¿Cómo elegir una VPN para mi servicio IoT/M2M?

¿Cómo elegir una VPN para mi servicio IoT/M2M?

¿Cómo elegir una VPN para mi servicio IoT/M2M? 696 449 IoT Projects

Para elegir una VPN para mi servicio IoT/M2M existen básicamente 2 posibilidades para velar por la seguridad de las comunicaciones.

La primera opción consiste en montar nosotros mismos una red privada VPN entre nuestro servidor y nuestros dispositivos M2M/IoT.  Se encriptan entonces los datos entre el dispositivo M2M/IoT y el servidor IoT con un cliente VPN en cada uno de nuestros dispositivos. En ese caso se construye un túnel entre el dispositivo y el servidor principal. 

La desventaja de esta solución es que necesitamos que el dispositivo M2M/IoT tenga la capacidad de ejecutarel cliente VPN y no es siempre posible por la naturaleza de nuestro dispositivo IoT. Puede resultar por ejemplo que el dispositivo tenga una capacidad limitada de procesamiento. O que tengamos que cuidar mucho el dispositivo para no gastar batería. O simplemente porque se trata de un sensor.

La otra pega es que el cifrado de las comunicaciones consume MB extra en la comunicación con el operador (con un pequeño sobrecoste subyacente).

La segunda opción para elegir una VPN para mi servicio IoT/M2M consiste en contratar una red privada con el operador de telefonía. En ese caso no se requiere ninguna instalación en el dispositivo M2M/IoT. Simplemente aprovechamos los mecanismos del operador para proteger nuestras comunicaciones.

Funciona de la siguiente manera:

El dispositivo M2M/IoT está enganchado a la red del operador a un determinado servidor llamado APN (Access Point Node). Desde ese servidor se construye un túnel IP para encriptar las comunicaciones hacía nuestro servidor principal. De hecho, será ese él que decida o no la salida a Internet.

Red privada de datos sin salida a Internet

Los dispositivos M2M/IoT se conectan a la red mediante otro túnel propio de la red GPRS (en el esquema lo denominamos GTP). En ese caso, si un hacker pusiera una estación base pirata para interceptar nuestros paquetes IP no podría craquearlos al desconocer el cifrado del túnel IPSec.

La ventaja de esta solución reside en qué se aprovechan los mecanismos del operador para proteger nuestras comunicaciones. Por ejemplo, si la red sufriera un ataque por denegación de servicio no alcanzaría nuestros dispositivos al contar el operador en su red con los mecanismos correspondientes de protección.

La salida a Internet se puede controlar desde nuestro servidor M2M/IoT con el cortafuego apropiado pero podemos también utilizar el cortafuego del operador. En ese caso tendríamos la siguiente opción:

Red privada de datos con salida a Internet

El cortafuego del operador que se encarga de controlar los accesos a Internet. Por ejemplo realiza lo que denominamos las traducciones NAT entre las IP privadas de nuestra red de datos y las IPs que viajan en Internet.

El mecanismo NAT consiste en “camuflar” la IP de nuestro plan de numeración privado en una IP pública. De este modo un paquete IP de datos que sale a Intenet nunca contiene una dirección privada.

Dejar una Respuesta