Zařízení Domat s rozhraním Ethernet a jejich komunikace

Kromě níže uvedených čísel TCP a UDP portů mohou ještě některá zařízení podporovat non-IP protokoly pro detekci zařízení s neznámou IP adresou a její nastavení. Předpokládá se, že zařízení jsou od Internetu (nebo jiné nezabezpečené sítě) oddělena IP routerem, který jiné než TCP nebo UDP protokoly nepropouští.

IPCB.1, IPCT.1

Průmyslový počítač s OS Windows XP Embedded nebo Windows 7 Embedded. Jako součást systému obsahuje Windows Firewall. Při standardním nasazení jsou použity tyto porty:

TCP
12345    SoftPLC Runtime – přístup k datům protokolem SoftPLC Link
80           Web panel

Obvykle se používá i nějaký program pro vzdálené ovládání, UltraVNC nebo vzdálená plocha Windows. Doporučujeme provozovat podstanici v bezpečné oddělené síti a případný dálkový přístup chránit pomocí VPN. Mapování portů na veřejnou adresu pro webový přístup se nedoporučuje.

IPLC201, IPLC301, MXPLC

Podstanice s platformou Beck IPC@CHIP. Neobsahuje firewall. Při standardním nasazení jsou použity tyto porty:

TCP
12345    SoftPLC Runtime – přístup k datům protokolem SoftPLC Link
80           Webový server
20, 21    FTP server (pro konfiguraci a nahrávání programu)
UDP
8001      detekce MiniPLC v Platform Configu

Pro servisní účely dále PLC naslouchá na

TCP
23           Telnet

Doporučujeme provozovat podstanici v bezpečné oddělené síti a případný dálkový přístup chránit pomocí VPN. Mapování portu 80 na veřejnou adresu pro webový přístup se nedoporučuje, webový server může být napaden síťovými roboty a stalo se, že časté pokusy o připojování zablokovaly rozhraní Ethernet. I když číslo portu pro webový přístup (80) lze v souboru CHIP.INI změnit, není to ochrana proti tomuto typu útoků.

IPLC500, IPLC510, MXPLC s deskou MXL

Podstanice s OS Linux. Má vlastní firewall, který se konfiguruje automaticky (skriptem), takže např. při změně portu pro SoftPLC Link (standardně 12345) se překonfiguruje i firewall, aby nové číslo portu bylo dostupné. Při standardním nasazení jsou ve firewallu pro příchozí připojení povoleny tyto porty:

TCP
12345    SoftPLC Runtime – přístup k datům protokolem SoftPLC Link
22           SCP server (pro kopírování souborů a nahrávání programu)
UDP
8002      systémové servisní služby

Mapování portu TCP 12345 na veřejnou IP adresu je běžnou praxí, bezpečnější řešení ovšem poskytuje router a VPN.

Runtime SoftPLC

Program nebo služba, běžící na OS Windows XP, 7, 8, 10. Při standardním nasazení jsou použity tyto porty:

TCP
12345    SoftPLC Runtime – přístup k datům protokolem SoftPLC Link

Web panel

Program nebo služba, běžící na OS Windows XP, 7, 8, 10. Při standardním nasazení jsou použity tyto porty:

TCP
8080      Webový server – číslo portu lze v nastavení změnit

Místo protokolu HTTP lze nastavit bezpečnější protokol HTTPS.

UCWEB

Webové rozhraní pro regulátory jednotlivých místností. Při standardním nasazení jsou použity tyto porty:

TCP
80           Webový server – číslo portu lze v nastavení změnit
20, 21    FTP server (pro konfiguraci a nahrávání html souborů)
771         RealPort – pouze je-li ve webovém rozhraní povolen. Slouží pro přímý přístup na sběrnici s regulátory pro servisní účely.

Ačkoli je webový přístup chráněn heslem, doporučujeme přístup z Internetu chránit pomocí VPN. Změna čísla portu pro webový přístup není bezpečnostní opatření.

UC150, UC250, UI5…, UI6…

Pokojové regulátory a ovladače s rozhraním Ethernet a komunikací Modbus TCP.

TCP
80           Webový server pro diagnostiku a nastavení
502         Modbus TCP server

Přístup na web není chráněn heslem, ovšem lze jej zablokovat pomocí DIP switche USR. Modbus TCP je protokol z principu nezabezpečený. Zařízení je proto vhodné k nasazení pouze do vnitřních (technologických), zabezpečených sítí! Z bezpečnostního hlediska není přípustné mapovat port 502 na veřejnou IP adresu!

RcWare Vision

Vizualizační software (SCADA).

TCP
8990      Přístup k datům pro paralelně běžící stanici RcWare Vision nebo pro webový server.
80           Webový server pro RcWare Vision (jen pokud je použit webový přístup pomocí Internet Information Serveru (IIS))

Přístup na web je chráněn uživatelským jménem a heslem, ale je potřeba především věnovat pozornost nastavení bezpečnostních vlastností serveru IIS. Číslo portu (výchozí 80) lze v nastavení IIS měnit. Podrobnosti viz dokumentace k IIS. Je vhodné provozovat IIS na samostatném serveru v demilitarizované zóně a ne na počítači, na němž běží Rcware Vision.

Merbon DB (dříve RcWare DB FB)

Databáze pro ukládání velkého množství historických dat z monitorovacích systémů, např. z RcWare Vision. Níže uvedená čísla portů lze měnit v konfiguračním souboru, viz návod na nastavení Merbon DB.

TCP
9876      Port pro službu přístupu k datům
11112    Webové rozhraní pro administraci

Port 9876 pro přístup klientských PLC a vizualizací do databáze je u distribuovaných systémů obvykle mapován na veřejnou IP adresu, pro zvýšení bezpečnosti lze např. použít stavový firewall a nastavit omezení přístupu z předdefinovaných IP adres. Webové rozhraní pro správu databáze je chráněno jménem a heslem, doporučujeme povolit přístup k němu jen z vnitřní sítě.

ECIO2

Vstupně-výstupní modul s komunikací Modbus TCP a funkcí Modbus TCP/RTU routeru.

TCP
80           Webový server pro diagnostiku a nastavení
502         Modbus TCP server

Přístup na web není chráněn heslem. Modbus TCP je protokol z principu nezabezpečený. Zařízení je proto vhodné k nasazení pouze do vnitřních (technologických), zabezpečených sítí! Z bezpečnostního hlediska není přípustné mapovat port 502 na veřejnou IP adresu!

M020, M025, M031, M035

Převodníky Ethernet na sériovou linku, terminal servery, rozhraní M0…5 pracují i jako Modbus TCP/RTU routery. Obsahují ethernetový kontrolér Digi ME. Všechny uvedené porty s výjimkou TCP 443 lze v nastavení zablokovat nebo povolit, ve výchozím nastavení jsou povoleny!

TCP
23           Telnet server pro konfiguraci
80           Webový server pro konfiguraci (chráněn jménem a heslem)
443         Zabezpečený webový server (https:) pro konfiguraci (jako jediný nelze zablokovat)
502         Modbus TCP (pouze pokud je nastaven profil Industrial Automation)
513         rlogin (Remote Login)
514         rsh (Remote Shell)
515         LPD (Line Printer Daemon)
771         RealPort – virtuální COM port pro tunelování sériových dat po síti
1027      zašifrovaný RealPort
UDP
161         SNMP
2362      Detekce zařízení pro nastavení IP adresy a dalších parametrů (ADDP)

Tato zařízení jsou vhodná pro náročné průmyslové aplikace. Při konfiguraci NAT nebo routování se nicméně doporučuje mapovat pouze ty porty, které jsou pro chod systému nezbytně nutné.

M036

Jednodušší model routeru Modbus TCP/RTU.

TCP
80           Webový server pro konfiguraci
502         Modbus TCP
20, 21    FTP server (pro konfiguraci a nahrávání html souborů, pevné jméno a heslo)

Přístup na web není chráněn heslem. Modbus TCP je protokol z principu nezabezpečený. Zařízení je proto vhodné k nasazení pouze do vnitřních (technologických), zabezpečených sítí! Z bezpečnostního hlediska není přípustné mapovat port 502 na veřejnou IP adresu!

M090

Převodník Modbus TCP/DALI

TCP
80           Webový server pro konfiguraci
502         Modbus TCP
20, 21    FTP server (pro konfiguraci a nahrávání html souborů, pevné jméno a heslo)

Přístup na web není chráněn heslem. Modbus TCP je protokol z principu nezabezpečený. Zařízení je proto vhodné k nasazení pouze do vnitřních (technologických), zabezpečených sítí! Z bezpečnostního hlediska není přípustné mapovat port 502 na veřejnou IP adresu!

HT100, HT101, HT110

Ovládací panely SoftPLC Link (HT100, HT101), Modbus TCP (HT110). Webový a FTP přístup lze pro zvýšenou bezpečnost zablokovat hardwarovým přepínačem.

TCP
80           Webový server pro konfiguraci (IP adresa atd., menu, firmware)
20, 21    FTP server (pro konfiguraci a nahrávání html souborů)

Během normálního provozu panely navazují pouze odchozí spojení na SoftPLC runtimy (HT100, HT101) nebo na Modbus servery (HT110). Přístup z Internetu na panel by proto nemělo být nutné konfigurovat.

mark100, mark120, mark125, mark150, IMIO…, ICIO…

Procesní podstanice (PLC) na platformě ARM Cortex s OS FreeRTOS. U řady mark… je snaha omezit počet použitých služeb na minimum a tím snížit bezpečnostní rizika.

TCP
80           Webový server, pokud je povolen. Přihlašování nastavitelným jménem a heslem
12346    Protokol SSCP pro přístup k datům, nahrávání programu a konfiguraci PLC, ochrana jménem a heslem

Číslo portu pro protokol SSCP (výchozí 12346) lze nastavit v konfiguraci PLC. Protokol je vhodný pro přenos dat po Internetu, pro zvýšení bezpečnosti doporučujeme použít router s nastavením omezení přístupu např. podle IP adres klientů, nebo nasadit VPN.

mark220, mark320, markMX

Procesní podstanice (PLC) na platformě MPC5200 s OS Linux. U řady mark… je snaha omezit počet použitých služeb na minimum a tím snížit bezpečnostní rizika.

TCP
22           SSH pro přístup do OS Linux
80           Webový server, pokud je povolen. Přihlašování nastavitelným jménem a heslem
12346    Protokol SSCP pro přístup k datům, nahrávání programu a konfiguraci PLC, ochrana jménem a heslem, příprava pro šifrování

Číslo portu pro protokol SSCP (výchozí 12346) lze nastavit v konfiguraci PLC. Protokol je vhodný pro přenos dat po Internetu, pro zvýšení bezpečnosti doporučujeme použít router s nastavením omezení přístupu např. podle IP adres klientů, nebo nasadit VPN.

Mohlo by vás zajímat:

Síťová bezpečnost u systémů řízení budov