News und Presse
Internet of (every-)thing / Ein offener Ansatz zum Thema IoT

Eine neue Nano Box als ARM-basierte IoT-Appliance zum Einsatz als Firewall, Router, (VPN-) Gateway, Edge Controller und/oder WLAN AP. Sie wird in einem industriellen Aluminiumgehäuse in einem kleinen Formfaktor geliefert und kann überall dort installiert werden, wo Sie eine Netzwerkverbindung benötigen. Das System widersteht großer Hitze und Kälte, um auch unter härtesten Bedingungen zu laufen.
  Whitepaper IoT Nano Box Projekt

Einsatz

Die Nano Box ist zum Einsatz als Firewall, Router, (VPN-) Gateway, Edge Controller und/oder WLAN AP geeignet.
Sie wird in einem industriellen Aluminiumgehäuse in einem kleinen Formfaktor geliefert und kann überall dort installiert werden, wo Sie eine Netzwerkverbindung benötigen. Das System widersteht großer Hitze und Kälte, um auch unter härtesten Bedingungen zu laufen. Als Anwender sind Industriebetriebe angesprochen, die auf Ihrem Weg hin zu Industrie 4.0 Unterstützung suchen. Aber auch kleinere Betriebe, die beispielsweise Umgebungsdaten Ihres Serverraums monitoren oder eine Maschine fernwartbar machen wollen sind ebenso adressiert wie Anwender, die sich mit Home-Automation beschäftigen.

Motivation

Seit Jahrzehnten werden Daten über System-, Gebäude- und Ländergrenzen hinweg ausgetauscht. Es liegt in der Natur des Internetprotokolls, dass an diesem Datentransfer nicht nur Menschen, sondern eben auch „Things“ beteiligt sind. Das ist weder neu noch bedarf es dazu einer speziellen Technologie. Neu ist jedoch, dass immer sensiblere und kritische Daten über das Internet übertragen werden. Neu ist auch, dass die Anzahl der „smarten“ Geräte und die von ihnen produzierten Daten rapide steigen. So ist es nicht unüblich, dass Geräte bis hinunter zu einem einzelnen Sensor Daten beispielsweise in eine Cloud übertragen. Dort werden diese Daten gesammelt, gespeichert, korreliert und statistisch ausgewertet um, beispielsweise nach dem Konzept der „predictive maintenance“, Ausfälle von Anlagen oder Anlagenteilen vorhersagen zu können und ungeplante Ausfälle zu vermeiden.
Das ist nur eines von unzähligen Szenarien, die man der Überschrift „IoT“ unterordnen kann. Allen gemein ist, dass häufig gewaltige Einsparungen durch Effizienzsteigerung und Prozessverbesserung möglich sind.
Auf der anderen Seite steht, dass es große Herausforderungen auf Seiten der IT-Infrastruktur und vor allem der IT-Security gibt. Darüber hinaus gilt es die Komplexität sowohl bei der Implementierung als auch beim Betrieb eines IoT Netzes so einfach wie möglich zu halten. Sonst besteht die Gefahr, auf der einen Seite Kosten einzusparen, die auf der anderen Seite durch erhöhte Betriebskosten wieder aufgefressen werden.
Ähnlich verhält es sich mit der Kosten/Nutzen – Betrachtung hinsichtlich TCO und der zu erwartenden Einsparung im geplanten Nutzungszeitraum. Auch die beste Lösung bringt nichts wenn sie zu teuer ist.
Letztlich gilt es noch die Risiken einer möglichen Abhängigkeit zu Herstellern zu betrachten. Proprietäre Lösungen sind nicht nur hinsichtlich möglicher Sicherheitsmängel äußerst kritisch zu betrachten. Closed-Source Software läuft oft nur auf „zertifizierter“ Hardware und ist selbst in der Regel weder anpassbar noch austauschbar.
Aus dieser – hier grob umrissenen - Grundsituation heraus haben wir uns bei TX-Team und LightningWireLabs mehr als ein Jahr Zeit genommen um sukzessive eine Anforderungsliste für eine All-in-one-Lösung zu erarbeiten, die diesem Komplex aus technischen und wirtschaftlichen Erfordernissen gerecht wird und Schwachstellen aktueller Lösungen vermeidet.

Technische Umsetzung

Es sollte ein leichtgewichtiges System geschaffen werden, das sich direkt in bestehende Strukturen integrieren lässt. Internet of (every-)thing: Ein offener Ansatz zum Thema IoT Funktional soll das System als Firewall, Router, (VPN-) Gateway, Edge Controller und/oder WLAN AP arbeiten können. Wobei die Performance für kleinere, mit bis zu 100 Mbit/s angebundene Netze ausreichen muss. Die Konnektivität soll sich dabei nicht auf einen LAN und einen WAN-Port beschränken, sondern auch WLAN und LTE – Verbindungen, sowie die Anbindung von Sensoren, ermöglichen. Einer der wichtigsten Entwicklungsziele war darüber hinaus die entsprechend robuste Auslegung der Hardware um eine Industrie-taugliche, wartungsfreie und langlebige Lösung zu erhalten.

Die wesentlichen Anforderungen im Detail

- Mind. 2X 100 Mbit LAN (nominell)
- Mind. Dual-Core CPU oder SoC / 1.2 GHz (lüfterlos)
- Mind. 512 RAM
- Mind. 8 GB eMMC oder Flashspeicher
- Max. Leistungsaufnahme < 5W
- Weitbereichs-Spannungseingang
- Mind. 4 GPIOs
- Bussystem I²C und/oder SPI
- Erweiterungsmöglichkeit für Standard - WLAN-Modul
- Erweiterungsmöglichkeit für Standard – Mobilfunk Modul
- Gut gepflegtes Linux-basiertes OS
- Vollwertige VPN- und Firewall Funktionalität
- Zielverkaufspreis: < 150 EUR / St.

Leistungsdaten IPFire NanoBox
  System
Processor Quad-Core Cortex-A7 @ 1.2 GHz
Memory 512 MB DDR3
  Interfaces
Ethernet 2x Fast Ethernet RJ45
WiFi optional (802.11abgn up to 300 MBit/s)
LTE/3G/GSM optional (Huawei ME909u-521)
Ports 1x USB 2.0 Typ A
1x PhoenixContact MSTBA12
header: 6x GPIO, serial console
  Misc.
Dimensions 120x80x50 mm
Case Anodised aluminium, IP50, passively-cooled
Op. Temp. Range -20..60°C
Input Voltage Wide-Band, 12-24V
Power Consumption ~2W

Herzstück des Systems ist das pITX Motherboard sowie das damit verbundene System-on-Module (SOM), welches im Wesentlichen den ARM SoC enthält. Den grundsätzlichen Aufbau zeigt schematisch Abb. 1.

Abbildung 1: Motherboard (unbestücktes PCB)

Die Leistungsaufnahme liegt im normalen Betrieb bei 2W. Die folgende Abb. 2 zeigt einen Verlauf über 4 Stunden. Die Messung beginnt mit rund 1,2W im Idle und bleibt unter synthetischer Vollast auf ca. 2,4W im Mittel.

Abbildung 2: Leistungsaufnahme

Alle vorhandenen Steckverbindungen für SOM, Peripherie und Erweiterungskarten sind vibrationsfest ausgeführt. Durch die ausschließliche Verwendung von Bauteilen, die den hohen Anforderungen für den Fahrzeugbau erfüllen, resultiert der hohe Temperaturbereich von -20 .. 60°C.
Spannungsschwankungen, die durch elektromagnetische Störungen, Schwankungen der Netzspannung oder schneller Lastwechsel mit großen Amplituden entstehen können, gleicht der integrierte DC-DC Wandler in einem weiten Bereich aus.
Diese Eingangsschaltung vereinfacht darüber hinaus die Speisung aus alternativen Quellen, wie etwa Solarenergie.
Das Gehäuse besteht aus zwei stabilen Aluminiumhalbschalen, die im Stranggussverfahren hergestellt und anschließend eloxiert werden. Die Kühlrippen sorgen für eine große Oberfläche und geben die Verlustleistung per Konvektion und Wärmestrahlung an die Umgebung ab. Durch den direkten Kontakt der Hotspots zum Aluprofilgehäuse wird ein geringes ΔT zwischen Wärmequelle und -senke erreicht und damit ein hoher Betriebstemperaturbereich realisiert. Front- und Rückplatten werden aus 2 mm dickem Aluminium gefräst und ebenfalls eloxiert.
Wand-, VESA-, DIN-Schienenmontage ist mit optionalem Zubehör möglich.

Abbildung 3: Gehäuse

Alle Teile werden in Deutschland entwickelt und gefertigt. Einzige Ausnahme ist das SOM, welches aus China importiert wird.
Das Betriebssystem wird überwiegend in Deutschland und Großbritannien entwickelt. IPFire hat eigens für das NanoBox - Projekt einen neuen Entwicklungszweig erstellt und eine Portierung auf die ARM v7 Architektur durchgeführt. In diese Entwicklung sind u.A. Verbesserungen des LAN-Treibers und Anpassungen des Bootloaders U-Boot eingeflossen. Auch ein neues Softwarepaket namens „wiringNP“ wurde neu eingebunden. Diese Bibliothek ermöglicht die einfache Nutzung der GPIOs und des I²C – Buses direkt über die Konsole.
Der Folgende Sample-Code zeigt wie einfach die Bibliothek zu nutzen ist. Per Shell Skript wird ein LED Blinklicht an GPIO7 realisiert. In Verbindung mit einem Cron-Job lassen sich so kinderleicht Aufgaben automatisieren.

Abbildung 4: Beispielcode „blinkende LED“

Für die Zukunft ist zusätzlich die Integration von Node-RED geplant. Node-RED stellt eine eigene Weboberfläche zur grafischen Programmierung mittels Flow Charts zur Verfügung und stellt damit eine ideale Ergänzung zu WiringNP dar.

Opensource Hard- und Software

IPFire basiert auf Linux from Scratch und steht unter der GPL. IPFire kann ohne Einschränkungen angepasst und verändert werden.
Der große Vorteil offener Software ist, dass der Quellcode eingesehen werden kann. Der Linux-Kernel selbst gilt als sicher, auch was etwaige Backdoors angeht.
Ähnliches lässt sich über die Hardware der NanoBox sagen. Der eingesetzte ARM Cortex-A7 SoC, sowie der Realtek LAN-Controller beinhalten keine kritische, undokumentierte Firmware. Darüber hinaus ist diese ARM – Architektur frei von Meltdown und Spectre, da sie über keine Out-of-orderexecution verfügt.
Eine Offenlegung der Baupläne unter einer Creative Commons – Lizenz ist in Planung. Das bedeutet für den Nutzer maximale Hersteller-unabhängigkeit sowie die Möglichkeit – analog zum Betriebssystem – Anpassungen und Änderungen an der Hardware selbst vorzunehmen.

Fazit

IoT ist ein Trendthema, das drei potenzielle Probleme mit sich bringt: - Aus Angst vom Wettbewerb abgehängt zu werden wird auf Seite der Anwender in IoT investiert ohne dem eine hinreichende Kosten- / Nutzenanalyse voranzustellen.

- Auf der Seite der Lösungsanbieter tauchen aus dem selben Grund Systeme und Dienstleistungen auf, die keinen Mehrwert bringen.
- Die IT-Sicherheit wird durch ungünstige Lösung oder schlechte Implementierung herabgesetzt

Das NanoBox – Projekt bietet eine ausgereifte Lösung, die keinerlei Kompromisse hinsichtlich Sicherheit macht. Sie ist damit ideal auf die Anforderungen von IoT – Applikationen abgestimmt, aber nicht auf dieses Feld beschränkt. Durch Verwendung des standardisierten, und in Masse hergestellten SOM bleiben die Stückkosten unter der Zielsetzung von 150 EUR. Das macht die NanoBox zu einer interessanten Lösung für einen großen Bereich an Anwendungen – auch als Ersatz für Billigrouter, wie sie häufig von Internetprovidern zur Verfügung gestellt werden.
Es gibt keine Abhängigkeiten zu Technologien oder Herstellern und die Investition pro Gerät ist minimal. Da es sich um eine ready-to-use Lösung handelt, ist ein direkter Einstieg – ohne Einarbeitung oder Schulungsmaßnahmen – möglich. Daher eignet sich die NanoBox auch als Prototyping-Plattform, beispielsweise um schnell und einfach ein proof-ofconcept durchzuführen.
Abschließend bleibt zu sagen: DAS IoT – Projekt gibt es natürlich nicht. Die Anforderungen und auch die Voraussetzungen unterscheiden sich.
Wie bereits unter Punkt 3 angesprochen ist eine der Ideen hinter dem NanoBox – Projekt eine sofort nutzbare Technologie zur Verfügung zu stellen, die aber in weiten Teilen anpassbar und erweiterbar ist – sofern das notwendig ist. Durch den offenen Ansatz entscheiden Sie ob und in welchem Umfang Sie Individualisierungen vornehmen. Für alles Andere stehen wir Ihnen von LWL und TX-Team mit Dienstleistungen rund um die Themen Networking sowie Softund Hardwareentwicklung zur Verfügung.

Aktuelle Informationen zum NanoBox – Projekt erhalten Sie gerne auf Anfrage oder auf der offiziellen Wiki-Seite:
https://wiki.ipfire.org/hardware/lightningwirelabs/nano

LightningWireLabs GmbH TX-Team GmbH
Gerhardstrasse 8 Nonnenwaldstrasse 25
45711 Datteln 82377 Penzberg
www.lightningwirelabs.com www.tx-team.de

LWL bietet Security Appliances und vielfältige Dienstleistungen rund um IT-Sicherheit und Networking an. LWL ist maßgeblich an der Entwicklung von IPFire beteiligt und bietet neben Security Appliances Schulungen, Softwareentwicklung und ITDienstleistungen an.

TX-Team ist Hardware-Partner von IPFire und Hersteller von industriellen PC-Systemen und hochwertiger IT für Unternehmen. Das Dienstleistungsspektrum umfasst die Entwicklung und Fertigung mechanischer, elektronischer und mechatronischer IT-Komponenten sowie vollständiger Systeme und Lösungen.