Aveva - Levex

Problemas conocidos al conectarse a PLC Siemens S7-1200/S7-1500 protegidos con contraseña


ANTECEDENTES


Puede proteger un PLC S7-1200 o S7-1500 en la configuración de Protección y seguridad del proyecto TIA Portal STEP 7 utilizando la configuración Nivel de acceso (Figura 1 a continuación).

El botón de opción Nivel de acceso es el nivel predeterminado que se utiliza cuando no se encuentra ninguna otra coincidencia de contraseña en un nivel menos restrictivo, o cuando el cliente que se conecta no utiliza ninguna contraseña. Los PLC de clientes seguros generalmente se configuran como Sin acceso y las contraseñas se definen en todos los niveles de acceso menos restrictivos para garantizar que el acceso al PLC no sea posible sin una contraseña válida de un cliente, como el controlador de comunicación AVEVA SIDirect.


image


Figura 1: Configuración de seguridad del nivel de acceso al PLC

En la configuración del TIA Portal, aplica la seguridad basada en certificados habilitando Solo permitir comunicación segura PG/PC y HMI (Figura 2 a continuación).


image


Figura 2: Configuración de seguridad basada en certificados



PROBLEMA #1

Software afectado: AVEVA SIDirect Communication Driver versiones 2020 R2 SP1 y 2020 R3. Este problema no está presente en versiones anteriores de SIDirect y ocurre independientemente de la versión de firmware del PLC.

Problema: ¡Intentar configurar una conexión simbólica a un PLC S7-1200/S7-1500 protegido con contraseña utilizando una contraseña válida siempre da como resultado un error de conexión! el mensaje y la comunicación no se pueden establecer (Figura 3 a continuación).


image


Figura 3: prueba de conexión fallida


Los siguientes mensajes aparecerán en el registro de SMC:

Advertencia ¡Falló CONFIG_SI_S7PlusPLC Connect to <PLC IP Address>!

Advertencia CONFIG_SI_S7PlusPLC… compruebe si la dirección de red del PLC está configurada correctamente.

Advertencia CONFIG_SI_S7PlusPLC… verifique si el PLC S7-1200 está ejecutando el firmware V4.0 o posterior.

Advertencia CONFIG_SI_S7PlusPLC… verifique si el PLC S7-1500 está ejecutando el firmware V1.5 o posterior.


PROBLEMA #1 SOLUCIÓN


La revisión IMS-1682485 está disponible para corregir este problema. Póngase en contacto con su representante de soporte técnico para obtener la corrección. Asegúrese de especificar qué versión de SIDirect se está utilizando para que se pueda entregar la versión correcta de la solución.

Solución temporal: configure el PLC para usar un nivel de acceso predeterminado que no sea Sin acceso donde no se define una contraseña.

Desmarque la opción Habilitar contraseña en la configuración de SIDirect.

¡NOTA IMPORTANTE! Esto creará una condición de PLC no segura que permitirá a cualquier cliente conectarse sin una contraseña. Por lo tanto, esta solución puede no ser aconsejable en todas las situaciones y se debe realizar una evaluación de riesgos.


PROBLEMA #2


Software afectado:

Controlador de comunicación AVEVA SIDirect: todas las versiones (2020 R3 es la versión actual en el momento de la fecha de publicación original de este documento).

Controlador AVEVA Edge SITIA: todas las versiones (Edge 2020 R2 Sp1 / SITIA v1.8.0.0 es la versión actual en el momento de la fecha de publicación original de este documento).

Información relevante del PLC: S7-1500 firmware v2.9.x, la seguridad del nivel de acceso del PLC está establecida en Sin acceso (protección completa) y las contraseñas están definidas para todos los niveles de acceso menos restrictivos

Problema: antes del firmware del PLC v2.9.x, incluso si el nivel de acceso se establecía en Sin acceso, SIDirect/SITIA podía conectarse a un PLC siempre que se ingresara una contraseña válida en la configuración que coincidiera con cualquiera de las menos restrictivas. niveles de acceso. El nivel coincidente sería aplicado por el PLC para las comunicaciones del controlador.

Cuando el firmware del PLC se actualiza a la versión 2.9.x, si el Nivel de acceso del PLC se establece en Sin acceso, SIDirect/SITIA no puede conectarse ni leer datos, incluso con una contraseña válida.


PROBLEMA #2 SOLUCIÓN


Opción n.° 1: revertir la versión del firmware del PLC a una versión anterior o posponer la actualización del firmware hasta que se identifique una solución.

Opción n.º 2: la seguridad del nivel de acceso del PLC debe establecerse en una opción que no sea Sin acceso, luego se puede usar una contraseña correctamente en la configuración de SIDirect/SITIA. El PLC permitirá lecturas y escrituras, independientemente del nivel de acceso seleccionado, similar a la configuración de acceso completo. ¡NOTA IMPORTANTE! El PLC parece solicitar una contraseña, pero no la valida.

Es posible que esta solución alternativa cree una condición insegura en la que cualquier cliente puede conectarse con Acceso completo siempre que use una contraseña válida o no válida. Por lo tanto, esta solución puede no ser recomendable en todas las situaciones y se debe realizar una evaluación de riesgos.


PROBLEMA #3

Software afectado:

Controlador de comunicación AVEVA SIDirect: todas las versiones (2020 R3 es la versión actual en el momento de la fecha de publicación original de este documento).

Controlador AVEVA Edge SITIA: todas las versiones (Edge 2020 R2 Sp1 / SITIA v1.8.0.0 es la versión actual en el momento de la fecha de publicación original de este documento).

Información PLC relevante: S7-1200 o S7-1500 con TIA Portal v17 y Permitir solo comunicación segura PG/PC y HMI está habilitado (seguridad basada en certificados)

Nota: Afecta los métodos de comunicación simbólicos y heredados

Problema: A partir de la versión 2020 R3, SIDirect no es compatible con la comunicación segura basada en certificados con los PLC de Siemens, por lo tanto, no se pueden establecer comunicaciones si la opción Permitir solo comunicación segura PG/PC y HMI está habilitada. Esto tampoco es compatible con SITIA a partir de la versión 1.8.0.0.


PROBLEMA #3 SOLUCIÓN

Opción alternativa n.º 1: desactive la casilla de verificación Permitir solo la configuración de comunicación segura PG/PC y HMI en la configuración del TIA Portal (Figura 4 a continuación). Al deshabilitar la opción Solo permitir seguridad… se deshabilita la seguridad basada en certificados, por lo que se debe utilizar la seguridad basada en contraseñas para proteger las comunicaciones.

El soporte técnico de AVEVA recomienda encarecidamente realizar una evaluación de riesgos antes de desactivar esta configuración.


image


Figura 4: Configuración de comunicación segura

Opción alternativa n.º 2: deshabilite el acceso optimizado a bloques en el PLC y lea las etiquetas mediante el modo heredado. Cuando esta configuración está deshabilitada, Permitir solo comunicación segura PG/PC y HMI no afecta las capacidades de lectura/escritura del modo heredado, ya sea que esté habilitada o deshabilitada. (Figura 5 a continuación):


image


Figura 5: Configuración de acceso a bloques optimizado

Compartir