Zařízení Domat s rozhraním Ethernet a jejich komunikace
Kromě níže uvedených čísel TCP a UDP portů mohou ještě některá zařízení podporovat non-IP protokoly pro detekci zařízení s neznámou IP adresou a její nastavení. Předpokládá se, že zařízení jsou od Internetu (nebo jiné nezabezpečené sítě) oddělena IP routerem, který jiné než TCP nebo UDP protokoly nepropouští.
IPCB.1, IPCT.1
Průmyslový počítač s OS Windows XP Embedded nebo Windows 7 Embedded. Jako součást systému obsahuje Windows Firewall. Při standardním nasazení jsou použity tyto porty:
TCP
12345 SoftPLC Runtime – přístup k datům protokolem SoftPLC Link
80 Web panel
Obvykle se používá i nějaký program pro vzdálené ovládání, UltraVNC nebo vzdálená plocha Windows. Doporučujeme provozovat podstanici v bezpečné oddělené síti a případný dálkový přístup chránit pomocí VPN. Mapování portů na veřejnou adresu pro webový přístup se nedoporučuje.
IPLC201, IPLC301, MXPLC
Podstanice s platformou Beck IPC@CHIP. Neobsahuje firewall. Při standardním nasazení jsou použity tyto porty:
TCP
12345 SoftPLC Runtime – přístup k datům protokolem SoftPLC Link
80 Webový server
20, 21 FTP server (pro konfiguraci a nahrávání programu)
UDP
8001 detekce MiniPLC v Platform Configu
Pro servisní účely dále PLC naslouchá na
TCP
23 Telnet
Doporučujeme provozovat podstanici v bezpečné oddělené síti a případný dálkový přístup chránit pomocí VPN. Mapování portu 80 na veřejnou adresu pro webový přístup se nedoporučuje, webový server může být napaden síťovými roboty a stalo se, že časté pokusy o připojování zablokovaly rozhraní Ethernet. I když číslo portu pro webový přístup (80) lze v souboru CHIP.INI změnit, není to ochrana proti tomuto typu útoků.
IPLC500, IPLC510, MXPLC s deskou MXL
Podstanice s OS Linux. Má vlastní firewall, který se konfiguruje automaticky (skriptem), takže např. při změně portu pro SoftPLC Link (standardně 12345) se překonfiguruje i firewall, aby nové číslo portu bylo dostupné. Při standardním nasazení jsou ve firewallu pro příchozí připojení povoleny tyto porty:
TCP
12345 SoftPLC Runtime – přístup k datům protokolem SoftPLC Link
22 SCP server (pro kopírování souborů a nahrávání programu)
UDP
8002 systémové servisní služby
Mapování portu TCP 12345 na veřejnou IP adresu je běžnou praxí, bezpečnější řešení ovšem poskytuje router a VPN.
Runtime SoftPLC
Program nebo služba, běžící na OS Windows XP, 7, 8, 10. Při standardním nasazení jsou použity tyto porty:
TCP
12345 SoftPLC Runtime – přístup k datům protokolem SoftPLC Link
Web panel
Program nebo služba, běžící na OS Windows XP, 7, 8, 10. Při standardním nasazení jsou použity tyto porty:
TCP
8080 Webový server – číslo portu lze v nastavení změnit
Místo protokolu HTTP lze nastavit bezpečnější protokol HTTPS.
UCWEB
Webové rozhraní pro regulátory jednotlivých místností. Při standardním nasazení jsou použity tyto porty:
TCP
80 Webový server – číslo portu lze v nastavení změnit
20, 21 FTP server (pro konfiguraci a nahrávání html souborů)
771 RealPort – pouze je-li ve webovém rozhraní povolen. Slouží pro přímý přístup na sběrnici s regulátory pro servisní účely.
Ačkoli je webový přístup chráněn heslem, doporučujeme přístup z Internetu chránit pomocí VPN. Změna čísla portu pro webový přístup není bezpečnostní opatření.
UC150, UC250, UI5…, UI6…
Pokojové regulátory a ovladače s rozhraním Ethernet a komunikací Modbus TCP.
TCP
80 Webový server pro diagnostiku a nastavení
502 Modbus TCP server
Přístup na web není chráněn heslem, ovšem lze jej zablokovat pomocí DIP switche USR. Modbus TCP je protokol z principu nezabezpečený. Zařízení je proto vhodné k nasazení pouze do vnitřních (technologických), zabezpečených sítí! Z bezpečnostního hlediska není přípustné mapovat port 502 na veřejnou IP adresu!
RcWare Vision
Vizualizační software (SCADA).
TCP
8990 Přístup k datům pro paralelně běžící stanici RcWare Vision nebo pro webový server.
80 Webový server pro RcWare Vision (jen pokud je použit webový přístup pomocí Internet Information Serveru (IIS))
Přístup na web je chráněn uživatelským jménem a heslem, ale je potřeba především věnovat pozornost nastavení bezpečnostních vlastností serveru IIS. Číslo portu (výchozí 80) lze v nastavení IIS měnit. Podrobnosti viz dokumentace k IIS. Je vhodné provozovat IIS na samostatném serveru v demilitarizované zóně a ne na počítači, na němž běží Rcware Vision.
Merbon DB (dříve RcWare DB FB)
Databáze pro ukládání velkého množství historických dat z monitorovacích systémů, např. z RcWare Vision. Níže uvedená čísla portů lze měnit v konfiguračním souboru, viz návod na nastavení Merbon DB.
TCP
9876 Port pro službu přístupu k datům
11112 Webové rozhraní pro administraci
Port 9876 pro přístup klientských PLC a vizualizací do databáze je u distribuovaných systémů obvykle mapován na veřejnou IP adresu, pro zvýšení bezpečnosti lze např. použít stavový firewall a nastavit omezení přístupu z předdefinovaných IP adres. Webové rozhraní pro správu databáze je chráněno jménem a heslem, doporučujeme povolit přístup k němu jen z vnitřní sítě.
ECIO2 (již se nedodává)
Vstupně-výstupní modul s komunikací Modbus TCP a funkcí Modbus TCP/RTU routeru.
TCP
80 Webový server pro diagnostiku a nastavení
502 Modbus TCP server
Přístup na web není chráněn heslem. Modbus TCP je protokol z principu nezabezpečený. Zařízení je proto vhodné k nasazení pouze do vnitřních (technologických), zabezpečených sítí! Z bezpečnostního hlediska není přípustné mapovat port 502 na veřejnou IP adresu!
R020, R025, R031, R035, starší typy M020, M025, M031, M035
Převodníky Ethernet na sériovou linku, terminal servery, rozhraní M0…5 pracují i jako Modbus TCP/RTU routery. Obsahují ethernetový kontrolér Digi ME. Všechny uvedené porty s výjimkou TCP 443 lze v nastavení zablokovat nebo povolit, ve výchozím nastavení jsou povoleny!
TCP
23 Telnet server pro konfiguraci
80 Webový server pro konfiguraci (chráněn jménem a heslem)
443 Zabezpečený webový server (https:) pro konfiguraci (jako jediný nelze zablokovat)
502 Modbus TCP (pouze pokud je nastaven profil Industrial Automation)
513 rlogin (Remote Login)
514 rsh (Remote Shell)
515 LPD (Line Printer Daemon)
771 RealPort – virtuální COM port pro tunelování sériových dat po síti
1027 zašifrovaný RealPort
UDP
161 SNMP
2362 Detekce zařízení pro nastavení IP adresy a dalších parametrů (ADDP)
Tato zařízení jsou vhodná pro náročné průmyslové aplikace. Při konfiguraci NAT nebo routování se nicméně doporučuje mapovat pouze ty porty, které jsou pro chod systému nezbytně nutné.
M036 (již se nedodává)
Jednodušší model routeru Modbus TCP/RTU.
TCP
80 Webový server pro konfiguraci
502 Modbus TCP
20, 21 FTP server (pro konfiguraci a nahrávání html souborů, pevné jméno a heslo)
Přístup na web není chráněn heslem. Modbus TCP je protokol z principu nezabezpečený. Zařízení je proto vhodné k nasazení pouze do vnitřních (technologických), zabezpečených sítí! Z bezpečnostního hlediska není přípustné mapovat port 502 na veřejnou IP adresu!
R091, starší typy R090, M090
Převodník Modbus TCP/DALI
TCP
80 Webový server pro konfiguraci
502 Modbus TCP
20, 21 FTP server (pro konfiguraci a nahrávání html souborů, pevné jméno a heslo)
Přístup na web není chráněn heslem. Modbus TCP je protokol z principu nezabezpečený. Zařízení je proto vhodné k nasazení pouze do vnitřních (technologických), zabezpečených sítí! Z bezpečnostního hlediska není přípustné mapovat port 502 na veřejnou IP adresu!
HT100, HT101, HT110
Ovládací panely SoftPLC Link (HT100, HT101), Modbus TCP (HT110). Webový a FTP přístup lze pro zvýšenou bezpečnost zablokovat hardwarovým přepínačem.
TCP
80 Webový server pro konfiguraci (IP adresa atd., menu, firmware)
20, 21 FTP server (pro konfiguraci a nahrávání html souborů)
Během normálního provozu panely navazují pouze odchozí spojení na SoftPLC runtimy (HT100, HT101) nebo na Modbus servery (HT110). Přístup z Internetu na panel by proto nemělo být nutné konfigurovat.
mark100, mark120, mark125, mark150, IMIO…, ICIO…
Procesní podstanice (PLC) na platformě ARM Cortex s OS FreeRTOS. U řady mark… je snaha omezit počet použitých služeb na minimum a tím snížit bezpečnostní rizika.
TCP
80 Webový server, pokud je povolen. Přihlašování nastavitelným jménem a heslem
12346 Protokol SSCP pro přístup k datům, nahrávání programu a konfiguraci PLC, ochrana jménem a heslem
Číslo portu pro protokol SSCP (výchozí 12346) lze nastavit v konfiguraci PLC. Protokol je vhodný pro přenos dat po Internetu, pro zvýšení bezpečnosti doporučujeme použít router s nastavením omezení přístupu např. podle IP adres klientů, nebo nasadit VPN.
mark220, mark320, markMX
Procesní podstanice (PLC) na platformě MPC5200 s OS Linux. U řady mark… je snaha omezit počet použitých služeb na minimum a tím snížit bezpečnostní rizika.
TCP
22 SSH pro přístup do OS Linux
80 Webový server, pokud je povolen. Přihlašování nastavitelným jménem a heslem
12346 Protokol SSCP pro přístup k datům, nahrávání programu a konfiguraci PLC, ochrana jménem a heslem, příprava pro šifrování
Číslo portu pro protokol SSCP (výchozí 12346) lze nastavit v konfiguraci PLC. Protokol je vhodný pro přenos dat po Internetu, pro zvýšení bezpečnosti doporučujeme použít router s nastavením omezení přístupu např. podle IP adres klientů, nebo nasadit VPN.
