Mark Warburton erläutert die Grundlagen von KNX Secure und erklärt Schritt für Schritt, wie KNX Secure Systeme in der ETS konfiguriert werden.
Es gibt viele Dinge, die KNX von anderen Systemen abheben - das Wichtigste ist die Standardisierung des Systems, die sich in einer über 30-jährigen Rückwärtskompatibilität zeigt. Dass die KNX Association in der Lage war, dies beizubehalten, verdient große Anerkennung, insbesondere wenn man bedenkt, wie sehr sich das System trotz dieses Grundprinzips weiterentwickelt und erweitert hat. Nirgendwo ist dies so wichtig wie bei der Implementierung von KNX Secure. KNX Secure ist mittlerweile ein ausgereifter Teil des Systems und ermöglicht es, sowohl die Kommunikation zwischen den Geräten als auch die IP-Kommunikation mit dem System zu verschlüsseln, so dass das System nur für autorisierte Benutzer zugänglich ist.
Nachdem nun zahlreiche KNX Secure Produkte auf den Markt gekommen sind, wollen wir einen Blick darauf werfen, wie man diese Produkte in der ETS konfiguriert. Aber zuerst ein kurzer Überblick darüber, was KNX Secure ist.
KNX Secure Grundlagen
KNX Secure ist eine Erweiterung des KNX-Standards, die es ermöglicht, IP-Kommunikation oder Telegramme auf dem Bus mit AES128-Verschlüsselung zu verschlüsseln. Der Bedarf dafür ist entstanden, da die Verbraucher sichere Lösungen fordern. Obwohl es schon immer möglich war, einen sicheren Fernzugriff auf eine KNX Installation mit Hilfe von Standard-IP-Ansätzen wie VPNs (Virtual Private Networks) einzurichten, gibt es immer noch zahlreiche KNX Installationen auf der ganzen Welt, die für einen offenen Zugriff aus dem Internet konfiguriert wurden, entweder versehentlich oder absichtlich, um den Fernzugriff zu erleichtern. Da dies ein inhärentes Sicherheitsrisiko für einzelne Projekte und den Ruf von KNX als robustes System darstellt, haben sowohl die Hersteller als auch die KNX Association eine eingebettete Sicherheitsschicht entwickelt und implementiert, die es ermöglicht, Projekte von Grund auf sicher zu machen. KNX Secure hat zwei Aspekte, nämlich IP Secure und Data Secure.
KNX IP Secure
KNX IP Secure verschlüsselt den gesamten KNX IP Verkehr in einen Sicherheitspaket, das sicherstellt, dass nur autorisierte Geräte und Anwendungen die Nachrichten lesen können. Nachrichten lesen können. Dies gilt für Multicast- oder Tunneling-Verbindungen und kann auch auch für ETS-Inbetriebnahme-Verbindungen gelten, so dass alle Downloads zu Geräten geschützt sind. geschützt sind.
KNX Data Secure
KNX Data Secure arbeitet auf der Ebene der einzelnen Objektebene und ermöglicht die Verschlüsselung der Daten in einzelnen Telegrammen über alle Kommunikationsmedien verschlüsselt werden. Dies kann genutzt werden, um sensible Daten zu schützen oder um den den Zugriff auf zentrale systemweite Funktionen zu beschränken, während der Rest des KNX System in der Standardform kommuniziert.
In beiden Fällen gibt es verschiedene Sicherheits Mechanismen, die sicherstellen, dass Telegramme nicht manipuliert oder wiederholt werden können, und die KNX Association hat hart gearbeitet, um sicherzustellen, dass die Konfiguration so einfach wie möglich ist die Konfiguration so einfach wie möglich zu gestalten und gleichzeitig ein Höchstmaß an Schutz zu gewährleisten.
Um mit KNX Secure Produkten zu arbeiten, ist es mit der neuesten Version der ETS zu arbeiten, entweder ETS 5.7.6 oder, idealerweise mit der neu erschienenen ETS6.
KNX Secure konfigurieren
In diesem Beispiel werden wir uns ansehen, wie man eine sichere IP-Backbone-Linie mit einem IP-Router zu erstellen, der auch Tunneling Verbindungen unterstützt. Wir werden auch sehen, wie man eine Data Secure Group Address erstellt.
Bevor Sie überhaupt KNX Secure Geräte zur ETS hinzufügen können, müssen Sie ein Projektpasswort auf der Registerkarte "Hauptdetails" hinzufügen. Da die ETS quasi der Administrator in einer sicheren Installation ist, ist es wichtig, dass der Zugriff ohne Erlaubnis nicht möglich ist.
