Janitza Secure TCP or IP Connection for UMG 508 User Manual
Janitza Connexió TCP o IP segura per a UMG 508

Continguts amagar
1 General
2 Connexió TCP/IP segura
3 Canvia la contrasenya
4 Configuració del tallafoc
5 Mostra la contrasenya
6 Contrasenya de la pàgina d'inici
7 Seguretat de comunicacions Modbus TCP/IP
8 Seguretat de comunicacions Modbus RS485
9 Seguretat de comunicacions “UMG 96RM-E”.
10 Suport
11 Documents/Recursos
11.1 Referències
12 Publicacions relacionades

General

Copyright

Aquesta descripció funcional està subjecta a les disposicions legals de protecció dels drets d'autor i no es pot fotocopiar, reimprimir, reproduir o duplicar d'una altra manera ni publicar-se totalment o parcialment per mitjans mecànics o electrònics sense el consentiment per escrit legalment vinculant de

Janitza electronics GmbH, Vor dem Polstück 6, 35633 Lahnau, Alemanya

Marques comercials

Totes les marques registrades i els drets que se'n deriven són propietat dels respectius propietaris d'aquests drets.

Exempció de responsabilitat

Janitza electronics GmbH no assumeix cap responsabilitat per errors o defectes dins d'aquesta descripció funcional i no assumeix cap obligació de mantenir el contingut d'aquesta descripció funcional actualitzat.

Comentaris al manual

Els vostres comentaris són benvinguts. Si alguna cosa d'aquest manual sembla poc clara, feu-nos-ho saber i envieu-nos un correu electrònic a: info@janitza.com

Significat dels símbols

En aquest manual s'utilitzen els pictogrames següents:

Icona d'advertència Vol perillóstage!
Risc de mort o lesions greus. Desconnecteu el sistema i el dispositiu de la font d'alimentació abans de començar a treballar.

Icona d'advertència Atenció!
Consulteu la documentació. Aquest símbol pretén advertir-vos dels possibles perills que poden sorgir durant la instal·lació, la posada en marxa i l'ús.

Icona de nota Nota

Connexió TCP/IP segura

La comunicació amb els aparells de mesura de la sèrie UMG sol ser mitjançant Ethernet. Els aparells de mesura proporcionen diferents protocols amb els ports de connexió respectius per a aquesta finalitat. Les aplicacions de programari com el GridVis® es comuniquen amb els dispositius de mesura mitjançant el protocol FTP, Modbus o HTTP.

La seguretat de la xarxa a la xarxa de l'empresa juga aquí un paper cada cop més important.

Aquesta guia està pensada per ajudar-vos a integrar de manera segura els dispositius de mesura a la xarxa, protegint així de manera efectiva els dispositius de mesura de l'accés no autoritzat.

La guia fa referència al firmware > 4.057, ja que s'han fet els canvis HTML següents:

  • Millora del càlcul del repte
  • Després de tres inicis de sessió incorrectes, la IP (del client) es bloqueja durant 900 segons
  • Configuració de GridVis® revisada
  • Contrasenya HTML: es pot configurar, 8 dígits
  • Configuració HTML completament bloquejable

Si el dispositiu de mesura s'utilitza al GridVis®, hi ha disponibles diversos protocols de connexió. Un protocol estàndard és el protocol FTP, és a dir, el GridVis® llegeix files des del dispositiu de mesura mitjançant el port FTP 21 amb els ports de dades corresponents del 1024 al 1027. A la configuració "TCP/IP", la connexió es fa sense seguretat mitjançant FTP. Es pot establir una connexió segura mitjançant el tipus de connexió "TCP segura".

Fig.: Configuració del tipus de connexió a "Configura la connexió
Connexió TCP/IP segura

Canvia la contrasenya

  • Es requereix un usuari i una contrasenya per a la connexió segura.
  • Per defecte, l'usuari és admin i la contrasenya és Janitza.
  • Per a una connexió segura, la contrasenya d'accés d'administrador (admin) es pot canviar al menú de configuració.

Pas

  • Obriu el diàleg "Configura la connexió".
    Examplle 1: Per fer-ho, utilitzeu el botó del ratolí per ressaltar el dispositiu corresponent a la finestra de projectes i seleccioneu "Configura la connexió" al menú contextual del botó dret del ratolí.
    Examplle 2: Feu doble clic al dispositiu corresponent per obrir-loview finestra i seleccioneu el botó "Configura la connexió".
  • Seleccioneu el tipus de connexió "TCP segur"
  • Establiu l'adreça de l'amfitrió del dispositiu
  • Ompliu el nom d'usuari i la contrasenya.
    Configuració de fàbrica:
    Nom d'usuari: admin
    Contrasenya: Janitza
  • Establiu l'element de menú "Xifrat".
    Aleshores s'activa un xifratge AES de 256 bits de les dades.

