Wenn Sie über das Internet auf Systeme zugreifen können, können Sie Wartungsvorgänge an der Software remote verwalten. Die Veröffentlichung von Geräten im Internet ist jedoch mit Sicherheitsproblemen verbunden. Die sicherste Lösung besteht darin, eine VPN-Verbindung einzurichten, die zusätzlich zum Authentifizierungsmechanismus die Verschlüsselung der ausgetauschten Daten gewährleistet.
Befindet sich im System ein Weintek Operator Panel, so wird die VPN-Lösung vom Panel durch den Einsatz von angeboten Easyaccess. Wenn das System mit einem Mobilfunkrouter verbunden ist WLink Es kann auch VPN in IPSec oder OpenVPN verarbeiten.
Aktive Dienste auf Modulen SlimLine/Netsyst
Die Module SlimLine/Netsyst Einige Dienste sind aktiv:
- Telnet Auf Port 23 wird mit Authentifizierung zugegriffen.
- fTP Auf Port 21 wird mit Authentifizierung zugegriffen.
- HTTP Auf Port 80 wird mit Authentifizierung zugegriffen.
- Modbus Standard am 502-Port (keine Authentifizierung erforderlich).
Wenn Sie eine VPN-Verbindung verwenden, gibt es keine Probleme. Die gesamte Sicherheit wird vom VPN verwaltet. Wenn Sie einige Dienste direkt im Internet veröffentlichen möchten, müssen Sie die Ports für den zu veröffentlichenden Dienst weiterleiten.
Bei Diensten, die eine Authentifizierung erfordern, wird das Sicherheitsproblem vom Authentifizierungsmechanismus verwaltet. Das Hauptproblem ist das von LogicLab für die Programmierung verwendete Modbus-Protokoll. Modbus bietet keine Authentifizierung, es wird auch (im lokalen Netzwerk) für den Datenaustausch mit Bediengeräten und / oder anderen Geräten verwendet, sodass kein Authentifizierungsmechanismus in Betracht gezogen werden kann.
So schützen Sie den Zugriff von Modbus
Wenn Sie also den Modbus-Programmierport wirklich veröffentlichen möchten, um remote auf das System zuzugreifen, sind die folgenden Vorgänge erforderlich, um eine höhere Sicherheitsstufe zu erreichen:
- Aktivieren Sie einen Modbus-Server an einem anderen Port als 502.
- Veröffentlichen Sie den Port, auf dem der Server aktiviert ist.
- Durch den Zugriff auf die Webseite können Sie den Server nur aktivieren, wenn Sie das System bedienen möchten, und ihn deaktivieren, sobald er fertig ist.
Im Bild unten zeigen wir den Screenshot der Operationen. Wie zu sehen ist, ist es möglich, remote auf den Webserver zuzugreifen und nach der Authentifizierung den Modbus-Server zu aktivieren / deaktivieren.
