შინაარსი
დამალვა
Carrier i-Vu Pro Simplifies Building Management with Building Automation
პროდუქტის ინფორმაცია
სპეციფიკაციები
- გადაცემის პროტოკოლი: TCP, UDP
- პორტები: 80 (TCP), 443 (TCP), 47806 (TCP), 47808 (UDP/TCP), 47812 (UDP), 50005-50008 (UDP)
- გამოყენება: HTTP, HTTPS, WSS, Alarm Notification, BACnet/IP, CCN/IP, Firmware CCN/IP, Diagnostic Telnet
პროდუქტის გამოყენების ინსტრუქცია
უსაფრთხოების საუკეთესო პრაქტიკა
Ensure to follow the security best practices outlined in the user manual for optimal security measures.
ფიზიკური ქსელის უსაფრთხოება
Implement physical network security measures to prevent unauthorized physical access to the network infrastructure.
ქსელის გამოყოფა
Separate networks based on security risk levels as outlined in the scenarios provided in the manual for better control and security.
ინტერნეტთან დაკავშირების სცენარები
- სცენარი A: იზოლირებული ქსელი - დაბალი რისკი
For isolated network scenarios with low risk, follow the guidelines provided in the manual for configuring the system securely. - სცენარი B: საჯარო მომხმარებლები - საშუალო რისკი
For scenarios involving public users with medium risk, ensure to expose TCP ports 80 and 443 to the Internet and implement necessary whitelisting measures for security. - Scenario C: Public Users with Distributed BACnet – High Risk
In high-risk scenarios involving public users and distributed BACnet, carefully plan the configuration to maximize security. Expose TCP ports 80, 443, and UDP port 47808 with strict whitelisting measures. - Scenario D: Public Users with Distributed BACnet/SC – Low Risk
In low-risk scenarios with distributed BACnet/SC, configure outgoing and incoming ports as required for BACnet/SC traffic and protection of the BACnet/SC Hub.
BACnet-ის ფაირვოლი
Utilize the BACnet firewall feature available for XT and TruVu controllers to restrict BACnet/IP communication to private IP addresses or defined whitelisted IP addresses for added security.
უსაფრთხოების საუკეთესო პრაქტიკა
- Carrier takes the security of our systems very seriously, and you play the biggest part in this by installing and configuring systems securely. We encourage you to establish security policies for your own company networks and all the systems you install and service.
- i-Vu® Pro შენობის ავტომატიზაციის სისტემების განლაგებისას დაიცავით ამ დოკუმენტში მოცემული საუკეთესო პრაქტიკა.
- Use the Security Checklist in Appendix B to track important security steps when designing, installing, and commissioning i-Vu® Pro systems.
ფიზიკური ქსელის უსაფრთხოება
ფიზიკური ქსელის უსაფრთხოება იცავს ქსელის აპარატურას და ინფრასტრუქტურას (მაგ.ampლე, სერვერები, როუტერები, კომუტატორები და კაბელები) დაზიანებისგან, ჩარევისა და არაავტორიზებული წვდომისგან.
დარწმუნდით, რომ თქვენი ფიზიკური ქსელის უსაფრთხოების გეგმა მოიცავს შემდეგს:
- წვდომის კონტროლი: Restrict entry to data centers, server rooms, and access to networking equipment by using security measures like passcards, biometric identification, and surveillance.
- საკაბელო მენეჯმენტი: აღკვეთა თampქსელის კაბელებსა და პორტებზე ფიზიკური წვდომის შეზღუდვით, შეფერხებული ან არაავტორიზებული კავშირები.
- Device security: Use locks and physical barriers to secure critical hardware.
- გარემოს დაცვა: Verify proper cooling, fire suppression, and disaster recovery plans. Physical network security measures should also address risks outside of deliberate or malicious attacks.
- მრავალშრიანი მიდგომაუფრო ძლიერი უსაფრთხოების გეგმის მისაღებად გააერთიანეთ ციფრული ქსელის უსაფრთხოება და ფიზიკური ქსელის უსაფრთხოება.
- Surveillance and monitoring: Install security cameras and motion sensors to detect unauthorized activity.
ქსელის გამოყოფა
- სტანდარტული BACnet არის განზრახ ღია სისტემა, რომელიც აადვილებს მის ქსელში ნებისმიერი მოწყობილობის აღმოჩენას და კონტროლს. ამის გამო, თქვენ უნდა დააპროექტოთ თქვენი სისტემა ისე, რომ მომხმარებლები გამოყოთ კონტროლერის ქსელიდან ორი ცალკეული ქსელის არსებობით. მაგალითადampმაგალითად, თუ მომხმარებლები კომპანიის კორპორატიულ ლოკალურ ქსელში იმყოფებიან, ლოკალურ ქსელში კონტროლერების განთავსება არ არის სასურველი, რადგან ისინი ადვილად შეიძლება გამოყენებულ იქნას ნებისმიერი წვდომის მქონე პირისთვის. ზოგიერთი ყველაზე დიდი რისკი მოდის ინსაიდერებისგან, როგორიცაა ცნობისმოყვარე ინსტინქტების სპეციალისტი, საგანმანათლებლო სისტემის ქსელში მომუშავე სტუდენტი ან უკმაყოფილო თანამშრომელი.
- თქვენ შეგიძლიათ ფიზიკურად გამოყოთ მომხმარებლის ქსელი და BACnet ქსელი მათ შორის IP მარშრუტიზაციის გარეშე, ან შეგიძლიათ ლოგიკურად გამოყოთ ისინი კომუტატორის საშუალებით ვირტუალური ლოკალური ქსელის (VLAN) გამოყენებით.
- თუ თქვენ გაქვთ ორმაგი NIC (ქსელის ინტერფეისის ბარათები), სერვერს თითოეული ქსელისთვის განსხვავებული IP მისამართი უნდა ჰქონდეს.
- User network – Configure this IP address and subnet mask in SiteBuilder on the Configure > Preferences > Web სერვერის ჩანართი.
- BACnet network – Configure this IP address and subnet mask in the interface on the Driver Properties > Connections page > Configure tab.
ინტერნეტთან დაკავშირების სცენარები
i-Vu® Pro სისტემის ინტერნეტთან კავშირი შეიძლება მნიშვნელოვნად განსხვავდებოდეს კლიენტის საჭიროებებისა და IT შესაძლებლობების მიხედვით. შემდეგი შესაძლო ქსელური სცენარები ჩამოთვლილია უსაფრთხოების შემცირების თანმიმდევრობით.
- სცენარი A: იზოლირებული ქსელი - დაბალი რისკი
არ დაუშვათ i-Vu® Pro სერვერის ან BACnet ქსელის ინტერნეტთან მუდმივი კავშირი. თუმცა, შეგიძლიათ მომხმარებლებს მისცეთ i-Vu® Pro სერვერზე წვდომის უფლება უსაფრთხო VPN კავშირის საშუალებით. თუ ლოკალურ ქსელში სხვა მიზნებისთვის არის NAT როუტერი ან firewall, მას არ უნდა ჰქონდეს i-Vu® Pro სერვერზე ან კონტროლერებზე გადამისამართებული პორტები.
- სცენარი B: საჯარო მომხმარებლები - საშუალო რისკი
i-Vu® Pro სერვერის ინტერნეტში მუდმივად განთავსება დასაშვებია იმ პირობით, რომ:- BACnet ქსელი დაუცველი არ არის.
- NAT/Firewall მოწყობილობა, რომელიც i-Vu® Pro სისტემას ავლენს, i-Vu® Pro სერვერზე მხოლოდ TCP პორტებს 80 და 443 ავლენს.
- UDP პორტ 47808-ზე BACnet ტრაფიკი დაუცველია.
- სცენარი C: საჯარო მომხმარებლები განაწილებული BACnet-ით - მაღალი რისკი
- ამ კონფიგურაციაში, როგორც მომხმარებლები, ასევე BACnet-ის კონტროლერები იყენებენ საჯარო ქსელს/ინტერნეტს. უსაფრთხოების მაქსიმიზაციისთვის ყურადღებით დაგეგმეთ ეს კონფიგურაცია.
- თუ i-Vu® Pro სერვერს ინტერნეტით რამდენიმე საიტთან დაკავშირება სჭირდება, დააკავშირეთ ისინი VPN-ის გამოყენებით, რათა შეიქმნას უსაფრთხო ფართო ქსელი (შეცვალეთ ეს სცენარი A-თი).
- თუ ეს შეუძლებელია, გამოიყენეთ BACnet Firewall ფუნქცია Ethernet-თან თავსებად კონტროლერებში, ან დაიცავით კონტროლერები თეთრი სიით, რომლის კონფიგურაციაც თქვენს IT განყოფილებას შეუძლია თითოეულ ინტერნეტ კავშირის მოწყობილობაში, სადაც ქსელი ინტერნეტს უკავშირდება. თეთრი სია საშუალებას იძლევა თქვენს i-Vu® Pro სისტემასთან კომუნიკაცია მხოლოდ იმ მოწყობილობებიდან მოხდეს, რომელთა საჯარო IP მისამართებიც სიაშია. ხშირად, ერთადერთი მისამართის კონტროლერებს, რომელთანაც კომუნიკაცია სჭირდებათ, არის i-Vu® Pro სერვერი. i-Vu® Pro სერვერის firewall-ის თეთრ სიაში უნდა შედიოდეს ყველა დისტანციური IP კონტროლერის საჯარო მისამართი.
- არ დააკავშიროთ BACnet კონტროლერები ინტერნეტთან, სულ მცირე, თეთრი სიის დაცვის გარეშე! თუ ამას გააკეთებთ, ისინი ადვილად შეიძლება აღმოაჩინოს და შეცვალოს ინტერნეტში ნებისმიერმა ადამიანმა. თუ BACnet როუტერი ინტერნეტთან დაკავშირებულია დაცვის გარეშე, მაშინ მასთან დაკავშირებული მთელი ქსელი ხელმისაწვდომია.
- ამ კონფიგურაციაში, როგორც მომხმარებლები, ასევე BACnet-ის კონტროლერები იყენებენ საჯარო ქსელს/ინტერნეტს. უსაფრთხოების მაქსიმიზაციისთვის ყურადღებით დაგეგმეთ ეს კონფიგურაცია.
- სცენარი D: საჯარო მომხმარებლები განაწილებული BACnet/SC-ით – დაბალი რისკი
BACnet Secure Connect, or BACnet/SC, is an industry-standard way of securing BACnet communications over the internet without the need for VPNs. A BACnet/SC network consists of multiple nodes connecting through a central hub. This hub can be located on premises or hosted on the Internet. The figure above depicts the BACnet/SC Hub installed on premises.
ქსელის firewall
შეზღუდეთ ნებისმიერი firewall-ის ან NAT პორტის გადამისამართების მეშვეობით გახსნილი პორტების რაოდენობა მინიმალურ საჭირო პორტებამდე. i-Vu® Pro სისტემა იყენებს შემდეგ პორტებს:
| პორტი | გადაცემა | პროტოკოლი/მომხმარებელი | გამოყენება |
| 80 (ნაგულისხმევი) | TCP | HTTP (Web სერვერი) | კლიენტი/სერვერი |
| 443 (ნაგულისხმევი) | TCP | HTTPS (Web სერვერი) | კლიენტი/სერვერი |
| 443 (ნაგულისხმევი) | TCP | WSS (secure WebSocket for BACnet/SC) | კლიენტი |
| 47806 (ნაგულისხმევი) | TCP | Alarm Notification Client | კლიენტი/სერვერი |
| 47808 | UDP | BACnet/IP | სერვერი/i-Vu როუტერი |
| 47808 | TCP | დიაგნოსტიკური Telnet * | კლიენტი/სერვერი |
| 47812 | UDP | CCN/IP | i-Vu CCN router/ Server |
| 50005 | UDP | CCN/IP | Server/i-Vu CCN |
| 50007 | როუტერი | ||
| 50008 | |||
| 50005 – 50008 | UDP | CCN/IP პროგრამული უზრუნველყოფა | CCN როუტერიდან CCN როუტერზე |
* ეს ფუნქცია სტანდარტულად გამორთულია. მისი გაშვება შეგიძლიათ telnetd კონსოლის ბრძანების გამოყენებით.
წინა ნაწილში აღწერილი B ან C სცენარები მომხმარებლის წვდომისთვის ინტერნეტთან კავშირს მოითხოვს TCP პორტები 80 და 443.
C სცენარი ასევე მოითხოვს UDP პორტი 47808-ის ღიაობას როგორც სერვერისთვის, ასევე კონტროლერის firewall-ისთვის. თუ ამას გააკეთებთ, კავშირის შესაზღუდად აუცილებლად უნდა გამოიყენოთ თეთრი სია.
D სცენარში შეიძლება საჭირო გახდეს BACnet/SC ტრაფიკისთვის გამავალი პორტის და/ან BACnet/SC ჰაბის დამცავი შემომავალი პორტის კონფიგურაცია.
