Janitza Sigurna TCP ili IP veza za UMG 508 Upute za upotrebu

Generale

Copyright

Ovaj funkcionalni opis podliježe zakonskim odredbama o zaštiti autorskih prava i ne smije se fotokopirati, preštampati, umnožavati ili na drugi način umnožavati ili ponovo objavljivati ​​u cijelosti ili djelomično mehaničkim ili elektronskim putem bez pravno obavezujućeg pismenog pristanka

Janitza electronics GmbH, Vor dem Polstück 6, 35633 Lahnau, Njemačka

Trademarks

Svi zaštitni znakovi i prava koja iz njih proizlaze su vlasništvo odgovarajućih vlasnika ovih prava.

Odricanje od odgovornosti

Janitza electronics GmbH ne preuzima nikakvu odgovornost za greške ili nedostatke u okviru ovog funkcionalnog opisa i ne preuzima nikakvu obavezu ažuriranja sadržaja ovog funkcionalnog opisa.

Komentari na priručnik

Vaši komentari su dobrodošli. Ako vam se nešto u ovom priručniku čini nejasnim, obavijestite nas i pošaljite nam e-poštu na: info@janitza.com

Značenje simbola

U ovom priručniku se koriste sljedeći piktogrami:

Dangerous voltage!
Rizik od smrti ili ozbiljne povrede. Prije početka rada isključite sistem i uređaj iz napajanja.

Pažnja!
Molimo pogledajte dokumentaciju. Ovaj simbol ima za cilj da vas upozori na moguće opasnosti koje mogu nastati tokom instalacije, puštanja u rad i upotrebe.

Napomena

Sigurna TCP/IP veza

Komunikacija sa mjernim uređajima serije UMG se obično odvija putem Etherneta. U tu svrhu mjerni uređaji imaju različite protokole sa odgovarajućim priključnim portovima. Softverske aplikacije kao što je GridVis® komuniciraju sa mernim uređajima preko FTP, Modbus ili HTTP protokola.

Sigurnost mreže u mreži kompanije ovdje igra sve važniju ulogu.

Ovaj vodič ima za cilj da vam pruži podršku u bezbednoj integraciji mernih uređaja u mrežu, čime efikasno štiti merne uređaje od neovlašćenog pristupa.

Vodič se odnosi na firmver > 4.057, jer su napravljene sljedeće HTML promjene:

• Poboljšanje proračuna izazova
• Nakon tri pogrešne prijave, IP (klijenta) je blokiran na 900 sekundi
• GridVis® postavke su revidirane
• HTML lozinka: može se postaviti, 8 cifara
• HTML konfiguracija potpuno zaključana

Ako se mjerni uređaj koristi u GridVis®-u, dostupno je nekoliko protokola povezivanja. Standardni protokol je FTP protokol – tj. GridVis® čita files od mjernog uređaja preko FTP porta 21 sa odgovarajućim portovima podataka 1024 do 1027. U "TCP/IP" postavci, veza je nezaštićena preko FTP-a. Sigurna veza se može uspostaviti korištenjem tipa veze “TCP secured”.

sl.: Postavke za vrstu veze pod “Konfiguriraj vezu

Promijeni lozinku

• Za sigurnu vezu su potrebni korisnik i lozinka.
• Po defaultu, korisnik je admin, a lozinka je Janitza.
• Za sigurnu vezu, lozinka za administratorski pristup (admin) se može promijeniti u konfiguracijskom meniju.

Korak

• Otvorite dijalog „Konfigurisanje veze“.
  Example 1: Da biste to uradili, koristite dugme miša da označite odgovarajući uređaj u prozoru projekta i izaberite „Konfiguriši vezu“ u kontekstualnom meniju desnog dugmeta miša
  Example 2: Dvaput kliknite na odgovarajući uređaj da otvorite prekoview prozoru i odaberite dugme „Konfiguriši vezu“.
• Odaberite vrstu veze “TCP zaštićen”
• Postavite adresu domaćina uređaja
• Unesite korisničko ime i lozinku.
  Fabričke postavke:
  Korisničko ime: admin
  Lozinka: Janitza
• Podesite stavku menija „Šifrovano“.
  Zatim se aktivira AES256-bitna enkripcija podataka.

sl.: Konfiguracija veze uređaja

Korak 

• Otvorite prozor za konfiguraciju
  Example 1: Da biste to uradili, koristite dugme miša da označite odgovarajući uređaj u prozoru projekta i izaberite „Konfiguracija“ u kontekstualnom meniju desnog dugmeta miša
  Example 2: Dvaput kliknite na odgovarajući uređaj da otvorite prekoview prozoru i odaberite dugme „Konfiguracija“.
• Odaberite dugme “Lozinke” u prozoru za konfiguraciju. Promijenite administratorsku lozinku, ako želite.
• Sačuvajte promjene s prijenosom podataka na uređaj (dugme „Prenesi“)

Pažnja!
NEMOJTE ZABORAVITI LOZINKU NI U KAKVIM OKOLNOSTIMA. NE POSTOJI GLAVNA LOZINKA. AKO SE ZABORAVI LOZINKA, UREĐAJ SE MORA POSLATI U FABRICKU!

Administratorska lozinka može imati najviše 30 cifara i može se sastojati od brojeva, slova i specijalnih znakova (ASCII kod 32 do 126, osim znakova navedenih u nastavku). Takođe, polje za lozinku ne smije ostati prazno.
Sljedeći posebni znakovi se ne smiju koristiti:
” (šifra 34)
\ (šifra 92)
^ (šifra 94)
` (šifra 96)
| (šifra 124)
Razmak (šifra 32) je dozvoljen samo unutar lozinke. Nije dozvoljeno kao prvi i posljednji znak.
Kada ste ažurirali na verziju GridVis® > 9.0.20 i koristite jedan od gore opisanih specijalnih znakova, od vas će biti zatraženo da promijenite lozinku prema ovim pravilima kada otvorite konfigurator uređaja.

Opis “Promijeni lozinku” sa pravilima za lozinku također se primjenjuje na tip veze “HTTP zaštićen”.

sl.: Konfiguracija lozinki

Postavke zaštitnog zida

• Merni uređaji imaju integrisani zaštitni zid koji vam omogućava da blokirate portove koji vam nisu potrebni.

Korak

• Otvorite dijalog „Konfigurisanje veze“.
  Example 1: Da biste to uradili, koristite dugme miša da označite odgovarajući uređaj u prozoru projekta i izaberite „Konfiguriši vezu“ u kontekstualnom meniju desnog dugmeta miša
  Example 2: Dvaput kliknite na odgovarajući uređaj da otvorite prekoview prozoru i odaberite dugme „Konfiguriši vezu“.
• Odaberite vrstu veze “TCP zaštićen”
• Prijavite se kao administrator

sl.: Konfiguracija veze uređaja (admin)

Korak 

• Otvorite prozor za konfiguraciju
  Example 1: Da biste to uradili, koristite dugme miša da označite odgovarajući uređaj u prozoru projekta i izaberite „Konfiguracija“ u kontekstualnom meniju desnog dugmeta miša
  Example 2: Dvaput kliknite na odgovarajući uređaj da otvorite prekoview prozoru i odaberite dugme „Konfiguracija“.
• Odaberite dugme “Firewall” u prozoru za konfiguraciju.
  sl.: Konfiguracija zaštitnog zida
  
• Zaštitni zid se uključuje preko dugmeta „Firewall“.
  • Od izdanja X.XXX, ovo je zadana postavka.
  • Ovdje možete deaktivirati protokole koji vam nisu potrebni.
  • Kada je firewall uključen, uređaj dozvoljava samo zahtjeve na protokolima koji su aktivirani u svakom slučaju
    

    Protokoli	Luka
    FTP	Port 21, port za podatke 1024 do 1027
    HTTP	Luka 80
    SNMP	Luka 161
    Modbus RTU	Luka 8000
    Otklanjanje grešaka	PORT 1239 (za potrebe servisa)
    Modbus TCP/IP	Luka 502
    BACnet	Luka 47808
    DHCP	UTP port 67 i 68
    NTP	Luka 123
    Ime servera	Luka 53

• Za rudimentarnu komunikaciju s GridVis®-om i putem početne stranice bit će dovoljne sljedeće postavke:
  sl.: Konfiguracija zaštitnog zida
  
• Ali pažljivo birajte zatvorene portove! Ovisno o odabranom protokolu povezivanja, možda će biti moguće komunicirati samo putem HTTP-a, nprample.
• Sačuvajte promjene s prijenosom podataka na uređaj (dugme „Prenesi“)

Prikaži lozinku

• Konfiguracija uređaja putem tipki uređaja također se može zaštititi. Odnosno, konfiguracija je moguća tek nakon unosa lozinke. Lozinka se može postaviti na samom uređaju ili preko GridVis® u prozoru za konfiguraciju.

Lozinka za prikaz mora biti duga najviše 5 cifara i sadržavati samo brojeve.

sl.: Postavljanje lozinke za prikaz

Procedura: 

• Otvorite prozor za konfiguraciju
  Example 1: Da biste to uradili, koristite dugme miša da označite odgovarajući uređaj u prozoru projekta i izaberite „Konfiguracija“ u kontekstualnom meniju desnog dugmeta miša
  Example 2: Dvaput kliknite na odgovarajući uređaj da otvorite prekoview prozoru i odaberite dugme „Konfiguracija“.
• Odaberite dugme “Lozinke” u prozoru za konfiguraciju. Ako želite, promijenite opciju „Korisnička lozinka za režim programiranja na uređaju“
• Sačuvajte promjene s prijenosom podataka na uređaj (dugme „Prenesi“)

