Janitza Защитена TCP или IP връзка за UMG 508 Ръководство за потребителя
Сигурна TCP или IP връзка Janitza за UMG 508

Съдържание скрий се
1 генерал
2 Сигурна TCP/IP връзка
3 Промяна на паролата
4 Настройки на защитната стена
5 Показване на парола
6 Парола за начална страница
7 Modbus TCP/IP комуникационна сигурност
8 Modbus RS485 комуникационна сигурност
9 Комуникационна сигурност “UMG 96RM-E”.
10 поддръжка
11 Документи / Ресурси
11.1 Референции
12 Свързани публикации

генерал

Авторско право

Това функционално описание е предмет на законовите разпоредби за защита на авторските права и не може да бъде фотокопирано, препечатано, възпроизвеждано или по друг начин дублирано или повторно публикувано изцяло или частично чрез механични или електронни средства без правно обвързващо писмено съгласие на

Janitza electronics GmbH, Vor dem Polstück 6, 35633 Lahnau, Германия

Търговски марки

Всички търговски марки и произтичащите от тях права са собственост на съответните притежатели на тези права.

Отказ от отговорност

Janitza electronics GmbH не поема отговорност за грешки или дефекти в това функционално описание и не поема задължение да поддържа съдържанието на това функционално описание актуално.

Коментари към ръководството

Вашите коментари са добре дошли. Ако нещо в това ръководство изглежда неясно, моля, уведомете ни и ни изпратете имейл на: info@janitza.com

Значение на символите

В това ръководство се използват следните пиктограми:

Предупредителна икона Опасен томtage!
Риск от смърт или сериозно нараняване. Изключете системата и устройството от захранването преди започване на работа.

Предупредителна икона внимание!
Моля, вижте документацията. Този символ има за цел да ви предупреди за възможни опасности, които могат да възникнат по време на монтаж, пускане в експлоатация и употреба.

Икона за бележка Забележка

Сигурна TCP/IP връзка

Комуникацията с измервателните уреди от серията UMG обикновено се осъществява чрез Ethernet. За тази цел измервателните уреди предоставят различни протоколи със съответните портове за връзка. Софтуерни приложения като GridVis® комуникират с измервателните устройства чрез FTP, Modbus или HTTP протокол.

Тук все по-важна роля играе мрежовата сигурност във фирмената мрежа.

Това ръководство има за цел да ви помогне при сигурното интегриране на измервателните устройства в мрежата, като по този начин ефективно защитава измервателните устройства от неоторизиран достъп.

Ръководството се отнася за фърмуер > 4.057, тъй като са направени следните HTML промени:

  • Подобряване на изчислението на предизвикателството
  • След три неправилни влизания IP (на клиента) се блокира за 900 секунди
  • Ревизирани са настройките на GridVis®
  • HTML парола: може да се задава, 8 цифри
  • HTML конфигурация с възможност за пълно заключване

Ако измервателното устройство се използва в GridVis®, са налични няколко протокола за свързване. Стандартен протокол е FTP протоколът – т.е. GridVis® чете files от измервателното устройство през FTP порт 21 със съответните портове за данни 1024 до 1027. В настройката “TCP/IP” връзката се осъществява незащитена чрез FTP. Сигурна връзка може да бъде установена с помощта на типа връзка „TCP защитена“.

Фиг.: Настройки за типа връзка под „Конфигуриране на връзка
Сигурна TCP/IP връзка

Промяна на паролата

  • За защитената връзка са необходими потребител и парола.
  • По подразбиране потребителят е admin, а паролата е Janitza.
  • За сигурна връзка паролата за администраторски достъп (admin) може да бъде променена в менюто за конфигурация.

стъпка

  • Отворете диалоговия прозорец „Конфигуриране на връзката“.
    Example 1: За да направите това, използвайте бутона на мишката, за да маркирате съответното устройство в прозореца на проекта и изберете „Конфигуриране на връзката“ в контекстното меню на десния бутон на мишката
    Example 2: Щракнете двукратно върху съответното устройство, за да отворите надписаview прозорец и изберете бутона „Конфигуриране на връзката“.
  • Изберете типа връзка „TCP защитена“
  • Задайте хост адреса на устройството
  • Попълнете потребителското име и паролата.
    Фабрични настройки:
    Потребителско име: admin
    Парола: Яница
  • Задайте елемента от менюто „Шифровано“.
    След това се активира AES256-битово криптиране на данните.

Фиг.: Конфигуриране на връзката на устройството
Промяна на паролата

стъпка 

  • Отворете прозореца за конфигурация
    Example 1: За да направите това, използвайте бутона на мишката, за да маркирате съответното устройство в прозореца на проекта и изберете „Конфигурация“ в контекстното меню на десния бутон на мишката
    Example 2: Щракнете двукратно върху съответното устройство, за да отворите надписаview прозорец и изберете бутона „Конфигурация“.
  • Изберете бутона „Пароли“ в прозореца за конфигурация. Променете администраторската парола, ако желаете.
  • Запазете промените с прехвърлянето на данните към устройството (бутон „Прехвърляне“)

Предупредителна икона внимание!
НЕ ЗАБРАВЯЙТЕ ПАРОЛАТА ПРИ НИКАКВИ ОБСТОЯТЕЛСТВА. НЯМА ГЛАВНА ПАРОЛА. АКО ПАРОЛАТА Е ЗАБРАВЕНА, УСТРОЙСТВОТО ТРЯБВА ДА БЪДЕ ИЗПРАТЕНО ВЪВ ФАБРИКАТА!

Икона за бележка Паролата на администратора може да бъде с дължина максимум 30 цифри и може да се състои от цифри, букви и специални знаци (ASCII код 32 до 126, с изключение на знаците, изброени по-долу). Освен това полето за парола не трябва да остава празно.
Не трябва да се използват следните специални знаци:
” (код 34)
\ (код 92)
^ (код 94)
` (код 96)
| (код 124)
Интервал (код 32) е разрешен само в паролата. Не е разрешен като първи и последен знак.
Когато сте актуализирали до версия на GridVis® > 9.0.20 и използвате един от специалните символи, описани по-горе, ще бъдете подканени да промените паролата според тези правила, когато отворите конфигуратора на устройството.

Икона за бележка Описанието „Промяна на паролата“ с неговите правила за парола се отнася и за тип връзка „HTTP защитена“.

Фиг.: Конфигуриране на пароли
Промяна на паролата

Настройки на защитната стена

  • Измервателните устройства имат интегрирана защитна стена, която ви позволява да блокирате портове, които не са ви необходими.

стъпка

  • Отворете диалоговия прозорец „Конфигуриране на връзката“.
    Example 1: За да направите това, използвайте бутона на мишката, за да маркирате съответното устройство в прозореца на проекта и изберете „Конфигуриране на връзката“ в контекстното меню на десния бутон на мишката
    Example 2: Щракнете двукратно върху съответното устройство, за да отворите надписаview прозорец и изберете бутона „Конфигуриране на връзката“.
  • Изберете типа връзка „TCP защитена“
  • Влезте като администратор

Фиг.: Конфигуриране на връзката на устройството (администратор)
Настройки на защитната стена

стъпка 

  • Отворете прозореца за конфигурация
    Example 1: За да направите това, използвайте бутона на мишката, за да маркирате съответното устройство в прозореца на проекта и изберете „Конфигурация“ в контекстното меню на десния бутон на мишката
    Example 2: Щракнете двукратно върху съответното устройство, за да отворите надписаview прозорец и изберете бутона „Конфигурация“.
  • Изберете бутона „Защитна стена“ в прозореца за конфигурация.
    Фиг.: Конфигурация на защитната стена
    Настройки на защитната стена
  • Защитната стена се включва чрез бутона „Защитна стена“.
    • От версия X.XXX това е настройката по подразбиране.
    • Тук можете да деактивирате протоколи, които не ви трябват.
    • Когато защитната стена е включена, устройството позволява заявки само по протоколите, активирани във всеки случай
      протоколи Порт
      FTP Порт 21, порт за данни 1024 до 1027
      HTTP Порт 80
      SNMP Порт 161
      Modbus RTU Порт 8000
      Отстраняване на грешки ПОРТ 1239 (за сервизни цели)
      Modbus TCP/IP Порт 502
      BACnet Порт 47808
      DHCP UTP порт 67 и 68
      NTP Порт 123
      Име на сървъра Порт 53
  • За елементарна комуникация с GridVis® и чрез началната страница ще са достатъчни следните настройки:
    Фиг.: Конфигурация на защитната стена
    Настройки на защитната стена
  • Но моля, избирайте внимателно затворените портове! В зависимост от избрания протокол за връзка, може да е възможна комуникация само чрез HTTP, напрampле.
  • Запазете промените с прехвърлянето на данните към устройството (бутон „Прехвърляне“)

Показване на парола

  • Конфигурацията на устройството чрез ключовете на устройството също може да бъде защитена. Т.е. само след въвеждане на парола е възможна конфигурацията. Паролата може да бъде зададена на самото устройство или чрез GridVis® в прозореца за конфигурация.

Предупредителна икона Паролата за показване трябва да е с дължина максимум 5 цифри и да съдържа само цифри.

Фиг.: Задаване на парола за дисплея
Показване на парола

Процедура: 

  • Отворете прозореца за конфигурация
    Example 1: За да направите това, използвайте бутона на мишката, за да маркирате съответното устройство в прозореца на проекта и изберете „Конфигурация“ в контекстното меню на десния бутон на мишката
    Example 2: Щракнете двукратно върху съответното устройство, за да отворите надписаview прозорец и изберете бутона „Конфигурация“.
  • Изберете бутона „Пароли“ в прозореца за конфигурация. Ако желаете, променете опцията „Потребителска парола за режима на програмиране на устройството“
  • Запазете промените с прехвърлянето на данните към устройството (бутон „Прехвърляне“)

След това конфигурацията на устройството може да бъде променена само чрез въвеждане на парола
Показване на парола

Парола за начална страница

  • Началната страница също може да бъде защитена от неоторизиран достъп. Налични са следните опции:
    • Не заключвайте началната страница
      Началната страница е достъпна без влизане; конфигурациите могат да се правят без влизане.
    • Заключване на началната страница
      След влизане началната страница и конфигурацията за IP на потребителя ще бъдат отключени за 3 минути. При всеки достъп времето се задава отново на 3 минути.
    • Заключете конфигурацията отделно
      Началната страница е достъпна без влизане; конфигурациите могат да се правят само чрез влизане.
    • Заключете началната страница и конфигурацията отделно
      • След влизане началната страница се отключва за IP на потребителя за 3 минути.
      • При всеки достъп времето се задава отново на 3 минути.
      • Конфигурации могат да се правят само чрез влизане
        Икона за бележка Забележка: Само променливите, които са в init.jas или имат „Admin“ разрешение, се считат за конфигурация
        Предупредителна икона Паролата за началната страница трябва да е с дължина максимум 8 цифри и да съдържа само цифри.

Фиг.: Задаване на парола за начална страница
Парола за начална страница

След активиране се появява прозорец за влизане след отваряне на началната страница на устройството.

Фиг.: Вход в началната страница
Парола за начална страница

Modbus TCP/IP комуникационна сигурност

Не е възможно да се защити Modbus TCP/IP комуникацията (порт 502). Стандартът Modbus не осигурява никаква защита. Интегрираното криптиране вече няма да бъде в съответствие със стандарта Modbus и оперативната съвместимост с други устройства вече няма да бъде гарантирана. Поради тази причина не може да се задава парола по време на Modbus комуникация.

Ако IT укаже, че могат да се използват само защитени протоколи, портът Modbus TCP/IP трябва да бъде деактивиран в защитната стена на устройството. Паролата на администратора на устройството трябва да бъде променена и комуникацията трябва да се осъществи чрез „TCP защитено“ (FTP) или „HTTP защитено“.

Modbus RS485 комуникационна сигурност

Защитата на комуникацията Modbus RS485 не е възможна. Стандартът Modbus не осигурява никаква защита. Интегрираното криптиране вече няма да бъде в съответствие със стандарта Modbus и оперативната съвместимост с други устройства вече няма да бъде гарантирана. Това се отнася и за основната функционалност на Modbus. Т.е. не може да се активира криптиране за устройства с интерфейс RS-485.

Ако IT укаже, че могат да се използват само защитени протоколи, портът Modbus TCP/IP трябва да бъде деактивиран в защитната стена на устройството. Паролата на администратора на устройството трябва да бъде променена и комуникацията трябва да се осъществи чрез „TCP защитено“ (FTP) или „HTTP защитено“.

Но устройствата на интерфейса RS485 вече не могат да бъдат прочетени!

Алтернативата в този случай е да се откажете от основната функционалност на Modbus и да използвате изключително Ethernet устройства като UMG 604 / 605 / 508 / 509 / 511 или UMG 512.

Комуникационна сигурност “UMG 96RM-E”.

UMG 96RM-E не предлага защитен протокол. Комуникацията с това устройство е изключително чрез Modbus TCP/IP. Не е възможно да се защити Modbus TCP/IP комуникацията (порт 502). Стандартът Modbus не осигурява никаква защита. Т.е. ако криптирането трябва да бъде интегрирано, то вече няма да е в съответствие със стандарта Modbus и оперативната съвместимост с други устройства вече няма да бъде гарантирана. Поради тази причина не може да се задава парола по време на Modbus комуникация.

поддръжка

Janitza electronics GmbH Vor dem Polstück 6 | 35633 Lahnau Германия
Тел. +49 6441 9642-0 info@janitza.com www.janitza.com

Док. не 2.047.014.1.a | 02/2023 | Подлежат на технически промени.
Текущата версия на документа може да бъде намерена в областта за изтегляне на адрес www.janitza.com

Лого на Яница

Документи / Ресурси

Сигурна TCP или IP връзка Janitza за UMG 508 [pdf] Ръководство за потребителя
UMG 508, UMG 509-PRO, UMG 511, UMG 512-PRO, UMG 604-PRO, UMG 605-PRO, защитена TCP или IP връзка за UMG 508, защитена TCP или IP връзка

Референции

Свързани публикации

Оставете коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са маркирани *