BACnet-ის firewall
XT და TruVu კონტროლერებისთვის drv_fwex და drv_gen5 დრაივერებს, ასევე Ethernet მხარდაჭერის მქონე Carrier კონტროლერებისთვის v6-02 ან უფრო გვიანდელ ვერსიებს აქვთ BACnet firewall ფუნქცია, რომელიც საშუალებას გაძლევთ შეზღუდოთ BACnet/IP კომუნიკაცია კონტროლერთან ყველა კერძო IP მისამართით და/ან თქვენს მიერ განსაზღვრული IP მისამართების თეთრი სიით. ეს ფუნქცია თქვენი სისტემისთვის უსაფრთხოების კიდევ ერთ ფენას უზრუნველყოფს.
შემდეგი არის ყოფილიampBACnet firewall-ის გამოყენების შემთხვევების მცირე ჩამონათვალი და მისი დაყენების ინსტრუქციები.
- Case 1: Isolated network
- მიუხედავად იმისა, რომ იზოლირებული ქსელი დაცულია ინტერნეტ საფრთხეებისგან, ლოკალურ ქსელში სხვა მომხმარებლებს ან მოწყობილობებს შეუძლიათ პოტენციურად ხელი შეუშალონ კონტროლერებს.
- ამ ყოფილშიampმაგალითად, თითოეული კონტროლერის BACnet firewall-მა უნდა დაუშვას BACnet კომუნიკაცია i-Vu® Pro სერვერის IP მისამართიდან და კონტროლერის IP მისამართებიდან. მომხმარებელს, რომელიც 192.168.24.46-ზეა, არ უნდა ჰქონდეს BACnet კომუნიკაციის უფლება კონტროლერებთან.
- The server and controller addresses fall within the private IP address range of 192.168.0.0 to 192.168.255.255, but restricting BACnet communication to all private IP addresses is not sufficient since that would allow communication from the user. So a whitelist must be created in the BACnet firewall.
- BACnet firewall-ის დასაყენებლად:
- In the i-Vu® Pro interface, right-click each controller and select Driver Properties.
- Select BACnet Firewall > Properties tab.
- Check Enable BACnet firewall.
- Uncheck Allow All Private IP Addresses.
- Check Enable Whitelist.
- On the first row, check Enable, check Use IP Range, and then enter the address range 192.168.24.100 through 192.168.24.103.
- დააჭირეთ მიღებას.
- Wait for the page to update, and then check Confirm firewall settings.
შენიშვნა: ამ ყოფილშიample, the server and controllers’ IP addresses are sequential, so the whitelist could have an address range. If you anticipate future controller expansion, reserve extra sequential addresses so that you can simply expand the range in the BACnet firewall settings. If the IP addresses are not sequential, you must enter each IP address on a separate line and check Enable.
- მიუხედავად იმისა, რომ იზოლირებული ქსელი დაცულია ინტერნეტ საფრთხეებისგან, ლოკალურ ქსელში სხვა მომხმარებლებს ან მოწყობილობებს შეუძლიათ პოტენციურად ხელი შეუშალონ კონტროლერებს.
- Case 2: Individual controllers exposed to the Internet
- ინტერნეტში ხელმისაწვდომი კონტროლერები (მაგ.amp(DSL, საკაბელო ან უკაბელო მოწყობილობის უკან) შესაძლოა არ იყოს დაცული ქსელის firewall-ით ან თეთრი სიით. ეს შეიძლება გამოწვეული იყოს ქსელის firewall-ის არასაკმარისი შესაძლებლობით ან მისი დაყენების სირთულით.
- ამ ყოფილშიample, each controller needs to communicate with only the i-Vu® Pro server, so their BACnet firewall’s whitelist should have only the server’s public IP address. The controllers do not need to communicate with each other.
- BACnet firewall-ის დასაყენებლად:
- In the i-Vu® Pro interface, right-click each controller and select Driver Properties.
- Select BACnet Firewall > Properties tab.
- Check Enable BACnet firewall.
- Uncheck Allow All Private IP Addresses.
- Check Enable Whitelist.
- On the first row, check Enable, and then enter the address 47.23.95.44.
- დააჭირეთ მიღებას.
- Wait for the page to update, and then check Confirm firewall settings.
- ინტერნეტში ხელმისაწვდომი კონტროლერები (მაგ.amp(DSL, საკაბელო ან უკაბელო მოწყობილობის უკან) შესაძლოა არ იყოს დაცული ქსელის firewall-ით ან თეთრი სიით. ეს შეიძლება გამოწვეული იყოს ქსელის firewall-ის არასაკმარისი შესაძლებლობით ან მისი დაყენების სირთულით.
- Case 3: Multiple controllers exposed to the Internet at one site
- ინტერნეტში ხელმისაწვდომი მრავალი კონტროლერი (მაგ.amp(ლეგალურად, DSL, საკაბელო ან უკაბელო მოწყობილობის უკან) შესაძლოა არ იყოს დაცული ქსელის firewall-ით ან თეთრი სიით. კონტროლერებს აქვთ კერძო IP მისამართები, მაგრამ ინტერნეტთან მათი საჯარო IP მისამართებია ხელმისაწვდომი.
- ამ ყოფილშიample, the controllers need to communicate with the i-Vu® Pro server and each other. The controllers are the only devices on the site’s private network, and other devices present are benign.
- თითოეული კონტროლერის BACnet firewall-მა უნდა უზრუნველყოს BACnet-ის კომუნიკაცია i-Vu® Pro სერვერის საჯარო IP მისამართთან და ყველა კერძო IP მისამართთან, რათა კონტროლერებმა შეძლონ ერთმანეთთან კომუნიკაცია. BACnet firewall ხელს უშლის BACnet-ის კომუნიკაციას კონტროლერის საჯარო მისამართებთან.
- BACnet firewall-ის დასაყენებლად:
- In the i-Vu Pro interface, right-click each controller and select Driver Properties.
- Select BACnet Firewall > Properties tab.
- Check Enable BACnet firewall.
- Check Allow All Private IP Addresses.
- Check Enable Whitelist.
- On the first row, check Enable, and then enter the address 47.23.95.44.
- დააჭირეთ მიღებას.
- Wait for the page to update, and then check Confirm firewall settings.
- ინტერნეტში ხელმისაწვდომი მრავალი კონტროლერი (მაგ.amp(ლეგალურად, DSL, საკაბელო ან უკაბელო მოწყობილობის უკან) შესაძლოა არ იყოს დაცული ქსელის firewall-ით ან თეთრი სიით. კონტროლერებს აქვთ კერძო IP მისამართები, მაგრამ ინტერნეტთან მათი საჯარო IP მისამართებია ხელმისაწვდომი.
მომხმარებლები
არაავტორიზებული მომხმარებლის წვდომის შესაზღუდად, მიჰყევით ქვემოთ მოცემულ ინსტრუქციებს.
- პოლიტიკის გამონაკლისები—Run the Security > Operator Information report to determine if any existing users are exempt from Automatic Logoff or the system’s Password Policy, and remove those exemptions. All users, including administrator users, should be compliant with security policies.
- გაფართოებული პაროლის პოლიტიკა— ჩართეთ გაფართოებული პაროლის პოლიტიკა და მოითხოვეთ პაროლის მინიმალური სიგრძე მინიმუმ 8 სიმბოლო. ეს გამორიცხავს ცარიელ პაროლებს.
- არ არის გაზიარებული ანგარიშები— შექმენით თითოეული მომხმარებლისთვის განსხვავებული ანგარიში. არ შექმნათ როლებზე დაფუძნებული ანგარიშები, სადაც რამდენიმე მომხმარებელი შედის ერთი და იგივე სახელითა და პაროლით.
- ძველი ანგარიშების წაშლა – მართეთ ანგარიშები, როდესაც ადამიანებს აღარ სჭირდებათ i-Vu® Pro სისტემაზე წვდომა. წაშალეთ მათი ანგარიში ან შეცვალეთ პაროლი.
შენიშვნა: Run the Security > Operator Information report to check the following statuses.- ოპერატორები არასოდეს შესულან: ###
- ოპერატორების ბოლო შესვლა > 180 დღე: ###
- ავტომატური გასვლა – Verify that the Log off operators after __ (HH: MM) of inactivity is checked on the System Settings > Security tab. NOTE: You can disable this for an individual user (for exampლე, ანგარიში მონიტორინგის ცენტრისთვის).
- Policy exemptions – Run the Security > Operator Information report to determine if any existing users are exempt from Automatic Logoff or the system’s Password Policy, and remove those exemptions.
- მომხმარებლების დაბლოკვა—Verify that Lock out operators for __ minutes after __ failed login attempts is checked.
- მდებარეობაზე დამოკიდებული უსაფრთხოება—განიხილეთ მდებარეობაზე დამოკიდებული უსაფრთხოების დამატებითი პოლიტიკის გამოყენება. დიდი სისტემებისთვის, სადაც ბევრი მომხმარებელია, შეგიძლიათ მომხმარებლები მხოლოდ იმ ადგილმდებარეობებით შეზღუდოთ, რომლებზეც მათ წვდომა უნდა ჰქონდეთ.
i-Vu Pro სერვერი
i-Vu Pro სერვერის დასაცავად დაიცავით ქვემოთ მოცემული ინსტრუქციები.
- პატჩები— i-Vu Pro სისტემა და ოპერაციული სისტემა განახლებული უნდა იყოს უახლესი პატჩებით.
- ანტივირუსული დაცვა— i-Vu Pro სერვერის ანტივირუსული პროგრამული უზრუნველყოფა და განმარტებები განახლებული უნდა იყოს.
- ერთჯერადი სერვერი—i-Vu Pro პროგრამული უზრუნველყოფა უნდა იყოს ერთადერთი აპლიკაცია, რომელიც სერვერზე მუშაობს. არ განათავსოთ სხვა აპლიკაციები იმავე სერვერზე.
- HTTPS— შესაძლებლობის შემთხვევაში, სტანდარტული სერტიფიკატის ორგანოს მიერ ხელმოწერილი სერტიფიკატისთვის გამოიყენეთ https://. თვითხელმოწერილი სერტიფიკატის გამოყენების შემთხვევაში, დააინსტალირეთ სერვერის სერტიფიკატი კლიენტის კომპიუტერებზე, რათა მომხმარებლებს არ განუვითარდეთ „არაუსაფრთხო სერტიფიკატის“ შეცდომის იგნორირების ცუდი ჩვევა.
- დისტანციური წვდომა—After commissioning, uncheck Allow remote file management on the System Settings > Security tab.
- მოწყობილობის პაროლი– This password is only available on systems with one or more controllers with the Gen_5 driver. Setting the Device Password as described in the i-Vu® Pro v8.0 Help provides an additional level of security.
- დაინსტალირებული აპლიკაციები— Installed Applications includes the full set of applications. There are no options to exclude certain applications during installation. Any applications that should not be available on the i-Vu® Pro server can be deleted from the installation folder.
- File ნებართვები—The default file permissions of a product installation may not be the most secure setting, depending on the installation needs. It is recommended that file permissions be examined after installation and configured to ensure that only authorized users and service accounts can access and modify files in the installation and data directories.
მონაცემთა ბაზის სერვერი
- უსაფრთხო ინსტალაციისთვის დაიცავით მონაცემთა ბაზის სერვერის მომწოდებლის საუკეთესო პრაქტიკა. ეს უნდა მოიცავდეს ისეთ ნაბიჯებს, როგორიცაა ნაგულისხმევი ანგარიშებისა და პაროლების შეცვლა.
- მონაცემთა ბაზის სერვერი ისე დააკონფიგურირეთ, რომ კავშირები მხოლოდ i-Vu® Pro სისტემიდან მიიღოს. ამის გასაადვილებლად მონაცემთა ბაზის სერვერების უმეტესობას აქვს თეთრი სიის მექანიზმი.
მოწყობილობის სპეციფიკური უსაფრთხოება
drv_gen5 დრაივერის მქონე მოწყობილობები მხარს უჭერენ მოწყობილობისთვის სპეციფიკურ შემდეგ უსაფრთხოების პარამეტრებს.
- Configure the security settings on all service ports, as described in the Adjusting driver properties and controller setup through the Service Port section of your device’s technical instructions.
- ქსელის დროის პროტოკოლი (NTP) – NTP უზრუნველყოფს მოწყობილობის საათის სინქრონიზაციის უფრო უსაფრთხო საშუალებას.
დანართი A ლექსიკონი
- BAS—A Building Automation System is a collection of BACnet and/or CCN devices, the i-Vu Pro server, and the network(s) they reside on.
- LAN—A Local Area Network is a computer network that interconnects computers/devices within a limited area, such as an office building.
- Firewall—A device that restricts network traffic. Firewall functionality is often combined with IP Router functionality in a single device. A firewall is configured with rules to define what kind of traffic is allowed or blocked. Personal computers and servers have firewall functionality built into them.
- IP როუტერი—An IP (Internet Protocol) device that connects two or more IP networks. Typically, an IP router connects a local network to the larger enterprise/Internet network.
- NAT როუტერი—An IP router that remaps IP addresses from one network to one or more IP addresses on another network. A NAT router is commonly used to connect devices on a private network to the Internet or an enterprise network, and it often has firewall and port forwarding capabilities.
- პორტი—A port is a 16-bit (0-65535) number associated with an IP address that defines an endpoint of a computer network connection. There are two types of ports, TCP and UDP. BACnet uses a UDP port. HTTP, HTTPS, and Alarm Notification Client use TCP ports. To manage access to a port in a firewall, you must know its number and type.
- პირადი IP მისამართი— IP მისამართი შემდეგი დიაპაზონებიდან ერთ-ერთში:
- 10.0.0.0 – 10.255.255.255
- 172.16.0.0 – 172.31.255.255
- 192.168.0.0 – 192.168.255.255
- VLAN— ვირტუალური ლოკალური ქსელი დაყოფილი და იზოლირებულია IP ქსელის კომუტატორით (ან როუტერით). როგორც წესი, ეს ისეთივე ეფექტურია, როგორც ქსელის ფიზიკურად გამოყოფა.
- VPN—A Virtual Private Network is a method for extending a private network across a public network, such as the Internet. A VPN enables users to send and receive data across shared or public networks as if their computing devices were directly connected to the private network, and they benefit from the functionality, security, and management policies of the private network.
- თეთრი სია—Firewall-ის მეშვეობით დაშვებული ერთადერთი IP მისამართების სია. მოწინავე firewall მოწყობილობებს შეიძლება ჰქონდეთ განსხვავებული თეთრი სიები მოცემული პორტის ან პროტოკოლისთვის.
Appendix B Security checklist
ფიზიკური ქსელის უსაფრთხოება
დარწმუნდით, რომ მიღებულია სათანადო ზომები ქსელური აპარატურის დასაცავად და მასზე წვდომის შესაზღუდად. იხილეთ ფიზიკური ქსელის უსაფრთხოება (გვერდი 5).
დიზაინი და დაგეგმვა
- გამოყავით მომხმარებლის და BACnet ქსელები ფიზიკურად ან VLAN-ის გამოყენებით.
- განსაზღვრეთ შესაბამისი ინტერნეტ კავშირის სცენარი. იხილეთ ინტერნეტ კავშირის სცენარები.
- შესაძლებლობის შემთხვევაში გამოიყენეთ BACnet/SC. BACnet/SC შიფრავს BACnet კომუნიკაციებს ქსელში ინფორმაციის გამჟღავნების თავიდან ასაცილებლად და მხარს უჭერს მოწყობილობის ავთენტიფიკაციას გაყალბების თავიდან ასაცილებლად.
ინსტალაცია
- თუ თქვენ გაქვთ ორმაგი NIC-ები:
- Enter the i-Vu Pro user network IP address and subnet mask in SiteBuilder on the Configure Preferences > Web სერვერის ჩანართი.
- შეიყვანეთ i-Vu Pro BACnet ქსელის IP მისამართი და ქვექსელის ნიღაბი i-Vu Pro ინტერფეისში.
- Connections page > Configure tab.
თუ იყენებთ ინტერნეტთან დაკავშირების სცენარს A:- გადაამოწმეთ, რომ i-Vu Pro სერვერისა და კონტროლერების IP მისამართები კერძო IP მისამართების ერთ-ერთ დიაპაზონშია.
- თუ იყენებთ ინტერნეტთან დაკავშირების სცენარს B:
- გადაამოწმეთ, რომ კონტროლერის IP მისამართები კერძო IP მისამართების ერთ-ერთ დიაპაზონშია.
- გადაამოწმეთ, რომ NAT როუტერი ან firewall, რომელიც ავლენს i-Vu Pro სერვერს, ავლენს მხოლოდ TCP პორტებს 80 და/ან 443.
- თუ იყენებთ ინტერნეტთან დაკავშირების სცენარს C:
- გადაამოწმეთ, რომ NAT როუტერი ან firewall, რომელიც ავლენს i-Vu Pro სერვერს, ავლენს მხოლოდ TCP პორტებს 80 და/ან 443, და UDP პორტს 47808.
- გადაამოწმეთ, რომ გამოყენებული თითოეული NAT როუტერი ან firewall (როგორც სერვერისთვის, ასევე თითოეული კონტროლერისთვის) კონფიგურირებულია თქვენს ინტერნეტ კავშირის მოწყობილობაში დაშვებული IP მისამართების შესაბამისი თეთრი სიით, ან თითოეული კონტროლერი დაცულია მისი შიდა BACnet firewall-ის ფუნქციით.
- ინტერნეტიდან შეამოწმეთ თეთრი სიის დაცვა. გამოიყენეთ ცალკე i-Vu Pro სერვერი საჯარო ქსელში, მაგალითად, „modstat mac:0,b:1.2.3.4“-ის გამოყენებით. დაადასტურეთ, რომ სისტემის არცერთ კონტროლერზე წვდომა არ გაქვთ.
- შეცვალეთ ადმინისტრატორის შესვლის სახელი და დაამატეთ პაროლი.
- თუ იყენებთ ვერსია 6.5-ზე ადრე გამოშვებულ სისტემას, წაშალეთ ანონიმური მომხმარებლის ანგარიში.
- დარწმუნდით, რომ i-Vu Pro სერვერის ანტივირუსული პროგრამა განახლებულია და დაყენებულია ავტომატური განახლებისთვის.
- დააკონფიგურირეთ მონაცემთა ბაზის სერვერი ისე, რომ მიიღოს კავშირები მხოლოდ i-Vu Pro აპლიკაციიდან, თეთრი სიის გამოყენებით.
ექსპლუატაციაში შესვლის შემდეგ
- ჩართეთ გაფართოებული პაროლის პოლიტიკა და დააყენეთ პაროლის მინიმალური სიგრძე მინიმუმ 8 სიმბოლოზე.
- On the System Options > System Settings > Security tab, verify that:
- Allowing remote file management is not checked
- Log off operators after __ (HH: MM) of inactivity is checked
- Lock out operators for __ minutes after __ failed login attempts are checked
- SiteBuilder-ის კონფიგურაცია > პარამეტრები > Web Server tab, verify that the following are not checked:
- Any TLS Level below “TLS 1.3”
- Allow SOAP applications over HTTP
- Allow unsigned add-ons
- მოწყობილობის სერვის პორტებზე წვდომის გამორთვა (მხოლოდ drv_gen5 მოწყობილობები). იხილეთ მოწყობილობის უსაფრთხოების დრაივერის გვერდის „კონფიგურაციის წვდომის“ განყოფილება.
- მოწყობილობის საათის სინქრონიზაციისთვის გამოიყენეთ NTP (მხოლოდ drv_gen5 მოწყობილობებისთვის) BACnet timesync-ის ნაცვლად.
სისტემის მოვლა
დააინსტალირეთ პროგრამული უზრუნველყოფის უახლესი განახლებები, რათა სისტემა განახლებული იყოს უსაფრთხოების უახლესი გაუმჯობესებებით.
To quickly check the security measures in place
In the i-Vu Pro interface, use the Security Review ანგარიშს view your system’s critical security compliance status. These settings are described in more detail in the document above.
The Security Review Report displays the following:
| Web სერვერი | შესაძლო პასუხები | რეკომენდაცია ყველაზე უსაფრთხო სისტემისთვის |
| SSL Mode | HTTP, HTTPS, ან HTTP & HTTPS | HTTPS |
| TLS in use | დიახ or არა | დიახ (when SSL Mode is on or ორივე) |
| TLS პროტოკოლი | ვერსიის ნომერი | TLS 1.3 |
| TLS Redirect HTTP to HTTPS | დიახ or არა | დიახ (when SSL Mode is both) |
| Allow unsigned add-ons | დიახ or არა | არა |
| Allow SOAP over HTTP | დიახ or არა | არა |
| Reads X-Forwarded-For Header | დიახ or არა | არა |
| სერთიფიკატი | შესაძლო პასუხები | რეკომენდაცია ყველაზე უსაფრთხო სისტემისთვის |
| Self-signed certificate in use | დიახ ან არა | არა |
| Certificate issued by | Distinguished Name of the certificate signer | certificate information, not a setting |
| Certificate expired | დიახ ან არა | certificate information, not a setting |
| Certificate not yet valid | დიახ ან არა | certificate information, not a setting |
| Certificate expires | date and time the certificate becomes invalid | certificate information, not a setting |
| შესაძლო პასუხები | რეკომენდაცია ყველაზე უსაფრთხო სისტემისთვის | |
| ელფოსტა | ||
| Secure SMTP is enabled on the email server | დიახ ან არა | დიახ |
| პაროლები | ||
| Operators never logged in: | ნომერი | 0 |
| Operators’ last login > 180 days | ნომერი | 0 |
| Password policy enforced | დიახ ან არა | დიახ |
| Exempt from password policy | ნომერი | 0 |
| განახლებები | ||
| Latest cumulative update applied: | არცერთი or თარიღი | Keep the i-Vu Pro system and its operating system up to date with the latest patches. |
დოკუმენტები / რესურსები
 |
Carrier i-Vu Pro Simplify Building Management with Building Automation [pdf] მომხმარებლის სახელმძღვანელო i-Vu Pro, i-Vu Pro Simplify Building Management with Building Automation, Simplify Building Management with Building Automation, Building Management with Building Automation, Management with Building Automation, Building Automation |