Janitza Connessione sicura TCP o IP per UMG 508 Manuale dell'utente
Janitza Connessione sicura TCP o IP per UMG 508

Contenuto nascondere
1 Generale
2 Connessione TCP/IP sicura
3 Cambiare la password
4 Impostazioni del firewall
5 Visualizza password
6 Password della homepage
7 Sicurezza della comunicazione Modbus TCP/IP
8 Sicurezza della comunicazione Modbus RS485
9 Sicurezza delle comunicazioni “UMG 96RM-E”.
10 Supporto
11 Documenti / Risorse
11.1 Riferimenti
12 Post correlati

Generale

Copyright

Questa descrizione funzionale è soggetta alle disposizioni legali di protezione del diritto d'autore e non può essere fotocopiata, ristampata, riprodotta o altrimenti duplicata o ripubblicata, in tutto o in parte, con mezzi meccanici o elettronici senza il consenso scritto legalmente vincolante di

Janitza electronics GmbH, Vor dem Polstück 6, 35633 Lahnau, Germania

Marchi

Tutti i marchi ei diritti da essi derivanti sono di proprietà dei rispettivi titolari di tali diritti.

Disclaimer

Janitza electronics GmbH non si assume alcuna responsabilità per errori o difetti all'interno di questa descrizione funzionale e non si assume alcun obbligo di mantenere aggiornato il contenuto di questa descrizione funzionale.

Commenti sul manuale

I tuoi commenti sono i benvenuti. Se qualcosa in questo manuale sembra poco chiaro, fatecelo sapere e inviateci un'e-mail a: info@janitza.com

Significato dei simboli

In questo manuale vengono utilizzati i seguenti pittogrammi:

Icona di avviso pericoloso voltage!
Rischio di morte o lesioni gravi. Scollegare il sistema e il dispositivo dall'alimentazione prima di iniziare i lavori.

Icona di avviso Attenzione!
Si prega di fare riferimento alla documentazione. Questo simbolo ha lo scopo di avvertire di possibili pericoli che possono sorgere durante l'installazione, la messa in servizio e l'uso.

Icona nota Nota

Connessione TCP/IP sicura

La comunicazione con i dispositivi di misura della serie UMG avviene solitamente tramite Ethernet. I dispositivi di misurazione forniscono a tale scopo diversi protocolli con le rispettive porte di connessione. Le applicazioni software come GridVis® comunicano con i dispositivi di misurazione tramite il protocollo FTP, Modbus o HTTP.

La sicurezza della rete nella rete aziendale gioca qui un ruolo sempre più importante.

Questa guida ha lo scopo di supportarvi nell'integrazione sicura dei dispositivi di misurazione nella rete, proteggendo così efficacemente i dispositivi di misurazione da accessi non autorizzati.

La guida fa riferimento al firmware > 4.057, in quanto sono state apportate le seguenti modifiche HTML:

  • Miglioramento del calcolo della sfida
  • Dopo tre accessi errati, l'IP (del client) viene bloccato per 900 secondi
  • Impostazioni GridVis® riviste
  • Password HTML: impostabile, 8 cifre
  • Configurazione HTML completamente bloccabile

Se il dispositivo di misurazione viene utilizzato nel GridVis®, sono disponibili diversi protocolli di connessione. Un protocollo standard è il protocollo FTP, ovvero il GridVis® legge files dal dispositivo di misurazione tramite la porta FTP 21 con le rispettive porte dati da 1024 a 1027. Nell'impostazione "TCP/IP", la connessione viene effettuata non protetta tramite FTP. È possibile stabilire una connessione protetta utilizzando il tipo di connessione "TCP protetta".

Figura.: Impostazioni per il tipo di connessione in “Configure connection
Connessione TCP/IP sicura

Cambiare la password

  • Per la connessione sicura sono richiesti un utente e una password.
  • Per impostazione predefinita, l'utente è admin e la password è Janitza.
  • Per una connessione sicura, la password per l'accesso amministratore (admin) può essere modificata nel menu di configurazione.

Fare un passo

  • Aprire la finestra di dialogo "Configura connessione".
    Example 1: Per fare questo, utilizzare il pulsante del mouse per evidenziare il dispositivo corrispondente nella finestra dei progetti e selezionare "Configura connessione" nel menu contestuale del pulsante destro del mouse
    Example 2: Fare doppio clic sul dispositivo corrispondente per aprire il overview finestra e selezionare il pulsante “Configura connessione”.
  • Seleziona il tipo di connessione “TCP protetta”
  • Impostare l'indirizzo host del dispositivo
  • Inserisci nome utente e password.
    Impostazioni di fabbrica:
    Nome utente: admin
    Parola d'ordine: Giannizza
  • Impostare la voce di menu "Crittografato".
    Viene quindi attivata una crittografia AES256-bit dei dati.

