Добрый день

Есть ПЛК110, опрашиваемые по ModBus. Возможно ли как то настроить авторизацию на чтение\запись ModBus переменных?

Протоколом не предусмотрено. А зачем это понадобилось? Какую задачу решаете?

Просто моделирую ситуацию, когда некто со злым умыслом имея доступ к сети ПЛК мог бы использовать его для саботажа работы (к ПЛК подключена периферия типа вентиляторов/нагревателей и т.д.) - например, изменяя напрямую регистр, переменная из которого отвечает за включение нагревателя.

sgmj делите сети на отдельные VLAN и доступ к другой сети только "избранным".
обратитесь к администраторам.

подскажите тоже интересно, извините что вмешиваюсь, а есть ли возможность защитить плк от несанкционированного доступа. Ведь при доступе к сети диспетчеризации(физически - где установлен ПЛК либо виртуально из сети) возможно подключение к любому ПЛК в этой сети по IP, можно и программу перезалить несанкционированно. Как в этом случае защитить ПЛК? Например, можно ли ПЛК использовать в системах охранной сигнализации?

подскажите тоже интересно, извините что вмешиваюсь, а есть ли возможность защитить плк от несанкционированного доступа. Ведь при доступе к сети диспетчеризации(физически - где установлен ПЛК либо виртуально из сети) возможно подключение к любому ПЛК в этой сети по IP, можно и программу перезалить несанкционированно. Как в этом случае защитить ПЛК? Например, можно ли ПЛК использовать в системах охранной сигнализации?
Кто мешает установить пароль на перезапись или чтение проекта?

Кто мешает установить пароль на перезапись или чтение проекта?Не спасёт.
Как в этом случае защитить ПЛК? Например, можно ли ПЛК использовать в системах охранной сигнализации?Шифрующую аппаратуру ставить в разрез линии в одном шкафу с ПЛК.

Сначало надо угадать целевую платформу. Про модбас, надо угадать порт, а если хоть 1 клиент подключен к порту (я о TCP), то к нему уже не подключиться.
Про авторизацию, нативно врятли, а вот ручками можно. Порт для авторизации один, который после успешной авторизации открывает порт с модбас другой, работающий ровно 1 подключение.

Сначало надо угадать целевую платформуНи к чему. Таргет нужен среде разработки. Остальному софту важна только версия протокола (плюмс (http://yegorpetrov.livejournal.com/2401.html)).
Про модбас, надо угадать портПоднимите руки те, кто постоянно меняет 502 на что-то другое. Лес рук!
а если хоть 1 клиент подключен к порту (я о TCP), то к нему уже не подключитьсяПорт 1200 с кодесисовским протоколом открыт всем ветрам.
Порт для авторизации один, который после успешной авторизации открывает порт с модбас другой, работающий ровно 1 подключение.Не забываем про порт 1200. А благодаря команде SetIP можно вообще устроить man in the middle.

Ни к чему. Таргет нужен среде разработки. Остальному софту важна только версия протокола (плюмс (http://yegorpetrov.livejournal.com/2401.html)).Поднимите руки те, кто постоянно меняет 502 на что-то другое. Лес рук!Порт 1200 с кодесисовским протоколом открыт всем ветрам.Не забываем про порт 1200. А благодаря команде SetIP можно вообще устроить man in the middle.

Ну ок порт туды-сюды , IPшник что на проходной написан ?
Ну теоретически 254 адреса можно потыкать КДСом , если действительно таргет есть , опять же подсеть надо знать .

Даже взять КДС3 с WEBкой и WI-FI шлюзом (роутером) - ну увидел сеть - введи пароля , даже если сеть открытая - все равно в запросе IP и порт присутствует .
ПЛК это-ж не комп с виндой , который в сети регистрируется , его "видно" , он сам все о себе расскажет , тому кто спрашивать умеет.:o

подключение ПЛК к роутеру и виртуальные приватные сети никто не отменял

Ну ок порт туды-сюды , IPшник что на проходной написан ?

ну написано-не написано, а ip-сканером видно, и понятно что это - комп или контроллер. А дальше зависит от фантазии. Жаль нет авторизации.


подключение ПЛК к роутеру и виртуальные приватные сети никто не отменял
а вот это интересно, надо изучить.