Carrier i-Vu Pro Simplifies Building Management with Building Automation

उत्पादन माहिती

तपशील

• हस्तांतरण प्रोटोकॉल: TCP, UDP
• बंदरे: 80 (TCP), 443 (TCP), 47806 (TCP), 47808 (UDP/TCP), 47812 (UDP), 50005-50008 (UDP)
• उपयोग: HTTP, HTTPS, WSS, Alarm Notification, BACnet/IP, CCN/IP, Firmware CCN/IP, Diagnostic Telnet

उत्पादन वापर सूचना

सुरक्षितता सर्वोत्तम पद्धती
Ensure to follow the security best practices outlined in the user manual for optimal security measures.

भौतिक नेटवर्क सुरक्षा
Implement physical network security measures to prevent unauthorized physical access to the network infrastructure.

नेटवर्क वेगळे करणे
Separate networks based on security risk levels as outlined in the scenarios provided in the manual for better control and security.

इंटरनेट कनेक्टिव्हिटी परिस्थिती

• परिस्थिती अ: आयसोलेटेड नेटवर्क - कमी धोका
  For isolated network scenarios with low risk, follow the guidelines provided in the manual for configuring the system securely.
• परिस्थिती ब: सार्वजनिक वापरकर्ते - मध्यम धोका
  For scenarios involving public users with medium risk, ensure to expose TCP ports 80 and 443 to the Internet and implement necessary whitelisting measures for security.
• Scenario C: Public Users with Distributed BACnet – High Risk
  In high-risk scenarios involving public users and distributed BACnet, carefully plan the configuration to maximize security. Expose TCP ports 80, 443, and UDP port 47808 with strict whitelisting measures.
• Scenario D: Public Users with Distributed BACnet/SC – Low Risk
  In low-risk scenarios with distributed BACnet/SC, configure outgoing and incoming ports as required for BACnet/SC traffic and protection of the BACnet/SC Hub.

BACnet फायरवॉल
Utilize the BACnet firewall feature available for XT and TruVu controllers to restrict BACnet/IP communication to private IP addresses or defined whitelisted IP addresses for added security.

सुरक्षितता सर्वोत्तम पद्धती

• Carrier takes the security of our systems very seriously, and you play the biggest part in this by installing and configuring systems securely. We encourage you to establish security policies for your own company networks and all the systems you install and service.
• i-Vu® Pro बिल्डिंग ऑटोमेशन सिस्टम तैनात करताना या दस्तऐवजातील सर्वोत्तम पद्धतींचे अनुसरण करा.
• Use the Security Checklist in Appendix B to track important security steps when designing, installing, and commissioning i-Vu® Pro systems.

भौतिक नेटवर्क सुरक्षा

भौतिक नेटवर्क सुरक्षा नेटवर्क हार्डवेअर आणि पायाभूत सुविधांचे संरक्षण करते (उदा.ample, सर्व्हर, राउटर, स्विचेस आणि केबल्स) नुकसान, हस्तक्षेप आणि अनधिकृत प्रवेशापासून.
तुमच्या भौतिक नेटवर्क सुरक्षा योजनेत खालील गोष्टींचा समावेश असल्याची खात्री करा:

• प्रवेश नियंत्रण: Restrict entry to data centers, server rooms, and access to networking equipment by using security measures like passcards, biometric identification, and surveillance.
• केबल व्यवस्थापन: प्रतिबंध टीampनेटवर्क केबल्स आणि पोर्टवर भौतिक प्रवेश प्रतिबंधित करून कनेक्शन रद्द करणे किंवा अनधिकृत करणे.
• Device security: Use locks and physical barriers to secure critical hardware.
• पर्यावरण संरक्षण: Verify proper cooling, fire suppression, and disaster recovery plans. Physical network security measures should also address risks outside of deliberate or malicious attacks.
• बहुस्तरीय दृष्टिकोन: अधिक मजबूत सुरक्षा योजनेसाठी डिजिटल नेटवर्क सुरक्षा आणि भौतिक नेटवर्क सुरक्षा एकत्र करा.
• Surveillance and monitoring: Install security cameras and motion sensors to detect unauthorized activity.

नेटवर्क वेगळे करणे

• स्टँडर्ड बीएसीनेट ही एक जाणूनबुजून उघडलेली प्रणाली आहे जी त्याच्या नेटवर्कवरील कोणत्याही डिव्हाइसला शोधणे आणि नियंत्रित करणे सोपे करते. यामुळे, तुम्ही तुमची प्रणाली दोन स्वतंत्र नेटवर्क्स वापरून वापरकर्त्यांना कंट्रोलर नेटवर्कपासून वेगळे करण्यासाठी डिझाइन करावी. उदा.ampपण, जर वापरकर्ते कंपनीच्या एंटरप्राइझ LAN वर असतील, तर तुम्हाला LAN वर कंट्रोलर्स नको असतील जेणेकरून ते अॅक्सेस असलेल्या कोणत्याही व्यक्तीकडून गैरवापराचे सोपे लक्ष्य बनतील. काही सर्वात मोठे धोके आतल्या लोकांकडून येतात जसे की उत्सुक टिंकरर, शिक्षण प्रणालीच्या नेटवर्कवरील विद्यार्थी किंवा असंतुष्ट कर्मचारी.

  

• तुम्ही वापरकर्ता नेटवर्क आणि BACnet नेटवर्कला त्यांच्यामध्ये कोणत्याही IP राउटिंगशिवाय भौतिकरित्या वेगळे करू शकता किंवा तुम्ही व्हर्च्युअल लोकल एरिया नेटवर्क (VLAN) वापरून स्विचवर तार्किकरित्या वेगळे करू शकता.
• जर तुमच्याकडे ड्युअल एनआयसी (नेटवर्क इंटरफेस कार्ड) असतील, तर सर्व्हरकडे प्रत्येक नेटवर्कसाठी वेगळा आयपी पत्ता असणे आवश्यक आहे.
  • User network – Configure this IP address and subnet mask in SiteBuilder on the Configure > Preferences > Web सर्व्हर टॅब.
  • BACnet network – Configure this IP address and subnet mask in the interface on the Driver Properties > Connections page > Configure tab.

इंटरनेट कनेक्टिव्हिटी परिस्थिती
क्लायंटच्या गरजा आणि आयटी क्षमतांनुसार आय-व्हीयू® प्रो सिस्टमचे इंटरनेटशी कनेक्शन मोठ्या प्रमाणात बदलू शकते. कमी होत असलेल्या सुरक्षिततेच्या क्रमाने खालील संभाव्य नेटवर्क परिस्थिती सूचीबद्ध केल्या आहेत.

• परिस्थिती अ: आयसोलेटेड नेटवर्क - कमी धोका
  i-Vu® Pro सर्व्हर किंवा BACnet नेटवर्क कायमचे इंटरनेटवर उघड करू नका. तथापि, तुम्ही वापरकर्त्यांना सुरक्षित VPN कनेक्शनद्वारे i-Vu® Pro सर्व्हरमध्ये प्रवेश करण्याची परवानगी देऊ शकता. जर LAN वर इतर कारणांसाठी NAT राउटर किंवा फायरवॉल असेल, तर त्यात i-Vu® Pro सर्व्हर किंवा कोणत्याही नियंत्रकांना फॉरवर्ड केलेले कोणतेही पोर्ट नसावेत.

  

• परिस्थिती ब: सार्वजनिक वापरकर्ते - मध्यम धोका
  इंटरनेटवर i-Vu® Pro सर्व्हर कायमचा उघड करणे स्वीकार्य आहे जोपर्यंत:
  • BACnet नेटवर्क उघड झालेले नाही.
  • i-Vu® Pro सिस्टीम उघड करणारे NAT/फायरवॉल डिव्हाइस i-Vu® Pro सर्व्हरवरील फक्त TCP पोर्ट 80 आणि 443 उघड करते.
  • UDP पोर्ट ४७८०८ वरील BACnet ट्रॅफिक उघड नाही.

    
• परिस्थिती क: वितरित BACnet असलेले सार्वजनिक वापरकर्ते - उच्च धोका
  • या कॉन्फिगरेशनमध्ये, वापरकर्ते आणि BACnet नियंत्रक दोघेही सार्वजनिक नेटवर्क/इंटरनेट वापरतात. जास्तीत जास्त सुरक्षितता सुनिश्चित करण्यासाठी या कॉन्फिगरेशनची काळजीपूर्वक योजना करा.

    

  • जर i-Vu® Pro सर्व्हरला इंटरनेटवरून अनेक साइट्सशी कनेक्ट करायचे असेल, तर त्यांना VPN वापरून कनेक्ट करा जेणेकरून एक सुरक्षित वाइड एरिया नेटवर्क तयार होईल (हे Scenerio A मध्ये बदलून).
  • जर हे शक्य नसेल, तर इथरनेट-सक्षम नियंत्रकांमध्ये BACnet फायरवॉल वैशिष्ट्य वापरा किंवा नेटवर्क इंटरनेटशी कनेक्ट होणाऱ्या प्रत्येक इंटरनेट कनेक्शन डिव्हाइसमध्ये तुमचा आयटी विभाग कॉन्फिगर करू शकेल अशा व्हाइटलिस्टसह नियंत्रकांना संरक्षित करा. व्हाइटलिस्ट तुमच्या i-Vu® Pro सिस्टमशी फक्त अशा डिव्हाइसवरून संप्रेषण करण्यास अनुमती देते ज्यांचे सार्वजनिक IP पत्ते यादीत आहेत. बऱ्याचदा, फक्त i-Vu® Pro सर्व्हरशी बोलण्यासाठी नियंत्रकांना फक्त पत्ता आवश्यक असतो. i-Vu® Pro सर्व्हर फायरवॉलच्या व्हाइटलिस्टमध्ये सर्व रिमोट IP नियंत्रकांचे सार्वजनिक पत्ता समाविष्ट करावा लागेल.
  • किमान व्हाइटलिस्ट संरक्षणाशिवाय BACnet नियंत्रकांना इंटरनेटशी कनेक्ट करू नका! जर तुम्ही तसे केले तर ते इंटरनेटवरील कोणालाही सहजपणे शोधता येतील आणि सुधारित केले जाऊ शकतात. जर BACnet राउटर संरक्षणाशिवाय इंटरनेटशी कनेक्ट केलेले असेल, तर त्याच्याशी कनेक्ट केलेले संपूर्ण नेटवर्क अॅक्सेस करण्यायोग्य आहे.
• परिस्थिती ड: वितरित BACnet/SC असलेले सार्वजनिक वापरकर्ते - कमी धोका
  BACnet Secure Connect, or BACnet/SC, is an industry-standard way of securing BACnet communications over the internet without the need for VPNs. A BACnet/SC network consists of multiple nodes connecting through a central hub. This hub can be located on premises or hosted on the Internet. The figure above depicts the BACnet/SC Hub installed on premises.

  

नेटवर्क फायरवॉल
कोणत्याही फायरवॉल किंवा NAT पोर्ट फॉरवर्डिंगद्वारे उघडलेले पोर्ट किमान आवश्यक पोर्टपर्यंत मर्यादित करा. i-Vu® Pro सिस्टम खालील पोर्ट वापरते:

बंदर	हस्तांतरण	प्रोटोकॉल/वापरकर्ता	वापरा
80 (डीफॉल्ट)	TCP	HTTP (Web सर्व्हर)	क्लायंट/सर्व्हर
443 (डीफॉल्ट)	TCP	HTTPS (Web सर्व्हर)	क्लायंट/सर्व्हर

443 (डीफॉल्ट)	TCP	WSS (secure WebSocket for BACnet/SC)	क्लायंट
47806 (डीफॉल्ट)	TCP	Alarm Notification Client	क्लायंट/सर्व्हर
47808	UDP	BACnet/IP	सर्व्हर/आय-व्हीयू राउटर
47808	TCP	डायग्नोस्टिक टेलनेट *	क्लायंट/सर्व्हर
47812	UDP	सीसीएन/आयपी	i-Vu CCN router/ Server
50005	UDP	सीसीएन/आयपी	Server/i-Vu CCN
50007			राउटर
50008
८७८ - १०७४	UDP	फर्मवेअर CCN/IP	CCN राउटर ते CCN राउटर

* ही कार्यक्षमता डिफॉल्टनुसार बंद असते. तुम्ही टेलनेटडी कन्सोल कमांड वापरून ती सुरू करू शकता.
मागील विभागातील परिस्थिती B किंवा C मध्ये वापरकर्त्याच्या प्रवेशासाठी TCP पोर्ट 80 आणि 443 इंटरनेटच्या संपर्कात असणे आवश्यक आहे.
परिस्थिती C मध्ये सर्व्हर आणि कंट्रोलरच्या फायरवॉल दोन्हीसाठी UDP पोर्ट 47808 उघड करणे देखील आवश्यक आहे. जर तुम्ही असे केले तर कनेक्टिव्हिटी मर्यादित करण्यासाठी तुम्हाला व्हाइटलिस्ट वापरणे आवश्यक आहे.
परिस्थिती D ला BACnet/SC ट्रॅफिकसाठी आउटगोइंग पोर्ट आणि/किंवा BACnet/SC हबचे संरक्षण करणारा इनकमिंग पोर्ट कॉन्फिगर करण्याची आवश्यकता असू शकते.

