Janitza Säker TCP- eller IP-anslutning för UMG 508 Användarmanual
Janitza Secure TCP eller IP Connection för UMG 508

Innehåll dölja
1 Allmän
2 Säker TCP/IP-anslutning
3 Byt lösenord
4 Brandväggsinställningar
5 Visa lösenord
6 Hemsidans lösenord
7 Modbus TCP/IP kommunikationssäkerhet
8 Modbus RS485 kommunikationssäkerhet
9 "UMG 96RM-E" kommunikationssäkerhet
10 Stöd
11 Dokument/resurser
11.1 Referenser
12 Relaterade inlägg

Allmän

Upphovsrätt

Denna funktionsbeskrivning är föremål för de lagliga bestämmelserna om upphovsrättsskydd och får inte fotokopieras, omtryckas, reproduceras eller på annat sätt dupliceras eller återpubliceras helt eller delvis med mekaniska eller elektroniska medel utan juridiskt bindande, skriftligt medgivande från

Janitza electronics GmbH, Vor dem Polstück 6, 35633 Lahnau, Tyskland

Varumärken

Alla varumärken och de rättigheter som härrör från dem tillhör respektive ägare av dessa rättigheter.

Ansvarsfriskrivning

Janitza electronics GmbH tar inget ansvar för fel eller defekter i denna funktionsbeskrivning och åtar sig ingen skyldighet att hålla innehållet i denna funktionsbeskrivning aktuellt.

Kommentarer till manualen

Dina kommentarer är välkomna. Om något i den här manualen verkar oklart, vänligen meddela oss och skicka ett e-postmeddelande till: info@janitza.com

Betydelsen av symboler

Följande piktogram används i denna manual:

Varningsikon Dangerous voltage!
Risk för dödsfall eller allvarlig skada. Koppla bort systemet och enheten från strömförsörjningen innan arbetet påbörjas.

Varningsikon Uppmärksamhet!
Se dokumentationen. Denna symbol är avsedd att varna dig för möjliga faror som kan uppstå under installation, driftsättning och användning.

Anteckningsikon Notera

Säker TCP/IP-anslutning

Kommunikation med UMG-seriens mätenheter sker vanligtvis via Ethernet. Mätanordningarna tillhandahåller olika protokoll med respektive anslutningsportar för detta ändamål. Programvaruapplikationer som GridVis® kommunicerar med mätenheterna via FTP-, Modbus- eller HTTP-protokollet.

Network security in the company network plays an increasingly important role here.

Denna guide är avsedd att hjälpa dig att säkert integrera mätenheterna i nätverket och på så sätt effektivt skydda mätenheterna från obehörig åtkomst.

Guiden hänvisar till firmware > 4.057, eftersom följande HTML-ändringar har gjorts:

  • Förbättring av utmaningskalkylen
  • Efter tre felaktiga inloggningar blockeras IP:n (till klienten) i 900 sekunder
  • GridVis®-inställningar reviderade
  • HTML-lösenord: kan ställas in, 8 siffror
  • HTML-konfiguration helt låsbar

Om mätinstrumentet används i GridVis® finns flera anslutningsprotokoll tillgängliga. Ett standardprotokoll är FTP-protokollet – dvs GridVis® läser files från mätapparaten via FTP-port 21 med respektive dataportar 1024 till 1027. I inställningen “TCP/IP” görs anslutningen osäker via FTP. En säker anslutning kan upprättas med anslutningstypen "TCP säker".

Fikon.: Inställningar för anslutningstyp under "Konfigurera anslutning
Säker TCP/IP-anslutning

Byt lösenord

  • En användare och ett lösenord krävs för den säkra anslutningen.
  • Som standard är användaren admin och lösenordet är Janitza.
  • För en säker anslutning kan lösenordet för administratörsåtkomst (admin) ändras i konfigurationsmenyn.

Steg

  • Öppna dialogrutan "Konfigurera anslutning".
    Example 1: För att göra detta, använd musknappen för att markera motsvarande enhet i projektfönstret och välj "Konfigurera anslutning" i snabbmenyn för höger musknapp
    Example 2: Dubbelklicka på motsvarande enhet för att öppna överview fönstret och välj knappen "Konfigurera anslutning".
  • Välj anslutningstypen "TCP säker"
  • Ställ in enhetens värdadress
  • Fyll i användarnamn och lösenord.
    Fabriksinställningar:
    Användarnamn: admin
    Lösenord: Janitza
  • Ställ in menyalternativet "Krypterad".
    En AES256-bitars kryptering av data aktiveras sedan.

Fikon.: Konfiguration av enhetsanslutningen
Byt lösenord

Steg 

  • Öppna konfigurationsfönstret
    Example 1: För att göra detta, använd musknappen för att markera motsvarande enhet i projektfönstret och välj "Konfiguration" i snabbmenyn för höger musknapp
    Example 2: Dubbelklicka på motsvarande enhet för att öppna överview fönstret och välj knappen "Konfiguration".
  • Välj knappen "Lösenord" i konfigurationsfönstret. Ändra administratörslösenordet om så önskas.
  • Spara ändringarna med överföringen av data till enheten (“Överför”-knappen)

Varningsikon Uppmärksamhet!
GLÖM INTE LÖSENORDET UNDER NÅGRA OMSTÄNDIGHETER. DET FINNS INGET MASTER LÖSENORD. OM LÖSENORDET GLÖMTS MÅSTE ENHETEN SKICKAAS TILL FABRIKEN!

Anteckningsikon Administratörslösenordet får vara högst 30 siffror långt och kan bestå av siffror, bokstäver och specialtecken (ASCII-kod 32 till 126, förutom tecknen nedan). Lösenordsfältet får inte heller lämnas tomt.
Följande specialtecken får inte användas:
” (kod 34)
\ (kod 92)
^ (kod 94)
` (kod 96)
| (kod 124)
Utrymme (kod 32) tillåts endast inom lösenordet. Det är inte tillåtet som första och sista karaktär.
När du har uppdaterat till en GridVis®-version > 9.0.20 och använder något av specialtecknen som beskrivs ovan, kommer du att uppmanas att ändra lösenordet enligt dessa regler när du öppnar enhetskonfiguratorn.

Anteckningsikon Beskrivningen "Ändra lösenord" med dess lösenordsregler gäller även för anslutningstypen "HTTP säker".

Fikon.: Lösenordskonfiguration
Byt lösenord

Brandväggsinställningar

  • Mätenheterna har en integrerad brandvägg som gör att du kan blockera portar du inte behöver.

Steg

  • Öppna dialogrutan "Konfigurera anslutning".
    Example 1: För att göra detta, använd musknappen för att markera motsvarande enhet i projektfönstret och välj "Konfigurera anslutning" i snabbmenyn för höger musknapp
    Example 2: Dubbelklicka på motsvarande enhet för att öppna överview fönstret och välj knappen "Konfigurera anslutning".
  • Välj anslutningstypen "TCP säker"
  • Logga in som administratör

Fikon.: Konfiguration av enhetsanslutningen (admin)
Brandväggsinställningar

Steg 

  • Öppna konfigurationsfönstret
    Example 1: För att göra detta, använd musknappen för att markera motsvarande enhet i projektfönstret och välj "Konfiguration" i snabbmenyn för höger musknapp
    Example 2: Dubbelklicka på motsvarande enhet för att öppna överview fönstret och välj knappen "Konfiguration".
  • Välj knappen "Brandvägg" i konfigurationsfönstret.
    Fikon.: Brandväggskonfiguration
    Brandväggsinställningar
  • Brandväggen slås på via knappen "Brandvägg".
    • Från och med release X.XXX är detta standardinställningen.
    • Protokoll som du inte behöver kan avaktiveras här.
    • När brandväggen är påslagen tillåter enheten endast förfrågningar på de protokoll som är aktiverade i varje enskilt fall
      Protokoll Hamn
      FTP Port 21, dataport 1024 till 1027
      HTTP Port 80
      SNMP Port 161
      Modbus RTU Port 8000
      Felsökning PORT 1239 (för serviceändamål)
      Modbus TCP/IP Port 502
      BACnet Port 47808
      DHCP UTP-port 67 och 68
      NTP Port 123
      Servernamn Port 53
  • För rudimentär kommunikation med GridVis® och via hemsidan räcker följande inställningar:
    Fikon.: Brandväggskonfiguration
    Brandväggsinställningar
  • Men välj de stängda hamnarna noggrant! Beroende på det valda anslutningsprotokollet är det kanske bara möjligt att kommunicera via HTTP, t.example.
  • Spara ändringarna med överföringen av data till enheten (“Överför”-knappen)

Visa lösenord

  • Enhetskonfigurationen via enhetsknapparna kan också skyddas. Dvs endast efter att ha angett ett lösenord är konfigurationen möjlig. Lösenordet kan ställas in på själva enheten eller via GridVis® i konfigurationsfönstret.

Varningsikon Displaylösenordet får vara max 5 siffror långt och endast innehålla siffror.

Fikon.: Ställa in displaylösenordet
Visa lösenord

Förfarande: 

  • Öppna konfigurationsfönstret
    Example 1: För att göra detta, använd musknappen för att markera motsvarande enhet i projektfönstret och välj "Konfiguration" i snabbmenyn för höger musknapp
    Example 2: Dubbelklicka på motsvarande enhet för att öppna överview fönstret och välj knappen "Konfiguration".
  • Välj knappen "Lösenord" i konfigurationsfönstret. Om så önskas, ändra alternativet "Användarlösenord för programmeringsläget på enheten"
  • Spara ändringarna med överföringen av data till enheten (“Överför”-knappen)

Konfigurationen på enheten kan då endast ändras genom att ange ett lösenord
Visa lösenord

Hemsidans lösenord

  • Hemsidan kan också skyddas från obehörig åtkomst. Följande alternativ är tillgängliga:
    • Lås inte hemsidan
      Hemsidan är tillgänglig utan inloggning; konfigurationer kan göras utan att logga in.
    • Lås hemsidan
      Efter en inloggning låses hemsidan och konfigurationen för användarens IP upp i 3 minuter. Vid varje åtkomst ställs tiden in på 3 minuter igen.
    • Låskonfiguration separat
      Hemsidan är tillgänglig utan inloggning; konfigurationer kan endast göras genom att logga in.
    • Lås hemsida och konfiguration separat
      • Efter en inloggning låses hemsidan upp för användarens IP i 3 minuter.
      • Vid varje åtkomst ställs tiden in på 3 minuter igen.
      • Konfigurationer kan endast göras genom att logga in
        Anteckningsikon Notera: Endast de variabler som finns i init.jas eller har "Admin"-behörighet betraktas som konfiguration
        Varningsikon Hemsidans lösenord får vara max 8 siffror långt och endast innehålla siffror.

Fikon.: Ställ in lösenordet till hemsidan
Hemsidans lösenord

Efter aktivering visas ett inloggningsfönster efter att enhetens hemsida har öppnats.

Fikon.: Inloggning på hemsidan
Hemsidans lösenord

Modbus TCP/IP kommunikationssäkerhet

Det är inte möjligt att säkra Modbus TCP/IP-kommunikation (port 502). Modbus-standarden ger inget skydd. Integrerad kryptering skulle inte längre vara enligt Modbus-standard och interoperabilitet med andra enheter skulle inte längre garanteras. Av denna anledning kan inget lösenord tilldelas under Modbus-kommunikation.

Om IT anger att endast säkrade protokoll får användas, måste Modbus TCP/IP-porten avaktiveras i enhetens brandvägg. Enhetens administratörslösenord måste ändras och kommunikationen måste ske via "TCP säker" (FTP) eller "HTTP säker".

Modbus RS485 kommunikationssäkerhet

Skydd av Modbus RS485-kommunikation är inte möjligt. Modbus-standarden ger inget skydd. Integrerad kryptering skulle inte längre vara enligt Modbus-standard och interoperabilitet med andra enheter skulle inte längre garanteras. Detta gäller även Modbus masterfunktionalitet. Dvs ingen kryptering kan aktiveras för enheter vid RS-485-gränssnittet.

Om IT anger att endast säkrade protokoll får användas, måste Modbus TCP/IP-porten avaktiveras i enhetens brandvägg. Enhetens administratörslösenord måste ändras och kommunikationen måste ske via "TCP säker" (FTP) eller "HTTP säker".

Enheter vid RS485-gränssnittet kan då dock inte längre läsas ut!

Alternativet i detta fall är att avstå från Modbus-masterfunktionaliteten och att uteslutande använda Ethernet-enheter som UMG 604 / 605 / 508 / 509 / 511 eller UMG 512.

"UMG 96RM-E" kommunikationssäkerhet

UMG 96RM-E erbjuder inte ett säkert protokoll. Kommunikation med denna enhet sker uteslutande via Modbus TCP/IP. Det är inte möjligt att säkra Modbus TCP/IP-kommunikation (port 502). Modbus-standarden ger inget skydd. Dvs om kryptering skulle integreras skulle den inte längre vara i enlighet med Modbus-standarden och interoperabilitet med andra enheter skulle inte längre garanteras. Av denna anledning kan inget lösenord tilldelas under Modbus-kommunikation.

Stöd

Janitza electronics GmbH Vor dem Polstück 6 | 35633 Lahnau Tyskland
Tel. +49 6441 9642-0 info@janitza.com www.janitza.com

Dok. Nej. 2.047.014.1.a | 02/2023 | Med reservation för tekniska ändringar.
Den aktuella versionen av dokumentet finns i nedladdningsområdet på www.janitza.com

Janitza logotyp

Dokument/resurser

Janitza Secure TCP eller IP Connection för UMG 508 [pdf] Användarmanual
UMG 508, UMG 509-PRO, UMG 511, UMG 512-PRO, UMG 604-PRO, UMG 605-PRO, Säker TCP eller IP-anslutning för UMG 508, Säker TCP- eller IP-anslutning

Referenser

Relaterade inlägg

Lämna en kommentar

Din e-postadress kommer inte att publiceras. Obligatoriska fält är markerade *