We kennen allemaal de grote Chinese Muur. Minder zichtbaar maar net zo aanwezig is de grote Chinese Firewall, officieel bekend als het ‘Golden Shield Project’. Deze wordt door de Chinese overheid ingezet om toegang tot informatie of internet diensten te beperken of te blokkeren waarvan de overheid acht dat het schadelijk is.
In de afgelopen jaren heeft China de technologie achter de grote Chinese Muur verder ontwikkeld om ook Virtual Private Network (VPN) verbindingen te blokkeren (in de praktijk werden VPN verbindingen veelal gebruikt om de grote Chinese Firewall te omzeilen).
Probleem voor remote service
Als gevolg van deze firewall kunnen machinebouwers en system integrators echter geen VPN verbindingen meer inzetten om op afstand service te verlenen op machines in China. Deze bedrijven zijn nu beperkt in het verlenen van service, onderhoud of ondersteuning op afstand voor hun machines of robots met behulp van een beveiligde VPN verbinding naar China.
Dit was ook het geval voor een Nederlandse machinefabrikant. Door gebruik te maken van de IXrouter van Ixon is deze gewend om zijn machines op afstand te beheren om snelle en betrouwbare service te verlenen aan klanten wereldwijd. Omdat het bedrijf niet langer op afstand toegang had tot de PLC’s, HMI’s of andere op het netwerk aangesloten hardware van zijn machines in China, kon het klanten in China niet langer dezelfde servicestandaarden te bieden. Het probleem werd voorgelegd aan Ixon, fabrikant van de IXrouter.
Omzeilen firewall
Zodra de grote Chinese Firewall OpenVPN data detecteert, wordt deze verbinding geblokkeerd. Na
diverse mogelijkheden te hebben getest bleek het gebruik van stunnel uitkomst te bieden. Stunnel is een open source multi-platform computer programma dat wordt gebruikt om een universele TLS/SSL tunnelservice op te bouwen. Met stunnel worden de OpenVPN datapakketten in het geheel nogmaals versleuteld.
De stunnel verbinding tussen de IXrouter en de IXserver kan enkel worden gebruikt voor het versturen en ontvangen van service data voor de machine. Omdat deze verbinding niet geschikt is voor reguliere internetdoeleinden maakt het tot een alternatief dat wel wordt toegelaten.
In samenwerking met een lokale partner in China werd getest of de IXrouter vanuit China een beveiligde verbinding op kon stellen met de bijbehorende IXserver in Europa. Deze testen bleken succesvol waardoor de machinefabriek zijn klanten wereldwijd wederom snelle en lokale service op afstand kan bieden. Ook in China.