BACnet फायरवॉल
XT आणि TruVu कंट्रोलर्ससाठी drv_fwex आणि drv_gen5 ड्रायव्हर्स आणि इथरनेट क्षमता असलेल्या कॅरियर कंट्रोलर्ससाठी v6-02 किंवा नंतरच्या ड्रायव्हर्समध्ये BACnet फायरवॉल वैशिष्ट्य आहे जे तुम्हाला कंट्रोलरशी BACnet/IP संप्रेषण सर्व खाजगी IP पत्त्यांपर्यंत आणि/किंवा तुम्ही परिभाषित केलेल्या IP पत्त्यांच्या व्हाइटलिस्टपर्यंत मर्यादित करण्याची परवानगी देते. हे वैशिष्ट्य तुमच्या सिस्टमसाठी सुरक्षिततेचा आणखी एक स्तर प्रदान करते.
खालील माजी आहेतampBACnet फायरवॉलच्या वापराच्या काही बाबी आणि ते सेट करण्यासाठी सूचना.

• Case 1:  Isolated network
  • जरी एक वेगळे नेटवर्क इंटरनेटवरील धोक्यांपासून सुरक्षित असले तरी, स्थानिक नेटवर्कवरील इतर वापरकर्ते किंवा उपकरणे नियंत्रकांमध्ये व्यत्यय आणू शकतात.

    

  • यामध्ये माजीampम्हणजेच, प्रत्येक कंट्रोलरच्या BACnet फायरवॉलने i-Vu® Pro सर्व्हरच्या IP पत्त्यावरून आणि कंट्रोलरच्या IP पत्त्यांवरून BACnet संप्रेषण करण्याची परवानगी दिली पाहिजे. १९२.१६८.२४.४६ वरील वापरकर्त्याला कंट्रोलर्सशी BACnet संप्रेषण करण्याची परवानगी देऊ नये.
  • The server and controller addresses fall within the private IP address range of 192.168.0.0 to 192.168.255.255, but restricting BACnet communication to all private IP addresses is not sufficient since that would allow communication from the user. So a whitelist must be created in the BACnet firewall.
  • BACnet फायरवॉल सेट करण्यासाठी:
    1. In the i-Vu® Pro interface, right-click each controller and select Driver Properties.
    2. Select BACnet Firewall > Properties tab.
    3. Check Enable BACnet firewall.
    4. Uncheck Allow All Private IP Addresses.

       

    5. Check Enable Whitelist.
    6. On the first row, check Enable, check Use IP Range, and then enter the address range 192.168.24.100 through 192.168.24.103.

       

    7. स्वीकार क्लिक करा.
    8. Wait for the page to update, and then check Confirm firewall settings.
       टीप: यामध्ये माजीample, the server and controllers’ IP addresses are sequential, so the whitelist could have an address range. If you anticipate future controller expansion, reserve extra sequential addresses so that you can simply expand the range in the BACnet firewall settings. If the IP addresses are not sequential, you must enter each IP address on a separate line and check Enable.
• Case 2:  Individual controllers exposed to the Internet
  • इंटरनेटवर उपलब्ध असलेले नियंत्रक (उदा.amp(डीएसएल, केबल किंवा वायरलेस डिव्हाइसच्या मागे) नेटवर्क फायरवॉल किंवा व्हाइटलिस्टद्वारे संरक्षित नसू शकते. हे नेटवर्क फायरवॉलच्या क्षमतेच्या कमतरतेमुळे किंवा ते सेट करण्यात अडचणीमुळे असू शकते.

    

  • यामध्ये माजीample, each controller needs to communicate with only the i-Vu® Pro server, so their BACnet firewall’s whitelist should have only the server’s public IP address. The controllers do not need to communicate with each other.
  • BACnet फायरवॉल सेट करण्यासाठी:
    1. In the i-Vu® Pro interface, right-click each controller and select Driver Properties.
    2. Select BACnet Firewall > Properties tab.
    3. Check Enable BACnet firewall.
    4. Uncheck Allow All Private IP Addresses.

       

    5. Check Enable Whitelist.
    6. On the first row, check Enable, and then enter the address 47.23.95.44.

       

    7. स्वीकार क्लिक करा.
    8. Wait for the page to update, and then check Confirm firewall settings.
• Case 3:  Multiple controllers exposed to the Internet at one site
  • इंटरनेटवर उपलब्ध असलेले अनेक नियंत्रक (उदा.amp(डीएसएल, केबल किंवा वायरलेस डिव्हाइसच्या मागे) नेटवर्क फायरवॉल किंवा व्हाइटलिस्टद्वारे संरक्षित नसू शकते. नियंत्रकांकडे खाजगी आयपी पत्ते असतात, परंतु त्यांचे सार्वजनिक आयपी पत्ते इंटरनेटच्या संपर्कात येतात.

    

  • यामध्ये माजीample, the controllers need to communicate with the i-Vu® Pro server and each other. The controllers are the only devices on the site’s private network, and other devices present are benign.
  • प्रत्येक कंट्रोलरच्या BACnet फायरवॉलने BACnet ला i-Vu® Pro सर्व्हरच्या सार्वजनिक IP पत्त्यासह आणि सर्व खाजगी IP पत्त्यांसह संप्रेषण करण्याची परवानगी दिली पाहिजे जेणेकरून कंट्रोलर एकमेकांशी संवाद साधू शकतील. BACnet फायरवॉल कंट्रोलरच्या सार्वजनिक पत्त्यांवर BACnet संप्रेषण प्रतिबंधित करते.
  • BACnet फायरवॉल सेट करण्यासाठी:
    1. In the i-Vu Pro interface, right-click each controller and select Driver Properties.
    2. Select BACnet Firewall > Properties tab.
    3. Check Enable BACnet firewall.
    4. Check Allow All Private IP Addresses.

       

    5. Check Enable Whitelist.
    6. On the first row, check Enable, and then enter the address 47.23.95.44.

       

    7. स्वीकार क्लिक करा.
    8. Wait for the page to update, and then check Confirm firewall settings.

वापरकर्ते
अनधिकृत वापरकर्त्याचा प्रवेश मर्यादित करण्यासाठी खालील मार्गदर्शक तत्त्वांचे अनुसरण करा.

• पॉलिसी सवलती—Run the Security > Operator Information report to determine if any existing users are exempt from Automatic Logoff or the system’s Password Policy, and remove those exemptions. All users, including administrator users, should be compliant with security policies.
• प्रगत पासवर्ड धोरण—प्रगत पासवर्ड धोरण सक्षम करा आणि किमान ८ वर्णांचा पासवर्ड लांबी आवश्यक करा. यामुळे रिक्त पासवर्ड नाकारले जातील.
• शेअर केलेली खाती नाहीत—प्रत्येक वापरकर्त्यासाठी वेगळे खाते तयार करा. एकाच लॉगिन नाव आणि पासवर्डने अनेक वापरकर्ते लॉग इन करतात अशी भूमिका-आधारित खाती तयार करू नका.
• जुनी खाती हटवा - जेव्हा लोकांना i-Vu® Pro सिस्टीममध्ये प्रवेश करण्याची आवश्यकता नसते तेव्हा खाती व्यवस्थापित करा. त्यांचे खाते हटवा किंवा त्यांचा पासवर्ड बदला.
  टीप: Run the Security > Operator Information report to check the following statuses.
  • ऑपरेटरने कधीही लॉग इन केले नाही: ###
  • ऑपरेटर शेवटचे लॉगिन > 180 दिवस: ###
• ऑटो लॉगऑफ – Verify that the Log off operators after __ (HH: MM) of inactivity is checked on the System Settings > Security tab. NOTE: You can disable this for an individual user (for exampले, देखरेख केंद्रासाठी खाते).
• Policy exemptions – Run the Security > Operator Information report to determine if any existing users are exempt from Automatic Logoff or the system’s Password Policy, and remove those exemptions.
• वापरकर्त्यांना लॉक करा—Verify that Lock out operators for __ minutes after __ failed login attempts is checked.
• स्थान-आधारित सुरक्षा—पर्यायी स्थान-आधारित सुरक्षा धोरण वापरण्याचा विचार करा. अनेक वापरकर्ते असलेल्या मोठ्या सिस्टीमसाठी, तुम्ही वापरकर्त्यांना फक्त त्यांना प्रवेश असलेल्या स्थानांपुरते मर्यादित करू शकता.

आय-वू प्रो सर्व्हर
आय-व्ही प्रो सर्व्हरचे संरक्षण करण्यासाठी खालील मार्गदर्शक तत्त्वांचे पालन करा.

• पॅचेस— आय-व्ही प्रो सिस्टीम आणि ऑपरेटिंग सिस्टीम नवीनतम पॅचेससह अद्ययावत ठेवा.
• अँटी-व्हायरस संरक्षण—आय-वू प्रो सर्व्हरचे अँटी-व्हायरस सॉफ्टवेअर आणि व्याख्या अद्ययावत ठेवा.
• एकदा वापरता येणारा सर्व्हर—i-Vu Pro सॉफ्टवेअर हे सर्व्हरवर चालणारे एकमेव अॅप्लिकेशन असावे. इतर अॅप्लिकेशन्स त्याच सर्व्हरवर ठेवू नका.
• HTTPS—शक्य असल्यास, मानक प्रमाणपत्र प्राधिकरणाने स्वाक्षरी केलेले प्रमाणपत्र वापरून https:// वापरा. ​​जर तुम्ही स्व-स्वाक्षरी केलेले प्रमाणपत्र वापरत असाल, तर क्लायंट संगणकांवर सर्व्हर प्रमाणपत्र स्थापित करा जेणेकरून वापरकर्त्यांना "असुरक्षित प्रमाणपत्र" त्रुटीकडे दुर्लक्ष करण्याची वाईट सवय लागू नये.
• दूरस्थ प्रवेश—After commissioning, uncheck Allow remote file management on the System Settings > Security tab.
• डिव्हाइस पासवर्ड– This password is only available on systems with one or more controllers with the Gen_5 driver. Setting the Device Password as described in the i-Vu® Pro v8.0 Help provides an additional level of security.
• स्थापित केलेले अनुप्रयोग— Installed Applications includes the full set of applications. There are no options to exclude certain applications during installation. Any applications that should not be available on the i-Vu® Pro server can be deleted from the installation folder.
• File परवानग्या—The default file permissions of a product installation may not be the most secure setting, depending on the installation needs. It is recommended that file permissions be examined after installation and configured to ensure that only authorized users and service accounts can access and modify files in the installation and data directories.

डेटाबेस सर्व्हर

• सुरक्षित स्थापनेसाठी डेटाबेस सर्व्हर विक्रेत्याच्या सर्वोत्तम पद्धतींचे अनुसरण करा. यामध्ये डीफॉल्ट खाती आणि पासवर्ड बदलणे यासारख्या पायऱ्यांचा समावेश असावा.
• डेटाबेस सर्व्हरला फक्त i-Vu® Pro सिस्टीममधून कनेक्शन स्वीकारण्यासाठी कॉन्फिगर करा. बहुतेक डेटाबेस सर्व्हरमध्ये हे सुलभ करण्यासाठी व्हाइटलिस्ट यंत्रणा असते.

डिव्हाइस-विशिष्ट सुरक्षा
drv_gen5 ड्रायव्हर असलेली उपकरणे खालील डिव्हाइस-विशिष्ट सुरक्षा पर्यायांना समर्थन देतात.

• Configure the security settings on all service ports, as described in the Adjusting driver properties and controller setup through the Service Port section of your device’s technical instructions.
• नेटवर्क टाइम प्रोटोकॉल (NTP) - NTP डिव्हाइसचे घड्याळ समक्रमित ठेवण्यासाठी अधिक सुरक्षित साधन प्रदान करते.

परिशिष्ट अ शब्दकोष

• BAS—A Building Automation System is a collection of BACnet and/or CCN devices, the i-Vu Pro server, and the network(s) they reside on.
• LAN—A Local Area Network is a computer network that interconnects computers/devices within a limited area, such as an office building.
• Firewall—A device that restricts network traffic. Firewall functionality is often combined with IP Router functionality in a single device. A firewall is configured with rules to define what kind of traffic is allowed or blocked. Personal computers and servers have firewall functionality built into them.
• आयपी राउटर—An IP (Internet Protocol) device that connects two or more IP networks. Typically, an IP router connects a local network to the larger enterprise/Internet network.
• NAT राउटर—An IP router that remaps IP addresses from one network to one or more IP addresses on another network. A NAT router is commonly used to connect devices on a private network to the Internet or an enterprise network, and it often has firewall and port forwarding capabilities.
• बंदर—A port is a 16-bit (0-65535) number associated with an IP address that defines an endpoint of a computer network connection. There are two types of ports, TCP and UDP. BACnet uses a UDP port. HTTP, HTTPS, and Alarm Notification Client use TCP ports. To manage access to a port in a firewall, you must know its number and type.
• खाजगी आयपी पत्ता—खालीलपैकी एका श्रेणीतील आयपी पत्ता:
  • 10.0.0.0 - २५६
  • 172.16.0.0 - २५६
  • 192.168.0.0 - २५६
• VLAN—व्हर्च्युअल लोकल एरिया नेटवर्क हे आयपी नेटवर्क स्विच (किंवा राउटर) द्वारे विभाजित आणि वेगळे केले जाते. ते सामान्यतः नेटवर्कला भौतिकरित्या वेगळे करण्याइतकेच प्रभावी असते.
• VPN—A Virtual Private Network is a method for extending a private network across a public network, such as the Internet. A VPN enables users to send and receive data across shared or public networks as if their computing devices were directly connected to the private network, and they benefit from the functionality, security, and management policies of the private network.
• श्वेतसूची— फायरवॉलद्वारे परवानगी असलेल्या फक्त आयपी अॅड्रेसची यादी. प्रगत फायरवॉल डिव्हाइसेसमध्ये दिलेल्या पोर्ट किंवा प्रोटोकॉलसाठी वेगवेगळ्या व्हाइटलिस्ट असू शकतात.

Appendix B Security checklist

भौतिक नेटवर्क सुरक्षा
नेटवर्क हार्डवेअरचे संरक्षण आणि प्रवेश प्रतिबंधित करण्यासाठी योग्य उपाययोजना केल्या आहेत याची खात्री करा. भौतिक नेटवर्क सुरक्षा पहा (पृष्ठ १).

डिझाइनिंग आणि नियोजन

• वापरकर्ता आणि BACnet नेटवर्क भौतिकरित्या किंवा VLAN वापरून वेगळे करा.
• योग्य इंटरनेट कनेक्शन परिस्थिती निश्चित करा. इंटरनेट कनेक्टिव्हिटी परिस्थिती पहा.
• शक्य असेल तेव्हा BACnet/SC वापरा. ​​माहिती उघड होण्यापासून रोखण्यासाठी BACnet/SC नेटवर्कवरील BACnet संप्रेषणांना एन्क्रिप्ट करते आणि स्पूफिंग टाळण्यासाठी डिव्हाइस प्रमाणीकरणास समर्थन देते.

स्थापित करत आहे

• जर तुमच्याकडे दुहेरी एनआयसी असतील तर:
  • Enter the i-Vu Pro user network IP address and subnet mask in SiteBuilder on the Configure  Preferences > Web सर्व्हर टॅब.
  • i-Vu Pro इंटरफेसमध्ये i-Vu Pro BACnet नेटवर्क IP पत्ता आणि सबनेट मास्क प्रविष्ट करा.
• Connections page > Configure tab.
  जर इंटरनेट कनेक्टिव्हिटी परिस्थिती A वापरत असाल तर:
  • आय-व्हू प्रो सर्व्हर आणि कंट्रोलर्सचे आयपी अॅड्रेस खाजगी आयपी अॅड्रेस रेंजपैकी एकामध्ये आहेत याची पडताळणी करा.
• जर इंटरनेट कनेक्टिव्हिटी परिस्थिती B वापरत असाल तर:
  • कंट्रोलर आयपी अ‍ॅड्रेस खाजगी आयपी अ‍ॅड्रेस रेंजपैकी एकामध्ये आहेत याची पडताळणी करा.
  • आय-व्ही प्रो सर्व्हर उघड करणारा NAT राउटर किंवा फायरवॉल फक्त TCP पोर्ट 80 आणि/किंवा 443 उघड करतो याची पडताळणी करा.
• जर इंटरनेट कनेक्टिव्हिटी परिस्थिती वापरत असाल तर C:
  • आय-व्ही प्रो सर्व्हरला उघड करणारा NAT राउटर किंवा फायरवॉल फक्त TCP पोर्ट 80 आणि/किंवा 443 आणि UDP पोर्ट 47808 उघड करतो याची पडताळणी करा.
  • तुमच्या इंटरनेट कनेक्शन डिव्हाइसमध्ये वापरलेला प्रत्येक NAT राउटर किंवा फायरवॉल (सर्व्हर आणि प्रत्येक कंट्रोलर दोन्हीसाठी) योग्य व्हाइटलिस्टसह कॉन्फिगर केला आहे किंवा प्रत्येक कंट्रोलर त्याच्या अंतर्गत BACnet फायरवॉल वैशिष्ट्याद्वारे संरक्षित आहे याची पडताळणी करा.
  • इंटरनेटवरून व्हाइटलिस्ट संरक्षणाची चाचणी घ्या. सार्वजनिक नेटवर्कवर “modstat mac:0,b:1.2.3.4” सारखे modstat वापरून वेगळा i-Vu Pro सर्व्हर वापरा. ​​तुम्ही सिस्टमच्या कोणत्याही नियंत्रकांना अॅक्सेस करू शकत नाही याची खात्री करा.
  • प्रशासक लॉगिन नाव बदला आणि पासवर्ड जोडा.
  • जर तुम्ही प्री-v6.5 सिस्टम चालवत असाल, तर अनामिक वापरकर्ता खाते काढून टाका.
  • आय-व्हू प्रो सर्व्हरचे अँटी-व्हायरस सॉफ्टवेअर अद्ययावत आहे आणि ते स्वयंचलितपणे अपडेट होण्यासाठी सेट आहे याची पडताळणी करा.
  • व्हाइटलिस्ट वापरून फक्त i-Vu Pro अॅप्लिकेशनमधून कनेक्शन स्वीकारण्यासाठी डेटाबेस सर्व्हर कॉन्फिगर करा.

