В данной статье собраны рекомендации по обеспечению максимальной безопасности контроллера E2R2-G.
Логин пользователя root
Необходимо сменить пароль по умолчанию для пользователя root, это делается через Веб-интерфейс контроллера.
Заходим в Веб-интерфейс, выбираем пункт меню Система→Управление:
Меняем пароль
Внизу страницы нажимаем Сохранить и применить:
Доступ по SSH
На той же странице есть настройки доступа по SSH:
Если интерфейс стоит в режиме не определено, тогда разрешено подключение по SSH к контроллеру по любому интерфейсу, в том числе по GPRS. Не стоит отключать SSH совсем, но лучше перевести подключение в режим lan, тогда подключение по SSH будет доступно только при прямом подключении к контроллеру через его порт Eth.
Список открытых портов
Список TCP/UDP портов, доступных для подключения, настраивается на вкладке Сеть→Межсетевой экран:
Далее надо перейти на вкладку Правила для трафика:
И списка обычно добавленных пользовательских разрешений:
оставить только те порты, которые реально используются.
Порты:
Права доступа через среду настройки ENLOGIC
Необходимо подключится к контролеру через среду настройки ENLOGIC, перейти на вкладку Контроллер:
Нажать на кнопку Установить/изменить пароли:
В данном окне надо ввести текущий пароль 3-го уровня, новые пароли, и нажать Ок. Если текущий пароль введен верно, то будет произведена смена паролей всех трех уровней.
Доступ по протоколу МЭК-104
Средствами настройки ENLOGIC рекомендуется разрешить подключение по протоколу МЭК-104 только с определенных IP-адресов. В идеале - с IP-адресов только основного и резервного сервера ЦППС/SCADA. Подробные детали настройки можно найти в справочной системе, здесь приведем конкретный пример.
Добавить в контроллер в Каналы ввода/вывода протокол КП МЭК-104 (группа Телемеханика), и задать у него настройки IP-адресов ПУ (пункт управления, клиент МЭК-104):
В протокол необходимо добавить модуль Диапазон адресов с тегом, настройки можно оставить по умолчанию. Также для диагностики рекомендуется добавить модуль Информация о соединении:
Далее необходимо загрузить конфигурацию в контроллер.
При такой настройке контроллер будет разрешать подключение по протоколу МЭК-104 только с двух заданных IP-адресов ПУ 1 и ПУ 2.
При задании адреса 192.168.0.Х и маски 255.255.255.0 (значение Х неважно) - будет разрешено соединение от ПУ в диапазоне адресов от 192.168.0.1 до 192.168.0.254.
Контактная информация
E-mail: