Mark Warburton gibt einige großartige praktische Ratschläge zur Sicherung bestehender und zukünftiger KNX Systeme, mit Beispielen von Produkten, die eine Reihe von Sicherheitsmerkmalen bieten, und Tipps, wie man diese nutzen kann.
Nachdem jahrelang vor den Risiken des Offenlassens von Netzwerkports gewarnt wurde, hat die KNX Association kürzlich bekannt gegeben, dass es Berichte über gehackte Systeme gibt. Selbst wenn alle modernen Projekte sicher eingerichtet wurden, gibt es immer noch zahllose ältere Projekte, die möglicherweise auf weniger sichere Weise installiert wurden, so dass wir alle etwas zu tun haben, um sicherzustellen, dass wir sowohl die KNX Endnutzer als auch den Ruf der Branche schützen.
Die gute Nachricht ist, dass es zahllose Möglichkeiten gibt, eine KNX-Installation sicher zu machen und dennoch den Fernzugriff sowohl für die Benutzer als auch für die Wartung zu ermöglichen. Es ist sogar möglich, das System innerhalb der Immobilie zu sperren, was beweist, dass KNX eines der sichersten Systeme überhaupt ist.
Bevor wir uns mit den Möglichkeiten zur Sicherung eines KNX Systems befassen, sollten wir uns kurz mit den Problemen befassen, damit wir alle auf der gleichen Seite stehen.
unsichere KNX Systeme
Angenommen, Sie verwenden die Standard-Ports (3671) oder die Multicast-Adresse (224.0.23.12) auf einer IP-Schnittstelle oder einem Router, dann ist es möglich, dieselben Ports in der Firewall zu öffnen, wodurch das KNX-System von außen sofort zugänglich wird. Ohne zusätzlichen Schutz, wie z.B. nur Verbindungen von einer bestimmten IP-Adresse zuzulassen, kann jeder, der über einfache Hacking-Tools verfügt, die offene Verbindung finden und möglicherweise Zugang zum KNX System erhalten. Wenn aus irgendeinem Grund diese Verbindungsmethode die einzig mögliche Option ist, dann hilft sogar der grundlegende Schritt, die Standard-Ports zu ändern. Diese Verbindungsmethode sollte jedoch, wo immer möglich, vermieden werden - zumal es viel bessere Möglichkeiten gibt, den Fernzugriff zu ermöglichen.
VPN-Zugang
Eine altbewährte Methode des sicheren Fernzugriffs ist der Aufbau eines VPN (Virtual Private Network) als sicherer Tunnel in das System. Sobald die Authentifizierung für die Verbindung verwendet wurde, sind Sie effektiv lokal im Gebäude und können alle erforderlichen Änderungen vornehmen oder Anwendungen oder Visualisierungen anschließen.
Eine Möglichkeit, ein VPN einzurichten, besteht darin, einen Netzwerkrouter zu verwenden, der über einen integrierten VPN-Server verfügt. Bei den meisten Installationen, bei denen mehrere Systeme im Haus installiert werden, wie z. B. AV, CCTV und KNX, ist es wahrscheinlicher, dass das Netzwerk vollständig verwaltet wird und der Router in der Lage ist, die VPN-Verbindung herzustellen. Bei kleineren Installationen oder wenn der Hausbesitzer nicht bereit ist, einen fortschrittlicheren Router als das vom Internetanbieter gelieferte Standardgerät zu installieren, ist eine andere Lösung erforderlich.
In diesem Fall ist es möglich, einen separaten VPN-Server innerhalb der Immobilie zu installieren. Ein gutes Beispiel dafür ist der Gira X1, der über einen integrierten OpenVPN-Server verfügt. Die Installation ist recht einfach, die einzige größere Komplikation besteht darin, dass einige Ports auf dem Router geöffnet werden müssen. Im Gegensatz zum Öffnen von Ports direkt an einer KNX Schnittstelle oder einem Router, benötigt der X1 jedoch Anmeldedaten, um unbefugten Zugriff zu verhindern. Über das X1 und den OpenVPN-Server ist es möglich, nicht nur den Zugriff für die Fernsteuerung der X1-App zu ermöglichen, sondern auch auf Geräte im restlichen Netzwerk zuzugreifen, wie z.B. das KNX-System oder eine CCTV-Kamera.
Cloud- oder objektbasierter Fernzugriff
Dieses von einer Vielzahl von Herstellern unterstützte Verfahren funktioniert ähnlich wie ein VPN, verwendet jedoch anstelle eines Tunnels ein lokales Gerät und eine sichere Website, um den gesamten Datenverkehr in und aus der Installation zu verschlüsseln. Da das Gerät die erste Verbindung aus dem Gebäude heraus herstellt, wird ein sicherer Pfad geschaffen, was bedeutet, dass keine Konfiguration auf dem Netzwerkrouter erforderlich ist. Durch Ausführen einer Anwendung auf einem entfernten Computer oder durch Einloggen über die sichere Website ist es möglich, auf die Netzwerkgeräte innerhalb des Hauses zuzugreifen.