Figura.: Configurazione della connessione del dispositivo
Cambiare la password

Fare un passo 

  • Apri la finestra di configurazione
    Example 1: Per fare questo, utilizzare il pulsante del mouse per evidenziare il dispositivo corrispondente nella finestra dei progetti e selezionare "Configurazione" nel menu contestuale del pulsante destro del mouse
    Example 2: Fare doppio clic sul dispositivo corrispondente per aprire il overview finestra e selezionare il pulsante “Configurazione”.
  • Selezionare il pulsante "Password" nella finestra di configurazione. Modificare la password dell'amministratore, se lo si desidera.
  • Salvare le modifiche con il trasferimento dei dati al dispositivo (pulsante “Trasferisci”)

Icona di avviso Attenzione!
NON DIMENTICARE IN NESSUN CASO LA PASSWORD. NON ESISTE UNA PASSWORD PRINCIPALE. SE LA PASSWORD VIENE DIMENTICATA, IL DISPOSITIVO DEVE ESSERE INVIATO IN FABBRICA!

Icona nota La password dell'amministratore può essere composta da un massimo di 30 cifre e può essere composta da numeri, lettere e caratteri speciali (codice ASCII da 32 a 126, ad eccezione dei caratteri elencati di seguito). Inoltre, il campo della password non deve essere lasciato vuoto.
I seguenti caratteri speciali non devono essere utilizzati:
” (codice 34)
\ (codice 92)
^ (codice 94)
` (codice 96)
| (codice 124)
Lo spazio (codice 32) è consentito solo all'interno della password. Non è consentito come primo e ultimo carattere.
Quando hai effettuato l'aggiornamento a una versione di GridVis® > 9.0.20 e utilizzi uno dei caratteri speciali sopra descritti, ti verrà chiesto di cambiare la password secondo queste regole quando apri il configuratore del dispositivo.

Icona nota La descrizione "Cambia password" con le relative regole per la password vale anche per il tipo di connessione "HTTP protetto".

Figura.: Configurazione password
Cambiare la password

Impostazioni del firewall

  • I dispositivi di misurazione dispongono di un firewall integrato che consente di bloccare le porte non necessarie.

Fare un passo

  • Aprire la finestra di dialogo "Configura connessione".
    Example 1: Per fare questo, utilizzare il pulsante del mouse per evidenziare il dispositivo corrispondente nella finestra dei progetti e selezionare "Configura connessione" nel menu contestuale del pulsante destro del mouse
    Example 2: Fare doppio clic sul dispositivo corrispondente per aprire il overview finestra e selezionare il pulsante “Configura connessione”.
  • Seleziona il tipo di connessione “TCP protetta”
  • Accedi come amministratore

Figura.: Configurazione della connessione del dispositivo (admin)
Impostazioni del firewall

Fare un passo 

  • Apri la finestra di configurazione
    Example 1: Per fare questo, utilizzare il pulsante del mouse per evidenziare il dispositivo corrispondente nella finestra dei progetti e selezionare "Configurazione" nel menu contestuale del pulsante destro del mouse
    Example 2: Fare doppio clic sul dispositivo corrispondente per aprire il overview finestra e selezionare il pulsante “Configurazione”.
  • Selezionare il pulsante "Firewall" nella finestra di configurazione.
    Figura.: Configurazione del firewall
    Impostazioni del firewall
  • Il firewall viene attivato tramite il pulsante "Firewall".
    • A partire dalla versione X.XXX, questa è l'impostazione predefinita.
    • I protocolli che non ti servono possono essere disattivati ​​qui.
    • Quando il firewall è attivo, il dispositivo consente solo le richieste sui protocolli attivati ​​di volta in volta
      Protocolli Porta
      Indirizzo FTP Porta 21, porta dati da 1024 a 1027
      HTTP Porta 80
      SNMP Porta 161
      Modbus-RTU Porta 8000
      Debug PORT 1239 (per scopi di servizio)
      Modbus TCP/IP Porta 502
      BACnet Porta 47808
      DHCP Porta UTP 67 e 68
      NTP Porta 123
      Nome del server Porta 53
  • Per una comunicazione rudimentale con GridVis® e tramite la homepage, saranno sufficienti le seguenti impostazioni:
    Figura.: Configurazione del firewall
    Impostazioni del firewall
  • Ma per favore scegli attentamente le porte chiuse! A seconda del protocollo di connessione selezionato, potrebbe essere possibile comunicare solo tramite HTTP, ad esamplui.
  • Salvare le modifiche con il trasferimento dei dati al dispositivo (pulsante “Trasferisci”)

Visualizza password

  • Anche la configurazione del dispositivo tramite le chiavi del dispositivo può essere protetta. Cioè solo dopo aver inserito una password è possibile la configurazione. La password può essere impostata sul dispositivo stesso o tramite GridVis® nella finestra di configurazione.

Icona di avviso La password del display deve essere composta da un massimo di 5 cifre e contenere solo numeri.

Figura.: Impostazione della password del display
Visualizza password

Procedura: 

  • Apri la finestra di configurazione
    Example 1: Per fare questo, utilizzare il pulsante del mouse per evidenziare il dispositivo corrispondente nella finestra dei progetti e selezionare "Configurazione" nel menu contestuale del pulsante destro del mouse
    Example 2: Fare doppio clic sul dispositivo corrispondente per aprire il overview finestra e selezionare il pulsante “Configurazione”.
  • Selezionare il pulsante "Password" nella finestra di configurazione. Se lo si desidera, modificare l'opzione "Password utente per la modalità di programmazione sul dispositivo"
  • Salvare le modifiche con il trasferimento dei dati al dispositivo (pulsante “Trasferisci”)

La configurazione sul dispositivo può quindi essere modificata solo inserendo una password
Visualizza password

Password della homepage

  • La homepage può anche essere protetta da accessi non autorizzati. Sono disponibili le seguenti opzioni:
    • Non bloccare la home page
      La homepage è accessibile senza login; le configurazioni possono essere effettuate senza effettuare il login.
    • Blocca la home page
      Dopo un login, la homepage e la configurazione per l'IP dell'utente saranno sbloccate per 3 minuti. Ad ogni accesso il tempo viene nuovamente impostato a 3 minuti.
    • Blocca la configurazione separatamente
      La homepage è accessibile senza login; le configurazioni possono essere effettuate solo effettuando il login.
    • Blocca la home page e la configurazione separatamente
      • Dopo un accesso, la home page viene sbloccata per l'IP dell'utente per 3 minuti.
      • Ad ogni accesso il tempo viene nuovamente impostato a 3 minuti.
      • Le configurazioni possono essere effettuate solo effettuando il login
        Icona nota Nota: Solo le variabili che sono in init.jas o hanno l'autorizzazione "Admin" sono considerate come configurazione
        Icona di avviso La password della home page deve essere composta da un massimo di 8 cifre e contenere solo numeri.

Figura.: Imposta la password della home page
Password della homepage

Dopo l'attivazione, dopo l'apertura della home page del dispositivo viene visualizzata una finestra di accesso.

Figura.: Accesso alla home page
Password della homepage

Sicurezza della comunicazione Modbus TCP/IP

Non è possibile proteggere la comunicazione Modbus TCP/IP (porta 502). Lo standard Modbus non prevede alcuna protezione. La crittografia integrata non sarebbe più conforme allo standard Modbus e l'interoperabilità con altri dispositivi non sarebbe più garantita. Per questo motivo non è possibile assegnare password durante la comunicazione Modbus.

Se l'IT specifica che possono essere utilizzati solo protocolli protetti, la porta Modbus TCP/IP deve essere disattivata nel firewall del dispositivo. La password dell'amministratore del dispositivo deve essere modificata e la comunicazione deve avvenire tramite “TCP secure” (FTP) o “HTTP secure”.

Sicurezza della comunicazione Modbus RS485

La protezione della comunicazione Modbus RS485 non è possibile. Lo standard Modbus non prevede alcuna protezione. La crittografia integrata non sarebbe più conforme allo standard Modbus e l'interoperabilità con altri dispositivi non sarebbe più garantita. Ciò riguarda anche la funzionalità master Modbus. Ciò significa che non è possibile attivare la crittografia per i dispositivi sull'interfaccia RS-485.

Se l'IT specifica che possono essere utilizzati solo protocolli protetti, la porta Modbus TCP/IP deve essere disattivata nel firewall del dispositivo. La password dell'amministratore del dispositivo deve essere modificata e la comunicazione deve avvenire tramite “TCP secure” (FTP) o “HTTP secure”.

Tuttavia, i dispositivi sull'interfaccia RS485 non possono più essere letti!

L'alternativa in questo caso è rinunciare alla funzionalità master Modbus e utilizzare esclusivamente dispositivi Ethernet come UMG 604 / 605 / 508 / 509 / 511 o UMG 512.

Sicurezza delle comunicazioni “UMG 96RM-E”.

L'UMG 96RM-E non offre un protocollo protetto. La comunicazione con questo dispositivo avviene esclusivamente tramite Modbus TCP/IP. Non è possibile proteggere la comunicazione Modbus TCP/IP (porta 502). Lo standard Modbus non prevede alcuna protezione. Cioè, se la crittografia fosse integrata, non sarebbe più conforme allo standard Modbus e non sarebbe più garantita l'interoperabilità con altri dispositivi. Per questo motivo non è possibile assegnare password durante la comunicazione Modbus.

Supporto

Janitza electronics GmbH Vor dem Polstück 6 | 35633 Lahnau Germania
Tel. +49 6441 9642-0 info@janitza.com www.janitza.com

Dott. NO. 2.047.014.1.a | 02/2023 | Con riserva di modifiche tecniche.
La versione attuale del documento è disponibile nell'area download all'indirizzo www.janitza.com

Il logo Janitsa

Documenti / Risorse

Janitza Connessione sicura TCP o IP per UMG 508 [pdf] Manuale d'uso
UMG 508, UMG 509-PRO, UMG 511, UMG 512-PRO, UMG 604-PRO, UMG 605-PRO, connessione sicura TCP o IP per UMG 508, connessione sicura TCP o IP

Riferimenti

Post correlati

Lascia un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *