Janitza Secure TCP nebo IP Connection for UMG 508 User Manual
Janitza Secure TCP nebo IP Connection pro UMG 508

Obsah skrýt
1 Generál
2 Zabezpečené připojení TCP/IP
3 Změňte heslo
4 Nastavení brány firewall
5 Zobrazit heslo
6 Heslo domovské stránky
7 Zabezpečení komunikace Modbus TCP/IP
8 Zabezpečení komunikace Modbus RS485
9 Zabezpečení komunikace „UMG 96RM-E“.
10 Podpora
11 Dokumenty / zdroje
11.1 Reference
12 Související příspěvky

Generál

Copyright

Tento funkční popis podléhá zákonným ustanovením ochrany autorských práv a nesmí být fotokopírován, přetiskován, reprodukován nebo jinak rozmnožován nebo znovu publikován, zcela nebo částečně, mechanickými nebo elektronickými prostředky bez právně závazného písemného souhlasu

Janitza electronics GmbH, Vor dem Polstück 6, 35633 Lahnau, Německo

ochranné známky

Všechny ochranné známky a práva z nich vyplývající jsou majetkem příslušných vlastníků těchto práv.

Zřeknutí se odpovědnosti

Janitza electronics GmbH nepřebírá žádnou odpovědnost za chyby nebo závady v tomto funkčním popisu a nepřebírá žádnou povinnost udržovat obsah tohoto funkčního popisu aktuální.

Komentáře k návodu

Vaše připomínky jsou vítány. Pokud se vám bude zdát něco v této příručce nejasné, dejte nám prosím vědět a pošlete nám e-mail na adresu: info@janitza.com

Význam symbolů

V tomto návodu jsou použity následující piktogramy:

Ikona varování Nebezpečný svtage!
Nebezpečí smrtelného nebo vážného zranění. Před zahájením práce odpojte systém a zařízení od napájení.

Ikona varování Pozor!
Podívejte se prosím na dokumentaci. Tento symbol vás má varovat před možnými nebezpečími, která mohou nastat během instalace, uvádění do provozu a používání.

Ikona poznámky Poznámka

Zabezpečené připojení TCP/IP

Komunikace s měřicími přístroji řady UMG probíhá zpravidla přes Ethernet. Měřicí přístroje poskytují pro tento účel různé protokoly s příslušnými připojovacími porty. Softwarové aplikace jako GridVis® komunikují s měřicími zařízeními prostřednictvím protokolu FTP, Modbus nebo HTTP.

Síťová bezpečnost ve firemní síti zde hraje stále důležitější roli.

Tato příručka vám má pomoci při bezpečné integraci měřicích zařízení do sítě a účinně tak chránit měřicí zařízení před neoprávněným přístupem.

Průvodce odkazuje na firmware > 4.057, protože byly provedeny následující změny HTML:

  • Zlepšení výpočtu výzvy
  • Po třech nesprávných přihlášeních je IP (klienta) na 900 sekund zablokována
  • Nastavení GridVis® byla revidována
  • HTML heslo: lze nastavit, 8 číslic
  • Konfigurace HTML zcela uzamykatelná

Pokud je měřicí zařízení použito v GridVis®, je k dispozici několik protokolů připojení. Standardním protokolem je protokol FTP – tedy čtení GridVis® files z měřicího zařízení přes FTP port 21 s příslušnými datovými porty 1024 až 1027. V nastavení „TCP/IP“ je spojení provedeno nezabezpečeno přes FTP. Zabezpečené připojení lze navázat pomocí typu připojení „zabezpečené TCP“.

Obr.: Nastavení typu připojení v části „Konfigurovat připojení
Zabezpečené připojení TCP/IP

Změňte heslo

  • Pro zabezpečené připojení je vyžadován uživatel a heslo.
  • Ve výchozím nastavení je uživatel admin a heslo je Janitza.
  • Pro zabezpečené připojení lze heslo pro přístup správce (admin) změnit v konfiguračním menu.

Krok

  • Otevřete dialogové okno „Konfigurovat připojení“.
    Example 1: Chcete-li to provést, pomocí tlačítka myši zvýrazněte odpovídající zařízení v okně projektů a v kontextové nabídce pravého tlačítka myši vyberte „Konfigurovat připojení“
    Example 2: Poklepáním na odpovídající zařízení otevřete overview a vyberte tlačítko „Konfigurovat připojení“.
  • Vyberte typ připojení „zabezpečeno TCP“
  • Nastavte hostitelskou adresu zařízení
  • Vyplňte uživatelské jméno a heslo.
    Tovární nastavení:
    Uživatelské jméno: admin
    Heslo: Janitza
  • Nastavte položku nabídky „Encrypted“.
    Poté se aktivuje 256bitové šifrování dat AES.

