Посібник користувача Janitza Secure TCP або IP Connection for UMG 508
Загальний
Авторське право
Цей функціональний опис підпадає під дію законодавчих положень щодо захисту авторських прав і не може бути фотокопійований, передрукований, відтворений або іншим чином дубльований або повторно опублікований повністю чи частково механічними чи електронними засобами без юридично обов’язкової письмової згоди
Janitza electronics GmbH, Vor dem Polstück 6, 35633 Lahnau, Німеччина
Торгові марки
Усі торгові марки та права, що випливають з них, є власністю відповідних власників цих прав.
Відмова від відповідальності
Janitza electronics GmbH не несе відповідальності за помилки чи дефекти в цьому функціональному описі та не бере на себе зобов’язань підтримувати вміст цього функціонального опису в актуальному стані.
Коментарі до посібника
Ваші коментарі вітаються. Якщо щось у цьому посібнику здається незрозумілим, будь ласка, повідомте нас і надішліть нам електронний лист на адресу: info@janitza.com
Значення символів
У цьому посібнику використовуються такі піктограми:
Небезпечний випtage!
Ризик смертельного результату або серйозних травм. Перед початком роботи відключіть систему та пристрій від джерела живлення.
Увага!
Будь ласка, зверніться до документації. Цей символ призначений для попередження про можливі небезпеки, які можуть виникнути під час встановлення, введення в експлуатацію та використання.
Примітка
Безпечне з'єднання TCP/IP
Зв'язок з вимірювальними приладами серії UMG зазвичай здійснюється через Ethernet. Для цього вимірювальні пристрої забезпечують різні протоколи з відповідними портами підключення. Програмні додатки, такі як GridVis®, спілкуються з вимірювальними пристроями через протоколи FTP, Modbus або HTTP.
Мережева безпека в мережі компанії відіграє тут все більшу роль.
Цей посібник призначений для того, щоб допомогти вам безпечно інтегрувати вимірювальні пристрої в мережу, таким чином ефективно захищаючи вимірювальні пристрої від несанкціонованого доступу.
Посібник посилається на мікропрограму > 4.057, оскільки були внесені наступні зміни HTML:
- Покращення розрахунку виклику
- Після трьох неправильних логінів IP (клієнта) блокується на 900 секунд
- Налаштування GridVis® переглянуто
- Пароль HTML: можна встановити, 8 цифр
- Конфігурація HTML повністю блокується
Якщо вимірювальний пристрій використовується в GridVis®, доступно кілька протоколів підключення. Стандартним протоколом є протокол FTP, тобто GridVis® читає files від вимірювального пристрою через FTP-порт 21 із відповідними портами даних 1024–1027. У налаштуванні «TCP/IP» з’єднання виконується незахищеним через FTP. Захищене з’єднання можна встановити за допомогою типу з’єднання «TCP secured».
Рис.: Налаштування типу підключення в розділі «Налаштувати підключення
Змінити пароль
- Для безпечного підключення потрібні користувач і пароль.
- За замовчуванням користувач — admin, а пароль — Janitza.
- Для безпечного підключення пароль доступу адміністратора (admin) можна змінити в меню конфігурації.
Крок
- Відкрийте діалогове вікно «Налаштувати підключення».
Exampкрок 1: для цього кнопкою миші виділіть відповідний пристрій у вікні проектів і в контекстному меню правої кнопки миші виберіть «Налаштувати підключення».
ExampКрок 2: двічі клацніть на відповідному пристрої, щоб відкрити вікноview і виберіть кнопку «Налаштувати підключення». - Виберіть тип підключення «TCP secured»
- Встановіть адресу хоста пристрою
- Введіть ім'я користувача та пароль.
Заводські налаштування:
Ім'я користувача: admin
Пароль: Janitza - Встановіть пункт меню «Зашифровано».
Потім активується 256-бітне шифрування даних AES.
Рис.: Конфігурація підключення пристрою
Крок
- Відкрийте вікно конфігурації
ExampLe 1: Для цього за допомогою кнопки миші виділіть відповідний пристрій у вікні проектів і виберіть «Конфігурація» в контекстному меню правої кнопки миші
ExampКрок 2: двічі клацніть на відповідному пристрої, щоб відкрити вікноview і виберіть кнопку «Конфігурація». - Виберіть кнопку «Паролі» у вікні конфігурації. Якщо потрібно, змініть пароль адміністратора.
- Збережіть зміни з передачею даних на пристрій (кнопка «Перенести»)
Увага!
ЗА ЖОДНИХ ОБСТАВИН НЕ ЗАБУВАЙТЕ ПАРОЛЬ. ГОЛОВНОГО ПАРОЛЯ НЕМАЄ. ЯКЩО ЗАБУТИ ПАРОЛЬ, ПРИСТРІЙ ПОТРІБНО ВІДПРАВИТИ НА ЗАВОД!
Пароль адміністратора може містити максимум 30 цифр і складатися з цифр, літер і спеціальних символів (код ASCII від 32 до 126, за винятком символів, наведених нижче). Крім того, поле пароля не повинно залишатися порожнім.
Не можна використовувати наступні спеціальні символи:
» (код 34)
\ (код 92)
^ (код 94)
` (код 96)
| (код 124)
Пробіл (код 32) допускається лише в паролі. Не допускається як перший і останній символ.
Якщо ви оновили GridVis® до версії > 9.0.20 і використовуєте один із спеціальних символів, описаних вище, вам буде запропоновано змінити пароль відповідно до цих правил, коли ви відкриєте конфігуратор пристрою.
Опис «Змінити пароль» із відповідними правилами паролів також стосується типу з’єднання «захищений HTTP».
Рис.: Конфігурація паролів
Налаштування брандмауера
- Вимірювальні пристрої мають вбудований брандмауер, який дозволяє блокувати непотрібні вам порти.
Крок
- Відкрийте діалогове вікно «Налаштувати підключення».
Exampкрок 1: для цього кнопкою миші виділіть відповідний пристрій у вікні проектів і в контекстному меню правої кнопки миші виберіть «Налаштувати підключення».
ExampКрок 2: двічі клацніть на відповідному пристрої, щоб відкрити вікноview і виберіть кнопку «Налаштувати підключення». - Виберіть тип підключення «TCP secured»
- Увійдіть як адміністратор
Рис.: Конфігурація підключення пристрою (адмін)
Крок
- Відкрийте вікно конфігурації
ExampLe 1: Для цього за допомогою кнопки миші виділіть відповідний пристрій у вікні проектів і виберіть «Конфігурація» в контекстному меню правої кнопки миші
ExampКрок 2: двічі клацніть на відповідному пристрої, щоб відкрити вікноview і виберіть кнопку «Конфігурація». - Виберіть кнопку «Брандмауер» у вікні конфігурації.
Рис.: Конфігурація брандмауера
- Брандмауер вмикається кнопкою «Брандмауер».
- Починаючи з випуску X.XXX, це налаштування за замовчуванням.
- Протоколи, які вам не потрібні, можна деактивувати тут.
- Коли брандмауер увімкнено, пристрій дозволяє запити лише за протоколами, активованими в кожному випадку
Протоколи Порт FTP Порт 21, порт даних від 1024 до 1027 HTTP Порт 80 SNMP Порт 161 Modbus RTU Порт 8000 Налагодження ПОРТ 1239 (для службових цілей) Modbus TCP/IP Порт 502 BACnet Порт 47808 DHCP UTP порт 67 і 68 NTP Порт 123 Ім'я сервера Порт 53
- Для елементарного спілкування з GridVis® і через домашню сторінку буде достатньо таких налаштувань:
Рис.: Конфігурація брандмауера
- Але, будь ласка, уважно вибирайте закриті порти! Залежно від вибраного протоколу з’єднання, зв’язок може бути можливим лише через HTTP, наприкладample.
- Збережіть зміни з передачею даних на пристрій (кнопка «Перенести»)
Показати пароль
- Конфігурація пристрою за допомогою ключів пристрою також може бути захищена. Тобто налаштування можливе лише після введення пароля. Пароль можна встановити на самому пристрої або через GridVis® у вікні конфігурації.
Пароль відображення має містити максимум 5 цифр і містити лише цифри.
Рис.: Встановлення пароля дисплея
Процедура:
- Відкрийте вікно конфігурації
ExampLe 1: Для цього за допомогою кнопки миші виділіть відповідний пристрій у вікні проектів і виберіть «Конфігурація» в контекстному меню правої кнопки миші
ExampКрок 2: двічі клацніть на відповідному пристрої, щоб відкрити вікноview і виберіть кнопку «Конфігурація». - Виберіть кнопку «Паролі» у вікні конфігурації. При бажанні змініть опцію «Пароль користувача для режиму програмування на пристрої»
- Збережіть зміни з передачею даних на пристрій (кнопка «Перенести»)
Тоді конфігурацію пристрою можна буде змінити, лише ввівши пароль
Пароль домашньої сторінки
- Головну сторінку також можна захистити від несанкціонованого доступу. Доступні такі варіанти:
- Не блокуйте домашню сторінку
Домашня сторінка доступна без авторизації; конфігурації можна робити без входу в систему. - Заблокувати домашню сторінку
Після входу домашня сторінка та конфігурація для IP користувача будуть розблоковані на 3 хвилини. З кожним доступом час знову встановлюється на 3 хвилини. - Конфігурація блокування окремо
Домашня сторінка доступна без авторизації; конфігурації можна зробити лише шляхом входу в систему. - Заблокуйте домашню сторінку та конфігурацію окремо
- Після входу домашня сторінка розблоковується для IP користувача на 3 хвилини.
- З кожним доступом час знову встановлюється на 3 хвилини.
- Конфігурації можна зробити, лише ввійшовши в систему
Примітка: Лише змінні, які є в init.jas або мають авторизацію «Адміністратор», розглядаються як конфігурація
Пароль домашньої сторінки має містити максимум 8 цифр і містити лише цифри.
- Не блокуйте домашню сторінку
Рис.: Встановити пароль домашньої сторінки
Після активації після відкриття домашньої сторінки пристрою з’являється вікно входу.
Рис.: Вхід на домашню сторінку
Безпека зв'язку Modbus TCP/IP
Неможливо захистити зв’язок Modbus TCP/IP (порт 502). Стандарт Modbus не передбачає жодного захисту. Вбудоване шифрування більше не відповідатиме стандарту Modbus, а сумісність з іншими пристроями більше не гарантуватиметься. З цієї причини під час зв’язку Modbus не можна призначити пароль.
Якщо IT вказує, що можна використовувати лише захищені протоколи, порт Modbus TCP/IP має бути дезактивований у брандмауері пристрою. Необхідно змінити пароль адміністратора пристрою, а зв’язок має відбуватися через «захищений TCP» (FTP) або «захищений HTTP».
Безпека зв'язку Modbus RS485
Захист зв'язку Modbus RS485 неможливий. Стандарт Modbus не передбачає жодного захисту. Вбудоване шифрування більше не відповідатиме стандарту Modbus, а сумісність з іншими пристроями більше не гарантуватиметься. Це також стосується головної функції Modbus. Тобто для пристроїв на інтерфейсі RS-485 не можна активувати шифрування.
Якщо IT вказує, що можна використовувати лише захищені протоколи, порт Modbus TCP/IP має бути дезактивований у брандмауері пристрою. Необхідно змінити пароль адміністратора пристрою, а зв’язок має відбуватися через «захищений TCP» (FTP) або «захищений HTTP».
Однак пристрої на інтерфейсі RS485 більше не можуть бути зчитані!
Альтернативою в цьому випадку є відмова від головної функції Modbus і використання виключно пристроїв Ethernet, таких як UMG 604 / 605 / 508 / 509 / 511 або UMG 512.
Безпека зв'язку «UMG 96RM-E».
UMG 96RM-E не пропонує захищений протокол. Зв'язок із цим пристроєм здійснюється виключно через Modbus TCP/IP. Неможливо захистити зв’язок Modbus TCP/IP (порт 502). Стандарт Modbus не передбачає жодного захисту. Тобто, якби шифрування було інтегровано, воно більше не відповідало б стандарту Modbus, а сумісність з іншими пристроями більше не була б гарантована. З цієї причини під час зв’язку Modbus не можна призначити пароль.
Підтримка
Janitza electronics GmbH Vor dem Polstück 6 | 35633 Lahnau Німеччина
Тел. +49 6441 9642-0 info@janitza.com www.janitza.com
Док. немає. 2.047.014.1.a | 02/2023 | Можливі технічні зміни.
Поточну версію документа можна знайти в області завантаження за адресою www.janitza.com
Документи / Ресурси
 |
Захищене підключення TCP або IP Janitza для UMG 508 [pdfПосібник користувача UMG 508, UMG 509-PRO, UMG 511, UMG 512-PRO, UMG 604-PRO, UMG 605-PRO, захищене з’єднання TCP або IP для UMG 508, захищене з’єднання TCP або IP |
