PowerLogic T300
search
Dashboardchevron_rightT300chevron_rightModule 09
Technical Module 09

Communication 4G & Cybersécurité T300

Configurer les communications 4G, le routage réseau, et appliquer les bonnes pratiques de cybersécurité IEC 62443 sur le T300.

1. Modem 4G interne

Configuration modem 4G interne — Flux
InsérerSIM cardConfigurerAPN + PINVérifiersignalNoter IPstatiqueBox modem 4G EU : EMS 59155 (indoor)Antenne extérieure : EMS 59160Antenne GPS : EMS 59161 (synchro 1 ms)Parasurtenseur : EMS 59518Configuration PPP (via Easergy Builder ou Maintenance Advanced) :├── APN (fourni par l'opérateur telecom)├── PIN code (si activé sur la SIM)├── Password (si requis)├── Ping test périodique (optionnel)├── Déconnexion quotidienne (optionnel)Sélection réseau : 4G / 2G / AutoDéclaration dans T300 Generator : « 4G modem » dans Slot 1 ou Slot 2

2. Modem externe & routage

Architecture réseau avec modem externe
RÉSEAU DISTANTSCADA172.21.5.40IP publique203.189.226.28port 2404 (IEC 104)Routeur(Teltonika RUT M09)NAT / Port ForwardingT300WAN: ION192.168.1.10192.168.1.1 (GW)Configuration routeur :├── Route par défaut : 0.0.0.0 0.0.0.0 192.168.1.1├── NAT : TCP 2404 → 192.168.1.10:2404 (IEC 104)├── NAT : TCP 443 → 192.168.1.10:8443 (HTTPS webserver)├── NAT : TCP 22 → 192.168.1.10:22 (SSH/SFTP)

3. Ports TCP/UDP du T300

ProtocolePortTypeUsage
IEC 1042404TCPSCADA télécommande
DNP320000TCPSCADA (alt. protocole)
Modbus TCP502TCPSCADA / intégration
HTTPS443TCPWebserver
SSH/SFTP22TCPTransfert fichiers, diagnostic
SNTP123UDPSynchronisation horaire
LDAP389 / 636TCPAuthentification centralisée
Radius1812UDPAuthentification centralisée
Syslog601TCPÉvénements sécurité
SNMP V3161UDPSupervision à distance
⚠️ Opérateur telecom

Vérifier que l'opérateur ne bloque pas les ports protocolaires (2404, 20000, 443, 22, 123). En cas de service manquant, vérifier la politique de filtrage de l'opérateur.

4. Cybersécurité — IEC 62443

Certifications et niveaux de sécurité
CERTIFICATIONS IEC 62443IEC 62443-4-1→ Secure Development Lifecycle (SDLv2)IEC 62443-2-4→ Gestion d'intégration systèmeIEC 62443-4-2→ Sécurité produitIEC 62443-3-3→ Sécurité systèmePowerLogic T300 : SL-C1++ — PowerLogic T500 : cible SL-C2Niveaux de sécuritéSL1RBAC, Device hardening, FW signature, FirewallSL2+ Certificate Management, TLS protocols, LDAP/Radius auth,Syslog, Certificate Enrollment

Fonctionnalités de sécurité embarquées

FonctionnalitéStandardDescription
RBACIEC 62351-8Contrôle d'accès basé sur les rôles
Communication sécuriséeIEC 62351-3TLS sur M2M (v2.9+)
Auth. protocoleIEC 62351-5Secure Auth pour DNP3 & IEC 104
HTTPS/SSH/SFTPToujours actif
Firmware signéDepuis v2.7, firmware Schneider uniquement
Port hardeningActivation/désactivation par port
Firewall & IP filterFiltrage IP communication
LDAP / RadiusAuthentification centralisée (v2.9+)
Certificats X.509Gestion certificats client (v2.8/2.9)
SNMP V3Diagnostic distant

5. TLS & gestion des certificats

Support TLS par protocole
ProtocoleTLSActivationConfig toolIEC 104Setting: 1-way/2-wayWebserverDNP3Setting: 1-way/2-wayWebserverModbus TCPSetting: 1-way/2-wayWebserverSyslogPort ≠ 601CAELDAPLDAPS:636 / TLS:389CAERadiusShared secretCAEHTTPSToujours + login/pwdNatifSSH/SFTPSSHTunnel chiffréNatifSNMP V3Login/pwd chiffréWebserverSNTPNon chiffréEasergy BuilderCertificats :├── Usine : certificat auto-signé unique par T300├── Client : installation de certificats X.509 depuis une CA├── V2.9 : M2M sécurisé = certificats produit + CA sur RTU ET machine client

6. RBAC & authentification

3 modes d'authentification
MODE D'AUTHENTIFICATION1. Local onlyComptes stockés dans le T300 — Pas de serveur central2. Local puis centraliséEssai local d'abord, puis fallback vers LDAP/Radius si échec3. Centralisé puis localEssai LDAP/Radius d'abord, puis fallback local si serveur injoignableLDAP (v2.9+) :├── Réutilise l'Active Directory client├── Supporte LDAPS (SSL) sur port 636├── Protocole d'échange : PAP├── Paramètres réseau : IP, protocole, rôle, dictionnaireEmplacements RBAC :Local (RTU)— via webserverRemote (CAE)— outil expertCentralisé (LDAP/Radius)— serveur d'entreprise

7. CAE — Cybersecurity Administration Expert

Procédure de connexion CAE (v2.9+)

Trust device certificate

CAE enregistre le certificat du T300 dans sa whitelist (clic-droit → Trust).

Send signing certificate

Envoyer le certificat de signature au T300.

Send security configuration

Envoyer la configuration de sécurité complète (RBAC, ports, politique).

Après upgrade legacy vers v2.9

Backup avant upgrade

Sauvegarder la configuration complète.

Upgrade firmware

Installer le nouveau firmware v2.9.

Restore default + reload

Restaurer la configuration par défaut. Recharger la configuration opérationnelle précédente.

Reconnecter au CAE

Effacer l'ancien certificat dans CAE. Se connecter en tant que « PowerLogic T300 V2.9.0 ». Charger la nouvelle configuration de sécurité.

💡 Bonnes pratiques cybersécurité

TLS 1.0 et 1.1 supprimés définitivement (connexion rejetée).
Upgrader le firmware au moins 1×/an.
Vérifier les ports TCP autorisés par les firewalls & opérateurs telecom.
Éviter les anciennes versions d'OS (ex: Windows 7).
Utiliser CAE v2.4.4+ avec template HU250 v2.8.7+.

← Précédent08MaintenanceSuivant →10Exercices Pratiques