Janitza Conexión TCP o IP segura para UMG 508 Manual de usuario
Janitza Conexión segura TCP o IP para UMG 508

Contenido esconder
1 General
2 Conexión TCP/IP segura
3 Cambiar la contraseña
4 Configuración del firewall
5 Mostrar contraseña
6 Contraseña de la página de inicio
7 Seguridad de comunicación Modbus TCP/IP
8 Seguridad de comunicación Modbus RS485
9 Seguridad de comunicaciones “UMG 96RM-E”
10 Apoyo
11 Documentos / Recursos
11.1 Referencias
12 Publicaciones relacionadas

General

Derechos de autor

Esta descripción funcional está sujeta a las disposiciones legales de protección de derechos de autor y no puede ser fotocopiada, reimpresa, reproducida o de otra manera duplicada o republicada en su totalidad o en parte por medios mecánicos o electrónicos sin el consentimiento legalmente vinculante por escrito de

Janitza electronics GmbH, Vor dem Polstück 6, 35633 Lahnau, Alemania

Marcas comerciales

Todas las marcas comerciales y los derechos derivados de ellas son propiedad de los respectivos propietarios de estos derechos.

Descargo de responsabilidad

Janitza electronics GmbH no asume ninguna responsabilidad por errores o defectos dentro de esta descripción funcional y no asume ninguna obligación de mantener actualizado el contenido de esta descripción funcional.

Comentarios sobre el manual

Sus comentarios son bienvenidos. Si algo en este manual parece poco claro, háganoslo saber y envíenos un correo electrónico a: info@janitza.com

Significado de los símbolos

En este manual se utilizan los siguientes pictogramas:

Icono de advertencia Vol peligrosotage!
Riesgo de muerte o lesiones graves. Desconecte el sistema y el dispositivo de la fuente de alimentación antes de comenzar a trabajar.

Icono de advertencia ¡Atención!
Consulte la documentación. Este símbolo tiene por objeto advertirle de los posibles peligros que pueden surgir durante la instalación, la puesta en servicio y el uso.

Icono de nota Nota

Conexión TCP/IP segura

La comunicación con los dispositivos de medición de la serie UMG se realiza normalmente a través de Ethernet. Los aparatos de medida disponen de diferentes protocolos con los respectivos puertos de conexión para tal fin. Las aplicaciones de software como GridVis® se comunican con los dispositivos de medición a través del protocolo FTP, Modbus o HTTP.

La seguridad de la red en la red de la empresa juega aquí un papel cada vez más importante.

Esta guía está destinada a ayudarlo a integrar de forma segura los dispositivos de medición en la red, protegiendo así de manera efectiva los dispositivos de medición del acceso no autorizado.

La guía se refiere al firmware > 4.057, ya que se han realizado los siguientes cambios en HTML:

  • Mejora del cálculo del desafío
  • Después de tres inicios de sesión incorrectos, la IP (del cliente) se bloquea durante 900 segundos
  • Configuración de GridVis® revisada
  • Contraseña HTML: se puede configurar, 8 dígitos
  • Configuración HTML completamente bloqueable

Si el dispositivo de medición se utiliza en GridVis®, hay varios protocolos de conexión disponibles. Un protocolo estándar es el protocolo FTP, es decir, GridVis® lee files desde el dispositivo de medición a través del puerto FTP 21 con los respectivos puertos de datos 1024 a 1027. En la configuración "TCP/IP", la conexión se realiza de forma no segura a través de FTP. Se puede establecer una conexión segura utilizando el tipo de conexión "seguro TCP".

Higo.: Ajustes para el tipo de conexión en "Configurar conexión
Conexión TCP/IP segura

Cambiar la contraseña

  • Se requiere un usuario y una contraseña para la conexión segura.
  • Por defecto, el usuario es admin y la contraseña es Janitza.
  • Para una conexión segura, la contraseña de acceso del administrador (admin) se puede cambiar en el menú de configuración.

Paso

  • Abra el cuadro de diálogo "Configurar conexión"
    Example 1: Para hacer esto, use el botón del mouse para resaltar el dispositivo correspondiente en la ventana de proyectos y seleccione "Configurar conexión" en el menú contextual del botón derecho del mouse
    Example 2: Haga doble clic en el dispositivo correspondiente para abrir el sobreview ventana y seleccione el botón “Configurar conexión”
  • Seleccione el tipo de conexión "TCP seguro"
  • Establecer la dirección de host del dispositivo
  • Rellene el nombre de usuario y la contraseña.
    Configuración de fábrica:
    Nombre de usuario: admin
    Contraseña: Janitza
  • Establezca el elemento de menú "Cifrado".
    Luego se activa un cifrado AES256-bit de los datos.

Higo.: Configuración de la conexión del dispositivo
Cambiar la contraseña

Paso 

  • Abre la ventana de configuración
    Example 1: Para hacer esto, use el botón del mouse para resaltar el dispositivo correspondiente en la ventana de proyectos y seleccione "Configuración" en el menú contextual del botón derecho del mouse
    Example 2: Haga doble clic en el dispositivo correspondiente para abrir el sobreview ventana y seleccione el botón “Configuración”
  • Seleccione el botón "Contraseñas" en la ventana de configuración. Cambie la contraseña de administrador, si lo desea.
  • Guarde los cambios con la transferencia de los datos al dispositivo (botón "Transferir")

Icono de advertencia ¡Atención!
NO OLVIDE LA CONTRASEÑA BAJO NINGUNA CIRCUNSTANCIA. NO HAY CONTRASEÑA MAESTRA. ¡SI SE OLVIDA LA CONTRASEÑA, EL DISPOSITIVO DEBE SER ENVIADO A LA FÁBRICA!

Icono de nota La contraseña de administrador puede tener un máximo de 30 dígitos y puede constar de números, letras y caracteres especiales (código ASCII del 32 al 126, excepto los caracteres que se enumeran a continuación). Además, el campo de la contraseña no debe dejarse en blanco.
No se deben utilizar los siguientes caracteres especiales:
” (código 34)
\ (código 92)
^ (código 94)
` (código 96)
| (código 124)
El espacio (código 32) solo se permite dentro de la contraseña. No está permitido como primer y último carácter.
Cuando haya actualizado a una versión de GridVis® > 9.0.20 y utilice uno de los caracteres especiales descritos anteriormente, se le pedirá que cambie la contraseña de acuerdo con estas reglas cuando abra el configurador de dispositivos.

Icono de nota La descripción "Cambiar contraseña" con sus reglas de contraseña también se aplica al tipo de conexión "HTTP seguro".

Higo.: Configuración de contraseñas
Cambiar la contraseña

Configuración del firewall

  • Los dispositivos de medición tienen un firewall integrado que le permite bloquear puertos que no necesita.

Paso

  • Abra el cuadro de diálogo "Configurar conexión"
    Example 1: Para hacer esto, use el botón del mouse para resaltar el dispositivo correspondiente en la ventana de proyectos y seleccione "Configurar conexión" en el menú contextual del botón derecho del mouse
    Example 2: Haga doble clic en el dispositivo correspondiente para abrir el sobreview ventana y seleccione el botón “Configurar conexión”
  • Seleccione el tipo de conexión "TCP seguro"
  • Iniciar sesión como administrador

Higo.: Configuración de la conexión del dispositivo (admin)
Configuración del firewall

Paso 

  • Abre la ventana de configuración
    Example 1: Para hacer esto, use el botón del mouse para resaltar el dispositivo correspondiente en la ventana de proyectos y seleccione "Configuración" en el menú contextual del botón derecho del mouse
    Example 2: Haga doble clic en el dispositivo correspondiente para abrir el sobreview ventana y seleccione el botón “Configuración”
  • Seleccione el botón "Cortafuegos" en la ventana de configuración.
    Higo.: Configuración del firewall
    Configuración del firewall
  • El cortafuegos se activa mediante el botón "Firewall".
    • A partir de la versión X.XXX, esta es la configuración predeterminada.
    • Los protocolos que no necesita se pueden desactivar aquí.
    • Cuando el cortafuegos está activado, el dispositivo solo permite peticiones sobre los protocolos activados en cada caso
      Protocolos Puerto
      FTP Puerto 21, puerto de datos 1024 a 1027
      HTTP Puerto 80
      SNMP Puerto 161
      Modbus RTU Puerto 8000
      Depurar PUERTO 1239 (para fines de servicio)
      Modbus TCP/IP Puerto 502
      BACnet Puerto 47808
      DHCP Puerto UTP 67 y 68
      Programa Nacional de Pruebas Puerto 123
      Nombre del servidor Puerto 53
  • Para una comunicación rudimentaria con GridVis® y a través de la página de inicio, la siguiente configuración será suficiente:
    Higo.: Configuración del firewall
    Configuración del firewall
  • ¡Pero elija los puertos cerrados con cuidado! Dependiendo del protocolo de conexión seleccionado, es posible que solo sea posible comunicarse a través de HTTP, por ej.ampel.
  • Guarde los cambios con la transferencia de los datos al dispositivo (botón "Transferir")

Mostrar contraseña

  • La configuración del dispositivo a través de las claves del dispositivo también se puede proteger. Es decir, solo después de ingresar una contraseña es posible la configuración. La contraseña se puede establecer en el propio dispositivo o a través de GridVis® en la ventana de configuración.

Icono de advertencia La contraseña de visualización debe tener un máximo de 5 dígitos y solo contener números.

Higo.: Configuración de la contraseña de pantalla
Mostrar contraseña

Procedimiento: 

  • Abre la ventana de configuración
    Example 1: Para hacer esto, use el botón del mouse para resaltar el dispositivo correspondiente en la ventana de proyectos y seleccione "Configuración" en el menú contextual del botón derecho del mouse
    Example 2: Haga doble clic en el dispositivo correspondiente para abrir el sobreview ventana y seleccione el botón “Configuración”
  • Seleccione el botón "Contraseñas" en la ventana de configuración. Si lo desea, cambie la opción “Contraseña de usuario para el modo de programación en el dispositivo”
  • Guarde los cambios con la transferencia de los datos al dispositivo (botón "Transferir")

La configuración en el dispositivo solo se puede cambiar introduciendo una contraseña
Mostrar contraseña

Contraseña de la página de inicio

  • La página de inicio también se puede proteger contra el acceso no autorizado. Las siguientes opciones están disponibles:
    • No bloquear la página de inicio
      Se puede acceder a la página de inicio sin iniciar sesión; Las configuraciones se pueden realizar sin iniciar sesión.
    • Bloquear página de inicio
      Después de iniciar sesión, la página de inicio y la configuración de la IP del usuario se desbloquearán durante 3 minutos. Con cada acceso, el tiempo vuelve a establecerse en 3 minutos.
    • Bloquear la configuración por separado
      Se puede acceder a la página de inicio sin iniciar sesión; las configuraciones solo se pueden realizar iniciando sesión.
    • Bloquear la página de inicio y la configuración por separado
      • Después de iniciar sesión, la página de inicio se desbloquea para la IP del usuario durante 3 minutos.
      • Con cada acceso, el tiempo vuelve a establecerse en 3 minutos.
      • Las configuraciones solo se pueden realizar iniciando sesión
        Icono de nota Nota: Solo se consideran como configuración las variables que están en el init.jas o tienen autorización de “Admin”
        Icono de advertencia La contraseña de la página de inicio debe tener un máximo de 8 dígitos y solo contener números.

Higo.: Establecer contraseña de la página de inicio
Contraseña de la página de inicio

Después de la activación, aparece una ventana de inicio de sesión después de abrir la página de inicio del dispositivo.

Higo.: Iniciar sesión en la página de inicio
Contraseña de la página de inicio

Seguridad de comunicación Modbus TCP/IP

No es posible asegurar la comunicación Modbus TCP/IP (puerto 502). El estándar Modbus no proporciona ninguna protección. El cifrado integrado ya no estaría de acuerdo con el estándar Modbus y ya no se garantizaría la interoperabilidad con otros dispositivos. Por este motivo, no se puede asignar ninguna contraseña durante la comunicación Modbus.

Si TI especifica que solo se pueden usar protocolos seguros, el puerto Modbus TCP/IP debe desactivarse en el firewall del dispositivo. La contraseña del administrador del dispositivo debe cambiarse y la comunicación debe realizarse a través de "TCP seguro" (FTP) o "HTTP seguro".

Seguridad de comunicación Modbus RS485

La protección de la comunicación Modbus RS485 no es posible. El estándar Modbus no proporciona ninguna protección. El cifrado integrado ya no estaría de acuerdo con el estándar Modbus y ya no se garantizaría la interoperabilidad con otros dispositivos. Esto también se refiere a la funcionalidad del maestro Modbus. Es decir, no se puede activar el cifrado para dispositivos en la interfaz RS-485.

Si TI especifica que solo se pueden usar protocolos seguros, el puerto Modbus TCP/IP debe desactivarse en el firewall del dispositivo. La contraseña del administrador del dispositivo debe cambiarse y la comunicación debe realizarse a través de "TCP seguro" (FTP) o "HTTP seguro".

¡Sin embargo, los dispositivos en la interfaz RS485 ya no podrán leerse!

La alternativa en este caso es prescindir de la funcionalidad de maestro Modbus y utilizar exclusivamente dispositivos Ethernet como el UMG 604 / 605 / 508 / 509 / 511 o el UMG 512.

Seguridad de comunicaciones “UMG 96RM-E”

El UMG 96RM-E no ofrece un protocolo seguro. La comunicación con este dispositivo es exclusivamente a través de Modbus TCP/IP. No es posible asegurar la comunicación Modbus TCP/IP (puerto 502). El estándar Modbus no proporciona ninguna protección. Es decir, si se integrara el cifrado, ya no sería conforme al estándar Modbus y ya no se garantizaría la interoperabilidad con otros dispositivos. Por este motivo, no se puede asignar ninguna contraseña durante la comunicación Modbus.

Apoyo

Janitza electronics GmbH Para Polstück 6 | 35633 Lahnau Alemania
Teléfono. +49 6441 9642-0 info@janitza.com www.janitza.com

Doc. No. 2.047.014.1.a | 02/2023 | Sujeto a modificaciones técnicas.
La versión actual del documento se puede encontrar en el área de descargas en www.janitza.com

logotipo de janitza

Documentos / Recursos

Janitza Conexión segura TCP o IP para UMG 508 [pdf] Manual del usuario
UMG 508, UMG 509-PRO, UMG 511, UMG 512-PRO, UMG 604-PRO, UMG 605-PRO, conexión TCP o IP segura para UMG 508, conexión TCP o IP segura

Referencias

Publicaciones relacionadas

Deja un comentario

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados *