- Home
- Security in PLCnext Engineer
- Security-Einstellungen der Steuerung (via WBM)
Security-Einstellungen der Steuerung (via WBM)
Es wird dringend empfohlen, die zur Verfügung stehenden Security-Einstellungen einzusetzen, um die Steuerung gegen unberechtigten Zugriff zu schützen und die Integrität der Daten und Anwendung sicherzustellen.
Zusätzlich zu den Security Features in PLCnext Engineer bietet das Webbasierte Management (WBM) der Steuerung entsprechende Schutzmaßnahmen.
- Doppelklicken Sie in der ANLAGE auf den Knoten der Steuerung und öffnen Sie den 'Cockpit'-Editor.
- Klicken Sie im Cockpit der Steuerung auf die Symbolleisten-Schaltfläche 'Mit der Steuerung verbinden'.
Es erscheint die Anmeldemaske zur Authentifizierung. Geben Sie hier den Benutzernamen der Admin-Benutzerrolle mit dem entsprechenden Kennwort ein und drücken Sie <Eingabe>, um sich anzumelden.Im Auslieferungszustand ist ein Benutzer admin mit Administratorrechten definiert. Das zugehörige Kennwort ist auf die Vorderseite der Steuerung aufgedruckt. - Öffnen Sie das Webbasierte Management (WBM), indem Sie in der Symbolleiste des Cockpits auf folgendes Symbol klicken:
Es wird die Anmeldeseite des Steuerungs-WBM im Standard-Webbrowser geöffnet. - Melden Sie sich mit dem Benutzernamen admin und dem korrekten Kennwort an.
- Die Kategorie 'Security' (links auf der Seite) enthält mehrere untergeordnete Seiten.
Steuerungs-Firewall aktivieren und konfigurieren (Firewall ist im Auslieferungszustand inaktiv)
- Öffnen Sie die Seite 'Firewall'.
- Sie können die Firewall temporär oder dauerhaft aktivieren.Temporäre Aktivierung: Setzen Sie 'Status = Starten' und klicken Sie auf 'Anwenden' (am unteren Bildschirmrand). Die Firewall wird sofort aktiviert und bleibt aktiv, solange die Steuerung nicht neu gestartet wird.Permanente Aktivierung: Markieren Sie das Kontrollkästchen 'Aktivierung' und klicken Sie auf 'Anwenden' (am unteren Bildschirmrand). Die Firewall wird sofort aktiviert und bleibt auch nach einem Neustart der Steuerung aktiv.
- Stellen Sie im Abschnitt 'Basis-Konfigurationen' die Filterregeln ein.
Sie können die aktuell gültige Firewall-Konfiguration anzeigen, indem Sie auf die Schaltfläche 'Regeln anzeigen' (im Abschnitt 'Systemstatus') klicken.
Benutzerrollen hinzufügen und bearbeiten (zusätzlich zum vordefinierten Admin-Benutzer)
- Öffnen Sie die Seite 'Benutzerauthentifizierung'.
- Klicken Sie auf 'Benutzer hinzufügen', geben Sie den gewünschten Benutzernamen und das Kennwort ein und bestätigen Sie die Eingaben.
- Klicken Sie für den neu hinzugefügten Benutzer auf 'Rollen ändern'.
- Markieren Sie für jedes Zugriffsrecht, das der Benutzer erhalten soll, das entsprechende Kontrollkästchen (Mehrfachauswahl ist möglich). Die Bedeutungen der möglichen Zugriffsrechte sind im Handbuch der Steuerung beschrieben.
Lesen Sie das Hilfekapitel "Netzwerk-Security: Authentifizierung mit Benutzerrolle und Kennwort", um weitere Informationen über die Implementierung in PLCnext Engineer zu erhalten.
Steuerungszertifikat hinzufügen
- Öffnen Sie die Seite 'Zertifikatauthentifizierung'.
- Im Register 'TrustStores' (Vertrauensspeicher) können Sie vertrauenswürdige Zertifikate und Sperrlisten (Revocation Lists) von erlaubten Kommunikationspartnern hinzufügen. Kommunikationspartner müssen sich mit diesen Zertifikaten authentifizieren, wenn Sie eine Kommunikationsverbindung aufbauen.
- Im Register 'IdentityStores' (Identitätsspeicher) können Sie Zertifikate erzeugen und hinzufügen.Es wird empfohlen, die abgesicherte Kommunikationsverbindung zwischen der Steuerung und PLCnext Engineer zu personalisieren, in Sie hier Ihr spezifisches Zertifikat hinzufügen. Nachdem Sie Ihr eigenes Zertifikat hier (erzeugt und) hinzugefügt haben, müssen Sie dieses Zertifikat auch im Trust Store von PLCnext Engineer einfügen.
Weitere Informationen hierzu entnehmen Sie dem Hilfekapitel "Netzwerk-Security: Netzwerk-Security: Zertifikate ermöglichen gesicherte Verbindungen", um Details zur Implementierung in PLCnext Engineer zu erhalten. Weitere Informationen finden Sie auch im Handbuch der Steuerung.
Auf der Seite 'SD-Karte' können Sie die Unterstützung einer in der Steuerung eingesteckten SD-Karte aktiveren oder deaktivieren. Standardmäßig ist die Unterstützung der Karte aktiviert.
| Weitere Infos
Informationen zum Gebrauch einer SD-Karte und zum Verhalten der Steuerung bei gesteckter SD-Karte oder leerem Kartenslot finden Sie im Handbuch zur Steuerung. |
Security-Empfehlungen
- Deaktivieren Sie die Unterstützung der externen SD-Karte, wenn Sie die Steuerung ohne eine SD-Karte verwenden.
- Wenn die Unterstützung der SD-Karte aktiviert ist, in der Steuerung aber keine Karte gesteckt ist, besteht die Gefahr des Datendiebstahls und der Datenmanipulation. Nicht-autorisierte Personen könnten eine SD-Karte in die Steuerung einstecken und die Steuerung neu starten.
- Stellen Sie sicher, dass nur ein autorisierter Zugriff möglich ist.
- Schützen Sie die SD-Karte (Steckplatz), indem Sie die Geräte in einem Schaltschrank montieren.
- Sichern Sie den Schaltschrank mit einem Schloss.
- Stellen Sie sicher, dass nur autorisierte Personen Zugriff auf den Schaltschrankschlüssel haben.
Auf der Seite 'LDAP-Konfiguration' können Sie LDAP aktivieren und den Dienst konfigurieren.
Lightweight Directory Access Protocol (LDAP) ist ein in AD implementierter Authentifizierungsmechanismus (neben anderen, wie z. B. Kerberos). Aus technischer Sicht handelt es sich bei LDAP um ein Netzwerkprotokoll, das Abfragen und Änderungen in einem dezentralen Verzeichnisdienst ermöglicht. Das bedeutet, das Verzeichnis kann über mehrere Server/Computer verteilt werden. Jedes involvierte System muss die Kommunikation über einen bestimmten Port (Port 636 für TLS-Kommunikation) zulassen.
| Hinweis
LDAP sollte nicht ohne TLS-Schutz verwendet werden, da andernfalls die Anmeldeinformationen (Benutzername, Passwort) als unverschlüsselter Text übertragen werden. |
| Weitere Infos
Weitere Information zu LDAP finden Sie im Phoenix Contact Industrial Security Guide im Kapitel "(Central) User Management". |
| Weitere Infos
Detaillierte Informationen zu den hier genannten Einstellungen finden Sie im Handbuch zur Steuerung. |