Janitza Secure TCP หรือการเชื่อมต่อ IP สำหรับคู่มือผู้ใช้ UMG 508
ทั่วไป
ลิขสิทธิ์
คำอธิบายการทำงานนี้อยู่ภายใต้บทบัญญัติทางกฎหมายของการคุ้มครองลิขสิทธิ์ และห้ามคัดลอก พิมพ์ซ้ำ ผลิตซ้ำ หรือทำซ้ำหรือเผยแพร่ซ้ำทั้งหมดหรือบางส่วนด้วยวิธีการเชิงกลหรือทางอิเล็กทรอนิกส์โดยไม่ได้รับความยินยอมเป็นลายลักษณ์อักษรที่มีผลผูกพันทางกฎหมาย
Janitza electronics GmbH, Vor dem Polstück 6, 35633 ลาเนา, เยอรมนี
เครื่องหมายการค้า
เครื่องหมายการค้าและสิทธิ์ทั้งหมดที่เกิดขึ้นเป็นทรัพย์สินของเจ้าของสิทธิ์เหล่านี้
การปฏิเสธความรับผิดชอบ
Janitza electronics GmbH ไม่รับผิดชอบต่อข้อผิดพลาดหรือข้อบกพร่องภายในคำอธิบายการทำงานนี้ และไม่มีข้อผูกมัดในการปรับปรุงเนื้อหาของคำอธิบายการทำงานให้เป็นปัจจุบัน
ความคิดเห็นเกี่ยวกับคู่มือ
ความคิดเห็นของคุณยินดีต้อนรับ หากมีสิ่งใดในคู่มือนี้ดูไม่ชัดเจน โปรดแจ้งให้เราทราบและส่งอีเมลถึงเราที่: info@janitza.com
ความหมายของสัญลักษณ์
คู่มือนี้ใช้รูปสัญลักษณ์ต่อไปนี้:
เล่มอันตรายtage!
เสี่ยงต่อการเสียชีวิตหรือบาดเจ็บสาหัส ถอดระบบและอุปกรณ์ออกจากแหล่งจ่ายไฟก่อนเริ่มทำงาน
ความสนใจ!
โปรดดูเอกสารประกอบ สัญลักษณ์นี้มีไว้เพื่อเตือนคุณถึงอันตรายที่อาจเกิดขึ้นระหว่างการติดตั้ง การว่าจ้าง และการใช้งาน
บันทึก
การเชื่อมต่อ TCP/IP ที่ปลอดภัย
การสื่อสารกับอุปกรณ์การวัดของซีรีส์ UMG มักจะผ่านทางอีเธอร์เน็ต อุปกรณ์ตรวจวัดมีโปรโตคอลที่แตกต่างกันพร้อมพอร์ตการเชื่อมต่อที่เกี่ยวข้องสำหรับจุดประสงค์นี้ แอปพลิเคชันซอฟต์แวร์ เช่น GridVis® สื่อสารกับอุปกรณ์ตรวจวัดผ่านโปรโตคอล FTP, Modbus หรือ HTTP
การรักษาความปลอดภัยเครือข่ายในเครือข่ายของบริษัทมีบทบาทสำคัญมากขึ้นที่นี่
คู่มือนี้มีไว้เพื่อสนับสนุนคุณในการรวมอุปกรณ์การวัดเข้ากับเครือข่ายอย่างปลอดภัย จึงช่วยปกป้องอุปกรณ์การวัดจากการเข้าถึงโดยไม่ได้รับอนุญาตได้อย่างมีประสิทธิภาพ
คู่มืออ้างอิงถึงเฟิร์มแวร์ > 4.057 เนื่องจากมีการเปลี่ยนแปลง HTML ต่อไปนี้:
- ปรับปรุงการคำนวณความท้าทาย
- หลังจากการเข้าสู่ระบบที่ไม่ถูกต้องสามครั้ง IP (ของไคลเอนต์) จะถูกบล็อกเป็นเวลา 900 วินาที
- แก้ไขการตั้งค่า GridVis®
- รหัสผ่าน HTML: ตั้งได้ 8 หลัก
- การกำหนดค่า HTML สามารถล็อคได้อย่างสมบูรณ์
หากใช้อุปกรณ์วัดใน GridVis® จะมีโปรโตคอลการเชื่อมต่อหลายแบบ โปรโตคอลมาตรฐานคือโปรโตคอล FTP – เช่น GridVis® อ่าน fileจากอุปกรณ์ตรวจวัดผ่านพอร์ต FTP 21 โดยมีพอร์ตข้อมูล 1024 ถึง 1027 ตามลำดับ ในการตั้งค่า “TCP/IP” การเชื่อมต่อจะไม่ปลอดภัยผ่าน FTP สามารถสร้างการเชื่อมต่อที่ปลอดภัยได้โดยใช้ประเภทการเชื่อมต่อ “TCP secured”
รูปที่.: การตั้งค่าสำหรับประเภทการเชื่อมต่อภายใต้ "กำหนดค่าการเชื่อมต่อ
เปลี่ยนรหัสผ่าน
- จำเป็นต้องมีผู้ใช้และรหัสผ่านสำหรับการเชื่อมต่อที่ปลอดภัย
- ตามค่าเริ่มต้น ผู้ใช้คือผู้ดูแลระบบและรหัสผ่านคือ Janitza
- สำหรับการเชื่อมต่อที่ปลอดภัย รหัสผ่านสำหรับการเข้าถึงของผู้ดูแลระบบ (ผู้ดูแลระบบ) สามารถเปลี่ยนแปลงได้ในเมนูการกำหนดค่า
ขั้นตอน
- เปิดกล่องโต้ตอบ "กำหนดค่าการเชื่อมต่อ"
Example 1: ในการทำเช่นนี้ ใช้ปุ่มเมาส์เพื่อเน้นอุปกรณ์ที่เกี่ยวข้องในหน้าต่างโครงการ และเลือก "กำหนดค่าการเชื่อมต่อ" ในเมนูบริบทของปุ่มเมาส์ขวา
Example 2: ดับเบิลคลิกที่อุปกรณ์ที่เกี่ยวข้องเพื่อเปิดโอเวอร์view หน้าต่างและเลือกปุ่ม "กำหนดค่าการเชื่อมต่อ" - เลือกประเภทการเชื่อมต่อ “TCP secured”
- ตั้งค่าที่อยู่โฮสต์ของอุปกรณ์
- กรอกชื่อผู้ใช้และรหัสผ่าน
การตั้งค่าจากโรงงาน:
ชื่อผู้ใช้ : ผู้ดูแลระบบ
รหัสผ่าน: Janitza - ตั้งค่ารายการเมนู "เข้ารหัส"
การเข้ารหัสข้อมูล AES256 บิตจะถูกเปิดใช้งาน
รูปที่.: การกำหนดค่าการเชื่อมต่ออุปกรณ์
ขั้นตอน
- เปิดหน้าต่างการกำหนดค่า
Example 1: ในการทำเช่นนี้ ใช้ปุ่มเมาส์เพื่อเน้นอุปกรณ์ที่เกี่ยวข้องในหน้าต่างโครงการ และเลือก "การกำหนดค่า" ในเมนูบริบทของปุ่มเมาส์ขวา
Example 2: ดับเบิลคลิกที่อุปกรณ์ที่เกี่ยวข้องเพื่อเปิดโอเวอร์view หน้าต่างและเลือกปุ่ม "การกำหนดค่า" - เลือกปุ่ม "รหัสผ่าน" ในหน้าต่างการกำหนดค่า เปลี่ยนรหัสผ่านผู้ดูแลระบบ หากต้องการ
- บันทึกการเปลี่ยนแปลงด้วยการถ่ายโอนข้อมูลไปยังอุปกรณ์ (“ปุ่มโอน”)
ความสนใจ!
อย่าลืมรหัสผ่านไม่ว่ากรณีใดๆ ไม่มีรหัสผ่านหลัก หากลืมรหัสผ่าน อุปกรณ์จะต้องถูกส่งไปที่โรงงาน!
รหัสผ่านผู้ดูแลระบบสามารถมีความยาวได้สูงสุด 30 หลักและประกอบด้วยตัวเลข ตัวอักษร และอักขระพิเศษ (รหัส ASCII 32 ถึง 126 ยกเว้นอักขระที่แสดงด้านล่าง) นอกจากนี้ ฟิลด์รหัสผ่านจะต้องไม่เว้นว่างไว้
ห้ามใช้อักขระพิเศษต่อไปนี้:
” (รหัส 34)
\ (รหัส 92)
^ (รหัส 94)
` (รหัส 96)
| (รหัส 124)
อนุญาตให้เว้นวรรค (รหัส 32) ภายในรหัสผ่านเท่านั้น ไม่อนุญาตให้ใช้เป็นอักขระตัวแรกและตัวสุดท้าย
เมื่อคุณอัปเดตเป็น GridVis® เวอร์ชัน > 9.0.20 และใช้อักขระพิเศษตัวใดตัวหนึ่งที่อธิบายไว้ข้างต้น คุณจะได้รับแจ้งให้เปลี่ยนรหัสผ่านตามกฎเหล่านี้เมื่อคุณเปิดตัวกำหนดค่าอุปกรณ์
คำอธิบาย “เปลี่ยนรหัสผ่าน” พร้อมกฎรหัสผ่านยังใช้กับประเภทการเชื่อมต่อ “HTTP ปลอดภัย”
รูปที่.: การกำหนดค่ารหัสผ่าน
การตั้งค่าไฟร์วอลล์
- อุปกรณ์ตรวจวัดมีไฟร์วอลล์ในตัวที่ช่วยให้คุณสามารถบล็อกพอร์ตที่คุณไม่ต้องการได้
ขั้นตอน
- เปิดกล่องโต้ตอบ "กำหนดค่าการเชื่อมต่อ"
Example 1: ในการทำเช่นนี้ ใช้ปุ่มเมาส์เพื่อเน้นอุปกรณ์ที่เกี่ยวข้องในหน้าต่างโครงการ และเลือก "กำหนดค่าการเชื่อมต่อ" ในเมนูบริบทของปุ่มเมาส์ขวา
Example 2: ดับเบิลคลิกที่อุปกรณ์ที่เกี่ยวข้องเพื่อเปิดโอเวอร์view หน้าต่างและเลือกปุ่ม "กำหนดค่าการเชื่อมต่อ" - เลือกประเภทการเชื่อมต่อ “TCP secured”
- เข้าสู่ระบบในฐานะผู้ดูแลระบบ
รูปที่.: การกำหนดค่าการเชื่อมต่ออุปกรณ์ (ผู้ดูแลระบบ)
ขั้นตอน
- เปิดหน้าต่างการกำหนดค่า
Example 1: ในการทำเช่นนี้ ใช้ปุ่มเมาส์เพื่อเน้นอุปกรณ์ที่เกี่ยวข้องในหน้าต่างโครงการ และเลือก "การกำหนดค่า" ในเมนูบริบทของปุ่มเมาส์ขวา
Example 2: ดับเบิลคลิกที่อุปกรณ์ที่เกี่ยวข้องเพื่อเปิดโอเวอร์view หน้าต่างและเลือกปุ่ม "การกำหนดค่า" - เลือกปุ่ม "ไฟร์วอลล์" ในหน้าต่างการกำหนดค่า
รูปที่.: การกำหนดค่าไฟร์วอลล์
- ไฟร์วอลล์เปิดใช้งานผ่านปุ่ม "ไฟร์วอลล์"
- ตั้งแต่รุ่น X.XXX นี่เป็นการตั้งค่าเริ่มต้น
- คุณสามารถปิดใช้งานโปรโตคอลที่คุณไม่ต้องการได้ที่นี่
- เมื่อเปิดไฟร์วอลล์ อุปกรณ์จะอนุญาตเฉพาะคำขอตามโปรโตคอลที่เปิดใช้งานในแต่ละกรณีเท่านั้น
โปรโตคอล ท่าเรือ เอฟทีพี พอร์ต 21 พอร์ตข้อมูล 1024 ถึง 1027 เอชทีพี พอร์ต 80 ส เอ็น เอ็ม พี พอร์ต 161 มอดูบัส RTU พอร์ต 8000 ดีบัก PORT 1239 (เพื่อวัตถุประสงค์ในการให้บริการ) มอดูบัส TCP/IP พอร์ต 502 แบคเน็ต พอร์ต 47808 ดีเอชซีพี พอร์ต UTP 67 และ 68 เอ็นทีพี พอร์ต 123 ชื่อเซิร์ฟเวอร์ พอร์ต 53
- สำหรับการสื่อสารเบื้องต้นกับ GridVis® และผ่านโฮมเพจ การตั้งค่าต่อไปนี้ก็เพียงพอแล้ว:
รูปที่.: การกำหนดค่าไฟร์วอลล์
- แต่โปรดเลือกพอร์ตที่ปิดอย่างระมัดระวัง! ขึ้นอยู่กับโปรโตคอลการเชื่อมต่อที่เลือก อาจสื่อสารผ่าน HTTP เท่านั้น เช่นampเล.
- บันทึกการเปลี่ยนแปลงด้วยการถ่ายโอนข้อมูลไปยังอุปกรณ์ (“ปุ่มโอน”)
แสดงรหัสผ่าน
- นอกจากนี้ยังสามารถป้องกันการกำหนดค่าอุปกรณ์ผ่านคีย์อุปกรณ์ได้อีกด้วย นั่นคือหลังจากป้อนรหัสผ่านเท่านั้นจึงจะสามารถกำหนดค่าได้ สามารถตั้งรหัสผ่านบนอุปกรณ์เองหรือผ่าน GridVis® ในหน้าต่างการกำหนดค่า
รหัสผ่านที่แสดงต้องมีความยาวไม่เกิน 5 หลักและประกอบด้วยตัวเลขเท่านั้น
รูปที่.: การตั้งค่ารหัสผ่านการแสดงผล
ขั้นตอน:
- เปิดหน้าต่างการกำหนดค่า
Example 1: ในการทำเช่นนี้ ใช้ปุ่มเมาส์เพื่อเน้นอุปกรณ์ที่เกี่ยวข้องในหน้าต่างโครงการ และเลือก "การกำหนดค่า" ในเมนูบริบทของปุ่มเมาส์ขวา
Example 2: ดับเบิลคลิกที่อุปกรณ์ที่เกี่ยวข้องเพื่อเปิดโอเวอร์view หน้าต่างและเลือกปุ่ม "การกำหนดค่า" - เลือกปุ่ม "รหัสผ่าน" ในหน้าต่างการกำหนดค่า หากต้องการ ให้เปลี่ยนตัวเลือก “รหัสผ่านผู้ใช้สำหรับโหมดการเขียนโปรแกรมบนอุปกรณ์”
- บันทึกการเปลี่ยนแปลงด้วยการถ่ายโอนข้อมูลไปยังอุปกรณ์ (“ปุ่มโอน”)
การกำหนดค่าบนอุปกรณ์สามารถเปลี่ยนแปลงได้โดยการป้อนรหัสผ่านเท่านั้น
รหัสผ่านหน้าแรก
- หน้าแรกยังสามารถป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต มีตัวเลือกดังต่อไปนี้:
- ไม่ล็อคหน้าแรก
หน้าแรกสามารถเข้าถึงได้โดยไม่ต้องเข้าสู่ระบบ การกำหนดค่าสามารถทำได้โดยไม่ต้องเข้าสู่ระบบ - ล็อคหน้าแรก
หลังจากเข้าสู่ระบบ หน้าแรกและการกำหนดค่าสำหรับ IP ของผู้ใช้จะถูกปลดล็อกเป็นเวลา 3 นาที เมื่อเข้าถึงแต่ละครั้ง เวลาจะถูกตั้งค่าเป็น 3 นาทีอีกครั้ง - ล็อคการกำหนดค่าแยกต่างหาก
หน้าแรกสามารถเข้าถึงได้โดยไม่ต้องเข้าสู่ระบบ กำหนดค่าได้โดยการเข้าสู่ระบบเท่านั้น - ล็อกหน้าแรกและการกำหนดค่าแยกกัน
- หลังจากเข้าสู่ระบบ หน้าแรกจะถูกปลดล็อกสำหรับ IP ของผู้ใช้เป็นเวลา 3 นาที
- เมื่อเข้าถึงแต่ละครั้ง เวลาจะถูกตั้งค่าเป็น 3 นาทีอีกครั้ง
- กำหนดค่าได้โดยการเข้าสู่ระบบเท่านั้น
บันทึก: เฉพาะตัวแปรที่อยู่ใน init.jas หรือมีการให้สิทธิ์ "ผู้ดูแลระบบ" เท่านั้นที่ถือว่าเป็นการกำหนดค่า
รหัสผ่านหน้าแรกต้องมีความยาวสูงสุด 8 หลักและประกอบด้วยตัวเลขเท่านั้น
- ไม่ล็อคหน้าแรก
รูปที่.: ตั้งรหัสผ่านหน้าแรก
หลังจากเปิดใช้งาน หน้าต่างเข้าสู่ระบบจะปรากฏขึ้นหลังจากเปิดหน้าแรกของอุปกรณ์
รูปที่.: เข้าสู่ระบบหน้าแรก
ความปลอดภัยในการสื่อสาร Modbus TCP/IP
ไม่สามารถรักษาความปลอดภัยการสื่อสาร Modbus TCP/IP (พอร์ต 502) มาตรฐาน Modbus ไม่ได้ให้ความคุ้มครองใดๆ การเข้ารหัสในตัวจะไม่เป็นไปตามมาตรฐาน Modbus อีกต่อไป และจะไม่รับประกันความสามารถในการทำงานร่วมกันกับอุปกรณ์อื่นๆ อีกต่อไป ด้วยเหตุนี้ จึงไม่สามารถกำหนดรหัสผ่านระหว่างการสื่อสาร Modbus ได้
หากฝ่ายไอทีระบุว่าสามารถใช้โปรโตคอลที่ปลอดภัยเท่านั้น พอร์ต Modbus TCP/IP จะต้องปิดใช้งานในไฟร์วอลล์ของอุปกรณ์ ต้องเปลี่ยนรหัสผ่านผู้ดูแลระบบอุปกรณ์และการสื่อสารจะต้องดำเนินการผ่าน “TCP secured” (FTP) หรือ “HTTP secured”
ความปลอดภัยในการสื่อสาร Modbus RS485
ไม่สามารถป้องกันการสื่อสาร Modbus RS485 ได้ มาตรฐาน Modbus ไม่ได้ให้ความคุ้มครองใดๆ การเข้ารหัสในตัวจะไม่เป็นไปตามมาตรฐาน Modbus อีกต่อไป และจะไม่รับประกันความสามารถในการทำงานร่วมกันกับอุปกรณ์อื่นๆ อีกต่อไป สิ่งนี้เกี่ยวข้องกับฟังก์ชันหลักของ Modbus กล่าวคือ ไม่สามารถเปิดใช้งานการเข้ารหัสสำหรับอุปกรณ์ที่อินเทอร์เฟซ RS-485
หากฝ่ายไอทีระบุว่าสามารถใช้โปรโตคอลที่ปลอดภัยเท่านั้น พอร์ต Modbus TCP/IP จะต้องปิดใช้งานในไฟร์วอลล์ของอุปกรณ์ ต้องเปลี่ยนรหัสผ่านผู้ดูแลระบบอุปกรณ์และการสื่อสารจะต้องดำเนินการผ่าน “TCP secured” (FTP) หรือ “HTTP secured”
อย่างไรก็ตาม อุปกรณ์ที่อินเทอร์เฟซ RS485 ไม่สามารถอ่านได้อีกต่อไป!
ทางเลือกในกรณีนี้คือการจ่ายด้วยฟังก์ชันหลักของ Modbus และใช้เฉพาะอุปกรณ์อีเธอร์เน็ต เช่น UMG 604 / 605 / 508 / 509 / 511 หรือ UMG 512
ความปลอดภัยในการสื่อสาร “UMG 96RM-E”
UMG 96RM-E ไม่มีโปรโตคอลที่ปลอดภัย การสื่อสารกับอุปกรณ์นี้ต้องผ่าน Modbus TCP/IP เท่านั้น ไม่สามารถรักษาความปลอดภัยการสื่อสาร Modbus TCP/IP (พอร์ต 502) มาตรฐาน Modbus ไม่ได้ให้ความคุ้มครองใดๆ กล่าวคือหากต้องรวมการเข้ารหัส การเข้ารหัสจะไม่เป็นไปตามมาตรฐาน Modbus อีกต่อไป และจะไม่รับประกันความสามารถในการทำงานร่วมกันกับอุปกรณ์อื่นๆ อีกต่อไป ด้วยเหตุนี้ จึงไม่สามารถกำหนดรหัสผ่านระหว่างการสื่อสาร Modbus ได้
สนับสนุน
Janitza electronics GmbH จาก Polstück 6 | 35633 ลาเนา เยอรมนี
โทร. +49 6441 9642-0 info@janitza.com www.janitza.com
หมอ เลขที่. 2.047.014.1.a | 02/2023 | อาจมีการเปลี่ยนแปลงทางเทคนิค
เอกสารฉบับปัจจุบันสามารถพบได้ในพื้นที่ดาวน์โหลดที่ www.janitza.com
เอกสาร / แหล่งข้อมูล
 |
Janitza Secure TCP หรือการเชื่อมต่อ IP สำหรับ UMG 508 [พีดีเอฟ] คู่มือการใช้งาน UMG 508, UMG 509-PRO, UMG 511, UMG 512-PRO, UMG 604-PRO, UMG 605-PRO, การเชื่อมต่อ TCP หรือ IP ที่ปลอดภัยสำหรับ UMG 508, การเชื่อมต่อ TCP หรือ IP ที่ปลอดภัย |
