Paramètres

Dans les pages Web du module BMENUA0100, en commençant par la page Accueil , sélectionnez Paramètres pour afficher les liens vers les pages de configuration suivantes où vous pouvez entrer les paramètres de sécurité de l'équipement :

Stratégie des comptes utilisateur
Journaux d'événements
Services réseau
Transfert de service
IPSEC
SNMP
OPC UA
Bannière de sécurité

Les paramètres configurables pour chaque noeud sont décrits ci-après.

Utilisez ces paramètres pour configurer la sécurité du module BMENUA0100. Après avoir modifié des paramètres, sélectionnez Soumettre ou Annuler.

Stratégie des comptes utilisateur

Utilisez ces paramètres pour configurer la stratégie des comptes utilisateur :

Paramètre	Description
Inactivité maximum de session (minutes)	Période de temporisation d'inactivité des sessions pour les connexions HTTPS. Si une connexion reste inactive pendant cette durée, la session utilisateur est automatiquement fermée. Valeur par défaut = 15 minutes. NOTE : Il n'existe aucune temporisation d'inactivité pour les connexions OPC UA.
Nombre maximum de tentatives de connexion	Nombre de fois où un utilisateur peut tenter de se connecter sans y réussir. Valeur par défaut = 5 tentatives. Lorsque le maximum configuré est atteint, le compte utilisateur est verrouillé.
Minuteur de tentative de connexion (minutes)	Temps maximum imparti pour se connecter. Valeur par défaut = 3 minutes.
Durée de verrouilalge du compte (minutes)	Période pendant laquelle aucune tentative de connexion supplémentaire ne peut être effectuée une fois le nombre maximum de tentatives atteint. A l'expiration de cette période, un compte utilisateur verrouillé est automatiquement déverrouillé. Valeur par défaut = 4 minutes

NOTE : Ces paramètres de stratégie de compte utilisateur s'appliquent aux clients OPC UA auxquels un nom d'utilisateur a été attribué.

Journaux d'événements

Utilisez ces paramètres pour configurer le client Syslog qui réside dans le module BMENUA0100. Les journaux sont stockés localement dans le module et échangés avec un serveur Syslog distant :

Paramètre	Description
Activation du service	Active/désactive le service client Syslog. Désactivé par défaut.
Adresse IP du serveur Syslog	Adresse IPv4 ou IPv6 du serveur Syslog distant. NOTE : IPv6 est disponible uniquement pour les versions 1.10 et supérieures du micrologiciel.
Port du serveur Syslog	Numéro de port utilisé par le service client Syslog. Valeur par défaut = 601.

Activation des services réseau

Ensemble, ces services constituent un pare-feu qui autorise ou refuse le passage des communications à travers le module BMENUA0100. Utilisez ces paramètres pour activer ou désactiver les services suivants :

STRATEGIE GLOBALE :

Service	Description
Appliquer la sécurité	Désactive tous les services réseau, sauf IPSec qui est activé.
Déverrouiller la sécurité	Active tous les services réseau, sauf IPSec qui est désactivé.

ACTIVATION DES SERVICES RESEAU : Le réglage par défaut des services suivants dépend du mode de fonctionnement de la cybersécurité (Mode CS), comme décrit ci-après :

Service	Description	Mode CS par défaut
Service	Description	Standard	Secure
Agent SNMP	Active et désactive les communications de l'agent SNMP.	Activé	Désactivé
Serveur NTP	Active et désactive les communications du serveur NTP.	Activé	Désactivé
IPSec	Active et désactive les communications IPSec.	Désactivé	Activé¹
Flux de données de CPU à CPU^{2, 3} (Voir la section Configuration de la communication pour les flux de données de CPU à CPU.)	Active et désactive les communications Modbus transitant par le module BMENUA0100 entre des CPU M580.	Activé	Désactivé
Flux de données Control Expert vers CPU uniquement^{2, 3} (Voir la section Configuration de la communication pour le flux de données Control Expert.)	Active et désactive les communications Modbus, EtherNet/IP, Ping, de messagerie explicite et FTP transitant par le module BMENUA0100 entre le logiciel de configuration Control Expert et la CPU uniquement.	Activé	Désactivé
Flux de données Control Expert vers le réseau d'équipements^{2, 3} (Voir la section Configuration de la communication pour le flux de données Control Expert.)	Active et désactive les communications Modbus, EtherNet/IP, Ping, de messagerie explicite et FTP transitant par le module BMENUA0100 entre le logiciel de configuration Control Expert et les équipements réseau, y compris la CPU.	Activé	Désactivé
HTTPS sur le port de contrôle	Active et désactive les communications HTTPS sur le port de contrôle. NOTE : Si HTTPS est désactivé et que la modification est appliquée, les pages Web ne sont pas accessibles via le port de contrôle. Pour récupérer l'accès aux pages Web à partir du port de contrôle, vous pouvez réinitialiser la configuration de cybersécurité.	Désactivé	Activé
1. IPSec est activé sans aucune règle définie. Le service doit être configuré. 2. Pour plus d'informations sur cette configuration, reportez-vous à la rubrique de dépannage Activation des services réseau à l'aide d'une connexion IPv6 uniquement. 3. Pris en charge uniquement par les modules antérieurs à la version BMENUA0100.2.

NOTE : Les services SNMP, NTP, Syslog et Modbus ne sont pas des protocoles sécurisés par nature. Ils sont sécurisés lorsqu'ils sont encapsulés dans IPSEC. Il est recommandé de ne pas désactiver IPSEC dès lors que SNMP, NTP, Modbus ou Syslog est activé.

Configuration de la communication pour un logiciel distant exécuté sur des PC (transfert NAT non utilisé)

Le logiciel s'adresse à l'équipement cible (par exemple, la CPU M580) en utilisant l'adresse IP de ce dernier. Pour prendre en charge cette communication, configurez deux passerelles par défaut, comme suit :

Sur le PC hôte exécutant le logiciel, à l'aide du protocole IPv4, configurez une passerelle PC par défaut vers l'adresse IP du port de contrôle du module BMENUA0100.
Sur l'équipement cible (par exemple, la CPU M580), à l'aide d'IPv4, configurez une passerelle par défaut d'équipement vers l'adresse IP du port de contrôle du module BMENUA0100.
Sur le PC hôte, ajoutez un routage avec la commande suivante :

route ADD <<destination=sous-réseau de l'équipement cible>> MASK <<masque de sous-réseau de l'équipement cible>> <<passerelle=adresse IP du port d'embase du module BMENUA0100>>

Pour IPv4 dans toutes les versions de micrologiciel et pour IPv6 dans les versions de micrologiciel 1.10 et ultérieures, les communications Modbus à partir de l'écran Control Expert Connexion s'adressent à l'adresse IP du port de contrôle du BMENUA0100. Cette communication ne nécessite aucune passerelle.

Configuration de la communication pour les flux de données de CPU à CPU

Les communications Modbus TCP/IP de CPU à CPU via le module BMENUA0100 utilisent l'adresse du port de contrôle IPv4 du module BMENUA0100 et non l'adresse de la CPU cible.

NOTE :

Pour BMENUA0100 V1.x, le transfert de CPU à CPU est limité au protocole Modbus TCP/IP.
Seul l'adressage IPv4 (et non IPv6) prend en charge les flux de données Modbus TCP/IP de CPU à CPU.

Transfert de service (transfert IP)

Un module BMENUA0100 équipé du micrologiciel version 2.01 ou supérieure inclut cette page Web. Utilisez-la pour configurer le transfert des flux de données de monodiffusion qui traversent le module entre le réseau de contrôle et le réseau d'équipements. Cette page Web permet de créer, modifier ou supprimer une liste de règles de transfert IP pour le module.

NOTE : La fonction de transfert de service (transfert IP) ne prend pas en charge les fonctions suivantes :

Flux de données de multidiffusion.
Messagerie implicite EtherNet/IP.

Par conséquent, les tâches suivantes ne sont pas prises en charge :

Découverte d'équipements par l'outil EcoStruxure Automation Device Maintenance (EADM) fonctionnant en mode de découverte automatique. La découverte d'équipements par EADM en mode de détection manuel est prise en charge. (multidiffusion).
Transfert de messages vers les esclaves locaux du PAC (messagerie implicite EtherNet/IP).

Fonctionnalités :

Les principales fonctionnalités de la fonction de transfert de service/ transfert IP sont les suivantes :

Possibilité de transférer tous les flux de données ("Transférer tout").
Transfert IP des protocoles les plus courants utilisés dans l'architecture via des modèles prédéfinis (par exemple : Modbus, HTTPS, SNMP, etc.)
Création et application de modèles de transfert IP personnalisés.
Transfert NAT (Network Address Translation) de certains protocoles vers la CPU locale si l'adresse IP distante est le port de contrôle IPv4 du BMENUA0100

NOTE : Le transfert NAT s'applique aux protocoles suivants : Modbus, Modbus sur TLS, EIP explicite, EIP explicite sur TLS, EIP implicite, Client OPC UA.
Option permettant d'utiliser ou non IPSEC pour les protocoles transférés par NAT. Reportez-vous aux recommandations figurant dans les remarques à la fin de la section IPSEC, ci-dessous.

NOTE :

Si plusieurs modules BMENUA0100 sont placés dans le même rack, configurez un seul module BMENUA0100 avec la fonction de transfert.
Les flux de données de multidiffusion ne sont pas transférés.
Une mise à jour en ligne des règles de transfert IP peut interrompre certaines communications en cours et entraîner la perte de messages.
Pour que le transfert de service (transfert IP) réussisse, le réseau IP cible doit être différent du réseau IP source. Par exemple, il n'est pas possible d'exécuter le transfert IP entre :
- Réseau IP source 192.168.x.x (masque 255.255.0.0) et
- Réseau IP cible 192.168.x.x (masque 255.255.0.0).
La valeur du port d'écoute OPC UA doit être la même pour tous les modules BMENUA0100 communiquant entre eux (par exemple, dans le cas d'un transfert NAT OPC UA entre plusieurs modules BMENUA0100).
L'activation du protocole FTP ouvre une plage de ports TCP allant de 1024 à 65535. Par conséquent, d'autres protocoles utilisant des ports TCP appartenant à cette plage peuvent également être transférés. Il est recommandé de n'activer le transfert du protocole FTP que temporairement, lorsque cela est indispensable.
- L'activation du protocole TFTP comme règle personnalisée produit le même résultat que l'activation du protocole FTP. Il est recommandé de n'activer le transfert du protocole TFTP que temporairement, lorsque cela est indispensable.

Reportez-vous aux sections suivantes pour plus d'informations sur les architectures de transfert de service (transfert IP) :

Transfert IP et communication OPC UA

Le transfert IP et la communication OPC UA sont en concurrence pour la bande passante de communication disponible du module BMENUA0100. Pour consulter les résultats des tests de performance décrivant l'impact du transfert IP, des communications OPC UA, des paramètres de confidentialité et des règles personnalisées sur la bande passante, reportez-vous au chapitre Transfert IP et communication OPC UA.

Création de règles :

Pour documenter à la fois les règles prédéfinies et les règles personnalisées, cliquez sur Nouveau transfert et complétez les paramètres qui définissent cette règle.

NOTE : Lorsque vous sélectionnez un nom de service, le numéro de port et le protocole reçoivent automatiquement leurs valeurs par défaut. Ces valeurs peuvent être modifiées si nécessaire.
Pour modifier une règle existante, cliquez sur l'icône en forme de crayon et modifiez les paramètres.
Pour supprimer une règle existante, cliquez sur l'icône en forme de bac à déchets.

Réglez Transférer tout sur Désactivé pour appliquer les règles répertoriées. Si vous réglez Transférer tout sur Activé :

Les règles sont suspendues et le module transfère tous les protocoles ;
Vous ne pouvez pas configurer le transfert pour des services individuels et
Tous les services sont transférés via IPSec si IPSec est activé.

Chaque règle est définie par les champs suivants :

Réglage	Description
Nom du service	Les services suivants sont prédéfinis : Modbus FTP EIP explicite ICMP NTP / SNTP SNMP Déroutement SNMP HTTPS Modbus sur TLS EIP explicite sur TLS TLS démarré par LDAP Syslog HTTP Métadonnées DPWS OPC UA (pour client OPC UA) DNP3 DNP3 sur TLS IEC 60870 IEC 60870 sur TLS EIP implicite NOTE : Pour OPC UA, le numéro de port est le port OPC UA défini dans Control Expert pour le module BMENUA0100.
Numéro de port¹	Port associé au service.
Protocole¹	Protocole associé au service.
Utilisation IPSec	vrai : le protocole est transporté via IPSec. faux : le protocole n'est pas transporté via IPSec, même si IPSec est activé dans la configuration. Cette sélection n'est disponible que si IPSec est activé. NOTE : Recommandations : N'utilisez pas IPSec pour les protocoles qui sont sécurisés par nature (tels que Modbus sur TLS, EIP explicite sur TLS, DNP3 sur TLS, EIP 60870 sur TLS) Utilisez IPSEC pour les protocoles qui ne sont pas sécurisés par nature (tels que Modbus , EIP explicite, client OPC UA, EIP IO)
Interface entrante	Port de contrôle : si la requête du client distant est reçue sur le port de contrôle (par exemple : requête Modbus TCP/IP en provenance de Control Expert). Port d'embase : si la requête du client distant est reçue sur le port d'embase (par exemple : requête Modbus TCP en provenance d'un bloc fonction d'automate). Les deux : si la requête du client distant peut être reçue à la fois sur le port de contrôle et le port d'embase (par exemple : requête Modbus TCP/IP en provenance de Control Expert + requête Modbus TCP en provenance d'un bloc fonction d'automate).
1. Complété automatiquement, mais modifiable, pour les noms de service prédéfinis.

IPSEC

Utilisez IPSEC pour sécuriser la communication Ethernet IPv4.

NOTE : IPSEC ne prend pas en charge l'adressage IPv6.

Utilisez ces paramètres pour configurer un maximum de 8 voies IKE / IPSEC sur IPv4 pour le module BMENUA0100. Si plus de 4 liaisons IPSec sont configurées, la connexion automatique au PAC après le transfert via le BMENUA0100 peut échouer. Dans ce cas, connectez-vous manuellement au PAC.

Paramètre	Description
SERVICE IPSEC	Activé : Active le service IPSec. Désactivé : Désactive le service IPSec.
NTP autorisé en dehors de IPSEC	Désélectionné (désactivé) : Les échanges NTP sont possibles uniquement via IPSEC. Sélectionné (activé) : Les échanges NTP sont effectués via IPSEC si la voie IPSEC est ouverte, en dehors de IPSEC si la voie IPSEC n'est pas ouverte.
Nouvelle liaison	Crée une nouvelle voie IKE / IPSEC et l'ajoute à la liste pour modification. NOTE : 8 voies IKE/IPSec au maximum sont prises en charge.
Pour chaque voie IKE / IPSEC, configurez les paramètres suivants :
Adresse IP distante	Adresse IPv4 du point de terminaison IPSEC distant. NOTE : L'équipement distant doit être accessible à partir du port de contrôle du BMENUA0100 (et non à partir du port d'embase du BMENUA0100).
Confidentialité	Sélectionné : La communication sera cryptée. Désélectionné : Pas de cryptage. NOTE : La confidentialité est désactivée si l'option NTP sans IPSEC est activée.
Type de client	Type du point de terminaison IPSEC distant : Windows ou Equipement. NOTE : La valeur par défaut est Windows. Vérifiez que le type de point de terminaison configuré correspond au client réel.
PSK	Clé pré-partagée de 32 caractères hexadécimaux, résultat d'un nombre aléatoire généré par le module BMENUA0100. Copie et modification possibles dans cette page Web. NOTE : PSK est désactivé si l'option NTP sans IPSEC est activée.

NOTE : Configurez les paramètres de pare-feu Windows en téléchargeant le "script Windows" à partir de BMENUA0100 à l'aide de la commande Télécharger le script pour chaque adresse IP distante. Si le réglage Utilisation de IPSEC est modifié pour certains protocoles, le script Windows doit être téléchargé à nouveau à partir du module BMENUA0100 et exécuté sur Windows. Pour consulter un exemple de script Windows, reportez-vous à la section Scripts Windows pour IPSEC.

NOTE : Si 8 tunnels IPSEC sont configurés, il peut s'avérer impossible de se reconnecter automatiquement au PAC après le téléchargement d'une application. Dans ce cas, reconnectez-vous manuellement au PAC après le téléchargement.

NOTE : Si IPSEC est activé, le flux de données du serveur HTTPS local sortira de IPSEC.

SNMP

Utilisez ces paramètres pour configurer la version SNMP et les réglages associés.

NOTE : En mode Secured, la version de SNMP doit être configurée de la même manière dans Control Expert et dans la page Web SNMP. Si ces paramètres sont différents, le service SNMP ne démarre pas.

Paramètre	Description
Version de SNMP	v1 v3
Niveau de sécurité	Pour SNMP v1 et v3 : NoAuthNoPriv : Communication sans authentification ni confidentialité. NOTE : Pour SNMP v1, il s'agit du seul réglage disponible. Pour SNMP v3 uniquement : AuthNoPriv : Communication avec authentification mais sans confidentialité. Le protocole d'authentification est SHA (Secure Hash Algorithm). AuthPriv : Communication avec authentification et confidentialité. Les protocoles utilisés sont : Authentification : SHA. Confidentialité : AES (Advanced Encryption Standard).
Mot de passe d'authentification	Si l'authentification est activée, entrez un mot de passe d'authentification (sensible à la différence minuscule/majuscule). Il doit comprendre 8 à 12 caractères qui peuvent inclure des caractères alphanumériques (lettres majuscules et minuscules, chiffres), comme indiqué par l'info-bulle dans la page Web.
Mot de passe de confidentialité	Si la confidentialité est activée, entrez un mot de passe de confidentialité (sensible à la différence minuscule/majuscule). Il doit comprendre 8 caractères qui peuvent inclure des caractères alphanumériques (lettres majuscules et minuscules, chiffres), comme indiqué par l'info-bulle dans la page Web.

OPC UA

Utilisez ces paramètres pour configurer la connexion du serveur OPC UA intégré au module BMENUA0100 :

Paramètre	Description
Mode de sécurité des messages	Signature et cryptage (par défaut) : Chaque message reçoit une signature et est crypté. Signature : Une signature est appliquée à chaque message. Aucun : Aucune stratégie de sécurité n'est appliquée. Dans ce cas, les deux champs suivants sont désactivés. NOTE : Lorsque l'option Aucun est sélectionnée, le Type de jeton utilisateur dans le module BMENUA0100 est défini sur Anonyme . Le cas échéant, vous devez également configurer le type de jeton d'identification utilisateur dans le client OPC UA sur Anonyme .
Stratégie de sécurité	Basic256Sha256 (par défaut) : Définit une stratégie de sécurité pour les configurations avec une suite cryptographique valide. Basic256 : Définit une stratégie de sécurité pour les configurations avec une suite cryptographique obsolète. NOTE : Cette sélection n'est utilisée que si elle est nécessaire à l'interopérabilité avec le client distant. Basic128Rsa15 : Définit une stratégie de sécurité pour les configurations avec une suite cryptographique obsolète. NOTE : Cette sélection n'est utilisée que si elle est nécessaire à l'interopérabilité avec le client distant.
Types de jeton d'identification utilisateur	Anonyme : Aucune information utilisateur n'est disponible. Nom d'utilisateur (par défaut) : L'utilisateur est identifié par un nom d'utilisateur et un mot de passe.

NOTE : Les modifications apportées à la configuration de la cybersécurité du serveur OPC UA entraînent le redémarrage du serveur et l'application des nouveaux paramètres. Par conséquent, si une ou plusieurs sessions OPC UA existent lorsque des modifications de configuration sont effectuées, ces sessions sont suspendues. A l'expiration de la période Timeout de session, ces sessions sont finalement fermées. La valeur de Timeout de session fait partie de la configuration du client OPC UA SCADA.

NOTE : Lorsque le Mode de sécurité des messages du serveur OPC UA est initialement configuré pour Signature et cruptage ou Signature et qu'un client OPC UA établit une connexion, si vous définissez ensuite le Mode de sécurité des messages du serveur OPC UA sur Aucun, un client OPC UA (avec son paramètre Mode de sécurité des messages également défini sur Aucun) ne peut pas établir de connexion au serveur.

Pour établir à nouveau une connexion :

Déconnectez vos clients OPC UA actuels.
Modifiez la configuration OPC UA dans la page Web du BMENUA0100.
Attendez que le voyant BUSY (allumé en jaune) s'éteigne.
Pour les clients OPC UA, modifiez la configuration (Mode de sécurité des messages) en l'alignant sur celle utilisée pour le serveur OPC UA.
Reconnectez les clients OPC UA au serveur.

Bannière de sécurité

Cette page contient le texte modifiable qui s'affiche lorsqu'un utilisateur accède aux pages Web du module BMENUA0100 :

Paramètre	Description
Texte de la bannière	Chaîne de 128 caractères maximum adressée à l'utilisateur sur la page de connexion. Le texte (modifiable) suivant s'affiche par défaut : "L'utilisation non autorisée du système est interdite et soumise à des sanctions pénales et/ou civiles."

Paramètre

Description

Texte de la bannière

Chaîne de 128 caractères maximum adressée à l'utilisateur sur la page de connexion. Le texte (modifiable) suivant s'affiche par défaut :

"L'utilisation non autorisée du système est interdite et soumise à des sanctions pénales et/ou civiles."