío o recepción de tráfico serie.

Asimismo, el equipo soporta fuente de alimentación redundante.

DG A6 rear - DG-A6 - Servidores de terminales de 8/16 puertos con redundancia EthernetDatasheet DG-A6