Page 1 sur 1
Limiter l'accès à une zone mémoire M580
Posté : 14 nov. 2025, 17:22
par dpo
Bonjour
"mode stagiaire : je pose la question sans chercher"
Est-il possible de limiter l'accès à une zone mémoire en modbus TCP ? (M580 control expert v14)
Un prestataire doit pouvoir venir lire/écrire dans quelques mots de notre automate MAIS par sécurité je voudrais limiter la zone
et même l'adresse IP qui accède à cette zone
exemple : Seule l'adresse IP 10.0.0.11 peut taper dans notre automate et il ne peut lire/écrire que de %MW50 à %MW100
Si ce n'est pas possible, Imaginons quel lui vienne l'idée d'agrandir la zone et d'écrire en %MW110 et patatra il tombe la machine car en %MW110 il y 'avait une consigne importante.
Pour parer à ce problème j'imagine de mettre un petit automate passerelle entre les deux, ainsi même s'il venait à écrire dans la passerelle en dehors de la plage, notre automate n'irait lire dans la passerelle que la plage autorisée.
une autre idée ?
Merci
Re: Limiter l'accès à une zone mémoire M580
Posté : 14 nov. 2025, 20:12
par sinced
Bonjour,
Tu peux le faire avec un firewall pas directement depuis EcoStruxure Control Expert.
Le firewall te permettra de configurer les codes fonctions autorisées, il permet meme de définir le type de requêtes et les registres autorisés.
https://copperhilltech.com/blog/cyberse ... d-traffic/
Re: Limiter l'accès à une zone mémoire M580
Posté : 14 nov. 2025, 20:25
par itasoft
Solution
bestiale qui consiste à limiter la plage des variables localisées et les réserver à la COM
-------clic zoom-----
Re: Limiter l'accès à une zone mémoire M580
Posté : 14 nov. 2025, 23:37
par Bruce33
Bonjour,
En version 14 de Control Expert il n'y a pas beaucoup de solutions au niveau de l'automate.
Un peu comme itasoft, je propose de localiser uniquement les variables que l'on souhaite rendre accessibles en Modbus TCP.
A partir de la version 15 de Control Expert (et firmware V3.20 minimum du M580), il existe un mécanisme de protection de données. Il faut d'abord aller dans les Options du projet > Général > Données intégrées de l'automate > Protection de la mémoire des données.
Puis il y deux possibilités :
- pour les variables localisées, aller dans les propriétés du processeur où l'onglet "Protection des données" permet de sélectionner des plages de données protégées.
- pour chaque variable non localisée, cocher éventuellement la propriété "Donnée Protégée".
Les réglages peuvent s'avérer trop sommaires, surtout pour les données localisées et sur une application déjà développée où cette fonctionnalité n'a pas été intégrée au départ. Il n'y a pas de notion d'identification.
Re: Limiter l'accès à une zone mémoire M580
Posté : 15 nov. 2025, 11:04
par MiGaNuTs
Le modbus est un protocole des annees 70 (a un poil de cul pres certes
)
Il a été concu pour répondre aux problemes de l'époque, avec les moyens de l'époque. C'est a dire PAS la sécurité.
Si on veux de la sécurité, il faut utiliser des protocoles concus pour la sécurité. Comme l'OPC UA par exemple.
Re: Limiter l'accès à une zone mémoire M580
Posté : 15 nov. 2025, 13:31
par sinced
itasoft a écrit : ↑14 nov. 2025, 20:25
Solution
bestiale qui consiste à limiter la plage des variables localisées et les réserver à la COM
-------clic zoom-----
01.JPG
Avec ça tu réduis donc la plage accessible du coup si tu as d'autres équipements qui doivent écrire tu es dans la m**de.
Re: Limiter l'accès à une zone mémoire M580
Posté : 15 nov. 2025, 13:33
par sinced
MiGaNuTs a écrit : ↑15 nov. 2025, 11:04
Le modbus est un protocole des annees 70 (a un poil de cul pres certes
)
Il a été concu pour répondre aux problemes de l'époque, avec les moyens de l'époque. C'est a dire PAS la sécurité.
Si on veux de la sécurité, il faut utiliser des protocoles concus pour la sécurité. Comme l'OPC UA par exemple.
Je partage ton point de vue. Déjà le Modbus t'impose des variables localisées en plus de ça impossible d'authentifier les participants à la communication. Je ne comprend d'ailleurs pas pourquoi Schneider traine pour l'implémentation native de OPC UA dans le M580. En OPC UA on a la possibilité de configurer les certificats de sécurité et de restreindre les variables échangées au niveau du serveur.
Re: Limiter l'accès à une zone mémoire M580
Posté : 15 nov. 2025, 15:47
par dpo
sinced a écrit : ↑15 nov. 2025, 13:31
Avec ça tu réduis donc la plage accessible du coup si tu as d'autres équipements qui doivent écrire tu es dans la m**de.
en effet, d'autres équipements ont droit de taper à d'autres adresses, je suis dans le cas d'une installation pas toute jeune, qui faisait sa vie tranquilou sans être raccordée au reste du monde et voilà qu'une évolution nécessite de donner accès à quelques données....
Merci pour vos retours
Re: Limiter l'accès à une zone mémoire M580
Posté : 15 nov. 2025, 16:59
par MiGaNuTs
Perso je mettrait un automate "passerelle".
Une connexion vers l'exterieur, en OPC UA et un firewall configuré comme il faut pour ne laisser passer que les trame OPC, avec toutes les restrictions qui vont bien.
Une connexion au reseau process, ou tu va chercher uniquement ce dont tu a besoin dans l'automate process,dans lequel tu ne touche a rien du coup.
Simple, efficace, risques minimums.
Re: Limiter l'accès à une zone mémoire M580
Posté : 17 nov. 2025, 12:59
par Laurent
Salut,
rien de mieux à proposer qu'installer un pare-feu pour limiter les choses.
Je n'ai pas d'actions chez Phoenix Contact, mais j'aime bien leurs produits, le pare-feu mGuard 4302 ferait l'affaire (
https://www.phoenixcontact.com/fr-fr/pr ... 02-1357840 ).
Les dernières versions de firmware de ce modèle permettent d'inspecter les trames MODBUS, et donc faire des règles autorisant l'accès à une plage mémoire restreinte, mais je n'ai pas encore creusé cela.
Pour la mise en oeuvre :
- on trouve des tutos en anglais sur les configurations type,
- le support technique ne m'a pas encore déçu, un technicien pourrait venir te voir et t'aider à paramétrer le bouzin.
Bon courage !