Sicherheit

EYE+ verfügt über eingebaute Sicherheitsfunktionen: eine sichere Verbindung mit einem SSL/TLS-Zertifikat und eine Benutzerzugriffskontrolle, um den Zugriff auf EYE+ Studio nur auf authentifizierte Benutzer zu beschränken.

Die Sicherheitsseite besteht aus zwei verschiedenen Teilen:

../../_images/configuration_security.png

Abb. 221 SICHERHEIT - Hauptseite

Sichere Verbindung

EYE+ bietet die Möglichkeit, eine verschlüsselte Verbindung zwischen EYE+ Studio und dem EYE+ Controller herzustellen. Dadurch können alle zwischen diesen beiden Stellen ausgetauschten Daten von Dritten nicht entschlüsselt werden, sodass Ihre Daten vor böswilligen Angriffen geschützt sind, mit denen versucht wird, die Verbindung zu überwachen.

Warnung

Wir empfehlen, ein System-Backup zu erstellen, bevor Sie diese Funktion aktivieren. Diese Vorsichtsmassnahme stellt sicher, dass Sie Ihr System bei unerwarteten Problemen problemlos wiederherstellen können. Sollte der unwahrscheinliche Fall eintreten, dass eine Wiederherstellung der Werkeinstellungen sich als notwendig erweist, um den Zugang wiederherzustellen, wird Ihnen Ihr Backup helfen, Ihr System schnell wiederherzustellen.

Um eine solche Verbindung herzustellen, benötigt EYE+ ein SSL/TLS-Zertifikat, das Sie zusammen mit dem privaten Schlüssel, mit dem es erzeugt wurde, erstellen müssen. Der private Schlüssel wird sicher in EYE+ gespeichert, während das Zertifikat verwendet wird, um EYE+ Studio mit einem passenden öffentlichen Schlüssel zu versorgen, sodass beide verschlüsselte Nachrichten erzeugen können, die nur sie entschlüsseln können.

Weitere Informationen über SSL/TLS-Zertifikate finden Sie im Kapitel SSL/TLS-Zertifikat in der Wissensdatenbank.

Sie können eine Zertifikatsdatei im .pem-Format importieren. Die Datei muss sowohl das Zertifikat als auch den privaten Schlüssel enthalten. Wenn Sie diese in separaten Dateien haben, können Sie sie leicht in eine einzige .pem-Datei zusammenführen, sofern Sie die Kopfzeilen für jeden Bereich (die „------BEGIN XXXXX----“ und „------END XXXXX-----“) beibehalten.

../../_images/configuration_security_no_certificate.png

Abb. 222 SICHERE VERBINDUNG - Importieren des Zertifikats

Nach dem Importieren werden einige Informationen über das Zertifikat angezeigt, wie z. B. der Aussteller, das Ablaufdatum, der Fingerabdruck usw. Das Zertifikat kann jederzeit geändert werden.

../../_images/configuration_security_with_certificate.png

Abb. 223 SICHERE VERBINDUNG - Importieren des Zertifikats

Wichtig

Sobald Sie das Zertifikat hochgeladen und mit der entsprechenden Schaltfläche gespeichert haben, wird EYE+ Studio auf eine gesicherte Route auf Port 443 umgeleitet. Stellen Sie sicher, dass dieser nicht von Ihrer Firewall blockiert wird, da sonst der Zugriff auf EYE+ Studio nicht möglich ist.

Falls Sie sicher sind, dass der Port nicht blockiert ist und Sie immer noch nicht auf EYE+ Studio zugreifen können, versuchen Sie, die Seite zu aktualisieren und/oder den EYE+ Controller aus- und wieder einzuschalten. Zu diesem Zeitpunkt wird der Neustart von EYE+ das Zertifikat entfernen, sodass Sie ein neues hochladen können.

Bemerkung

Wenn Sie versuchen, eine Verbindung zu EYE+ Studio herzustellen, aber das Zertifikat abgelaufen ist, zeigt Ihr Browser eine Warnmeldung an. Sie müssen entweder akzeptieren, eine unsichere Verbindung zu verwenden, damit Sie das Zertifikat aktualisieren können, oder eine Wiederherstellung der Werkeinstellungen mit der entsprechenden Taste auf dem EYE+ Controller durchführen.

Wichtig

Wenn die sichere Verbindung aktiviert ist, wird bei der Durchführung eines Sytsem-Backups auch das SSL/TLS-Zertifikat unverschlüsselt in der Sicherungsdatei gesichert.

Benutzerzugriffskontrolle

Mit der Benutzerzugriffskontrolle (User Access Control, UAC) können Sie verhindern, dass nicht autorisierte Benutzer auf EYE+ Studio zugreifen, sodass keine unautorisierte Personen Änderungen an Ihrem System vornehmen können.

Die Benutzerzugriffskontrolle definiert zwei Benutzer: ADMIN und ANONYMOUS. Ersterer hat Zugriff auf alle Funktionen von EYE+ Studio, während letzterer entweder kein Zugriff hat oder die Produktion über das Dashboard mitverfolgen darf.

Um die Benutzerzugriffskontrolle zu aktivieren, müssen Sie ein Passwort für den Benutzer ADMIN festlegen und angeben, ob die Benutzer ANONYMOUS das Dashboard in der Produktion sehen dürfen.

../../_images/enable_uac.png

Abb. 224 Einstellungen der Benutzerzugriffskontrolle

Wichtig

Wie bei der Herstellung einer sicheren Verbindung empfehlen wir Ihnen, ein System-Backup zu erstellen, bevor Sie die Benutzerzugriffskontrolle aktivieren. Sollten Sie Ihr Passwort vergessen, können Ihre Daten nicht mehr wiederhergestellt werden. Sie müssen dann die Werkseinstellungen wiederherstellen, um wieder Zugang zu EYE+ zu erhalten.

Die Benutzerzugriffskontrolle hat keine Auswirkung auf die Kommunikationsprotokolle zwischen EYE+ und äusseren Elementen. Dies bedeutet dass die Benutzerzugriffskontrolle keinen Einfluss auf die TCP/IP- oder Feldbus-Verbindung haben wird.

Zur Erhöhung der Sicherheit empfehlen wir Ihnen, ein starkes Passwort zu wählen. Hier sind einige Empfehlungen zur Erstellung eines sicheren Passworts:

  • Verwenden Sie mindestens 12 Zeichen. Je länger das Passwort ist, desto schwieriger ist es zu entziffern.

  • Verwenden Sie eine Kombination aus Gross- und Kleinbuchstaben, Zahlen und Symbolen.

  • Verwenden Sie keine Wörter aus dem Wörterbuch, keine persönlichen Informationen (Geburtstage, Adressen), keine gebräuchlichen Sätze und keine Tastenfolgen.

  • Verwenden Sie niemals das gleiche Passwort für verschiedene Konten.

  • Verwenden Sie einen zufälligen Satz oder eine zufällige Formulierung und fügen Sie einige Grossbuchstaben, Zahlen und Symbole ein, damit Sie sich das Passwort leicht merken können.

Bemerkung

Wir empfehlen Ihnen dringend, neben der Benutzerzugriffskontrolle auch die Funktion für eine sichere Verbindungen zu aktivieren, um sicherzustellen, dass Ihr System vollständig abgesichert ist.

Sobald Sie ein Passwort gewählt und gespeichert haben, werden Sie automatisch als ADMIN eingeloggt. Wenn Sie keine Aktivitäten ausführen (wie z. B. auf eine andere Seite wechseln), bleiben Sie 30 Minuten lang eingeloggt. Nach dieser Frist müssen Sie sich dann erneut einloggen. Sie können sich auch jederzeit über die entsprechende Schaltfläche ganz rechts in der oberen Leiste abmelden.

Das Einloggen in EYE+ Studio erfolgt pro Sitzung, d.h. Sie können von mehreren Computern aus mit denselben Anmeldedaten verbunden sein. Alle Sitzungen können unabhängig voneinander abgemeldet werden und verfügen über ihre eigene Inaktivitäts-Frist.

Wenn Sie versuchen, mit aktivierter Benutzerzugriffskontrolle auf EYE+ Studio zuzugreifen, aber nicht eingeloggt sind, werden Sie von der Anmeldeseite begrüsst, auf der Sie zur Authentifizierung nach Ihrem Passwort gefragt werden.

../../_images/login_page.png

Abb. 225 Login-Seite

Um Ihr Passwort zu ändern, müssen Sie sich zunächst einloggen. Navigieren Sie dann unter KONFIGURATION zum Menü SICHERHEIT. Das Fenster zur Benutzerzugriffskontrolle wurde nun so aktualisiert, dass Sie darin Ihr Passwort ändern können. Sie müssen zuerst Ihr aktuelles Passwort und dann das neue Passwort zweimal eingeben, bevor Sie es speichern können. Nach erfolgreicher Überprüfung wird Ihr Passwort geändert.

../../_images/change_password_uac.png

Abb. 226 Änderung des Passworts für die Benutzerzugriffskontrolle

Wichtig

Wenn die Benutzerzugriffskontrolle aktiviert ist, wird bei der Durchführung eines System-Backups auch das Passwort in der Backup-Datei gespeichert. Es wird verschlüsselt, sodass es von niemandem gelesen werden kann. Wenn Sie eine Backup-Datei mit aktivierter Benutzerzugriffskontrolle wiederherstellen, wird diese ebenfalls mit dem im Backup definierten Passwort wiederhergestellt.