Добрый день
Есть ПЛК110, опрашиваемые по ModBus. Возможно ли как то настроить авторизацию на чтение\запись ModBus переменных?
Вид для печати
Добрый день
Есть ПЛК110, опрашиваемые по ModBus. Возможно ли как то настроить авторизацию на чтение\запись ModBus переменных?
Протоколом не предусмотрено. А зачем это понадобилось? Какую задачу решаете?
Просто моделирую ситуацию, когда некто со злым умыслом имея доступ к сети ПЛК мог бы использовать его для саботажа работы (к ПЛК подключена периферия типа вентиляторов/нагревателей и т.д.) - например, изменяя напрямую регистр, переменная из которого отвечает за включение нагревателя.
sgmj делите сети на отдельные VLAN и доступ к другой сети только "избранным".
обратитесь к администраторам.
подскажите тоже интересно, извините что вмешиваюсь, а есть ли возможность защитить плк от несанкционированного доступа. Ведь при доступе к сети диспетчеризации(физически - где установлен ПЛК либо виртуально из сети) возможно подключение к любому ПЛК в этой сети по IP, можно и программу перезалить несанкционированно. Как в этом случае защитить ПЛК? Например, можно ли ПЛК использовать в системах охранной сигнализации?
Не спасёт.Цитата:
Кто мешает установить пароль на перезапись или чтение проекта?
Шифрующую аппаратуру ставить в разрез линии в одном шкафу с ПЛК.Цитата:
Как в этом случае защитить ПЛК? Например, можно ли ПЛК использовать в системах охранной сигнализации?
Сначало надо угадать целевую платформу. Про модбас, надо угадать порт, а если хоть 1 клиент подключен к порту (я о TCP), то к нему уже не подключиться.
Про авторизацию, нативно врятли, а вот ручками можно. Порт для авторизации один, который после успешной авторизации открывает порт с модбас другой, работающий ровно 1 подключение.
Ни к чему. Таргет нужен среде разработки. Остальному софту важна только версия протокола (плюмс).Цитата:
Сначало надо угадать целевую платформу
Поднимите руки те, кто постоянно меняет 502 на что-то другое. Лес рук!Цитата:
Про модбас, надо угадать порт
Порт 1200 с кодесисовским протоколом открыт всем ветрам.Цитата:
а если хоть 1 клиент подключен к порту (я о TCP), то к нему уже не подключиться
Не забываем про порт 1200. А благодаря команде SetIP можно вообще устроить man in the middle.Цитата:
Порт для авторизации один, который после успешной авторизации открывает порт с модбас другой, работающий ровно 1 подключение.
Ну ок порт туды-сюды , IPшник что на проходной написан ?
Ну теоретически 254 адреса можно потыкать КДСом , если действительно таргет есть , опять же подсеть надо знать .
Даже взять КДС3 с WEBкой и WI-FI шлюзом (роутером) - ну увидел сеть - введи пароля , даже если сеть открытая - все равно в запросе IP и порт присутствует .
ПЛК это-ж не комп с виндой , который в сети регистрируется , его "видно" , он сам все о себе расскажет , тому кто спрашивать умеет.:o