Obr.: Konfigurace připojení zařízení
Změňte heslo

Krok 

  • Otevřete konfigurační okno
    Example 1: Chcete-li to provést, pomocí tlačítka myši zvýrazněte odpovídající zařízení v okně projektů a v kontextové nabídce pravého tlačítka myši vyberte „Konfigurace“
    Example 2: Poklepáním na odpovídající zařízení otevřete overview a vyberte tlačítko „Konfigurace“.
  • V konfiguračním okně vyberte tlačítko „Hesla“. V případě potřeby změňte heslo správce.
  • Uložte změny s přenosem dat do zařízení (tlačítko „Přenést“)

Ikona varování Pozor!
ZA ŽÁDNÝCH OKOLNOSTÍ NEZAPOMEŇTE HESLO. NEEXISTUJE ŽÁDNÉ HLAVNÍ HESLO. PŘI ZAPOMENUTÍ HESLA JE NUTNÉ ZAŘÍZENÍ ODESLAT DO TOVÁRNY!

Ikona poznámky Heslo správce může mít maximálně 30 číslic a může se skládat z čísel, písmen a speciálních znaků (kód ASCII 32 až 126, kromě znaků uvedených níže). Také pole pro heslo nesmí zůstat prázdné.
Nesmějí být použity následující speciální znaky:
“ (kód 34)
\ (kód 92)
^ (kód 94)
` (kód 96)
| (kód 124)
Mezera (kód 32) je povolena pouze v rámci hesla. Není povoleno jako první a poslední znak.
Když jste aktualizovali na verzi GridVis® > 9.0.20 a používáte jeden ze speciálních znaků popsaných výše, budete při otevření konfigurátoru zařízení vyzváni ke změně hesla podle těchto pravidel.

Ikona poznámky Popis „Změnit heslo“ se svými pravidly pro heslo platí také pro typ připojení „zabezpečeno HTTP“.

Obr.: Konfigurace hesel
Změňte heslo

Nastavení brány firewall

  • Měřicí zařízení mají integrovaný firewall, který vám umožňuje blokovat porty, které nepotřebujete.

Krok

  • Otevřete dialogové okno „Konfigurovat připojení“.
    Example 1: Chcete-li to provést, pomocí tlačítka myši zvýrazněte odpovídající zařízení v okně projektů a v kontextové nabídce pravého tlačítka myši vyberte „Konfigurovat připojení“
    Example 2: Poklepáním na odpovídající zařízení otevřete overview a vyberte tlačítko „Konfigurovat připojení“.
  • Vyberte typ připojení „zabezpečeno TCP“
  • Přihlaste se jako správce

Obr.: Konfigurace připojení zařízení (admin)
Nastavení brány firewall

Krok 

  • Otevřete konfigurační okno
    Example 1: Chcete-li to provést, pomocí tlačítka myši zvýrazněte odpovídající zařízení v okně projektů a v kontextové nabídce pravého tlačítka myši vyberte „Konfigurace“
    Example 2: Poklepáním na odpovídající zařízení otevřete overview a vyberte tlačítko „Konfigurace“.
  • V konfiguračním okně vyberte tlačítko „Firewall“.
    Obr.: Konfigurace firewallu
    Nastavení brány firewall
  • Firewall se zapíná tlačítkem „Firewall“.
    • Od verze X.XXX je toto výchozí nastavení.
    • Protokoly, které nepotřebujete, lze deaktivovat zde.
    • Když je firewall zapnutý, zařízení povoluje pouze požadavky na protokoly, které jsou v každém případě aktivovány
      Protokoly Přístav
      FTP Port 21, datový port 1024 až 1027
      HTTP Port 80
      SNMP Port 161
      Modbus RTU Port 8000
      Ladit PORT 1239 (pro servisní účely)
      Modbus TCP/IP Port 502
      BACnet Port 47808
      DHCP UTP port 67 a 68
      NTP Port 123
      Název serveru Port 53
  • Pro základní komunikaci s GridVis® a přes domovskou stránku postačí následující nastavení:
    Obr.: Konfigurace firewallu
    Nastavení brány firewall
  • Uzavřené porty však vybírejte pečlivě! V závislosti na zvoleném protokolu připojení může být možná komunikace pouze přes HTTP, napřample.
  • Uložte změny s přenosem dat do zařízení (tlačítko „Přenést“)

Zobrazit heslo

  • Konfigurace zařízení pomocí tlačítek zařízení může být také chráněna. Tedy pouze po zadání hesla je konfigurace možná. Heslo lze nastavit na samotném zařízení nebo přes GridVis® v konfiguračním okně.

Ikona varování Heslo displeje musí mít maximálně 5 číslic a obsahovat pouze čísla.

