Ewon Flexy & Cosy131 - Funktionsänderungen in Firmware 15.0

A) FTP-Server

Änderungen:

• Standardmäßig deaktiviert
• Nur auf VPN und LAN verfügbar. Nicht mehr verfügbar auf WAN-Schnittstellen (Eth, Wifi oder 4G)

Beschreibung:
Der Ewon FTP-Server ist jetzt standardmäßig deaktiviert (Werkseinstellungen und nach Reset). 
Er kann auf VPN- und/oder LAN-Schnittstellen über den erweiterten Parameter 'ClosedDevice' aktiviert werden. 
Beispielwerte sind vorhanden; siehe (Link) für Details

 Der Parameter kann über die Funktion Tabellarische Ausgabe unter Setup > System > Speicher > Tabellarische Ausgabe > COM cfg bearbeiten eingestellt werden.

B) NTP-Server

Änderungen:

• Standardmäßig deaktiviert

Beschreibung:
Der NTP-Server des Ewon ist standardmäßig deaktiviert. Um den Ewon als NTP-Relay zu verwenden, muss der NTP-Server manuell unter Setup > System > Main > Net Services > NTP-Server aktiviert werden.

C) USB über IP

Änderungen:

• Standardmäßig deaktiviert
• Verfügbar für VPN; nicht mehr verfügbar für WAN- und LAN-Schnittstellen

Beschreibung:
USB over IP ermöglicht den Zugriff auf ein USB-Gerät über eine Talk2m-Verbindung, die lokal in eCatcher angezeigt wird. Um diese Funktion zu nutzen, muss sie manuell unter Setup > System > Kommunikation > Allgemein > USBIP aktiviert werden.

Bei der Aktivierung können die Standardwerte für Log Level und Start Port beibehalten werden.

Hinweis: Eine Verknüpfung zur USBIP-Einrichtungsseite ist auf der Seite Zusammenfassung unter dem Abschnitt Gateway-Status verfügbar.

D) HTTP-Server

Änderungen:

• Verfügbar für VPN und LAN; nicht mehr verfügbar für WAN-Schnittstellen

Beschreibung:
Der Ewon-HTTP-Server, der zur Anzeige der Web-Konfigurationsseiten verwendet wird, ist nicht mehr über die WAN-Schnittstelle zugänglich.

E) SMTP-Client

Änderungen:

• SMTP-Client auf die VPN-Schnittstelle beschränkt; nicht mehr über LAN oder WAN verfügbar (einschließlich WiFi und Mobilfunk)

Beschreibung:
Der SMTP-Client, der zum Senden von E-Mail-Benachrichtigungen verwendet wird, funktioniert jetzt nur noch über die VPN-Schnittstelle unter Verwendung des Talk2m-Mail-Relays.
Die Verwendung eines eigenen SMTP-Servers wird nicht mehr unterstützt.

F) Profinet-Explorer

Änderungen:

• Der Netzwerkscan startet nur noch, wenn der Benutzer auf die Schaltfläche Aktualisieren klickt.

Beschreibung:
Bisher startete der Profinet Explorer den Scan automatisch, wenn die Seite geöffnet wurde. Jetzt muss der Scanvorgang manuell über die Schaltfläche Aktualisieren ausgelöst werden.

Pfad: Setup > System > Haupt > Netzdienste > Profinet Explorer

G) DynDNS

Änderungen:

• Wird nicht mehr unterstützt.

Beschreibung:
Die DynDNS-Funktion (dynamisches DNS) wurde aus dem Ewon-Gerät entfernt.

H) OPCUA-Server 

Änderungen:

• Durchsetzung der Passwortstärke: Schwache Passwörter werden jetzt automatisch zurückgewiesen.
• Standardeinstellungen für Sicherheitsrichtlinien: Die unsicheren Sicherheitsrichtlinien 'None' und 'Basic256' sind jetzt standardmäßig deaktiviert.
• Warnungen werden während der Konfiguration angezeigt, um die Verwendung von sicherem OPCUA zu fördern

Beschreibung:
Die Widerstandsfähigkeit des OPC UA Servers gegen Brute-Force-Angriffe wurde analysiert und verbessert, insbesondere hinsichtlich der Durchsetzung der Passwortstärke.

Schwache Passwörter werden nun automatisch zurückgewiesen. Wenn ein schwaches Passwort eingegeben wird, protokolliert das System einen Fehler und zeigt eine Warnung in der GUI an. Nur starke Passwörter ermöglichen eine erfolgreiche Authentifizierung. 
Die Passwortrichtlinie für den OPC UA Server verlangt, dass Passwörter zwischen 12 und 30 Zeichen lang sein müssen und mindestens drei der folgenden Zeichen enthalten müssen: 1 Großbuchstabe, 1 Kleinbuchstabe, 1 Ziffer, 1 Sonderzeichen.

Die unsicheren Sicherheitsrichtlinien "None" und "Basic256" sind jetzt standardmäßig deaktiviert. Falls erforderlich, können diese Richtlinien manuell über die GUI oder die Datei config.txt wieder aktiviert werden.

Während der OPCUA Serverkonfiguration werden nun Warnungen angezeigt, wenn OPC UA Client- oder Servereinstellungen konfiguriert werden, die nicht verschlüsselt sind oder keine Authentifizierung aufweisen.

I) Ethernet zu seriellen Gateways

Änderungen:

• Standardmäßig deaktiviert

Beschreibung:
Die Ethernet-zu-Seriell-Gateways sind jetzt standardmäßig deaktiviert (Werkseinstellungen und nach Reset). 
Jedes serielle Gateway kann unter den Globalen Einstellungen der IOServer-Konfiguration aktiviert werden: Tags > IO Server > Allgemein > Globale Einstellungen

J) Seriell über IP 

Änderungen:

• Standardmäßig deaktiviert
• Verfügbar für VPN; nicht mehr verfügbar für WAN- und LAN-Schnittstellen

Beschreibung:
Serial over IP ermöglicht den Zugriff auf ein serielles Gerät über eine Talk2m-Verbindung. 
Um diese Funktion zu nutzen, muss sie manuell unter Setup > System > Kommunikation > Allgemein > USBIP aktiviert werden.

K) PSTN-Konfiguration

Änderungen:

• Eingehende PSTN-Verbindungen werden nicht mehr unterstützt.

Beschreibung:
Die eingehende PSTN-Verbindung (Festnetzanschlüsse) wird nicht mehr unterstützt. Ausgehende PSTN-Verbindungen sind weiterhin möglich.

Die verknüpfte Rückruf-Funktion und die transparente Weiterleitung wurden ebenfalls entfernt.

Authentifizierungsprotokolle:
Das Ewon-Gerät protokolliert jetzt erfolgreiche und fehlgeschlagene Anmeldeversuche über alle seine verschiedenen Konfigurationsschnittstellen (Webserver, EBD, FTP-Server usw.)

Beispiel EventLog-Meldungen:

Protokolle zur Nutzung von Datenschutz-Assets:
Es wurde eine Protokollierung hinzugefügt, um die Konfiguration und Verwendung von Datenschutzwerten (z. B. E-Mail und SMS) zu verfolgen. Das Protokoll zeichnet auf, wann Werte konfiguriert werden und wann sie verwendet werden.

Beispiel EventLog-Meldungen:

Puffer für das Privacy Asset Log (PAL):
Ein persistentes Privacy Asset Log (PAL) wurde implementiert, um die RED-Anforderungen zu erfüllen und sicherzustellen, dass die Privacy Asset Event Logs auch nach einem Neustart erhalten bleiben.

Ein neuer Export Block Descriptor (EBD), dtPAL, ermöglicht das Herunterladen aller Protokolleinträge in eine einzige Datei, ohne sie zu löschen.
EBD-Syntax Beispiel: http://#deviceIP#/rcgi.bin/ParamForm?AST_Param=$dtPAL$fnLogText.txt

Hinweis: PAL speichert Ereignisse in drei rotierenden Protokolldateien, die sich in /usr/PALog/ befinden und jeweils bis zu 0,3 MB groß sind. Ältere Dateien werden automatisch gelöscht, um die Speichergrenzen einzuhalten.

Gerätekonfiguration über FTP:
Der FTP-Server ist standardmäßig deaktiviert und muss zunächst über die grafische Benutzeroberfläche (Tabelleneditor) aktiviert werden. Wenn er über die LAN-Schnittstelle aktiviert ist, muss er nach der Verwendung deaktiviert werden, es sei denn, der physische und der LAN-Zugang sind gesichert. 
Alternativ kann die Konfiguration auch über einen USB-Stick erfolgen.

Sicherung / Wiederherstellung (eBuddy):
Die Sicherung und Wiederherstellung über eBuddy erfolgt über den FTP-Server, der zunächst über die GUI aktiviert werden muss. Wenn er auf der LAN-Schnittstelle aktiviert ist, muss der FTP-Server nach der Verwendung deaktiviert werden, es sei denn, der physische und der LAN-Zugang sind gesichert. 

Fernzugriff auf USB-Geräte:
Da die USB-over-IP-Funktion standardmäßig deaktiviert ist, müssen Sie sie zunächst auf dem Ewon-Gerät aktivieren, bevor Sie aus der Ferne auf das angeschlossene USB-Gerät zugreifen können. 
Eine Verknüpfung zur USB-over-IP-Einrichtungsseite ist auf der Cosy+  Übersichtsseite unter dem Abschnitt Gateway-Status verfügbar. 

OPCUA-Server:
Wenn Sie (oder ein lokaler Dienst) eine Verbindung zum OPC UA Server mit der Anmeldeart Benutzername/Passwort herstellen, stellen Sie sicher, dass Sie ein Benutzerkonto mit einem sicheren Passwort verwenden. Ab Firmware-Version 15.0 lehnt der OPC UA Server Verbindungen mit schwachen Passwörtern ab. Möglicherweise müssen Sie einen Benutzer mit einem ausreichend sicheren Passwort erstellen, um eine erfolgreiche Verbindung herzustellen.

Fernzugriff auf serielle Geräte:
Da die Funktion Seriell über IP und die Ethernet-zu-Seriell-Gateways standardmäßig deaktiviert sind, müssen Sie sie zunächst auf dem Ewon-Gerät aktivieren, bevor Sie aus der Ferne auf die angeschlossene serielle SPS oder das Gerät zugreifen können.