Dafür gibt es verschiedene Anwendungen:
Gira S1- ein spezielles Fernzugriffsgerät. Dieses wird in der ETS konfiguriert und stellt, sobald es eingerichtet ist, eine sichere ausgehende Verbindung zum Gira Portal her. Es kann nicht nur für E-Mail-Benachrichtigungen und die Fernprogrammierung verwendet werden, sondern lässt sich auch in die Visualisierungslösungen Gira X1 und Gira HomeServer integrieren, so dass Endnutzer einfach und sicher eine Verbindung zu ihrer Installation herstellen können.
Jung IP Interface - mit dem Erwerb einer Lizenz können Jung IP Interfaces schnell für den Fernzugriff zur Programmierung von Geräten am KNX Bus konfiguriert werden. Konfiguriert über ein ETS-Plugin und mit der Option für den Hausbesitzer, den Fernzugriff zu aktivieren, ist dies eine großartige Möglichkeit, das System aus der Ferne zu warten, insbesondere wenn kein separater KNX-Server verwendet wird.
Basalte Core Mini - mMit dem Basalte Core mini wird die Remote-Verbindung von einem Standalone-Bus-Gerät, das diese Funktionalität integriert hat. Zusammen mit den Basalte Live Cloud Services bietet dies eine sichere Fernverbindung für die Programmierung und Benutzersteuerung. Und wenn Sie über eine local IP iSchnittstelle verfügen, können Sie damit auch KNX-Geräte programmieren.
Dies sind nur einige Beispiele. Die meisten KNX Hersteller bieten heute eine Methode an, um ihre Produkte und das gesamte KNX System sicher mit der Außenwelt zu verbinden.
Die drei oben genannten Lösungen sind alle in dieser Grafik der KNX Association zusammengefasst.
KNX Secure
Die oben genannten sicheren Verbindungsmethoden sind gut etabliert und werden seit vielen Jahren eingesetzt, um den Schutz von Projekten zu gewährleisten. Aber es gibt noch einen anderen Weg. KNX Secure bietet zwei zusätzliche Methoden, um ein Projekt zu sichern, und da alle Hersteller diese Methoden unterstützen, wird es schnell zum de facto Ansatz. Noch besser: Es schafft die Möglichkeit, mehrere Sicherheitsebenen zu implementieren, die es nahezu unmöglich machen, KNX zu hacken.
KNX-Daten sicher
Die erste ist KNX Data Secure, die es ermöglicht, Geräteobjekte mit einer Sicherheitsschicht zu versehen. Unter Verwendung von Industriestandard-Sicherheitsalgorithmen werden die Anwendungsdaten innerhalb eines KNX-Telegramms mit Schlüsseln verschlüsselt, die zwischen den Geräten ausgetauscht werden. Dies ist ein großartiges Werkzeug, um Schlüsselinformationen auf dem KNX-Bus zu sichern und zu verschlüsseln oder sogar den gesamten Bus unlesbar zu machen, wenn man nicht das Projekt mit den Schlüsseln hat.
KNX IP Secure
Die andere Methode ist KNX IP Secure. Dieser Ansatz nimmt das bestehende KNX IP Telegramm und verpackt es in einen Sicherheitsmantel, wiederum unter Verwendung eines Industriestandards. Die Hauptanwendung ist die Verschlüsselung der Kommunikation zwischen zwei oder mehreren IP-Routern, die zum Aufbau eines IP-Backbones verwendet werden. Es kann auch verwendet werden, um den Datenverkehr von der ETS oder externen Systemen zu einem IP-Router oder einer Schnittstelle zu verschlüsseln, so dass die gesamte IP-Kommunikation sicher ist.
Abschluss
Es kann so einfach sein, ein sicheres Gerät für den Fernzugriff hinzuzufügen oder ein System von Grund auf zu entwerfen, um die Vorteile mehrerer Sicherheitsebenen zu nutzen; so oder so, wenn Sie sicherstellen, dass Sie die Sicherheit als eine Schlüsselkomponente des Systems einbeziehen, wird sichergestellt, dass Ihre Kunden, Ihr Unternehmen und der allgemeine Ruf des KNX Systems geschützt sind. Es ist auch eine gute Gelegenheit, alte Projekte wieder aufzugreifen und ein Upgrade anzubieten, nicht nur für die Sicherheit, sondern auch für den Rest des Systems. So wird sichergestellt, dass auch ältere Projekte geschützt werden, und es ist eine großartige Gelegenheit, alte Kunden wieder anzusprechen.
Da es so viele Möglichkeiten gibt, ein KNX Projekt abzusichern, gibt es wirklich keine Entschuldigung dafür, KNX Projekte, ob vergangen, gegenwärtig oder zukünftig, für Angriffe offen zu lassen. Wenn wir alle dies unterstützen und das Richtige für unsere Kunden tun, dann werden wir als Industrie auch geschützt sein.
Mark Warburton ist Direktor von Ivory Egg (UK) Ltd, einem Anbieter von führenden KNX Produkten und Anbieter von KNX Schulungskursen.