Obr.: Nastavení hesla displeje
Zobrazit heslo

Postup: 

  • Otevřete konfigurační okno
    Example 1: Chcete-li to provést, pomocí tlačítka myši zvýrazněte odpovídající zařízení v okně projektů a v kontextové nabídce pravého tlačítka myši vyberte „Konfigurace“
    Example 2: Poklepáním na odpovídající zařízení otevřete overview a vyberte tlačítko „Konfigurace“.
  • V konfiguračním okně vyberte tlačítko „Hesla“. V případě potřeby změňte volbu „Uživatelské heslo pro programovací režim na zařízení“
  • Uložte změny s přenosem dat do zařízení (tlačítko „Přenést“)

Konfiguraci na zařízení pak lze změnit pouze zadáním hesla
Zobrazit heslo

Heslo domovské stránky

  • Domovskou stránku lze také chránit před neoprávněným přístupem. K dispozici jsou následující možnosti:
    • Nezamykat domovskou stránku
      Domovská stránka je přístupná bez přihlášení; konfigurace lze provádět bez přihlášení.
    • Uzamknout domovskou stránku
      Po přihlášení se na 3 minuty odemkne domovská stránka a konfigurace pro IP uživatele. Při každém přístupu se čas znovu nastaví na 3 minuty.
    • Konfigurace zámku samostatně
      Domovská stránka je přístupná bez přihlášení; konfigurace lze provést pouze po přihlášení.
    • Samostatně uzamkněte domovskou stránku a konfiguraci
      • Po přihlášení se domovská stránka na 3 minuty odemkne pro IP uživatele.
      • Při každém přístupu se čas znovu nastaví na 3 minuty.
      • Konfigurace lze provádět pouze po přihlášení
        Ikona poznámky Poznámka: Za konfiguraci se považují pouze proměnné, které jsou v souboru init.jas nebo mají oprávnění „Admin“.
        Ikona varování Heslo domovské stránky musí mít maximálně 8 číslic a obsahovat pouze čísla.

Obr.: Nastavte heslo domovské stránky
Heslo domovské stránky

Po aktivaci se po otevření domovské stránky zařízení objeví přihlašovací okno.

Obr.: Přihlášení na domovskou stránku
Heslo domovské stránky

Zabezpečení komunikace Modbus TCP/IP

Není možné zabezpečit komunikaci Modbus TCP/IP (port 502). Standard Modbus neposkytuje žádnou ochranu. Integrované šifrování by již nebylo podle standardu Modbus a interoperabilita s jinými zařízeními by již nebyla zaručena. Z tohoto důvodu nelze během komunikace Modbus přiřadit žádné heslo.

Pokud IT stanoví, že lze používat pouze zabezpečené protokoly, musí být port Modbus TCP/IP deaktivován ve firewallu zařízení. Heslo správce zařízení musí být změněno a komunikace musí probíhat přes „TCP secure“ (FTP) nebo „HTTP secure“.

Zabezpečení komunikace Modbus RS485

Ochrana komunikace Modbus RS485 není možná. Standard Modbus neposkytuje žádnou ochranu. Integrované šifrování by již nebylo podle standardu Modbus a interoperabilita s jinými zařízeními by již nebyla zaručena. To se týká také funkčnosti Modbus master. To znamená, že pro zařízení na rozhraní RS-485 nelze aktivovat žádné šifrování.

Pokud IT stanoví, že lze používat pouze zabezpečené protokoly, musí být port Modbus TCP/IP deaktivován ve firewallu zařízení. Heslo správce zařízení musí být změněno a komunikace musí probíhat přes „TCP secure“ (FTP) nebo „HTTP secure“.

Zařízení na rozhraní RS485 však již nelze načíst!

Alternativou je v tomto případě upustit od funkce Modbus master a používat výhradně ethernetová zařízení, jako jsou UMG 604 / 605 / 508 / 509 / 511 nebo UMG 512.

Zabezpečení komunikace „UMG 96RM-E“.

UMG 96RM-E nenabízí zabezpečený protokol. Komunikace s tímto zařízením probíhá výhradně přes Modbus TCP/IP. Není možné zabezpečit komunikaci Modbus TCP/IP (port 502). Standard Modbus neposkytuje žádnou ochranu. To znamená, že pokud by bylo integrováno šifrování, již by nebylo v souladu se standardem Modbus a interoperabilita s jinými zařízeními by již nebyla zaručena. Z tohoto důvodu nelze během komunikace Modbus přiřadit žádné heslo.

Podpora

Janitza electronics GmbH Vor dem Polstück 6 | 35633 Lahnau Německo
Tel. +49 6441 9642-0 info@janitza.com www.janitza.com

Doc. Ne. 2.047.014.1.a | 02/2023 | Technické změny vyhrazeny.
Aktuální verzi dokumentu naleznete v části ke stažení na adrese www.janitza.com

Logo Janitza

Dokumenty / zdroje

Janitza Secure TCP nebo IP Connection pro UMG 508 [pdfUživatelská příručka
UMG 508, UMG 509-PRO, UMG 511, UMG 512-PRO, UMG 604-PRO, UMG 605-PRO, Zabezpečené připojení TCP nebo IP pro UMG 508, Zabezpečené připojení TCP nebo IP

Reference

Související příspěvky

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Povinná pole jsou označena *