• Header1
  • Header2

Existen básicamente 2 posibilidades para velar por la seguridad de las comunicaciones M2M en un servicio IoT (Internet de las Cosas).

La primera opción consiste en montar nosotros mismos una red privada VPN entre nuestro servidor y nuestros dispositivos IoT.  Se encripta entonces los datos entre el dispositivo IoT y el servidor IoT con un cliente VPN en cada uno de nuestros dispositivos. En ese caso se construye un túnel entre cada uno de nuestros dispositivos y el servidor principal. 

VPN Opcin 1

La desventaja de esta solución es que necesitamos que el dispositivo M2M tenga la capacidad de ejecutar los mecanismos de protección de las comunicaciones y no es siempre posible por la naturaleza de nuestro dispositivo IoT. Puede resultar por ejemplo que el dispositivo tenga una capacidad limitada de procesamiento. O que tengamos que cuidar mucho el dispositivo para no gastar batería.

La otra pega es que el cifrado de las comunicaciones consume MB extra en la comunicación con el operador (con el sobrecoste subyacente).

La segunda opción consiste en contratar una red privada con el operador de telefonía. En ese caso no se requiere ninguna instalación en el dispositivo IoT. Simplemente aprovechamos de los mecanismos del operador para proteger nuestras comunicaciones.

Funciona de la siguiente manera:

El dispositivo IoT está enganchado a la red del operador y la salida a Internet se produce en un determinado servidor llamado APN (Access Point Node). Desde ese servidor se construye un túnel IP para encriptar las comunicaciones hacía nuestro servidor principal. De hecho, será ese él que decida o no la salida a Internet.

VPN Opcin 2

Los dispositivos IoT se conectan a la red mediante otro túnel propio de la red GPRS (en el esquema lo denominamos GTP). En ese caso, si un hacker pusiera una estación base pirata para recibir nuestros paquetes IP no podría interpretarlos al desconocer el cifrado del túnel IpSec.

La ventaja de esta solución reside en qué se aprovechan los mecanismos del operador para proteger nuestras comunicaciones M2M. Por ejemplo, si la red sufriera un ataque por denegación de servicio no alcanzaría nuestros dispositivos al contar el operador en su red los mecanismos correspondientes de defensa.

La salida a Internet se puede controlar desde nuestro servidor IoT con el cortafuego apropiado pero podemos también utilizar el cortafuego del operador. En ese caso tendríamos la siguiente opción:

VPN Opcin 3

El cortafuego del operador que se encarga de controlar los accesos a Internet. Por ejemplo realiza lo que denominamos NAT. 

El mecanismo NAT consiste en "camuflar" la IP de nuestro plan de numeración privado en una IP pública. De este modo un paquete IP de datos que sale a Intenet nunca contiene una dirección privada.