Fig.: Configuració de la connexió del dispositiu
Canvia la contrasenya

Pas 

  • Obriu la finestra de configuració
    Examplle 1: Per fer-ho, utilitzeu el botó del ratolí per ressaltar el dispositiu corresponent a la finestra de projectes i seleccioneu "Configuració" al menú contextual del botó dret del ratolí.
    Examplle 2: Feu doble clic al dispositiu corresponent per obrir-loview finestra i seleccioneu el botó "Configuració".
  • Seleccioneu el botó "Contrasenyes" a la finestra de configuració. Canvieu la contrasenya de l'administrador, si voleu.
  • Deseu els canvis amb la transferència de les dades al dispositiu (botó "Transferir")

Icona d'advertència Atenció!
NO OBLIDI LA CONTRASENYA EN CAP CAS. NO HI HA CONTRASENYA MÀSTRA. SI S'OBLIDA LA CONTRAsenya, EL DISPOSITIU S'HA D'ENVIAR A LA FÀBRICA!

Icona de nota La contrasenya d'administrador pot tenir un màxim de 30 dígits i pot constar de números, lletres i caràcters especials (codi ASCII del 32 al 126, excepte els caràcters que s'indiquen a continuació). A més, el camp de la contrasenya no s'ha de deixar en blanc.
No s'han d'utilitzar els caràcters especials següents:
” (codi 34)
\ (codi 92)
^ (codi 94)
` (codi 96)
| (codi 124)
L'espai (codi 32) només es permet dins de la contrasenya. No està permès com a primer i darrer caràcter.
Quan hàgiu actualitzat a una versió de GridVis® > 9.0.20 i utilitzeu un dels caràcters especials descrits anteriorment, se us demanarà que canvieu la contrasenya d'acord amb aquestes regles quan obriu el configurador del dispositiu.

Icona de nota La descripció "Canviar la contrasenya" amb les seves regles de contrasenya també s'aplica al tipus de connexió "HTTP segura".

Fig.: Configuració de contrasenyes
Canvia la contrasenya

Configuració del tallafoc

  • Els dispositius de mesura tenen un tallafoc integrat que us permet bloquejar els ports que no necessiteu.

Pas

  • Obriu el diàleg "Configura la connexió".
    Examplle 1: Per fer-ho, utilitzeu el botó del ratolí per ressaltar el dispositiu corresponent a la finestra de projectes i seleccioneu "Configura la connexió" al menú contextual del botó dret del ratolí.
    Examplle 2: Feu doble clic al dispositiu corresponent per obrir-loview finestra i seleccioneu el botó "Configura la connexió".
  • Seleccioneu el tipus de connexió "TCP segur"
  • Inicieu sessió com a administrador

Fig.: Configuració de la connexió del dispositiu (administrador)
Configuració del tallafoc

Pas 

  • Obriu la finestra de configuració
    Examplle 1: Per fer-ho, utilitzeu el botó del ratolí per ressaltar el dispositiu corresponent a la finestra de projectes i seleccioneu "Configuració" al menú contextual del botó dret del ratolí.
    Examplle 2: Feu doble clic al dispositiu corresponent per obrir-loview finestra i seleccioneu el botó "Configuració".
  • Seleccioneu el botó "Firewall" a la finestra de configuració.
    Fig.: Configuració del tallafoc
    Configuració del tallafoc
  • El tallafoc s'activa mitjançant el botó "Talafoc".
    • A partir de la versió X.XXX, aquesta és la configuració predeterminada.
    • Els protocols que no necessiteu es poden desactivar aquí.
    • Quan el tallafoc està encès, el dispositiu només permet sol·licituds sobre els protocols activats en cada cas
      Protocols Port
      FTP Port 21, port de dades 1024 a 1027
      HTTP Port 80
      SNMP Port 161
      Modbus RTU Port 8000
      Depuració PORT 1239 (per a finalitats de servei)
      Modbus TCP/IP Port 502
      BACnet Port 47808
      DHCP Ports UTP 67 i 68
      NTP Port 123
      Nom del servidor Port 53
  • Per a una comunicació rudimentària amb el GridVis® i a través de la pàgina d'inici, n'hi haurà prou amb la configuració següent:
    Fig.: Configuració del tallafoc
    Configuració del tallafoc
  • Però si us plau, trieu amb cura els ports tancats! Depenent del protocol de connexió seleccionat, és possible que només es pugui comunicar mitjançant HTTP, per exempleample.
  • Deseu els canvis amb la transferència de les dades al dispositiu (botó "Transferir")

Mostra la contrasenya

  • També es pot protegir la configuració del dispositiu mitjançant les claus del dispositiu. És a dir, només després d'introduir una contrasenya és possible la configuració. La contrasenya es pot configurar al propi dispositiu o mitjançant el GridVis® a la finestra de configuració.

Icona d'advertència La contrasenya de visualització ha de tenir un màxim de 5 dígits i només contenir números.

