En DAVANTEL disponemos de una amplia gama de routers 5G NSA/SA a través de nuestros partners Teltonika Networks y Robustel. Estos dispositivos, además de incorporar un módulo 5G con soporte NSA y SA, disponen de compatibilidad 4G y 3G permitiendo las máxima velocidades de transmisión disponibles en función de la tecnología de red disponible por el operador.
Rango extendido de temperaturas para su funcionamiento 24×7 en entornos industriales, auto reboot, control remoto a través de mensajes SMS e integración en plataformas Cloud del propio fabricantes son algunas de las características que ofrecen Teltonika Networks y Robustel de forma general en todos sus productos y que como no podía ser de otra manera también comparten estos dispositivos.
En DAVANTEL también disponemos de todo tipo de accesorios para el montaje de los equipos en carril DIN así como antenas vehiculares de exterior que incorporan en un tamaño reducido 4 antenas LTE (Quad) y una antena GNSS. Para instalaciones fijas también disponemos de antenas de exterior onmi y direccionales de alta ganancia a través de nuestro partner Quwireless.
Si quieres puedes ampliar esta información a través de los siguientes enlaces:
RutOS 7.05 cubre diferentes aspectos del sistema operativo, que agrupamos en 5 categorías para su conveniencia: nueva funcionalidad, nuevas páginas de RutOS, soporte de nuevos protocolos, actualizaciones y mejoras, y actualizaciones de UX.
Vamos a repasar las características clave de cada una de esas categorías
1. Nuevas funcionalidades
Comencemos con el gateway TRB143 M-Bus, que ahora tiene funcionalidad M-Bus sobre IP. Esto le permite ejecutar su propio software y utilizar el dispositivo como gateway para extraer datos de telemetría y otros parámetros utilizando M-Bus como prefiera. Esta funcionalidad es especialmente adecuada en soluciones de energía y servicios públicos.
Además, modificamos la funcionalidad ‘de datos al servidor ‘Data to server’ para que ahora pueda extraer parámetros de múltiples fuentes y diferentes protocolos, y enviarlos todos a un solo servidor. Esta funcionalidad es válida para todos los dispositivos, no solo para el TRB143.
RutOS 7.05 también agregó nuevas funciones a su paquete de Licencia Pública General (GPL). Con estas nuevas características, ahora puedes crear tu propio firmware personalizado y una aplicación de página web, con algunos ejemplos para facilitar el proceso de creación. Ahora también puede personalizar nuestro firmware cambiando colores, logotipos, etc. para satisfacer sus necesidades o las de sus clientes. Estas nuevas funciones ayudarán a adaptar cualquier dispositivo de Teltonika Networks a las necesidades específicas de su solución de red IoT.
Ahora también tiene una función de protección de inactividad de la SIM, que resulta útil cuando se utilizan tarjetas SIM sin ningún contrato o suscripción, como por ejemplo con una tarjeta prepago. Cuando se trabaja con dispositivos con dos ranuras SIM, la que no está actualmente en uso permanecerá inactiva hasta que el dispositivo cambie a ella, lo que significa que no se utilizan datos en la tarjeta hasta entonces.
Por último, hemos incluido un nuevo generador de códigos QR inalámbrico. Una vez escaneado, un usuario ingresará automáticamente a su red sin necesidad de ingresar información de inicio de sesión. Esto es inmensamente conveniente para Wi-Fi para invitados, como en hoteles, restaurantes y otros espacios comerciales.
2. Nuevas páginas de configuración
La actualización 7.05 incluye cuatro páginas nuevas que le brindan mejores capacidades de control, administración y análisis de redes y dispositivos. La primera es la página Puertos, en la que puede ver los puertos de todos los enrutadores celulares de la serie RUTX, el gateway celular TRB140 y el enrutador RUTM50 5G, habilitar y deshabilitar cada uno de ellos, activar o desactivar la configuración automática, cambiar sus velocidad de transmisión, etc. Esto no sólo es conveniente sino también una medida de seguridad de red adicional en su caja de herramientas.
La siguiente es la nueva página Estado del Firewall, una ubicación única en RutOS para ver todas las estadísticas de su Firewall, incluidas algunas nuevas y avanzadas. Aquí puede ver qué reglas de Firewall están activas en sus soluciones de red, contadores y flujos de tráfico, etc.
Otra página nueva es Análisis de canales inalámbricos. Si tiene varias redes inalámbricas de IoT ejecutándose en el mismo entorno, puede utilizar esta página para escanear las redes disponibles e identificar cuál está menos congestionada. Esto le ayudará a tomar decisiones sobre qué red utilizar para lograr el flujo de datos óptimo de sus soluciones de red.
Por último, pero no menos importante, está la página Topología de red, que ofrece una representación visual de su red, mostrando qué dispositivos están conectados a qué otros dispositivos. Este es un diagrama de topología de red desde el cual puede pasar a configuraciones más granulares. Dependiendo de los dispositivos en su solución de red, algunos dispositivos finales también pueden ser visibles en la topología, así que definitivamente consulte esta página.
3. Soporte de nuevos protocolos
RutOS 7.05 agrega soporte para un nuevo protocolo y agrega soporte adicional para otro: DLMS y Tinc, ambos compatibles con todos los routers y gateways.
DLMS es un protocolo más comúnmente utilizado para la comunicación con medidores de telemetría y servicios públicos, como agua, calefacción, gas y electricidad. Es similar a M-Bus .
Tinc es un protocolo de código abierto que se utiliza para servicios web VPN y ofrece funciones como enrutamiento automático de malla completa y recorrido NAT. RutOS 7.05 agrega soporte de interfaz de usuario web a este protocolo. Si le gusta jugar con las VPN, compruebe si Tinc es una buena opción para su solución de red.
4. Actualizaciones y mejoras
RutOS 7.05 trae consigo un kernel actualizado (versión 5.10) para dispositivos de la serie RUTX, TAP200 y RUTM50. Esta actualización a un componente central de nuestros productos mejora la velocidad, la seguridad y el rendimiento, así como otros elementos clave.
Hablando de mejorar la velocidad, hemos escuchado su necesidad de mayores velocidades al implementar nuestros productos 5G y nos complace anunciar que la velocidad de rendimiento del router celular RUTX50 aumentó en un 50 %.
