Janitza Secure TCP atau Sambungan IP untuk Manual Pengguna UMG 508

Umum

Hak Cipta

Penerangan berfungsi ini tertakluk kepada peruntukan undang-undang perlindungan hak cipta dan tidak boleh difotokopi, dicetak semula, diterbitkan semula atau sebaliknya digandakan atau diterbitkan semula secara keseluruhan atau sebahagiannya melalui cara mekanikal atau elektronik tanpa mengikat secara sah, kebenaran bertulis daripada

Janitza electronics GmbH, Vor dem Polstück 6, 35633 Lahnau, Jerman

Tanda dagangan

Semua tanda dagangan dan hak yang timbul daripadanya adalah hak milik masing-masing pemilik hak ini.

Penafian

Janitza electronics GmbH tidak bertanggungjawab terhadap ralat atau kecacatan dalam perihalan fungsi ini dan tidak bertanggungjawab untuk memastikan kandungan perihalan berfungsi ini dikemas kini.

Komen pada manual

Komen anda dialu-alukan. Jika apa-apa dalam manual ini kelihatan tidak jelas, sila maklumkan kepada kami dan hantarkan e-mel kepada kami di: info@janitza.com

Makna simbol

Piktogram berikut digunakan dalam manual ini:

Bahaya voltage!
Risiko maut atau kecederaan serius. Putuskan sambungan sistem dan peranti daripada bekalan kuasa sebelum memulakan kerja.

Perhatian!
Sila rujuk dokumentasi. Simbol ini bertujuan untuk memberi amaran kepada anda tentang kemungkinan bahaya yang mungkin timbul semasa pemasangan, pentauliahan dan penggunaan.

Nota

Sambungan TCP/IP selamat

Komunikasi dengan peranti pengukur siri UMG biasanya melalui Ethernet. Peranti pengukur menyediakan protokol yang berbeza dengan port sambungan masing-masing untuk tujuan ini. Aplikasi perisian seperti GridVis® berkomunikasi dengan peranti pengukur melalui protokol FTP, Modbus atau HTTP.

Keselamatan rangkaian dalam rangkaian syarikat memainkan peranan yang semakin penting di sini.

Panduan ini bertujuan untuk menyokong anda dalam mengintegrasikan peranti pengukur dengan selamat ke dalam rangkaian, dengan itu melindungi peranti pengukur dengan berkesan daripada capaian yang tidak dibenarkan.

Panduan merujuk kepada perisian tegar > 4.057, kerana perubahan HTML berikut telah dibuat:

• Penambahbaikan pengiraan cabaran
• Selepas tiga log masuk yang salah, IP (pelanggan) disekat selama 900 saat
• Tetapan GridVis® disemak semula
• Kata laluan HTML: boleh ditetapkan, 8 digit
• Konfigurasi HTML boleh dikunci sepenuhnya

Jika peranti pengukur digunakan dalam GridVis®, beberapa protokol sambungan tersedia. Protokol standard ialah protokol FTP – iaitu GridVis® membaca files daripada peranti pengukur melalui port FTP 21 dengan port data masing-masing 1024 hingga 1027. Dalam tetapan "TCP/IP", sambungan dibuat tidak terjamin melalui FTP. Sambungan terjamin boleh dibuat menggunakan jenis sambungan "tercagar TCP".

Rajah.: Tetapan untuk jenis sambungan di bawah "Konfigurasikan sambungan

Tukar kata laluan

• Pengguna dan kata laluan diperlukan untuk sambungan selamat.
• Secara lalai, pengguna ialah pentadbir dan kata laluan ialah Janitza.
• Untuk sambungan selamat, kata laluan untuk akses pentadbir (admin) boleh ditukar dalam menu konfigurasi.

Langkah

• Buka dialog "Konfigurasikan sambungan".
  ExampLangkah 1: Untuk melakukan ini, gunakan butang tetikus untuk menyerlahkan peranti yang sepadan dalam tetingkap projek dan pilih "Konfigurasikan sambungan" dalam menu konteks butang tetikus kanan
  Exampbahagian 2: Klik dua kali pada peranti yang sepadan untuk membuka bahagian atasview tetingkap dan pilih butang "Konfigurasikan sambungan".
• Pilih jenis sambungan "TCP selamat"
• Tetapkan alamat hos peranti
• Isikan nama pengguna dan kata laluan.
  Tetapan kilang:
  Nama pengguna: admin
  Kata laluan: Janitza
• Tetapkan item menu "Disulitkan".
  Penyulitan AES256-bit data kemudiannya diaktifkan.

Rajah.: Konfigurasi sambungan peranti

Langkah 

• Buka tetingkap konfigurasi
  Example 1: Untuk melakukan ini, gunakan butang tetikus untuk menyerlahkan peranti yang sepadan dalam tetingkap projek dan pilih "Konfigurasi" dalam menu konteks butang kanan tetikus
  Exampbahagian 2: Klik dua kali pada peranti yang sepadan untuk membuka bahagian atasview tetingkap dan pilih butang "Konfigurasi".
• Pilih butang "Kata Laluan" dalam tetingkap konfigurasi. Tukar kata laluan pentadbir, jika mahu.
• Simpan perubahan dengan pemindahan data ke peranti (“butang Pemindahan”)

Perhatian!
JANGAN LUPA KATA LALUAN DALAM SEBARANG KEADAAN. TIADA MASTER PASSWORD. JIKA LUPA KATA LALUAN, PERANTI MESTI DIHANTAR KE KILANG!

Kata laluan pentadbir mungkin maksimum 30 digit panjang dan boleh terdiri daripada nombor, huruf dan aksara khas (kod ASCII 32 hingga 126, kecuali aksara yang disenaraikan di bawah). Juga, medan kata laluan tidak boleh dibiarkan kosong.
Aksara khas berikut tidak boleh digunakan:
” (kod 34)
\ (kod 92)
^ (kod 94)
` (kod 96)
| (kod 124)
Ruang (kod 32) hanya dibenarkan dalam kata laluan. Ia tidak dibenarkan sebagai watak pertama dan terakhir.
Apabila anda telah mengemas kini kepada versi GridVis® > 9.0.20 dan menggunakan salah satu aksara khas yang diterangkan di atas, anda akan digesa untuk menukar kata laluan mengikut peraturan ini apabila anda membuka konfigurasi peranti.

Perihalan "Tukar kata laluan" dengan peraturan kata laluannya juga digunakan pada jenis sambungan "HTTP selamat".

Rajah.: Konfigurasi kata laluan

Tetapan firewall

• Peranti ukuran mempunyai tembok api bersepadu yang membolehkan anda menyekat port yang anda tidak perlukan.

Langkah

• Buka dialog "Konfigurasikan sambungan".
  ExampLangkah 1: Untuk melakukan ini, gunakan butang tetikus untuk menyerlahkan peranti yang sepadan dalam tetingkap projek dan pilih "Konfigurasikan sambungan" dalam menu konteks butang tetikus kanan
  Exampbahagian 2: Klik dua kali pada peranti yang sepadan untuk membuka bahagian atasview tetingkap dan pilih butang "Konfigurasikan sambungan".
• Pilih jenis sambungan "TCP selamat"
• Log masuk sebagai pentadbir

Rajah.: Konfigurasi sambungan peranti (pentadbir)

Langkah 

• Buka tetingkap konfigurasi
  Example 1: Untuk melakukan ini, gunakan butang tetikus untuk menyerlahkan peranti yang sepadan dalam tetingkap projek dan pilih "Konfigurasi" dalam menu konteks butang kanan tetikus
  Exampbahagian 2: Klik dua kali pada peranti yang sepadan untuk membuka bahagian atasview tetingkap dan pilih butang "Konfigurasi".
• Pilih butang "Firewall" dalam tetingkap konfigurasi.
  Rajah.: Konfigurasi tembok api
  
• Firewall dihidupkan melalui butang "Firewall".
  • Mulai keluaran X.XXX, ini ialah tetapan lalai.
  • Protokol yang anda tidak perlukan boleh dinyahaktifkan di sini.
  • Apabila tembok api dihidupkan, peranti hanya membenarkan permintaan pada protokol yang diaktifkan dalam setiap kes
    

    Protokol	Pelabuhan
    FTP	Port 21, port data 1024 hingga 1027
    HTTP	Pelabuhan 80
    SNMP	Pelabuhan 161
    Modbus RTU	Pelabuhan 8000
    Nyahpepijat	PORT 1239 (untuk tujuan perkhidmatan)
    Modbus TCP/IP	Pelabuhan 502
    Bacnet	Pelabuhan 47808
    DHCP	Port UTP 67 dan 68
    NTP	Pelabuhan 123
    Nama pelayan	Pelabuhan 53

• Untuk komunikasi asas dengan GridVis® dan melalui halaman utama, tetapan berikut akan mencukupi:
  Rajah.: Konfigurasi tembok api
  
• Tetapi sila pilih port tertutup dengan berhati-hati! Bergantung pada protokol sambungan yang dipilih, hanya mungkin untuk berkomunikasi melalui HTTP, contohnyaample.
• Simpan perubahan dengan pemindahan data ke peranti (“butang Pemindahan”)

Paparkan kata laluan

• Konfigurasi peranti melalui kekunci peranti juga boleh dilindungi. Iaitu hanya selepas memasukkan kata laluan konfigurasi adalah mungkin. Kata laluan boleh ditetapkan pada peranti itu sendiri atau melalui GridVis® dalam tetingkap konfigurasi.

Kata laluan paparan mestilah maksimum 5 digit panjang dan hanya mengandungi nombor.

Rajah.: Menetapkan kata laluan paparan

Prosedur: 

• Buka tetingkap konfigurasi
  Example 1: Untuk melakukan ini, gunakan butang tetikus untuk menyerlahkan peranti yang sepadan dalam tetingkap projek dan pilih "Konfigurasi" dalam menu konteks butang kanan tetikus
  Exampbahagian 2: Klik dua kali pada peranti yang sepadan untuk membuka bahagian atasview tetingkap dan pilih butang "Konfigurasi".
• Pilih butang "Kata Laluan" dalam tetingkap konfigurasi. Jika dikehendaki, tukar pilihan "Kata laluan pengguna untuk mod pengaturcaraan pada peranti"
• Simpan perubahan dengan pemindahan data ke peranti (“butang Pemindahan”)

Konfigurasi pada peranti kemudiannya hanya boleh ditukar dengan memasukkan kata laluan

Kata laluan laman utama

• Halaman utama juga boleh dilindungi daripada akses yang tidak dibenarkan. Pilihan berikut tersedia:
  • Jangan kunci halaman utama
    Laman utama boleh diakses tanpa log masuk; konfigurasi boleh dibuat tanpa log masuk.
  • Kunci halaman utama
    Selepas log masuk, halaman utama dan konfigurasi untuk IP pengguna akan dibuka selama 3 minit. Dengan setiap akses masa ditetapkan kepada 3 minit sekali lagi.
  • Kunci konfigurasi secara berasingan
    Laman utama boleh diakses tanpa log masuk; konfigurasi hanya boleh dibuat dengan log masuk.
  • Kunci halaman utama dan konfigurasi secara berasingan
    • Selepas log masuk, halaman utama dibuka untuk IP pengguna selama 3 minit.
    • Dengan setiap akses masa ditetapkan kepada 3 minit sekali lagi.
    • Konfigurasi hanya boleh dibuat dengan log masuk
      Nota: Hanya pembolehubah yang berada dalam init.jas atau mempunyai kebenaran "Pentadbir" dianggap sebagai konfigurasi
      Kata laluan halaman utama mestilah maksimum 8 digit panjang dan hanya mengandungi nombor.

Rajah.: Tetapkan kata laluan halaman utama

Selepas pengaktifan, tetingkap log masuk muncul selepas membuka halaman utama peranti.

Rajah.: Log masuk laman utama

Keselamatan komunikasi TCP/IP Modbus

Tidak mungkin untuk mengamankan komunikasi Modbus TCP/IP (port 502). Standard Modbus tidak menyediakan sebarang perlindungan. Penyulitan bersepadu tidak lagi mengikut standard Modbus dan kesalingoperasian dengan peranti lain tidak akan dijamin lagi. Atas sebab ini, tiada kata laluan boleh diberikan semasa komunikasi Modbus.

Jika IT menyatakan bahawa hanya protokol terjamin boleh digunakan, port Modbus TCP/IP mesti dinyahaktifkan dalam tembok api peranti. Kata laluan pentadbir peranti mesti ditukar dan komunikasi mesti dilakukan melalui “TCP secured” (FTP) atau “HTTP secured”.

Keselamatan komunikasi Modbus RS485

Perlindungan komunikasi Modbus RS485 tidak mungkin. Standard Modbus tidak menyediakan sebarang perlindungan. Penyulitan bersepadu tidak lagi mengikut standard Modbus dan kesalingoperasian dengan peranti lain tidak akan dijamin lagi. Ini juga berkaitan dengan fungsi induk Modbus. Iaitu tiada penyulitan boleh diaktifkan untuk peranti di antara muka RS-485.

Jika IT menyatakan bahawa hanya protokol terjamin boleh digunakan, port Modbus TCP/IP mesti dinyahaktifkan dalam tembok api peranti. Kata laluan pentadbir peranti mesti ditukar dan komunikasi mesti dilakukan melalui “TCP secured” (FTP) atau “HTTP secured”.

Walau bagaimanapun, peranti pada antara muka RS485 tidak boleh dibaca lagi!

Alternatif dalam kes ini adalah untuk mengetepikan fungsi induk Modbus dan secara eksklusif menggunakan peranti Ethernet seperti UMG 604 / 605 / 508 / 509 / 511 atau UMG 512.

Keselamatan komunikasi "UMG 96RM-E".

UMG 96RM-E tidak menawarkan protokol terjamin. Komunikasi dengan peranti ini secara eksklusif melalui Modbus TCP/IP. Tidak mungkin untuk mengamankan komunikasi Modbus TCP/IP (port 502). Standard Modbus tidak menyediakan sebarang perlindungan. Iaitu jika penyulitan hendak disepadukan, ia tidak lagi mengikut standard Modbus dan kesalingoperasian dengan peranti lain tidak akan dijamin lagi. Atas sebab ini, tiada kata laluan boleh diberikan semasa komunikasi Modbus.

Sokongan

Janitza electronics GmbH Vor dem Polstück 6 | 35633 Lahnau Jerman
Tel. +49 6441 9642-0 info@janitza.com www.janitza.com

Doc. tidak. 2.047.014.1.a | 02/2023 | Tertakluk kepada perubahan teknikal.
Versi semasa dokumen boleh didapati di kawasan muat turun di www.janitza.com

Dokumen / Sumber

Janitza Secure TCP atau Sambungan IP untuk UMG 508 [pdf] Manual Pengguna UMG 508, UMG 509-PRO, UMG 511, UMG 512-PRO, UMG 604-PRO, UMG 605-PRO, Sambungan TCP atau IP Selamat untuk UMG 508, Sambungan TCP atau IP Selamat

Rujukan

• Manual Pengguna