Janitza Veilige TCP- of IP-verbinding voor UMG 508 Gebruikershandleiding
Janitza beveiligde TCP- of IP-verbinding voor UMG 508

Inhoud verbergen
1 Algemeen
2 Beveiligde TCP/IP-verbinding
3 Wachtwoord wijzigen
4 Firewall-instellingen
5 Wachtwoord weergeven:
6 Homepage wachtwoord
7 Modbus TCP/IP-communicatiebeveiliging
8 Modbus RS485 communicatiebeveiliging
9 Communicatiebeveiliging "UMG 96RM-E".
10 Steun
11 Documenten / Bronnen
11.1 Referenties
12 Gerelateerde berichten

Algemeen

Copyright

Deze functiebeschrijving is onderworpen aan de wettelijke bepalingen van de auteursrechtelijke bescherming en mag zonder de wettelijk bindende, schriftelijke toestemming van

Janitza electronics GmbH, Vor dem Polstück 6, 35633 Lahnau, Duitsland

Handelsmerken

Alle handelsmerken en de daaruit voortvloeiende rechten zijn het eigendom van de respectieve eigenaars van deze rechten.

Vrijwaring

Janitza electronics GmbH aanvaardt geen verantwoordelijkheid voor fouten of defecten in deze functiebeschrijving en aanvaardt geen verplichting om de inhoud van deze functiebeschrijving actueel te houden.

Opmerkingen over de handleiding

Uw opmerkingen zijn welkom. Als er iets in deze handleiding onduidelijk is, laat het ons dan weten en stuur ons een e-mail op: info@janitza.com

Betekenis van symbolen

In deze handleiding worden de volgende pictogrammen gebruikt:

Waarschuwingspictogram Gevaarlijke voltage!
Kans op overlijden of ernstig letsel. Koppel het systeem en het apparaat los van de stroomvoorziening voordat u met de werkzaamheden begint.

Waarschuwingspictogram Aandacht!
Raadpleeg de documentatie. Dit symbool is bedoeld om u te waarschuwen voor mogelijke gevaren die kunnen ontstaan ​​bij installatie, inbedrijfstelling en gebruik.

Notitie-pictogram Opmerking

Beveiligde TCP/IP-verbinding

De communicatie met de meetinstrumenten van de UMG-serie verloopt meestal via Ethernet. Hiervoor stellen de meetapparaten verschillende protocollen met de respectievelijke aansluitpoorten ter beschikking. Softwaretoepassingen zoals de GridVis® communiceren met de meettoestellen via het FTP-, Modbus- of HTTP-protocol.

Netwerkbeveiliging in het bedrijfsnetwerk speelt hierbij een steeds belangrijkere rol.

Deze handleiding is bedoeld om u te ondersteunen bij het veilig integreren van de meetapparaten in het netwerk, waardoor de meetapparaten effectief worden beschermd tegen onbevoegde toegang.

De handleiding verwijst naar firmware > 4.057, aangezien de volgende HTML-wijzigingen zijn aangebracht:

  • Verbetering van de uitdagingsberekening
  • Na drie foutieve logins wordt het IP (van de client) voor 900 seconden geblokkeerd
  • GridVis®-instellingen herzien
  • HTML-wachtwoord: kan worden ingesteld, 8 cijfers
  • HTML-configuratie volledig afsluitbaar

Als het meetapparaat in de GridVis® wordt gebruikt, zijn er verschillende verbindingsprotocollen beschikbaar. Een standaardprotocol is het FTP-protocol – dwz de GridVis® leest files van het meetapparaat via FTP-poort 21 met bijbehorende datapoorten 1024 tot 1027. In de instelling "TCP/IP" wordt de verbinding onbeveiligd gemaakt via FTP. Met het verbindingstype "TCP beveiligd" kan een beveiligde verbinding tot stand worden gebracht.