Sin embargo, la velocidad no lo es todo: la gestión de la red es igualmente importante para las soluciones de redes de IoT. Con ese fin, hemos mejorado el soporte de RutOS para IPSec, L2TP y OpenVPN. Ahora tendrá acceso a una visibilidad de red mejorada que incluye más parámetros y hace que la administración de su red sea mejor y más sencilla en general. También hemos simplificado la configuración de ZeroTier, por lo que incluirlo en su solución de red ahora debería ser mucho más fácil con los productos Teltonika Networks.
Otro aspecto clave de la gestión de su red es la página de estado móvil. Esta página recibió valores e información adicionales a los que puede acceder, como información de agregación de operadores, velocidad e integridad de la comunicación, etc. También se agregó una representación en color de la intensidad de la señal.
Por último, ahora puede cargar y descargar temas personalizados de hotspot en sus páginas de inicio exclusivas de hotspot, lo que facilita mucho su implementación cuando sea necesario.
5. Actualizaciones en la interfaz gráfica
Trabajar con RutOS es mejor que nunca, con la versión 7.05 agregando algunas características simples pero innovadoras. La principal de ellas es la barra de búsqueda, que le permite buscar páginas de RutOS y encontrarlas de forma más rápida y eficiente.
A medida que continuamos agregando nuevas funciones y páginas a RutOS, su ubicación en el sistema puede volverse un poco difícil de manejar. Es por eso que hemos reorganizado la ubicación de algunas funciones en diferentes categorías que creemos que son más apropiadas para ellas. Esto debería hacer que encontrar estas funciones y trabajar con ellas sea más intuitivo.
De manera similar, hemos separado las interfaces LAN y WAN, mejorando la visibilidad de ambas y haciendo que su flujo de trabajo con ellas sea más conveniente. Y por último, se cambió el nombre de algunos servicios. Por ejemplo, la categorización maestro/esclavo ahora es servidor/cliente.
Echa un vistazo a estos sencillos consejos durante la puesta en marcha de tu router Teltonika. Pueden ayudarte y evitarte contratiempos futuros.
Actualiza el firmware del equipo a la última versión. Puedes hacerlo en el menú System – Firmware – Update Firmware. Si tu router tiene ya conexión a Internet él mismo buscará la versión más actualizada en el servidor de Teltonika (Update from Server). En caso contrario puedes bajarte el fichero en https://ift.tt/NCZkzyI
Anota o haz una foto de la etiqueta del router con el número de serie, LAN MAC y password por defecto. En los últimos lotes de equipos cada router tiene un password por defecto individualizado. Lo necesitarás para configurar el router a través del interfaz web o para darlo de alta en RMS. Además, recuerda que si haces un reset de fábrica, el router volverá a tomar este password individualizado.
Siempre que puedas conecta las dos antenas móviles. En conexiones 4G ofrecen una mejor recepción de señal que una única antena.
Revisa la configuración del APN/user/pwd. Aunque el router conecte sin configurar estos parámetros gracias a su mecanismo de AutoAPN, la IP que te proporcione el operador móvil puede variar.
NO modifiques ninguna regla general del Firewall en el menú Network – Firewall – General Settings si no sabes exactamente lo que haces o alguien te ha indicado explícitamente que lo hagas. Si no estás seguro de haber hecho algún cambio restaura la configuración de fábrica y empieza de nuevo de cero la configuración del equipo. El router ya viene configurado de fábrica para cursar todo el tráfico de salida y bloquear todo el tráfico de entrada excepto el habilitado (como el caso del punto anterior)
Para abrir puertos en el router debes ir al menú Network – Firewall — Port Forwards. Recuerda que para que funcione debes tener una IP pública y accesible en tu SIM (revisa el punto anterior correspondiente). Recuerda también que cualquier equipo que coloques en la LAN del router al que quieras acceder remotamente debe tener como gateway o puerta de enlace la dirección IP LAN del router.
Activa el Ping Reboot en System – Maintenance – Auto Reboot. De esta forma si el router pierde la conexión a Internet se reiniciará automáticamente.
El servicio de DDNS (Dynamic DNS) no viene instalado por defecto. No todas las funcionalidades vienen instaladas por defecto en el router. Si no encuentras alguna ves al menú System – Package Manager – Packages y revisa los paquetes de software disponibles. Una vez localizado añádelo a tu router a través del botón + del final. Si tienes problemas también te puedes descargar manualmente los paquetes en la wiki de Teltonika y luego subirlo manualmente al router (ten en cuenta que la versión del paquete de software va ligado a la versión de firmware del router)
Los servidores de tiempo de nuestro partner Elproma disponen de funcionalidades avanzadas en seguridad que los hacen especialmente adecuados para entornos y usos sensibles a posible ataques.
Al final de este artículo puedes descargarte un White Paper que explica en detalle estos mecanismos, cómo funcionan y qué ataques son capaces de mitigar. A modo de introducción podemos enumerarlos de la siguiente forma:
Smart Antenna Technology
A diferencia de otros fabricantes, Elproma ha diseñado su propia antena GNSS inteligente que incorpora en su interior no sólo la antena sino el receptor GNSS. Este diseño le permite entre otros:
detectar jamming/spoofing de la señal GNSS evitando que esta información incorrecta llegue al servidor NTP/PTP
facilidad en la sustitución del receptor GNSS para otra constelación de satélites ya que no es necesario actuar sobre el servidor de tiempo, sólo sobre la antena
capacidad de conectar en redundancia dos antenas/receptor a un mismo servidor de tiempos
facilidad de upgrade del receptor sin tener que acceder al servidor de tiempo
conexión mediante cable UTP Cat5+ eliminando las limitaciones de pérdidas de los cables coaxiales tradiciones alcanzando distancias superiores a los 700m sin ningún tipo de amplificador
Protección ante jamming/spoofing
Las antenas GNSS disponen de un sistema propio de protección basado en tres niveles:
Nivel 1: diversificación del riesgo geográfico
Nivel 2: Filtro Anti-jamming/ spoofing (RF 1.5 GHz)
Nivel 3: Firewall de tiempo con emulación de salida GNSS
Seguridad mejorada
La mayor parte de servidores de tiempo del mercado disponen de un único procesador o FPGA y un único stack de protocolos que luego distribuyen la marca de tiempo sobre múltiples interfaces LAN.