Konfiguracija na uređaju se tada može promijeniti samo unošenjem lozinke

Lozinka za početnu stranicu

• Početna stranica također može biti zaštićena od neovlaštenog pristupa. Dostupne su sljedeće opcije:
  • Ne zaključavajte početnu stranicu
    Početna stranica je dostupna bez prijave; konfiguracije se mogu napraviti bez prijavljivanja.
  • Zaključaj početnu stranicu
    Nakon prijave, početna stranica i konfiguracija za IP korisnika bit će otključani na 3 minute. Sa svakim pristupom vrijeme se ponovo postavlja na 3 minute.
  • Zasebno zaključajte konfiguraciju
    Početna stranica je dostupna bez prijave; konfiguracije se mogu napraviti samo prijavom.
  • Zaključajte početnu stranicu i konfiguraciju zasebno
    • Nakon prijave, početna stranica se otključava za IP korisnika na 3 minute.
    • Sa svakim pristupom vrijeme se ponovo postavlja na 3 minute.
    • Konfiguracije se mogu izvršiti samo prijavom
      Napomena: Samo varijable koje se nalaze u init.jas ili imaju “Admin” ovlaštenje se smatraju konfiguracijom
      Lozinka za početnu stranicu mora imati najviše 8 cifara i sadržavati samo brojeve.

sl.: Postavite lozinku za početnu stranicu

Nakon aktivacije, pojavljuje se prozor za prijavu nakon otvaranja početne stranice uređaja.

sl.: Prijava na početnu stranicu

Modbus TCP/IP komunikacijska sigurnost

Nije moguće osigurati Modbus TCP/IP komunikaciju (port 502). Modbus standard ne pruža nikakvu zaštitu. Integrirana enkripcija više ne bi bila u skladu sa Modbus standardom i interoperabilnost s drugim uređajima više ne bi bila zajamčena. Iz tog razloga, nijedna lozinka se ne može dodijeliti tokom Modbus komunikacije.

Ako IT odredi da se mogu koristiti samo zaštićeni protokoli, Modbus TCP/IP port mora biti deaktiviran u zaštitnom zidu uređaja. Lozinka administratora uređaja se mora promijeniti i komunikacija se mora odvijati putem “TCP secured” (FTP) ili “HTTP secured”.

Modbus RS485 sigurnost komunikacije

Zaštita Modbus RS485 komunikacije nije moguća. Modbus standard ne pruža nikakvu zaštitu. Integrirana enkripcija više ne bi bila u skladu sa Modbus standardom i interoperabilnost s drugim uređajima više ne bi bila zajamčena. Ovo se također odnosi na funkcionalnost Modbus mastera. Odnosno, ne može se aktivirati enkripcija za uređaje na RS-485 interfejsu.

Ako IT odredi da se mogu koristiti samo zaštićeni protokoli, Modbus TCP/IP port mora biti deaktiviran u zaštitnom zidu uređaja. Lozinka administratora uređaja se mora promijeniti i komunikacija se mora odvijati putem “TCP secured” (FTP) ili “HTTP secured”.

Međutim, uređaji na RS485 interfejsu se tada više ne mogu očitati!

Alternativa u ovom slučaju je odustajanje od Modbus master funkcionalnosti i korištenje isključivo Ethernet uređaja kao što su UMG 604 / 605 / 508 / 509 / 511 ili UMG 512.

Sigurnost komunikacije “UMG 96RM-E”.

UMG 96RM-E ne nudi zaštićeni protokol. Komunikacija sa ovim uređajem je isključivo preko Modbus TCP/IP. Nije moguće osigurati Modbus TCP/IP komunikaciju (port 502). Modbus standard ne pruža nikakvu zaštitu. Odnosno, ako bi se enkripcija integrisala, ona više ne bi bila u skladu sa Modbus standardom i interoperabilnost sa drugim uređajima više ne bi bila zagarantovana. Iz tog razloga, nijedna lozinka se ne može dodijeliti tokom Modbus komunikacije.

Podrška

Janitza electronics GmbH Vor dem Polstück 6 | 35633 Lahnau Njemačka
Tel. +49 6441 9642-0 info@janitza.com www.janitza.com

Doc. br. 2.047.014.1.a | 02/2023 | Podložno tehničkim izmjenama.
Trenutnu verziju dokumenta možete pronaći u području za preuzimanje na adresi www.janitza.com

Dokumenti / Resursi

Janitza sigurna TCP ili IP veza za UMG 508 [pdf] Korisnički priručnik UMG 508, UMG 509-PRO, UMG 511, UMG 512-PRO, UMG 604-PRO, UMG 605-PRO, sigurna TCP ili IP veza za UMG 508, sigurna TCP ili IP veza

Reference

• Uputstvo za upotrebu