Hinzufügen des FDSK
Der nächste Schritt ist das Hinzufügen des Factory Default Shared Key (FDSK) von sicheren Produkten in die ETS einzufügen. Dies ist der Standardschlüssel, der auf einem Gerät aufgedruckt ist und/oder auf einer separaten Karte mitgeliefert wird und zur ein Gerät anfänglich zu autorisieren. Nach dieser ersten Verwendung verwendet die ETS Geräteschlüssel, die nur den sicheren Geräten und der ETS bekannt sind.
Der FDSK kann der ETS entweder auf der Hauptregisterkarte Sicherheit oder beim Hinzufügen einzelner sicherer Geräte hinzugefügt werden. In beiden Fällen können Sie eine USB-Kamera oder einen Handscanner zum Lesen der QR-Codes verwenden, um sich die Eingabe des 32-stelligen Codes zu sparen.
Produkte hinzufügen
Wenn Sie die Schlüssel bereits hinzugefügt haben, werden Sie beim wenn Sie die Produkte aus dem Katalog hinzufügen, wird immer noch nach dem FDSK gefragt, da dieser nur bei der Adressierung des Geräts verknüpft wird. Es ist jedoch möglich, diese Abfrage auszublenden Aufforderung auszublenden. Sie werden feststellen, dass bei der Suche nach KNX Secure Geräten im Katalog, diese mit einem Vorhängeschloss angezeigt werden.
Aktivierung der KNX IP Secure Funktionen
Sobald sich die Produkte im Projekt befinden, können Sie die sicheren Funktionen auf der Haupt- oder Backbone-Linie aktivieren, indem Sie sie in der Topologieansicht auswählen und dann die Einstellung auf der Registerkarte Detail ändern. Wenn Sie die Einstellung auf automatisch setzen, verwendet die ETS die Sicherheitsfunktion, wenn dies möglich ist, d.h. wenn alle Geräte sie unterstützen.
Die restlichen Einstellungen werden an den einzelnen Geräten vorgenommen. Sie können auf der Registerkarte "Haupteinstellungen" die sichere Inbetriebnahme wählen und dann auf der Registerkarte "IP" ein Passwort hinzufügen.
Sie können die Sicherheit für einzelne Tunnelverbindungen auch separat aktivieren, entweder für die Inbetriebnahme oder für die Verbindung von Fremdsystemen. In diesem Fall müssen Sie einen Authentifizierungscode auf der Registerkarte IP des Hauptgeräts (siehe Bild oben) sowie ein Passwort für jede Tunnelverbindung (siehe Bild unten) hinzufügen.
Die Möglichkeit, diese einzeln zu aktivieren, ist ist wichtig, da es bedeutet, dass das System weiterhin mit externen Systemen arbeiten kann, die die KNX Secure noch nicht unterstützen. Da dies nicht in den Zuständigkeitsbereich der KNX Association liegt, wird der Markt Druck auf Drittanbieter ausüben müssen, damit auf den KNX Secure Standard zu aktualisieren.
Aktivierung der KNX Data Secure Funktionen
KNX Data Secure ist noch einfacher zu handhaben. In der Registerkarte Einstellungen einer Gruppenadresse können Sie die Sicherheit auf Automatisch setzen. Solange alle Objekte von sicheren Geräten stammen, wird die Sicherheit dann automatisch für diese spezifische Gruppenadresse verwendet.
Diagnose
Da die ETS, und das Projekt, die Sicherheitsdetails enthalten, müssen alle Diagnosen innerhalb der Projektumgebung durchgeführt werden Umgebung durchgeführt werden, um sicherzustellen, dass die Schlüssel verwendet werden können.
Abschluss
Mit allen neuen KNX Produkten, die KNX Data Secure unterstützen und eine große Auswahl an IP Secure Geräten verfügbar ist, ist es jetzt ist es nun möglich, ein KNX System für Personen mit bösartigen Absichten unzugänglich zu machen. schändlichen Absichten. Wenn es in ein Projekt eingeplant wird, ist es unglaublich einfach zu und wird schnell zur zweiten Natur für diejenigen, die regelmäßig mit KNX arbeiten. KNX ARBEITEN.
KNX Secure bietet eine großartige Gelegenheit, um zu zeigen, wie KNX den Weg für Gebäudeautomationslösungen ebnet, selbst mit der zusätzlichen der zusätzlichen Komplexität einer standardisierten Lösung mit offenem Protokoll.
Mark Warburton ist Direktor von Ivory Egg (UK) Ltd, einem Anbieter von führenden KNX Produkte und Anbieter von KNX Schulungskursen.