Afb.: Instellingen voor het verbindingstype onder 'Verbinding configureren'
Beveiligde TCP/IP-verbinding

Wachtwoord wijzigen

  • Voor de beveiligde verbinding zijn een gebruikersnaam en wachtwoord vereist.
  • Standaard is de gebruiker admin en het wachtwoord is Janitza.
  • Voor een veilige verbinding kan het wachtwoord voor beheerderstoegang (admin) in het configuratiemenu worden gewijzigd.

Stap

  • Open het dialoogvenster "Verbinding configureren".
    Example 1: Markeer hiervoor met de muisknop het overeenkomstige apparaat in het projectenvenster en selecteer "Verbinding configureren" in het contextmenu van de rechtermuisknop
    Example 2: Dubbelklik op het corresponderende apparaat om de over te openenview venster en selecteer de knop "Verbinding configureren".
  • Selecteer het verbindingstype "TCP beveiligd"
  • Stel het hostadres van het apparaat in
  • Vul de gebruikersnaam en het wachtwoord in.
    Fabrieksinstellingen:
    Gebruikersnaam: admin
    Wachtwoord: Janitza
  • Stel het menupunt "Gecodeerd" in.
    Vervolgens wordt een AES256-bit-encryptie van de gegevens geactiveerd.

Afb.: Configuratie van de apparaatverbinding
Wachtwoord wijzigen

Stap 

  • Open het configuratievenster
    Example 1: Gebruik hiervoor de muisknop om het overeenkomstige apparaat in het projectenvenster te markeren en selecteer "Configuratie" in het contextmenu van de rechtermuisknop
    Example 2: Dubbelklik op het corresponderende apparaat om de over te openenview venster en selecteer de knop "Configuratie".
  • Selecteer de knop "Wachtwoorden" in het configuratievenster. Wijzig desgewenst het beheerderswachtwoord.
  • Sla de wijzigingen op met de overdracht van de gegevens naar het apparaat (“Transfer”-knop)

Waarschuwingspictogram Aandacht!
VERGEET ONDER GEEN ENKELE OMSTANDIGHEID HET WACHTWOORD. ER IS GEEN HOOFDWACHTWOORD. ALS HET WACHTWOORD WORDT VERGETEN, MOET HET APPARAAT NAAR DE FABRIEK WORDEN VERZONDEN!

Notitie-pictogram Het beheerderswachtwoord mag maximaal 30 cijfers lang zijn en kan bestaan ​​uit cijfers, letters en speciale tekens (ASCII-code 32 t/m 126, met uitzondering van de onderstaande tekens). Ook mag het wachtwoordveld niet leeg zijn.
De volgende speciale tekens mogen niet worden gebruikt:
” (code 34)
\ (code 92)
^ (code 94)
` (code 96)
| (code 124)
Spatie (code 32) is alleen toegestaan ​​binnen het wachtwoord. Het is niet toegestaan ​​als eerste en laatste teken.
Wanneer u heeft geüpdatet naar een GridVis®-versie > 9.0.20 en een van de hierboven beschreven speciale tekens gebruikt, wordt u gevraagd om het wachtwoord volgens deze regels te wijzigen wanneer u de apparaatconfigurator opent.

Notitie-pictogram De omschrijving “Wachtwoord wijzigen” met bijbehorende wachtwoordregels geldt ook voor het verbindingstype “HTTP beveiligd”.

Afb.: Configuratie van wachtwoorden
Wachtwoord wijzigen

Firewall-instellingen

  • De meetapparaten hebben een ingebouwde firewall waarmee je poorten blokkeert die je niet nodig hebt.

Stap

  • Open het dialoogvenster "Verbinding configureren".
    Example 1: Markeer hiervoor met de muisknop het overeenkomstige apparaat in het projectenvenster en selecteer "Verbinding configureren" in het contextmenu van de rechtermuisknop
    Example 2: Dubbelklik op het corresponderende apparaat om de over te openenview venster en selecteer de knop "Verbinding configureren".
  • Selecteer het verbindingstype "TCP beveiligd"
  • Log in als beheerder