कमिशनिंग केल्यानंतर

• प्रगत पासवर्ड धोरण सक्षम करा आणि किमान पासवर्ड लांबी किमान 8 वर्णांवर सेट करा.
• On the System Options > System Settings > Security tab, verify that:
  • Allowing remote file management is not checked
  • Log off operators after __ (HH: MM) of inactivity is checked
  • Lock out operators for __ minutes after __ failed login attempts are checked
• साइटबिल्डरच्या कॉन्फिगर > प्राधान्ये > वर Web Server tab, verify that the following are not checked:
  • Any TLS Level below “TLS 1.3”
  • Allow SOAP applications over HTTP
  • Allow unsigned add-ons
• डिव्हाइस सेवा पोर्टवर प्रवेश अक्षम करा (फक्त drv_gen5 डिव्हाइस). डिव्हाइसच्या सुरक्षा ड्रायव्हर पृष्ठावरील कॉन्फिगरेशन प्रवेश विभाग पहा.
• डिव्हाइसचे घड्याळ सिंकमध्ये ठेवण्यासाठी BACnet टाइमसिंकऐवजी NTP (फक्त drv_gen5 डिव्हाइसेस) वापरा.

प्रणाली देखभाल
नवीनतम सुरक्षा सुधारणांसह सिस्टम अद्ययावत ठेवण्यासाठी नवीनतम सॉफ्टवेअर अपडेट्स स्थापित करा.

To quickly check the security measures in place
In the i-Vu Pro interface, use the Security Review ला अहवाल द्या view your system’s critical security compliance status. These settings are described in more detail in the document above.
The Security Review Report displays the following:

Web सर्व्हर	संभाव्य प्रतिसाद	सर्वात सुरक्षित प्रणालीसाठी शिफारस
SSL Mode	HTTP, HTTPS, किंवा HTTP आणि HTTPS	HTTPS
TLS in use	होय or नाही	होय (when SSL Mode is on or दोन्ही)
TLS प्रोटोकॉल	आवृत्ती क्रमांक	TLS 1.3
TLS Redirect HTTP to HTTPS	होय or नाही	होय (when SSL Mode is both)
Allow unsigned add-ons	होय or नाही	नाही
Allow SOAP over HTTP	होय or नाही	नाही
Reads X-Forwarded-For Header	होय or नाही	नाही
प्रमाणपत्र	संभाव्य प्रतिसाद	सर्वात सुरक्षित प्रणालीसाठी शिफारस
Self-signed certificate in use	होय किंवा नाही	नाही
Certificate issued by	Distinguished Name of the certificate signer	certificate information, not a setting
Certificate expired	होय किंवा नाही	certificate information, not a setting
Certificate not yet valid	होय किंवा नाही	certificate information, not a setting
Certificate expires	date and time the certificate becomes invalid	certificate information, not a setting
	संभाव्य प्रतिसाद	सर्वात सुरक्षित प्रणालीसाठी शिफारस
ईमेल
Secure SMTP is enabled on the email server	होय किंवा नाही	होय
पासवर्ड
Operators never logged in:	संख्या	0
Operators’ last login > 180 days	संख्या	0
Password policy enforced	होय किंवा नाही	होय
Exempt from password policy	संख्या	0
अपडेट्स
Latest cumulative update applied:	काहीही नाही or तारीख	Keep the i-Vu Pro system and its operating system up to date with the latest patches.

कागदपत्रे / संसाधने

Carrier i-Vu Pro Simplify Building Management with Building Automation [pdf] वापरकर्ता मार्गदर्शक i-Vu Pro, i-Vu Pro Simplify Building Management with Building Automation, Simplify Building Management with Building Automation, Building Management with Building Automation, Management with Building Automation, Building Automation

संदर्भ

• वापरकर्ता मॅन्युअल