A diferencia de estos equipos, los servidores de tiempo modulares de Elproma disponen de hardware totalmente aislado para cada módulo de salida de sincronismo incluyendo diferentes procesadores y stacks PTP/IP. Esto permite aislar el resto de salidas de sincronismo ante un ataque en una de los puertos del equipo limitando al máximo la indisponibilidad del servicio
Osciladores de precisión
La mayoría de servidores de tiempo del mercado utilizan osciladores TXCO, OCXO o Rubidium en modo ‘holdover’ para mantener el sincronismo en ausencia de señal GNSS que alimenta al oscilador de cuarzo del equipo.
Los servidores de Elproma equipan un TCXO de bajo ruido en vez de un oscilador de cuarzo como fuente de reloj interna a todo el hardware del sistema en presencia de señal GNSS. La combinación del oscilador TCXO de bajo ruido con un OCXO de holdover permite mejorar la precisión del equipo en presencia de señal GNSS y minimizar la degradación temporal de dicha señal en el salto a holdover.
SafeTime Audit Management Software (NMS-STAS)
NMS-STAS es una poderosa herramienta de generación de informes y gestión de sincronización que admite múltiples servidores de hora NTP/PTP según las regiones geográficas. Utilizando esta aplicación podrá gestionar cientos de servidores de tiempo de Elproma y auditarlos con los datos recopilados, para comprender mejor la infraestructura de sincronización de tiempo.
Teltonika lanza al mercado su primer dispositivo únicamente wireless. Se trata del TAP100, un punto de acceso basado en tecnología WiFI-4 según los estándares 802.11 b/g/n en la banda de 2.4GHz.
El TAP100 dispone de un puerto Ethernet 10/100BaseTX y puede ser alimentado a través de PoE/PoE+ (existe una versión que incluye un inyector PoE externo de 15W). El TAP100 permite la conexión de hasta 100 dispositivos WiFi simultáneos y está especialmente diseñado para su uso en pequeñas empresas y comercios con un elegante diseño pensado para su montaje mural o de techo.
El TAP100 se entrega con una licencia gratuita para su integración en la plataforma RMS durante 24 meses (2 años) lo que permite su monitorización o configuración remota para por ejemplo modificar el SSID, ocultarlo o cambiar el password WiFi de forma remota aunque no disponga de una IP pública y sin necesidad de abrir puertos en el router que da salida a Internet a su red inalámbrica.
En el inicio de IoT un router permitía conectar dispositivos a la red gracias a la conectividad 3G/4G. Pero, el aumento de potencia y capacidad de estos ha permitido los últimos años añadir funciones de proceso de datos a los mismos.
Gracias al uso de potentes procesadores y entornos de desarrollo estándar, los routers de Robustel son además potentes gateway facilitando la conexión a plataformas de datos y sistemas de control.
Edge2Cloud (E2C) es una colección de aplicaciones de software que pueden ejecutarse dentro del sistema operativo «RobustOS» de Robustel para proporcionar funcionalidad de IoT Gateway tanto a nivel de hardware como de software. Durante muchos años, Robustel ha estado escribiendo aplicaciones personalizadas para ayudar a conectar protocolos industriales heredados (por ejemplo, Modbus) y equipos a servidores de aplicaciones en la nube, y E2C es un intento de formalizar esa capacidad ahorrando tiempo y costes a los clientes a la hora de desarrollar nuevas aplicaciones.
El ejemplo más común de esto es el requisito de mover datos Modbus (RTU o TCP) de campo a servicios en la nube como MS Azure y Amazon AWS, el envío de datos por MQTT, …E2C proporciona un marco que facilita la aplicación de estos requisitos en las pasarelas de Robustel.
Protocolos industriales en routers y gateways Robustel con Edge2Cloud
1 – Conectar dispositivos industriales (Modbus/OPC UA/Siemens S7, etc.) a la nube con un esfuerzo de software cero.
2 – Una solución sencilla de implantar y de bajo coste que puede sustituir a un PC integrado adicional y reducir el tamaño del panel, con el consiguiente ahorro de costes.
3 – Cuando se utiliza en la pasarela R1520G, el cliente obtiene una solución certificada globalmente en un solo dispositivo, sin necesidad de variantes regionales.
4 – E2C se ejecuta en la gama «Lite Industrial» de bajo coste R152X de Robustel, lo que proporciona a los clientes una solución muy rentable para implantaciones de gran volumen.
5 – E2C permite que un único Gateway capture y concentre múltiples protocolos industriales diferentes a través de una única conexión a la nube.
6 – E2C se ejecuta dentro del sistema operativo «RobustOS» basado en Linux, un entorno escrito y gestionado exclusivamente por Robustel que proporciona un excelente soporte técnico y capacidad de personalización.
¿Cómo funciona Edge2Cloud?
E2C consta de 3 capas de software que se ejecutan en un Robustel Gateway.
El siguiente diagrama destaca la estructura fundamental de E2C con la aplicación «Southbound» responsable de la interconexión con los protocolos/sensores industriales a través de RS232, RS485, Bluetooth, Ethernet, etc., y la aplicación «Northbound» responsable de la transmisión de datos a los servicios/Protocolos en la Nube según lo requiera la aplicación del cliente.
Entre la aplicación Northbound y la Southbound se encuentra el «Broker», que desacopla las dos interfaces y proporciona una vía de transmisión generalizada «de cualquiera a cualquiera» para tipos de datos y destinos dispares. El Broker en esta instancia no debe confundirse con un Broker MQTT típico utilizado en otra parte de la arquitectura de la solución.
Información de Protocolos industriales en routers y gateways con Edge2Cloud
Edge2Cloud está disponible como aplicación gratuita para cualquier router de las series R152X, R211X y R3000.
Con soporte para Docker Container. Gestión avanzada de la Flash del dispositivo. Actualizaciones y parches hasta 10 años. Con gestión en la nube gratuita. Sin necesidad de certificar router y SBC por separado. Compatible con redes GSM a nivel global.
RobustOS Pro (ROS PRO) inaugura una nueva categoría de dispositivo en Robustel. Supone un salto adelante definitivo. La irrupción en Linux Edge Computing
RobustOS Pro es el Sistema Operativo de Robustel para la nueva gama de Edge Computing Gateway.
Construido sobre una distribución Debian Linux, ROS PRO es efectivamente dos SO en uno.
Permitiendo el acceso root al entorno Debian, los desarrolladores pueden portar fácilmente las aplicaciones basadas en ARM actuales desde otros entornos de hardware similares como Raspberry Pi y otros SBC de bajo coste.
Al mismo tiempo, puede accederse a la interfaz gráfica de usuario ROS PRO GUI de fácil manejo, que agiliza y simplifica la gestión de módems, VPN, pasarelas y routers.
En definitiva, la experiencia de usuario es la de un PC integrado y un router 4G/5G todo-en-uno, lo que lo convierte en un dispositivo rentable a la hora de implantar sistemas modernos de IoT y automatización industrial.
ROS PRO cuenta con un rico ecosistema de aplicaciones. Además de las aplicaciones desarrolladas por Robustel, los usuarios también pueden acceder a más de 50.000 aplicaciones existentes en el repositorio de Debian y reimplantar el software existente utilizando herramientas de «contenedorización» como Docker.
ROS PRO dispone de su propio SDK. Los usuarios pueden utilizar C, C++, Java, Python, Node.js y otros lenguajes de programación para personalizar y desarrollar aplicaciones de manera rápida y sencilla dentro del entorno ROS PRO.
ROS PRO se conecta vía MQTT a la plataforma gratuita de monitorización de Routers/Gateways de Robustel – RCMS.
Esto garantiza supervisión y gestión remotas de flotas enteras de dispositivos desde un entorno seguro basado en MS Azure.
Características y ventajas
Entorno compatible con ARMv8. Software existente de SBCs como Raspberry Pi puede instalarse directamente.
Sistema de archivos robusto y «Crash-free» para aplicaciones industriales con fuentes de alimentación impredecibles
Las actualizaciones de software Over-the-air (OTA) facilitan la gestión de proyectos industriales de larga duración
Admite Docker y otras tecnologías similares para facilitar la instalación de software.
Herramientas SDK fáciles de usar. Acceso directo a las interfaces de hardware y E/S para desarrollo de aplicaciones.
Utilidad «Flash Manager» para comprobar que el software no «gastará» la memoria Flash integrada antes de tiempo.
Principios de ciberseguridad de Debian, así como los parches internos para un funcionamiento seguro durante 10 años.
Plataforma de monitorización RCMS integrada gratuita. Esencial para implantaciones extensas y rápidas.
En DAVANTEL queremos siempre ofrecerte el mejor soporte postventa. Por ello hemos lanzado hace algunas semanas un nueva plataforma web donde puedes entrar cualquier consulta o problema asignándose un número de ticket para que tanto tú como nosotros podamos hacer un mejor seguimiento. También hemos volcado todos nuestros artículos, How-To, tutoriales y FAQs sobre routers Teltonika y otros productos que comercializamos para que puedas encontrar respuestas a muchas de tus preguntas sin necesidad de crear un ticket.
Creación y seguimiento de tickets
A través de nuestro Centro de Soporte cualquier consulta es asignada a un ticket para su mejor seguimiento. Puedes crear un ticket simplemente enviando tu consulta por email a soporte@davantel.com o bien registrándote en la plataforma de soporte. De esta segunda manera podrás consultar el estado de todos tus tickets y ver las soluciones que te hemos ido dando.
Base de conocimiento
También hemos volcado en esta plataforma todos los artículos, How-to y tutoriales publicados a lo largo del tiempo en nuestro Blog así como las preguntas más frecuentes sobre routers Teltonika. Estos artículos se organizan por categorías y también dispones de un buscador para facilitarte la labor de encontrar el artículo que mejor responda a tu duda.
No esperes más y si tienes cualquier duda conéctate a nuestro Centro de Soporte a través del siguiente enlace.
Tenemos el gusto de anunciar que nuestro partner Fiberroad presentará sus últimas novedades en soluciones de Ethernet industrial especialmente diseñadas para la gestión de ciudades inteligentes. Entre ellas destacan las nuevas familias de switches TSN (Time Sensitive Networks) y la nueva plataforma de gestión de red basada en MQTT.
DAVANTEL como distribuidor exclusivo de Fiberroad para España estará también presente en el stand A167 de Fiberroad para atender cualquier consulta. Si tienes previsto visitarnos este evento rellena el siguiente formulario para que te podamos atender de la mejor manera.
Si tienes una IP pública en tu router porque terceros tienen que acceder a él necesariamente (telemedida IP o similares), estás expuesto a posibles ataques desde Internet. La forma más eficaz de eliminar o al menos minimizar estos riesgos es permitir únicamente el acceso al router desde determinas direcciones IP públicas de confianza. En este artículo te explicamos cómo hacerlo.
Bloqueo de todo el tráfico entrante
Lo primero que deberemos hacer es bloquear por defecto todo el tráfico entrante desde Internet. Para ello iremos al menú Network – Firewall y seleccionaremos la opción Drop en Remote Input Policy.
Acceso de configuración remota desde direcciones IP específicas
Si ya tenemos el router instalado en una ubicación remota y queremos poder acceder a su configuración a través de web, Telnet o SSH, podemos habilitar ciertas direcciones en el apartado Whitelist rules de la misma página. Para ello pincharemos sobre el icono + para ir añadiendo entradas o direcciones IP públicas con acceso al router. La dirección se tiene que especificar en el formato X.X.X.X/XX incluyendo dirección y máscara. A cada entrada le podemos añadir una descripción puramente indicativa.
Acceso a equipos en la LAN del router a través de port forwarding
El acceso desde Internet (interfaz WAN) a los equipos en la LAN del router se realiza a través de dos mecanismos:
Portforwarding que se configura en el apartador Port Mapping rules en la pestaña NAT. Este mecanismo también llamado DNAT o Destination NAT permite redirigir los paquetes entrantes en el router hacia una dirección IP en la LAN específica basándose en el puerto de destino del paquete
Filtering rules: este mecanismo permite permitir o bloquear el tráfico entre el puerto WAN y LAN también en función en función de diferentes parámetros. Para un modo restrictivo o seguro del firewall se recomienda configurar la Default Filtering Policy como Drop y a continuación podemos crear reglas de filtrado específicas para aceptar tráfico entrante en el apartado inferior Filtering rules.
Para crear una nueva regla de filtrado pincharemos sobre el botón + y configuraremos los parámetros en la ventana que nos aparecerá a continuación. Podemos filtrar por dirección IP o MAC origen, por dirección IP destino o por tipo de tráfico (Todos/TCP/UDP/TCP+UD^/ICMP). Finalmente configuramos la acción sobre el tráfico que cumpla con los filtros que siempre debe ser la contraria a la configurada previamente como Default Filtering Policy. En nuestro ejemplo hemos bloqueado todo el tráfico por defecto y por tanto las reglas de filtrado permiten acceptar el tráfico que coincida con los filtros.
Las Filtering rules sólo aplican para el tráfico con destino la interfaz LAN. Por tanto no sirven para filtrar o bloquear el tráfico con destino el propio router como es el caso del acceso remoto de configuración web/Telnet/SSH o bien para el acceso remoto a los puertos serie configurados como TCP Server.
Acceso al puerto serie del router para determinadas direcciones IP públicas
Este punto nos permite bloquear el acceso al puerto serie de nuestro router cuando está configurado como servidor TCP en un puerto local como es el caso de la telemedida por IP de contadores eléctricos.
Se trata de un caso especial ya que no está cubierto por el Whitelist rules al no ser tráfico de configuración del router ni por el Filtering rules al no ser tráfico con destino a la LAN del router. Para configurar esta funcionalidad utilizaremos la configuración manual de entradas en el iptables del SO Linux del router a través de la pestaña Custom rules.
Para ello pincharemos en el botón + y escribiremos el texto de la entrada que queremos añadir. Es necesario conocer la sintaxis de los comandos iptables. A modo de ejemplo la regla siguiente permite aceptar las conexiones entrantes desde la IP origen 3.3.3.3 y con el puerto TCP destino 40001 que sería el que tendríamos configurado en el TCP server del puerto RS232 hacia el contador.
-I INPUT -s 3.3.3.3 -p tcp –dport 40001 -j ACCEPT
Al final recuerda que debes guardar los cambios realizados y aplicarlos en el router pinchando en el texto Save & Apply en la parte superior derecha de la página.
Nota: Hay una valoración incrustada en esta entrada, por favor, visita esta entrada para valorarla.
Los convertidores Maiwe Mport3101 y Mport3101-W permiten la conversión de protocolo entre redes Ethernet cableadas o WiFi y un puerto serie RS232/485/422 para la lectura remota de contadores eléctricos y dataloggers a través de IP.
En efecto, si disponemos en nuestra instalación de una red Ethernet cableada o WiFi con salida a Internet a través de un router o firewall con IP pública fija y accesible, podemos configurar los dispositivos Mport3101 como servidores TCP convirtiendo el tráfico IEC-870-5-102 de telemedida desde el exterior al puerto serie RS232 o RS485/422. Simplemente necesitaremos abrir el puerto de lectura del contador en nuestro router de acceso a Internet y redirigirlo a la dirección IP del convertidor.
El convertidor WiFi Mport3101-W puede configurarse como un cliente WiFi b/g/n en la banda de 2.4GHz que una vez conectado a la red WiFi de la instalación permite el acceso remoto al contador desde Internet. Basta con escanear las redes, entrar el password y fijar la IP del dispositivo dentro de la red.
Los Mport3101 disponen de varios modos de funcionamiento (TCP server, TCP client, UDP y RealCOM entre otros) y funcionalidades avanzadas como son el reinicio automático en caso de ausencia de tráfico serie o tráfico Ethernet evitando así posibles bloqueos y permaneciendo siempre operativos o la restricción de acceso al servidor web del equipo a una lista de direcciones IP. También pueden utilizarse como gateways de tráfico Modbus TCP a Modbus RTU/ASCII.
Si estás preocupado por tu seguridad al disponer de una IP pública que te abre al mundo exterior puedes intercalar un RUT300 o un RUTX08 entre el router y tu red y activar su firewall para bloquear los accesos entrantes de todas las IP públicas menos las que expresamente habilites (como las del SIMEL de REE u otros operadores de lectura). También puedes configurar en este router un servidor VPN para la conexión remota segura a tu red.
Nuestro partner QuWireless ha lanzado al mercado una nueva familia de antenas de exterior con protección IP67 y soporte 4G/5G especialmente diseñadas para su uso en entornos de baja recepción de señal.
Disponemos de versiones omnidireccionales (QuOmin) y direccionales (QuPanel) con tecnología MIMO 4×4 integrando en una única envolvente las 4 antenas necesarias para la conexión a nuestro router. Estas antenas no incluyen espacio interior para alojar el router y disponen de 4 cables coaxiales de bajas pérdidas con longitudes de 5m o 10m. También existen modelos sin los cables con conectores directamente en la carcasa de la antena.
Al no disponer de alojamiento interno, estas antenas pueden ser utilizadas con cualquier marca de router (Teltonika, Digi, Robustel, Cisco, Cradlepoint, etc).
Robustel acaba de publicar su catálogo de soluciones actualizado incluyendo los routers celulares y LoraWAN y soluciones Edge Computing gateways incluyendo tablas comparativas y un resumen detallado de todas las funcionalidades. También se incluyen detalles del SO RobustOS así como la plataforma RCMS para gestión remota de los dispositivos incluyendo la creación de VPNs a través de RobustVPN.
¿Alguna vez le ha resultado difícil elegir entre el RUT240 y el RUT360 para su solución IoT? A veces, la solución de red requiere más potencia y velocidades más altas para gestionar una gran carga de datos. Otras veces, la potencia y la velocidad no justifican el precio más alto, y un router 4G LTE más compacto y completo es la mejor opción. Es por eso que nos complace presentarles el nuevo RUT260: un router celular que toma las mejores partes de ambos dispositivos y establece un punto óptimo en el medio.
Elegir el router celular adecuado para sus soluciones de IoT industriales nunca es fácil. Los diferentes dispositivos ofrecen diferentes puntos fuertes, resuelven diferentes problemas y tienen diferentes precios.
A veces, su solución requiere más potencia y velocidades más altas para gestionar una gran carga de datos. Aquí es donde el enrutador Wi-Fi RUT360 responde a esas necesidades. Otras veces, la potencia y la velocidad no justifican el precio más alto, y un enrutador 4G LTE más compacto y completo como el RUT240 es la mejor opción.
Sin embargo, no todas las soluciones se sitúan claramente en alguno de los extremos del espectro. Algunas soluciones requieren un mayor rendimiento, por ejemplo, pero no necesitan mayores capacidades inalámbricas. Es posible que necesite más de lo que ofrece el RUT240, pero no tanto de lo que el RUT360 aporta a la mesa de IoT.
Si tan solo pudieras tener lo mejor de ambos mundos. . .
RUT260: lo mejor de ambos mundos
Lo mejor de ambos mundos es exactamente lo que ofrece la nueva incorporación a la cartera de productos de Teltonika Networks. Con el RUT240 en un extremo del espectro y el RUT360 en el otro, el nuevo router celular industrial RUT260 alcanza el punto óptimo en el medio.
Empecemos por la potencia. El RUT260 maneja LTE Cat 6 como un guerrero intrépido que se lanza al campo de batalla de la conectividad, capaz de alcanzar velocidades celulares de hasta 300 Mbps con agregación de bandas.
Esto es el doble de la velocidad del Cat 4 RUT240. Cat 6 ha sido la característica principal del RUT360 desde su presentación por primera vez, y el nuevo RUT260 seguramente honrará la reputación de su hermano mayor como un poderoso dispositivo de red.
Además, esta conectividad celular está protegida por el backup a través de la interfaz WAN (Failover), lo que hace que este router 4G LTE cambie automáticamente a una conexión de respaldo disponible si es necesario.
En el mundo de los dispositivos de red, más potencia a menudo significa comprometer el tamaño y el peso. Este no es el caso del RUT260, ya que fue diseñado específicamente para ser más compacto. Este router 4G pesa solo 130 gramos y mide 83 x 25 x 74 mm.
Estas son las mismas dimensiones que el RUT240, con la pequeña adición de 5 gramos. Por el contrario, el RUT360 pesa 247 gramos más con 100 x 30 x 85 mm. En otras palabras, el RUT260 tiene la potencia LTE Cat 6 del RUT360, pero es más pequeño y pesa casi un 50 % más.
Los detalles son lo que cuentan
Ahora que sabemos de qué se trata el RUT260, echemos un vistazo a algunos de los detalles más finos que lo diferencian de los otros dos routers celulares.
Primero están las capacidades inalámbricas. A diferencia del RUT360, que cuenta con 2 antenas Wi-Fi, el RUT260 tiene una sola antena. Esto significa que, si bien ambos routers 4G LTE cuentan con Wi-Fi 802.11 b/g/n, el RUT360 sigue siendo la mejor opción para las soluciones industriales de IoT que requieren una señal de Wi-Fi más robusta.
En segundo lugar, el RUT260 admite tecnologías 4G y 3G, pero no admite 2G. Esto lo hace inadecuado para aplicaciones antiguas y heredadas que dependen de 2G, donde en su lugar se puede utilizar RUT240 con gran efecto.
Más allá de eso, este enrutador 4G tiene algunas otras especificaciones clave que debes conocer. Se alimenta a través de una toma de corriente continua industrial de 4 pines a 9 – 30 VCC. Dispone de una entrada digital y una salida digital, y dos puertos Ethernet 10/100.
Este router celular admite una amplia variedad de protocolos industriales, incluidos MQTT, SNMP, Modbus y más. Es compatible con el sistema de gestión remota (RMS) de Teltonika Networks y equipa el más que probado sistema operativo de Teltonika RutOS.
Como es de esperar de los routers industriales de Teltonika Networks, el RUT260 viene en una robusta carcasa de aluminio con paneles de plástico y puede soportar vibraciones y temperaturas extremas de -40 °C a 75 °C, lo que lo convierte en la opción ideal para cualquier situación adversa.
Larga vida a la serie RUT2
Vale la pena recordar que el RUT240, un éxito de ventas de todos los tiempos, se encuentra ahora en su etapa de fin de vida útil. En concreto, a partir de agosto de 2023 ya no se podrá pedir. Si bien el RUT241 es su sucesor directo más cercano, el nuevo RUT260 ofrece mucho de lo que hizo que nuestros socios se enamoraran del RUT240, pero con potencia y velocidad adicionales.
El SMART roaming es una nueva tecnología disponible exclusivamente en los routers Robustel para aumentar la fiabilidad de la conexión celular (3G/4G) a los niveles requeridos por los proveedores de soluciones IoT y M2M.
Las tarjetas SIM multired/multioperador (también conocidas como roaming) se han propuesto a menudo como la solución a las comunicaciones GSM intermitentes, pero esto es solo la mitad de la historia, una historia que rara vez entienden o explican por completo quienes venden dichos productos.
El problema
En principio, las tarjetas SIM itinerantes o multioperador que dan acceso a todas las redes 2G, 3G y 4G en cualquier país parecen, en principio, una gran solución a las limitaciones de hacer una conexión a Internet celular a través de un solo operador de red (por ejemplo, Vodafone).
La cobertura finita y la posible congestión intermitente son los problemas clave que pueden causar tiempo de inactividad si se utiliza una SIM de red única en lugar de una de roaming. Sin embargo, usar una SIM multioperador es sólo una parte de la solución.
La selección de red es una función del hardware del router, NO de la tarjeta SIM, por lo que si bien una SIM itinerante parece una buena idea en principio, es posible usar una SIM multioperador y aun así encontrar que su dispositivo (router o módem) no conmuta a una red alternativa cuando se pierde la conectividad.
Los detalles completos del proceso que rige la ‘selección de red’ se describen en el estándar 3GPP TS 3GPP 23.122 que se puede descargar de ‘portal.3gpp.org’. Esto ayudará a explicar al lector más técnico los detalles completos y las limitaciones de la selección automática de red.
La solución
Todos los routers Robustel que admiten ‘Smart Roaming’ o ‘Smart Roaming v2’ se pueden configurar para verificar la pérdida de comunicaciones de datos móviles en la red actual y verse obligados a cambiar a una red alternativa en un corto período de tiempo. Esto puede ahorrar el coste de los desplazamientos a las instalaciones y brinda la tranquilidad de que ha implementado la metodología de comunicaciones de «más alta fiabilidad» para sus dispositivos antes de hacer despliegues de elevado número de unidades.
Smart Roaming comprueba no solo la intensidad de la señal, sino también los «tiempos de ping» y la «finalización del ping» para crear una imagen más completa de la conexión actual. Si la verificación de estado falla, el router evaluará dinámicamente la calidad de las redes alternativas y cambiará a la siguiente mejor si las comunicaciones se pierden o son de «baja calidad».
Smart Roaming v2 amplía la funcionalidad original que se centró únicamente en la resiliencia para permitir una manipulación más compleja de las SIM de roaming y, lo que es más importante, una prueba de velocidad integrada que permite a los usuarios realizar una evaluación en tiempo real de la calidad de la conexión a Internet.
Nuevas funcionalidades en Smart Roaming V2
Smart Roaming v1 original fue diseñado solo para la resiliencia. Si la selección automática de red hiciera algo ilógico/desfavorable, Smart Roaming anularía el proceso de selección de red incorporado e intentaría conmutar la conexión manualmente a otras redes para solucionar el problema. Para aplicaciones industriales con poca preocupación por las velocidades de datos, este mecanismo es suficiente. Una de las actualizaciones clave en Smart Roaming v2 es la capacidad de verificar las velocidades de transferencia de datos con una prueba de velocidad y cambiar manualmente (controlado por el usuario) a otra red si la red actual es demasiado «lenta». Este mecanismo se habilita por una función de selección de red y una función de prueba de velocidad, ambas controladas a través de la interfaz web del router.
Smart Roaming v2 también permite marcar redes como “preferidas”. Esta es una opción avanzada que sólo afecta a la selección automática de red, pero en algunas aplicaciones puede ser preferible cargar los dados de esta manera.
Smart Roaming v2 dispone de un botón «Olvidar RPLMN». Al hacer clic aquí, se borrará toda la memoria de la RPLMN, o «última red buena conocida», como se la conoce comúnmente. Al igual que el punto 2, esta es una opción avanzada que debe probarse bien con la SIM de destino antes de ser utilizada Eliminar el RPLMN (almacenado en la SIM) y luego reiniciar significa que el proceso de selección de red automática no se verá afectado por lo que sucedió anteriormente. En esencia, la selección automática de red tratará la SIM como si nunca antes se hubiera usado y, por lo tanto, elegirá redes de buena calidad después de un escaneo, al azar.
Control remoto completo. Todo lo que se puede hacer en la interfaz del router también se puede lograr de forma remota con comandos SMS. A continuación mostramos algunos ejemplos de comandos SMS:
En este artículos te mostramos una serie de videos en inglés elaborados por Teltonika Networks orientados a configurar aquellos aspectos de nuestro router que nos brinden una mayor seguridad antes posibles ataques tanto desde el exterior (Internet) como desde el interior (principalmente por WiFi).
Una red protegida comienza por un router resistente a los ataques
El router es la puerta de entrada a nuestra red. De nada sirve tener los terminales de nuestra red protegidos si no protegemos especialmente el router de acceso a la misma desde Internet.
Ubicación física, protocolos innecesarios y peculiaridades de DNS: estos son sólo algunos de los temas que nuestro jefe de seguridad cibernética, Deividas Vyšniauskas, analiza para hacer que su router esté mucho menos expuesto y sea más difícil de piratear. Y aunque el video cubre los aspectos básicos de la seguridad del router, es algo que todas las personas deberían saber y recordar, ya que la mayoría de estos aspectos a menudo se pasan por alto.
¿Cómo securizar el acceso a nuestra WiFi?
Compartir el acceso Wi-Fi es algo que todos hacemos, pero si no se hace de manera segura, puede estar cerca de invitar a los delincuentes a su casa. ¿Y quién querría eso? Ciertamente nosotros no, y como tampoco querríamos eso para ti, Deividas profundiza en las partes que se encuentran detrás de Wi-Fi en este video de 4 simples consejos sobre cómo asegurar tu Wi-Fi.
Deividas presenta cómo fortalecer su contraseña de Wi-Fi, así como la importancia de seleccionar las bandas de Wi-Fi correctas, el valor de usar WPA3 para el cifrado de red y por qué limitar el uso de Wi-Fi Protected Setup (WPS) y Universal Plug. and play (UPnP) puede mejorar la seguridad y reducir el riesgo de piratería. Como todo esto juega un papel crucial en la seguridad de Wi-Fi, es algo que definitivamente no debería perderse.
Un firewall para una red segura
Cuando se habla de la seguridad de la red, un Firewall es un elemento fundamental, ya que es una de las primeras barreras que encuentran los ciberdelincuentes cuando intentan acceder a su red. Actuando como un guardián, un Firewall determina si los paquetes de datos entrantes o salientes que pasan a través de una determinada ruta deben permitirse, rechazarse o descartarse, de acuerdo con su conjunto de reglas predefinidas.
En el siguiente video Teltonika nos explica los fundamentos de todo firewall y cómo actua filtrando todo el tráfico entrante y protegiendo nuestra red.
Y en el siguiente video Deividas nos brinda un tutorial detallado sobre cómo mejorar la seguridad de su VLAN, Wi-Fi y VPN con la ayuda de un Firewall. El video describe los casos de uso específicos de los tres servicios para garantizar que comprenda las razones detrás de cada paso, sin dejar lugar a malas interpretaciones o confusiones.
Este artículo es un resumen traducido del original en la web de Teltonika Networks. Puedes leer el artículo original en este enlace Improving your network´s security
Nota: Hay una valoración incrustada en esta entrada, por favor, visita esta entrada para valorarla.
Te presentamos el nuevo catálogo de Fiberroad que incluye sus conversores de medio y switches tanto en entorno industrial como comercial. En él encontrarás los detalles y especificaciones de cada modelo agrupados por familias así como los sistemas de gestión de red tanto SNMP como MQTT.
Por definición, DHCP Snooping es un mecanismo de seguridad que evita que usuarios maliciosos ataquen su red al interceptar o alterar mensajes entre clientes de red y servidores DHCP. Proporciona una capa adicional de protección contra la actividad maliciosa en su red y ayuda a protegerse contra posibles riesgos de seguridad. En esta publicación de blog, exploraremos qué es DHCP Snooping y por qué es importante usarlo. Veremos también como DHCP Snooping puede proteger su red de posibles amenazas y aprenderemos a configurarlo correctamente. Finalmente, veremos algunos de los beneficios de usar DHCP Snooping en su organización.
¿Qué es DHCP Snooping?
DHCP Snooping es una función de seguridad que se puede utilizar para evitar que dispositivos maliciosos falsifiquen mensajes DHCP e interrumpan la conectividad de la red. Funciona al examinar los mensajes DHCP y sólo permite aquellos mensajes que provienen de fuentes confiables. DHCP Snooping se puede utilizar en switches y router para proteger contra la suplantación de identidad del servidor DHCP, la suplantación de identidad del cliente y los ataques de denegación de servicio.
Es importante tener en cuenta que DHCP Snooping no es un mecanismo infalible. Hay formas en que los dispositivos malintencionados pueden eludir este mecanismo, por lo que no se debe confiar en ella como la única medida de seguridad para una red.
¿Cómo funciona el mecanismo DHCP Snooping?
Cuando DHCP Snooping está habilitado en un switch, éste examina los mensajes DHCP que recibe para saber qué direcciones IP se han asignado a qué hosts en cada una de sus redes conectadas. Luego, el conmutador crea una tabla de vinculación entre direcciones IP, direcciones MAC y puertos que utiliza para validar los mensajes DHCP posteriores.
Si el switch recibe un mensaje DHCP de un host que no está en su tabla de vinculación, el mensaje se descarta y el host no tiene acceso a la red. Esto evita que hosts maliciosos falsifiquen mensajes DHCP y obtengan acceso no autorizado a la red.
DHCP Snooping se puede utilizar en redes IPv4 e IPv6 y debemos añadir en su configuración la dirección IP del servidor DCHP para que sus paquetes sean agregados a dicha tabla de vínculos.
¿Qué ataques protege DHCP Snooping?
DHCP Snooping puede protegernos de los siguientes tipos de ataque:
IP Spoofing: este ataque sucede cuando alguien intenta enviar paquetes con una dirección IP de origen falsa. Puede usarse para realizar ataques de denegación de servicio (DDOS) para para acceder a recursos disponsibles sólo para determinadas direcciones IP
Man-in-the-Middle Attacks: en este tipo de ataques, alguien intenta interceptar y modificar el tráfico entre dos extremos. Puede usarse para sustraer información sensible o inyectar código malicioso en la comunicación.
Denial-of-Service Attacks: este ataque se produce cuando alguien intenta limitar la disponibilidad de un servicio inundándolo con gran número de peticiones o incluso dejándolo inservible al enviar peticiones con un formato incorrecto malintencionadamente.
Beneficios de DHCP Snooping
El uso de DHCP Snooping tiene múltiplex beneficios, incluida la mejora de la seguridad, la reducción del tiempo de indisponibilidad de la red y la reducción del consumo de ancho de banda. Al evitar que los servidores DHCP no autorizados entreguen información de dirección IP incorrecta, DHCP Snooping puede ayudar a mejorar la seguridad general de su red. Además, al garantizar que solo los servidores DHCP autorizados puedan entregar direcciones IP, DHCP Snooping puede ayudar a reducir la cantidad de tiempo que su red está inactiva en caso de un problema de servidores DHCP no autorizados. Finalmente, al limitar la cantidad de dispositivos que pueden recibir direcciones IP de un servidor DHCP no autorizado, DHCP Snooping puede ayudar a reducir la cantidad de ancho de banda consumido por esos dispositivos.
¿Cómo configurar DHCP Snooping?
Para configurar DHCP Snooping en un switch, debes habilitarlo en cada interfaz VLAN que desees proteger. Puedes hacer esto usando el siguiente comando:
(config) #ip dhcp snooping
Una vez que DHCP Snooping esté habilitado, deberás configurar una interfaz confiable. Esta es la interfaz que se utilizará para enviar y recibir paquetes DHCP. Puedes hacer esto usando el siguiente comando:
(config-if) #ip dhcp snooping trust
Finalmente deberás configurar la dirección IP del servidor DHCP. Esto se puede hacer usando el siguiente comando:
(config-if)#ip dhcp snooping server X.X.X.X
Configuración a través del interfaz web
Configuración web de DHCP Snooping en switches Fiberroad
¿Qué es la opción DHCP?
La opción DHCP es una característica del protocolo DHCP que permite a los clientes DHCP solicitar información adicional del servidor DHCP. Opcionalmente, un cliente puede solicitar que el servidor proporcione esta información en un formato u orden particular.
Por ejemplo, un cliente puede solicitar que el servidor proporcione la dirección del servidor DNS en una opción de DHCP. Alternativamente, un cliente puede solicitar que el servidor proporcione todas las opciones en orden alfabético.
El protocolo DHCP define docenas de opciones que pueden ser útiles para los clientes y, a menudo, se agregan nuevas opciones a medida que surgen nuevas necesidades. Algunas de las opciones más utilizadas incluyen:
Option 1: Subnet Mask
Option 2: Broadcast Address
Option 3: Router (Default Gateway)
Option 6: Domain Name Server (DNS) -Option 12: Host Name
Option 15: Domain Name
Option 28: Broadcast Address for IPv6
Option 43: servidores y clientes DHCP usan Option 43 para intercambiar información propietaria del fabricante.
Option 82: Option 82 es una opción para un agente relay. Guarda la información de localización del cliente DHCP. Cuando un agente con DHCP relay o DHCP Snooping recibe un petición de un cliente DHCP, añade la Option 82 a la petición y la reenvía al servidor DHCP.
No todas estas opciones serán relevantes o necesarias para todos los clientes. Por ejemplo, la Opción 6 solo es relevante para clientes que usan DNS, mientras que la Opción 28 solo es relevante para clientes que usan IPv6.
Conclusión
En conclusión, DHCP Snooping es una función de seguridad poderosa que puede ayudar a proteger su red de ataques maliciosos. Le permite controlar qué dispositivos están permitidos en la red y a qué tipo de tráfico pueden acceder. Esto ayuda a mantener su red segura y confiable al evitar el acceso no autorizado y reducir la posibilidad de fuga de datos u otras vulnerabilidades. Con estos beneficios en mente, está claro que configurar DHCP Snooping debe ser una parte importante de la estrategia de seguridad de cualquier administrador de red.
Nota: Hay una valoración incrustada en esta entrada, por favor, visita esta entrada para valorarla.
Con soporte para Docker Container.