Fig.: Configuració de la contrasenya de visualització
Mostra la contrasenya

Procediment: 

  • Obriu la finestra de configuració
    Examplle 1: Per fer-ho, utilitzeu el botó del ratolí per ressaltar el dispositiu corresponent a la finestra de projectes i seleccioneu "Configuració" al menú contextual del botó dret del ratolí.
    Examplle 2: Feu doble clic al dispositiu corresponent per obrir-loview finestra i seleccioneu el botó "Configuració".
  • Seleccioneu el botó "Contrasenyes" a la finestra de configuració. Si ho desitja, canvieu l'opció "Contrasenya d'usuari per al mode de programació del dispositiu"
  • Deseu els canvis amb la transferència de les dades al dispositiu (botó "Transferir")

La configuració del dispositiu només es pot canviar introduint una contrasenya
Mostra la contrasenya

Contrasenya de la pàgina d'inici

  • La pàgina d'inici també es pot protegir de l'accés no autoritzat. Les opcions següents estan disponibles:
    • No bloquegeu la pàgina d'inici
      La pàgina d'inici és accessible sense iniciar sessió; es poden fer configuracions sense iniciar sessió.
    • Bloqueja la pàgina d'inici
      Després d'iniciar sessió, la pàgina d'inici i la configuració de la IP de l'usuari es desbloquejaran durant 3 minuts. Amb cada accés, el temps es torna a configurar en 3 minuts.
    • Bloqueja la configuració per separat
      La pàgina d'inici és accessible sense iniciar sessió; les configuracions només es poden fer iniciant sessió.
    • Bloqueja la pàgina d'inici i la configuració per separat
      • Després d'iniciar sessió, la pàgina d'inici es desbloqueja per a la IP de l'usuari durant 3 minuts.
      • Amb cada accés, el temps es torna a configurar en 3 minuts.
      • Les configuracions només es poden fer iniciant sessió
        Icona de nota Nota: Només es consideren configuracions les variables que es troben a init.jas o que tenen autorització “Administrador”.
        Icona d'advertència La contrasenya de la pàgina d'inici ha de tenir un màxim de 8 dígits i només contenir números.

Fig.: Estableix la contrasenya de la pàgina d'inici
Contrasenya de la pàgina d'inici

Després de l'activació, apareix una finestra d'inici de sessió després d'obrir la pàgina d'inici del dispositiu.

Fig.: Inici de sessió a la pàgina d'inici
Contrasenya de la pàgina d'inici

Seguretat de comunicacions Modbus TCP/IP

No és possible assegurar la comunicació Modbus TCP/IP (port 502). L'estàndard Modbus no ofereix cap protecció. El xifratge integrat deixaria de ser segons l'estàndard Modbus i la interoperabilitat amb altres dispositius ja no estaria garantida. Per aquest motiu, no es pot assignar cap contrasenya durant la comunicació Modbus.

Si TI especifica que només es poden utilitzar protocols segurs, el port Modbus TCP/IP s'ha de desactivar al tallafoc del dispositiu. S'ha de canviar la contrasenya de l'administrador del dispositiu i la comunicació s'ha de fer mitjançant "TCP secured" (FTP) o "HTTP secured".

Seguretat de comunicacions Modbus RS485

La protecció de la comunicació Modbus RS485 no és possible. L'estàndard Modbus no ofereix cap protecció. El xifratge integrat deixaria de ser segons l'estàndard Modbus i la interoperabilitat amb altres dispositius ja no estaria garantida. Això també es refereix a la funcionalitat principal de Modbus. És a dir, no es pot activar cap xifratge per als dispositius a la interfície RS-485.

Si TI especifica que només es poden utilitzar protocols segurs, el port Modbus TCP/IP s'ha de desactivar al tallafoc del dispositiu. S'ha de canviar la contrasenya de l'administrador del dispositiu i la comunicació s'ha de fer mitjançant "TCP secured" (FTP) o "HTTP secured".

Tanmateix, els dispositius de la interfície RS485 ja no es poden llegir en veu alta!

L'alternativa en aquest cas és prescindir de la funcionalitat principal de Modbus i utilitzar exclusivament dispositius Ethernet com l'UMG 604 / 605 / 508 / 509 / 511 o l'UMG 512.

Seguretat de comunicacions “UMG 96RM-E”.

L'UMG 96RM-E no ofereix un protocol segur. La comunicació amb aquest dispositiu es fa exclusivament a través de Modbus TCP/IP. No és possible assegurar la comunicació Modbus TCP/IP (port 502). L'estàndard Modbus no ofereix cap protecció. És a dir, si s'hagués d'integrar el xifratge, ja no s'ajustaria a l'estàndard Modbus i la interoperabilitat amb altres dispositius ja no estaria garantida. Per aquest motiu, no es pot assignar cap contrasenya durant la comunicació Modbus.

Suport

Janitza electronics GmbH Vor dem Polstück 6 | 35633 Lahnau Alemanya
Tel. +49 6441 9642-0 info@janitza.com www.janitza.com

Doc. no. 2.047.014.1.a | 02/2023 | Subjecte a modificacions tècniques.
La versió actual del document es pot trobar a l'àrea de descàrregues a www.janitza.com

Logotip de Janitza

Documents/Recursos

Janitza Connexió TCP o IP segura per a UMG 508 [pdfManual d'usuari
UMG 508, UMG 509-PRO, UMG 511, UMG 512-PRO, UMG 604-PRO, UMG 605-PRO, Connexió TCP o IP segura per a UMG 508, Connexió TCP o IP segura

Referències

Publicacions relacionades

Deixa un comentari

La teva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats *