Janitza UMG 508 用セキュア TCP または IP 接続ユーザー マニュアル
一般的な
著作権
この機能の説明は著作権保護の法的規定の対象であり、法的拘束力のある書面による同意なしに、機械的または電子的手段によって全体または一部を複写、再印刷、複製、またはその他の方法で複製または再発行することはできません。
Janitza electronics GmbH、Vor dem Polstück 6、35633 Lahnau、ドイツ
商標
すべての商標およびそれらから生じる権利は、それぞれの権利所有者の財産です。
免責事項
Janitza electronics GmbH は、この機能説明内の誤りや欠陥について一切の責任を負わず、この機能説明の内容を最新の状態に保つ義務も負いません。
マニュアルに関するコメント
ご意見をお待ちしております。このマニュアルの内容が不明瞭な場合は、以下のメールアドレスまでお知らせください。 info@janitza.com
シンボルの意味
このマニュアルでは、次の絵文字が使用されています。
危険な巻tage!
死亡または重傷の危険があります。作業を開始する前に、システムとデバイスを電源から外してください。
注意!
マニュアルを参照してください。この記号は、設置、試運転、使用中に発生する可能性のある危険を警告することを目的としています。
注記
安全なTCP/IP接続
UMG シリーズの測定デバイスとの通信は通常、イーサネット経由で行われます。測定デバイスは、この目的のために、それぞれの接続ポートで異なるプロトコルを提供します。GridVis® などのソフトウェア アプリケーションは、FTP、Modbus、または HTTP プロトコル経由で測定デバイスと通信します。
ここでは、企業ネットワークにおけるネットワーク セキュリティがますます重要な役割を果たします。
このガイドは、測定デバイスをネットワークに安全に統合し、測定デバイスを不正アクセスから効果的に保護するためのサポートを目的としています。
このガイドはファームウェア 4.057 以降を参照しており、次の HTML 変更が加えられています。
- チャレンジ計算の改善
- 900回不正ログインすると、IP(クライアント)はXNUMX秒間ブロックされます。
- GridVis®設定の修正
- HTMLパスワード: 設定可能、8桁
- HTML設定は完全にロック可能
測定装置をGridVis®で使用する場合、いくつかの接続プロトコルが利用可能です。標準プロトコルはFTPプロトコルです。つまり、GridVis®は次のように読み取ります。 file測定デバイスから FTP ポート 21 経由で、それぞれのデータ ポート 1024 ~ 1027 を使用してデータを送信します。「TCP/IP」設定では、FTP 経由の接続はセキュリティ保護されません。「TCP 保護」接続タイプを使用すると、セキュリティ保護された接続を確立できます。
図。: 「接続の構成」の下の接続タイプの設定
パスワードを変更する
- 安全な接続にはユーザー名とパスワードが必要です。
- デフォルトでは、ユーザーは admin、パスワードは Janitza です。
- 安全な接続のために、管理者アクセス (admin) のパスワードを設定メニューで変更できます。
ステップ
- 「接続の設定」ダイアログを開く
Examp1: これを行うには、マウスボタンを使用してプロジェクトウィンドウで対応するデバイスを強調表示し、マウスの右ボタンのコンテキストメニューで[接続の構成]を選択します。
Examp2: 対応するデバイスをダブルクリックして、view ウィンドウを開き、「接続の設定」ボタンを選択します - 接続タイプ「TCP secureed」を選択します
- デバイスのホストアドレスを設定する
- ユーザー名とパスワードを入力してください。
工場出荷時の設定:
ユーザー名: admin
パスワード: Janitza - 「暗号化」メニュー項目を設定します。
その後、データの AES256 ビット暗号化が有効になります。
図。: デバイス接続の構成
ステップ
- 設定ウィンドウを開く
Examp1: これを行うには、マウスボタンを使用してプロジェクトウィンドウで対応するデバイスを強調表示し、マウスの右ボタンのコンテキストメニューで[構成]を選択します。
Examp2: 対応するデバイスをダブルクリックして、view ウィンドウを開き、「構成」ボタンを選択します - 設定ウィンドウで「パスワード」ボタンを選択します。必要に応じて、管理者パスワードを変更します。
- データをデバイスに転送して変更を保存します(「転送」ボタン)
注意!
いかなる状況でもパスワードを忘れないでください。マスター パスワードはありません。パスワードを忘れた場合は、デバイスを工場に送る必要があります。
管理者パスワードは最大 30 桁で、数字、文字、特殊文字 (ASCII コード 32 ~ 126、ただし以下にリストされている文字は除く) で構成できます。また、パスワード フィールドを空白のままにすることはできません。
次の特殊文字は使用できません。
(コード34)
\ (コード92)
^ (コード94)
(コード96)
| (コード 124)
スペース (コード 32) はパスワード内でのみ使用できます。最初と最後の文字として使用することはできません。
GridVis® バージョン 9.0.20 以上にアップデートし、上記の特殊文字のいずれかを使用すると、デバイス コンフィギュレータを開いたときに、これらのルールに従ってパスワードを変更するように求められます。
「パスワードの変更」の説明とそのパスワード ルールは、「HTTP セキュア」接続タイプにも適用されます。
図。: パスワードの設定
ファイアウォール設定
- 測定デバイスにはファイアウォールが統合されており、不要なポートをブロックできます。
ステップ
- 「接続の設定」ダイアログを開く
Examp1: これを行うには、マウスボタンを使用してプロジェクトウィンドウで対応するデバイスを強調表示し、マウスの右ボタンのコンテキストメニューで[接続の構成]を選択します。
Examp2: 対応するデバイスをダブルクリックして、view ウィンドウを開き、「接続の設定」ボタンを選択します - 接続タイプ「TCP secureed」を選択します
- 管理者としてログイン
図。: デバイス接続の構成(管理者)
ステップ
- 設定ウィンドウを開く
Examp1: これを行うには、マウスボタンを使用してプロジェクトウィンドウで対応するデバイスを強調表示し、マウスの右ボタンのコンテキストメニューで[構成]を選択します。
Examp2: 対応するデバイスをダブルクリックして、view ウィンドウを開き、「構成」ボタンを選択します - 設定ウィンドウで「ファイアウォール」ボタンを選択します。
図。: ファイアウォールの設定
- ファイアウォールは「ファイアウォール」ボタンでオンになります。
- リリース X.XXX 以降では、これがデフォルト設定です。
- 必要のないプロトコルはここで非アクティブ化できます。
- ファイアウォールがオンになっている場合、デバイスは各ケースでアクティブ化されたプロトコルのリクエストのみを許可します。
プロトコル ポート FTP ポート 21、データ ポート 1024 ~ 1027 ウェブ ポート 80 SNMP の ポート 161 モドバスRTU ポート 8000 デバッグ ポート 1239 (サービス目的) モドバスTCP/IP ポート 502 BACnet ポート 47808 DHCPサーバー UTP ポート 67 および 68 NTPA の ポート 123 サーバー名 ポート 53
- GridVis® およびホームページを介した基本的な通信には、次の設定で十分です。
図。: ファイアウォールの設定
- ただし、閉じたポートは慎重に選択してください。選択した接続プロトコルによっては、HTTP経由でのみ通信できる場合があります。例:ampル。
- データをデバイスに転送して変更を保存します(「転送」ボタン)
パスワードを表示
- デバイス キーによるデバイス設定も保護できます。つまり、パスワードを入力した後でのみ設定が可能になります。パスワードはデバイス自体で設定することも、設定ウィンドウの GridVis® で設定することもできます。
表示パスワードは最大 5 桁で、数字のみで構成する必要があります。
図。: ディスプレイパスワードの設定
手順:
- 設定ウィンドウを開く
Examp1: これを行うには、マウスボタンを使用してプロジェクトウィンドウで対応するデバイスを強調表示し、マウスの右ボタンのコンテキストメニューで[構成]を選択します。
Examp2: 対応するデバイスをダブルクリックして、view ウィンドウを開き、「構成」ボタンを選択します - 設定ウィンドウで「パスワード」ボタンを選択します。必要に応じて、「デバイスのプログラミングモードのユーザーパスワード」オプションを変更します。
- データをデバイスに転送して変更を保存します(「転送」ボタン)
デバイスの設定はパスワードを入力することによってのみ変更可能
ホームページのパスワード
- ホームページを不正アクセスから保護することもできます。次のオプションが利用可能です。
- ホームページをロックしない
ホームページはログインせずにアクセスでき、ログインせずに設定を行うことができます。 - ホームページをロックする
ログイン後、ホームページとユーザーの IP の設定は 3 分間ロック解除されます。アクセスするたびに、時間が再び 3 分に設定されます。 - 設定を個別にロックする
ホームページはログインしなくてもアクセスできますが、設定はログインしてのみ行うことができます。 - ホームページと設定を個別にロックする
- ログイン後、ホームページはユーザーの IP に対して 3 分間ロック解除されます。
- アクセスするたびに、時間が再び 3 分に設定されます。
- 設定はログインしてのみ行うことができます
注記: init.jasにある変数または「管理者」権限を持つ変数のみが構成としてみなされます。
ホームページのパスワードは最大 8 桁で、数字のみで構成する必要があります。
- ホームページをロックしない
図。: ホームページのパスワードを設定する
アクティベーション後、デバイスのホームページを開くとログイン ウィンドウが表示されます。
図。: ホームページログイン
Modbus TCP/IP通信セキュリティ
Modbus TCP/IP 通信 (ポート 502) をセキュリティで保護することはできません。Modbus 標準では保護が提供されていません。統合された暗号化は Modbus 標準に準拠しなくなり、他のデバイスとの相互運用性が保証されなくなります。このため、Modbus 通信中にパスワードを割り当てることはできません。
IT 部門がセキュリティ保護されたプロトコルのみの使用を許可するように指定している場合は、デバイスのファイアウォールで Modbus TCP/IP ポートを無効にする必要があります。デバイス管理者のパスワードを変更し、通信を「TCP セキュリティ保護」(FTP) または「HTTP セキュリティ保護」経由で行う必要があります。
Modbus RS485通信セキュリティ
Modbus RS485 通信の保護は不可能です。Modbus 標準では保護が提供されていません。統合された暗号化は Modbus 標準に準拠しなくなり、他のデバイスとの相互運用性は保証されなくなります。これは Modbus マスター機能にも関係します。つまり、RS-485 インターフェイスのデバイスに対して暗号化を有効にすることはできません。
IT 部門がセキュリティ保護されたプロトコルのみの使用を許可するように指定している場合は、デバイスのファイアウォールで Modbus TCP/IP ポートを無効にする必要があります。デバイス管理者のパスワードを変更し、通信を「TCP セキュリティ保護」(FTP) または「HTTP セキュリティ保護」経由で行う必要があります。
ただし、RS485 インターフェースのデバイスは読み取れなくなります。
この場合の代替策は、Modbus マスター機能を廃止し、UMG 604/605/508/509/511 や UMG 512 などのイーサネット デバイスのみを使用することです。
「UMG 96RM-E」通信セキュリティ
UMG 96RM-E は、セキュリティ保護されたプロトコルを提供していません。このデバイスとの通信は、Modbus TCP/IP 経由でのみ行われます。Modbus TCP/IP 通信 (ポート 502) をセキュリティ保護することはできません。Modbus 標準では、いかなる保護も提供されていません。つまり、暗号化を統合すると、Modbus 標準に準拠しなくなり、他のデバイスとの相互運用性が保証されなくなります。このため、Modbus 通信中にパスワードを割り当てることはできません。
サポート
Janitza electronics GmbH ポーランド前 6 | 35633 ラーナウ ドイツ
電話番号 +49 6441 9642-0 info@janitza.com www.ジャニツァ.com
文書番号 2.047.014.1.a | 02 年 2023 月 | 技術的な変更の対象となります。
文書の最新バージョンは、ダウンロードエリアから入手できます。 www.ジャニツァ.com
ドキュメント / リソース
 |
UMG 508 用の Janitza セキュア TCP または IP 接続 [pdf] ユーザーマニュアル UMG 508、UMG 509-PRO、UMG 511、UMG 512-PRO、UMG 604-PRO、UMG 605-PRO、UMG 508 用のセキュア TCP または IP 接続、セキュア TCP または IP 接続 |