Afb.: Configuratie van de apparaatverbinding (admin)
Firewall-instellingen

Stap 

  • Open het configuratievenster
    Example 1: Gebruik hiervoor de muisknop om het overeenkomstige apparaat in het projectenvenster te markeren en selecteer "Configuratie" in het contextmenu van de rechtermuisknop
    Example 2: Dubbelklik op het corresponderende apparaat om de over te openenview venster en selecteer de knop "Configuratie".
  • Selecteer de knop "Firewall" in het configuratievenster.
    Afb.: Firewall-configuratie
    Firewall-instellingen
  • De firewall wordt ingeschakeld via de knop “Firewall”.
    • Vanaf release X.XXX is dit de standaardinstelling.
    • Protocollen die u niet nodig heeft, kunt u hier deactiveren.
    • Als de firewall is ingeschakeld, staat het apparaat alleen verzoeken toe op de telkens geactiveerde protocollen
      Protocollen Haven
      FTP Poort 21, datapoort 1024 tot 1027
      HTTP Haven 80
      SNMP Haven 161
      Modbus-RTU Haven 8000
      Foutopsporing POORT 1239 (voor servicedoeleinden)
      Modbus-TCP/IP Haven 502
      BACnet Haven 47808
      DHCP UTP-poort 67 en 68
      NTP Haven 123
      Servernaam Haven 53
  • Voor rudimentaire communicatie met de GridVis® en via de homepage volstaan ​​de volgende instellingen:
    Afb.: Firewall-configuratie
    Firewall-instellingen
  • Maar kies de gesloten poorten zorgvuldig! Afhankelijk van het geselecteerde verbindingsprotocol is communicatie alleen mogelijk via bijvoorbeeld HTTPampik.
  • Sla de wijzigingen op met de overdracht van de gegevens naar het apparaat (“Transfer”-knop)

Wachtwoord weergeven:

  • Ook de apparaatconfiguratie via de apparaattoetsen kan worden beveiligd. Dwz pas na het invoeren van een wachtwoord is de configuratie mogelijk. Het wachtwoord kan op het apparaat zelf worden ingesteld of via de GridVis® in het configuratievenster.

Waarschuwingspictogram Het schermwachtwoord mag maximaal 5 cijfers lang zijn en mag alleen cijfers bevatten.

Afb.: Het weergavewachtwoord instellen
Wachtwoord weergeven:

Procedure: 

  • Open het configuratievenster
    Example 1: Gebruik hiervoor de muisknop om het overeenkomstige apparaat in het projectenvenster te markeren en selecteer "Configuratie" in het contextmenu van de rechtermuisknop
    Example 2: Dubbelklik op het corresponderende apparaat om de over te openenview venster en selecteer de knop "Configuratie".
  • Selecteer de knop "Wachtwoorden" in het configuratievenster. Wijzig indien gewenst de optie “Gebruikerswachtwoord voor de programmeermodus op het apparaat”
  • Sla de wijzigingen op met de overdracht van de gegevens naar het apparaat (“Transfer”-knop)

De configuratie op het apparaat kan dan alleen worden gewijzigd door een wachtwoord in te voeren
Wachtwoord weergeven:

Homepage wachtwoord

  • De homepage kan ook worden beschermd tegen ongeautoriseerde toegang. De volgende opties zijn beschikbaar:
    • Vergrendel de startpagina niet
      De homepage is toegankelijk zonder login; configuraties kunnen worden gemaakt zonder in te loggen.
    • Startpagina vergrendelen
      Na een login worden de homepage en de configuratie voor het IP-adres van de gebruiker gedurende 3 minuten ontgrendeld. Bij elke toegang wordt de tijd weer op 3 minuten gezet.
    • Configuratie afzonderlijk vergrendelen
      De homepage is toegankelijk zonder login; configuraties kunnen alleen worden gemaakt door in te loggen.
    • Vergrendel homepage en configuratie apart
      • Na een login wordt de homepage gedurende 3 minuten ontgrendeld voor het IP-adres van de gebruiker.
      • Bij elke toegang wordt de tijd weer op 3 minuten gezet.
      • Configuraties kunnen alleen worden gemaakt door in te loggen
        Notitie-pictogram Opmerking: Alleen de variabelen die in de init.jas staan ​​of "Admin"-autorisatie hebben, worden als configuratie beschouwd
        Waarschuwingspictogram Het homepage-wachtwoord mag maximaal 8 cijfers lang zijn en mag alleen cijfers bevatten.

Afb.: Stel het startpagina-wachtwoord in
Homepage wachtwoord

Na activering verschijnt er een inlogvenster na het openen van de startpagina van het apparaat.

Afb.: Inloggen op de startpagina
Homepage wachtwoord

Modbus TCP/IP-communicatiebeveiliging

Het is niet mogelijk om de Modbus TCP/IP-communicatie (poort 502) te beveiligen. De Modbus-standaard voorziet niet in enige bescherming. Geïntegreerde encryptie zou niet langer volgens de Modbus-standaard zijn en interoperabiliteit met andere apparaten zou niet langer gegarandeerd zijn. Om deze reden kan er tijdens de Modbus-communicatie geen wachtwoord worden toegewezen.

Als IT aangeeft dat alleen beveiligde protocollen mogen worden gebruikt, moet de Modbus TCP/IP-poort worden gedeactiveerd in de firewall van het apparaat. Het wachtwoord van de apparaatbeheerder moet worden gewijzigd en de communicatie moet plaatsvinden via "TCP-beveiligd" (FTP) of "HTTP-beveiligd".

Modbus RS485 communicatiebeveiliging

Beveiliging van de Modbus RS485-communicatie is niet mogelijk. De Modbus-standaard voorziet niet in enige bescherming. Geïntegreerde encryptie zou niet langer volgens de Modbus-standaard zijn en interoperabiliteit met andere apparaten zou niet langer gegarandeerd zijn. Dit betreft ook de Modbus master functionaliteit. Dat wil zeggen dat er geen codering kan worden geactiveerd voor apparaten op de RS-485-interface.

Als IT aangeeft dat alleen beveiligde protocollen mogen worden gebruikt, moet de Modbus TCP/IP-poort worden gedeactiveerd in de firewall van het apparaat. Het wachtwoord van de apparaatbeheerder moet worden gewijzigd en de communicatie moet plaatsvinden via "TCP-beveiligd" (FTP) of "HTTP-beveiligd".

Apparaten op de RS485-interface kunnen dan echter niet meer worden uitgelezen!

Het alternatief is in dit geval om af te zien van de Modbus-masterfunctionaliteit en uitsluitend Ethernet-apparaten zoals de UMG 604 / 605 / 508 / 509 / 511 of UMG 512 te gebruiken.

Communicatiebeveiliging "UMG 96RM-E".

De UMG 96RM-E biedt geen beveiligd protocol. De communicatie met dit apparaat verloopt uitsluitend via Modbus TCP/IP. Het is niet mogelijk om de Modbus TCP/IP-communicatie (poort 502) te beveiligen. De Modbus-standaard voorziet niet in enige bescherming. Met andere woorden, als versleuteling zou worden geïntegreerd, zou deze niet langer in overeenstemming zijn met de Modbus-standaard en zou de interoperabiliteit met andere apparaten niet langer gegarandeerd zijn. Om deze reden kan er tijdens de Modbus-communicatie geen wachtwoord worden toegewezen.

Steun

Janitza electronics GmbH Vor dem Polstück 6 | 35633 Lahnau Duitsland
Telefoon +49 6441 9642-0 info@janitza.com www.janitza.com

Doc. Nee. 2.047.014.1.a | 02/2023 | Technische wijzigingen voorbehouden.
De actuele versie van het document vindt u in het downloadgedeelte op www.janitza.com

Janitza-logo

Documenten / Bronnen

Janitza beveiligde TCP- of IP-verbinding voor UMG 508 [pdf] Gebruikershandleiding
UMG 508, UMG 509-PRO, UMG 511, UMG 512-PRO, UMG 604-PRO, UMG 605-PRO, beveiligde TCP- of IP-verbinding voor UMG 508, beveiligde TCP- of IP-verbinding

Referenties

Gerelateerde berichten

Laat een reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *