Sicherheit: Konfigurieren von KNX Secure-Systemen in ETS

Mark Warburton erklärt die Grundlagen von KNX Secure und erklärt Schritt-für-Schritt, wie KNX Secure-Systeme in ETS konfiguriert werden.

Es gibt viele Dinge, die KNX von anderen Systemen abheben - der Schlüssel ist die Standardisierung des Systems, das sich durch mehr als 30 Jahre Abwärtskompatibilität auszeichnet. Dass dies der KNX Association gelungen ist, verdient große Anerkennung; insbesondere wenn man bedenkt, wie sehr sich das System trotz dieses Leitprinzips weiterentwickelt und erweitert hat. Nirgendwo ist dies relevanter als bei der Implementierung von KNX Secure.

Als ausgereifter Teil des Systems ermöglicht es KNX Secure, sowohl die Kommunikation zwischen verschiedenen Geräten als auch die IP-Kommunikation mit dem System zu verschlüsseln, wodurch das System außer für autorisierte Benutzer gesperrt wird.

Da nun unzählige KNX Secure-Produkte auf dem Markt sind, schauen wir uns an, wie diese Produkte in ETS konfiguriert werden können. Doch hier zuerst ein kurzer Überblick darüber, was KNX Secure ist.

Grundsätzliches zu KNX-Secure

KNX Secure ist eine Erweiterung des KNX-Standards, die es ermöglicht, IP-Kommunikation oder Telegramme auf dem Bus mit AES128-Verschlüsselung zu kodieren. Da die Verbraucher sichere Lösungen verlangen, ist dies notwendig geworden. Obwohl es schon immer möglich war, mithilfe von Standard-IP-Ansätzen wie VPNs (Virtual Private Networks) einen sicheren Fernzugriff auf eine KNX-Installation zu erhalten, gibt es weltweit immer noch zahlreiche KNX-Installationen, die für einen freien Zugang aus dem Internet konfiguriert wurden - entweder versehentlich oder absichtlich, um den Fernzugriff zu erleichtern. Dies birgt ein inhärentes Sicherheitsrisiko für einzelne Projekte und den Ruf von KNX als robustes System. So haben sowohl die Hersteller als auch die KNX Association eine integrierte Sicherheitsschicht entwickelt und implementiert, mit der Projekte von Grund auf gesichert werden können.

KNX Secure beinhaltet zwei Aspekte: IP Secure und Data Secure.

KNX IP Secure

KNX IP Secure verschlüsselt den gesamten KNX IP-Datenverkehr in einem Sicherheitswrapper, sodass nur autorisierte Geräte und Anwendungen die Nachrichten lesen können. Dies gilt für Multicast- oder Tunneling-Verbindungen und kann auch für ETS-Inbetriebnahmeverbindungen gelten, damit alle Downloads zu den Geräten geschützt sind.

KNX Data Secure

KNX Data Secure arbeitet auf der Ebene einzelner Objekte, sodass die Daten in den einzelnen Telegrammen über alle Kommunikationsmedien hinweg verschlüsselt werden können. Dies kann zum Schutz sensibler Daten oder zur Zugriffsbeschränkung auf zentrale systemweite Funktionen eingesetzt werden, während das verbleibende KNX-Systems auf die übliche Weise kommuniziert.

In beiden Fällen gibt es verschiedene Sicherheitsmechanismen, die dafür sorgen, dass Telegramme nicht manipuliert oder wiederholt werden können. Die KNX Association hat sich bemüht, die Konfiguration so einfach wie möglich zu gestalten und gleichzeitig ein Höchstmaß an Schutz zu gewährleisten.

Um mit KNX Secure-Produkten arbeiten zu können, ist es wichtig, die neueste ETS-Version zu verwenden, entweder ETS 5.7.6 oder idealerweise das neu herausgekommene ETS6.

Konfiguration von KNX Secure

In diesem Beispiel sehen wir uns an, wie man eine sichere IP-Backbone-Leitung erstellt, wobei der IP-Router auch Tunnelverbindungen unterstützt. Wir werden außerdem sehen, wie eine datensichere Gruppenadresse (Data Secure Group Address) erstellt wird.

Bevor Sie KNX Secure-Geräte zu ETS hinzufügen können, müssen Sie auf der Registerkarte „Details" ein Projektpasswort angeben. Da ETS tatsächlich der Administrator in einer sicheren Installation ist, ist es wichtig, dass kein Zugriff ohne Erlaubnis möglich ist.

Hinzufügen des FDSK

Der nächste Schritt besteht darin, den Factory Default Shared Key (FDSK) von sicheren Produkten in ETS hinzuzufügen. Dies ist der Standardschlüssel, der auf einem Gerät abgedruckt und/oder auf einer separaten Karte bereitgestellt wird und zur erstmaligen Autorisierung eines Geräts verwendet wird. Nach dieser ersten Verwendung nutzt das ETS Geräteschlüssel, die nur den sicheren Geräten und dem ETS bekannt sind.

Der FDSK kann entweder in der Haupt-Registerkarte „Sicherheit" oder beim Hinzufügen einzelner sicherer Geräte zum ETS angegeben werden. In jedem Fall können Sie die QR-Codes mit einer USB-Kamera oder einem Handscanner lesen, um sich die Eingabe des 32-stelligen Codes zu ersparen.

Produkte hinzufügen

Wenn Sie die Schlüssel bereits hinzugefügt haben, werden Sie beim Hinzufügen der Produkte aus dem Katalog immer noch zur Eingabe des FDSK aufgefordert, da dieser nur verknüpft ist, wenn das Gerät angesprochen wird. Es ist jedoch möglich, diese Eingabeaufforderung auszublenden. Sie werden feststellen, dass KNX Secure-Geräte im Katalog bei der Suche mit einem Vorhängeschloss angezeigt werden.

Aktivierung von KNX IP Secure-Funktionen

Sobald sich die Produkte im Projekt befinden, können Sie sichere Funktionen auf der Haupt- oder Backbone-Leitung aktivieren, indem Sie sie in der Topologieansicht auswählen und dann die Einstellung auf der Registerkarte „Details" ändern. Durch die Einstellung auf „automatisch" nutzt das ETS nach Möglichkeit Sicherheit, d. h. sofern alle Geräte sie unterstützen.

Die restlichen Einstellungen werden für die einzelnen Geräten vorgenommen. Sie können auf der Registerkarte „Haupteinstellungen" die sichere Inbetriebnahme verwenden und dann auf der Registerkarte „IP" ein Passwort angeben.

Sie können die Sicherheit auch für einzelne Tunneling-Verbindungen separat aktivieren, entweder für die Inbetriebnahme oder für den Anschluss von Fremdsystemen. In diesem Fall müssen Sie auf der IP-Registerkarte des Hauptgeräts einen Authentifizierungscode sowie ein Passwort für jede Tunneling-Verbindung angeben (siehe Abbildungen in Link am Ende des Artikels).

Die Möglichkeit, diese einzeln aktivieren zu können, ist wichtig, da das System weiterhin mit externen Systemen betrieben werden kann, die KNX Secure noch nicht unterstützen. Da dies nicht in den Zuständigkeitsbereich der KNX Association fällt, wird der Markt auf Drittanbieter von Lösungen Druck ausüben, um auf den KNX Secure-Standard zu aktualisieren.

Aktivierung von KNX Data Secure-Funktionen

Mit KNX Data Secure lässt sich noch einfacher arbeiten. Auf der Registerkarte Einstellungen einer Gruppenadresse können Sie die Sicherheit auf automatisch setzen. Solange alle Objekte von sicheren Geräten stammen, wird die Sicherheit für diese spezifische Gruppenadresse automatisch verwendet.

Diagnose

Da das ETS und das Projekt die Sicherheitsdetails enthalten, müssen alle Diagnosen innerhalb der Projektumgebung durchgeführt werden, um sicherzustellen, dass die Schlüssel verwendet werden können.

Fazit

Da KNX Data Secure von allen neuen KNX-Produkten unterstützt wird und ein umfangreiches Angebot an IP-Secure-Geräten zur Verfügung steht, ist es nun durchaus möglich, dass ein KNX-System für Personen mit böswilligen Absichten unzugänglich gemacht wird. Wenn es in ein Projekt eingebunden werden soll, ist es unglaublich einfach zu implementieren und wird denjenigen schnell in Fleisch und Blut übergehen, die regelmäßig mit KNX arbeiten.

KNX Secure bietet eine großartige Gelegenheit zu zeigen, wie KNX selbst bei der zusätzlichen Komplexität einer protokolloffenen, standardisierten Lösung den Weg für Gebäudeautomationslösungen ebnet.

Mark Warburton ist Direktor von Ivory Egg (UK) Ltd, einem Anbieter von führenden KNX-Produkten und Anbieter von KNX-Schulungskursen.

www.ivoryegg.co.uk