Die KNX-Profis Andy Ellis und Julio Díaz García zeigen die Fallstricke eines unsicheren Systems auf und wie man sie durch Investitionen in grundlegende IT-Kenntnisse vermeiden kann.
Wenn Ihr KNX System mit der Außenwelt verbunden ist, sind Sie sicher, dass es sicher ist? Wenn nicht, was sind die möglichen Konsequenzen? Zunächst sprechen wir mit Andy Ellis über seine Erfahrungen bei einem kürzlichen Ereignis, bei dem eine KNX Installation gehackt wurde. Danach folgt Julio Diaz' Julio Diaz' Rat, wie man diese Situation durch den Einsatz geeigneter IT-Mechanismen für die Kommunikation vermeiden kann. Kommunikation.
Was passiert, wenn Ihr System nicht sicher ist?
Andy Ellis: Das erste, woran man bei einer in Bezug auf eine Sicherheitslücke ist die Fähigkeit des Hackers, Daten vom KNX-Bus. Ich frage mich, was jemand mit diesen Informationen machen würde, aber Tatsache ist Tatsache ist, dass ohne ein sicheres KNX System externe Quellen Zugang zu diesen Daten haben können. Daten haben.
Zweitens besteht bei einem unsicheren System die Möglichkeit, dass ein Dritter Daten an das System sendet. Damit besteht die Möglichkeit, dass die Programmierung beschädigt wird oder, noch schlimmer, dass eine bestimmte Komponente oder Komponenten beschädigt werden. An dieser Stelle halte ich es für angebracht, meine Erfahrungen mit den jüngsten Ereignissen weiterzugeben.
Wir hatten einen Anruf von einem Standort, an dem die gesamte Beleuchtungssteuerung und zufällig auch die Heizung ausgefallen war. Die Anlage war weit über zehn Jahre alt und funktionierte bis zu diesem Ereignis einwandfrei. Es war zwar eine Kopie der ETS-Datei vorhanden, aber es gab keine andere Dokumentation des früheren Installateurs.
Feststellen, wo das Problem liegt
Unsere ersten Versuche, eine Diagnose zu stellen, erfolgten telefonisch und per E-Mail, und erste Anzeichen deuteten darauf hin, dass es sich möglicherweise um ein Problem mit der Stromversorgung oder dem Bus handelte. Ein Besuch war erforderlich, um die Sache weiter zu verfolgen. Eine schnelle visuelle Inspektion ergab, dass keine Netzunterbrecher ausgelöst worden waren, die Raumregler und Schalter waren mit Strom versorgt (sie hatten aktive Bildschirme und/oder leuchtende LEDs). An den Hauptverteilern befanden sich ebenfalls Relais und Dimmer, deren LEDs in verschiedenen Zuständen leuchteten. Hmmm. Vielleicht ist es also kein Stromversorgungsproblem. Nachdem ich die Busspannung überprüft und dann die Stromversorgung abgeschaltet und isoliert habe, scheint die Busspannung in Ordnung zu sein. Seltsam.
Was ist also mit dem Bus verbunden? Vielleicht gibt es einen Kurzschluss oder eine Form der Beschädigung. Eine weitere Untersuchung zeigt eine aktive IP-Schnittstelle und ein "Logikmodul eines Drittanbieters" (mit Ethernet-Anschluss) sowie eine Verbindung zu einem Automatisierungssystem eines Drittanbieters, das über seine Displays eine Beleuchtungs- und Heizungssteuerung ermöglicht. Die physische Trennung dieser Geräte hat keine Auswirkung auf den Zustand des Systems.
ETS-Diagnose
Können wir also einen Laptop anschließen und die ETS-Diagnose nutzen? Nun ja ... und ein Zeilenscan zeigt eine ganze Reihe von aktiven Komponenten. Bei näherer Betrachtung der der Eigenschaften der einzelnen Komponenten stellen wir fest, dass bestimmte Elemente - die, die die nicht funktionieren - wie z.B. Raumregler, Schalter und Dimmer, keine Gruppenadresstabelle haben! Das wird dann wohl der Grund sein, warum sie nicht funktionieren!
Eine weitere Analyse zeigt, dass diese fehlerhaften Komponenten kein Programm akzeptieren Download akzeptieren, da sie 'BCU pass' aktiviert haben (aber es ist nicht im Programm aktiviert, und wurde nach bestem Wissen und Gewissen auch nie aktiviert). Die EINZIGE Möglichkeit, diese diese Geräte neu zu programmieren, ist ein Zurücksetzen auf die Werkseinstellungen. Und wissen Sie was? A Ein Großteil der einzelnen KNX-Komponenten kann nicht auf die Werkseinstellungen zurückgesetzt werden. Das Ergebnis Endresultat ist eine Anlage, die völlig unbrauchbar ist und viele Tausende von Pfund an neuen Komponenten, um sie zu reparieren, plus natürlich die Arbeit des Technikers/Programmierers. Arbeit.
Wie kam es also zu diesem katastrophalen Ausfall? Ich weiß es nicht, und wahrscheinlich werde ich es nie erfahren. werde ich es nie erfahren. Es ist jedoch sehr wahrscheinlich, dass das System über eine IP-Schnittstelle mit Fernverbindung verfügte. über eine IP-Schnittstelle mit Remote-Verbindung verfügte, eine Art Remote-"Angriff" stattfand. stattgefunden hat.
Lektionen gelernt: Erstens, muss Ihr KNX System mit der Außenwelt verbunden sein? Außenwelt? Wenn Sie dies in Erwägung ziehen, was sind dann die Vorteile? Und wenn Wenn Sie sich für eine IP-Verbindung entscheiden, würde ich Ihnen raten, sich zu informieren und die volle Tragweite eines sicheren Systems zu verstehen. Es könnte sein, dass der Fernzugriff Fernzugriff auf Ihr System zum Abrufen von Daten weniger bedenklich ist als ein böswilliger Fernzugriff Fernzugriff auf Ihr System mit dem Ziel, die Daten auf irgendeine Weise zu verändern.
Wie Sie Ihr System sicher machen, wenn Sie Ihr KNX System mit der Außenwelt verbinden müssen Außenwelt zu verbinden
Julio Díaz García: Erstens, Ich muss den Grundsatz unterstreichen, dass KNX eine "offene und sichere" Technologie ist. Wir müssen jedoch sicherstellen, dass wir die entsprechenden Kriterien und Werkzeuge anwenden. die uns die KNX Association und das ETS Tool zur Verfügung stellen, um diesen Grundsatz zu garantieren. Grundsatz. Die Möglichkeit des Fernzugriffs auf Anlagen ist ein Vorteil, den KNX bietet und in vielen Fällen eine Notwendigkeit ist. In Haushalten zum Beispiel macht es das Leben Überwachung, Fernänderung von Sollwerten, Empfang von Alarmen und Sollwerte, Empfang von Alarmen und Warnungen, usw. Für Gebäude kann es eine 24/7-Fernwartung, wenn der Verwalter, der Eigentümer oder der Integrator ihre Einrichtungen verwalten müssen, ohne unnötige Reisen zu unternehmen.
Sicheren Zugang gewährleisten
Bevor wir uns dazu äußern was wir tun können, um eine sichere und aus der Ferne zugängliche Installation zu erreichen, muss ich betonen, was NIEMALS getan werden sollte: den Fernzugriff über den UDP-Port 3671. Dieser Punkt ist Hackern bekannt und kommt einem "roten Teppich" für diese unerwünschten Gäste.
Ein weiteres Werkzeug dem Integrator zur Verfügung steht, ist der BCU Key, der seit vielen Jahren für alle KNX-Geräte (außer den sehr alten System-1-Geräten). Mein Rat ist, dass die Geräte immer mit einem BCU-Schlüssel programmiert werden, da der Angreifer das Passwort unter 4,29 Milliarden Möglichkeiten erraten müsste. Die Verwendung des BCU-Schlüssels ist nicht lästig für den Integrator nicht lästig, da die ETS ihn nie abfragt, wenn das ursprüngliche ETS-Projekt verwendet wird. verwendet wird.
Um einen sicheren Zugang zu einer KNX-Installation zu ermöglichen, gibt es mehrere Möglichkeiten:
1) Konfigurieren Sie eine VPN Verbindung auf dem Installationsrouter. Dies ist die beste Option, kann aber manchmal für regelmäßige Integratoren komplex sein.
2) KNX IP Gateways verwenden die die Konfiguration von sicheren VPN-Diensten wie OpenVPN, ZeroTier usw. ermöglichen.
3) Verwenden Sie KNX IP Zugangsgeräte Geräte mit verschlüsselter Kommunikation.
4) Verwenden Sie KNX TP Geräte mit IP (nicht-KNX-Standard) Cloud-Verbindung.
5) Für mittlere und große Installationen verwenden Sie eine BMS-Plattform mit einem nativen KNX-Treiber, der die sichere Integration und Überwachung von massiven KNX-Installationen ermöglicht.
Diese Methoden sind zielen darauf ab, das von Andy zu Beginn dieses Artikels beschriebene Szenario zu vermeiden. Artikel beschriebenen Szenario zu vermeiden, das meiner Meinung nach das gefährlichste und derzeit einfachste für Hacker, wenn nicht die entsprechenden Maßnahmen ergriffen werden. Zusätzlich ist die Verwendung von KNX IP Secure und KNX Data Secure Geräte in den Anlagen jedes weitere Bedrohungsszenario lösen. zusätzliche Bedrohungsszenario, das entstehen kann.
Offen, sicher und Verbunden
Die KNX Association bietet eine Vielzahl von Informationen über die Sicherheit von Anlagen in Form von Broschüren, Videos und Webinaren. Darüber hinaus bieten die KNX Schulungszentren KNX Partnern und anderen eine Reihe von hilfreichen Kursen an, darunter die KNX Fortgeschrittenenschulung und die neue KNX Refresher-Schulung, die ein Kapitel enthält, das sich mit den alle oben genannten Themen. All dies soll sicherstellen, dass KNX Installationen auf der ganzen Welt auf dem neuesten Stand der Technik sind, während sie offen, sicher und verbunden bleiben.
Andy Ellis ist Gründer und Geschäftsführer von Household Automation Ltd. und dessen Schwesterunternehmen Knxion Ltd, einem Unternehmen, das Beratung, Design, Installation und Nachsorge für Gebäudeautomation anbietet, Installation und Nachbetreuung für Kunden, die sich mit dem Bau von Wohn- und Gewerbeimmobilien beschäftigt sind.
www.household-automation.co.uk
Julio Díaz ist Wirtschaftsingenieur und Inhaber von SAPIENX AUTOMATION, einem spanischen Ingenieur- und Beratungsunternehmen und einer KNX++ zertifizierten Schulungsstätte mit 25 Jahren Erfahrung in der Haus- und Gebäudeautomation und BMS-Lösungen.
