22. Nov 2021
Tras años de avisos sobre los riesgos de dejar abiertos los puertos de red, KNX Association ha comunicado recientemente que hay informes de sistemas pirateados. Incluso si todos los proyectos modernos se han configurado de forma segura, todavía hay multitud de proyectos heredados que pueden haberse instalado de formas menos seguras, por lo que todos tenemos que trabajar para garantizar la protección de los usuarios finales de KNX y de la reputación de la industria.
La buena noticia es que hay múltiples formas de garantizar la seguridad de una instalación KNX permitiendo al mismo tiempo el acceso remoto para los usuarios y el mantenimiento. Es incluso posible bloquear el sistema dentro de la propiedad, lo que demuestra que KNX es uno de los sistemas más seguros del mercado.
Antes de analizar las formas de asegurar un sistema KNX, exploremos rápidamente los problemas para que todos partamos del mismo nivel.
Sistemas KNX no seguros
Suponiendo que use los puertos estándar (3671) o la dirección de multidifusión (224.0.23.12) en una interfaz o router IP es posible abrir los mismos puertos en el cortafuegos, lo cual hace que el sistema KNX sea inmediatamente accesible desde el exterior. Si se deja sin ninguna protección adicional, por ejemplo, aceptar solo conexiones desde una dirección IP específica, entonces cualquier persona con herramientas básicas de piratería podrá encontrar la conexión abierta y potencialmente obtener acceso al sistema KNX. Si por alguna razón este método de conexión es la única opción posible, entonces incluso el paso básico de cambiar los puertos predeterminados resultará de ayuda. Sin embargo, debe evitarse este método de conexión siempre que sea posible, especialmente porque hay formas mucho mejores de proporcionar acceso remoto.
Acceso VPN
Un método consolidado de acceso remoto seguro es crear una VPN (red privada virtual, por sus siglas en inglés) como túnel seguro hasta el sistema. Una vez que se ha utilizado la autenticación para conectarse, estará conectado en local de manera efectiva dentro del edificio, lo que le permitirá realizar los cambios necesarios o conectar las Apps o la visualización.
Una manera de crear una VPN es usar un router de red que tiene un servidor VPN embebido. En la mayoría de las instalaciones de varios sistemas en el hogar, por ejemplo, AV, CCTV y KNX, es más probable que la red esté completamente administrada y el router sea capaz de ejecutar la conexión VPN. En instalaciones más pequeñas o en los casos donde el propietario no esté dispuesto a instalar un router más avanzado que la unidad estándar proporcionada por el proveedor de servicios de internet, se necesita otra solución.
En ese caso, es posible instalar un servidor VPN aparte dentro de la propiedad. Un buen ejemplo de ello es el Gira X1, que tiene un servidor OpenVPN embebido. La instalación es bastante sencilla, su única complicación importante es la necesidad de abrir algunos puertos en el router. Sin embargo, a diferencia de la apertura de puertos directamente a una interfaz o un router KNX, el X1 requiere credenciales para evitar el acceso no autorizado. A través del X1 y el servidor OpenVPN, es posible permitir no solo el acceso para el control remoto de la aplicación X1, sino también el acceso a dispositivos del resto de la red tales como el sistema KNX o una cámara CCTV.
Acceso remoto basado en la nube o basado en objetos
Funciona de manera similar a una VPN y es compatible con una amplia gama de fabricantes, pero en lugar de un túnel, usa un dispositivo local y una página web segura para codificar todo el tráfico de entrada y salida de la instalación. Puesto que el dispositivo realiza la primera conexión fuera del edificio, se crea una ruta segura, lo que significa que no se requiere configuración en el router de red. Se puede acceder a los dispositivos de red dentro del hogar, ya sea ejecutando una aplicación o iniciando sesión en un sitio web seguro.
Hay diferentes aplicaciones para esto:
Gira S1: un dispositivo de acceso remoto dedicado. Esto se configura en ETS y, una vez configurado, establece una conexión saliente segura al portal Gira. No solo se puede utilizar para notificaciones por correo electrónico y programación remota, sino que también se integra con las soluciones de visualización Gira X1 y Gira HomeServer, por lo que los usuarios finales pueden conectarse de forma sencilla y segura a su instalación.
Interfaz IP de Jung: con la compra de una licencia, las interfaces IP de Jung se pueden configurar rápidamente para el acceso remoto de los dispositivos de programación en el bus KNX. La configuración a través de un plugin ETS, con la opción de que el propietario de la vivienda habilite el acceso remoto, es una excelente forma de mantener el sistema de manera remota, particularmente cuando no se está utilizando un servidor KNX separado.
Basalte Core Mini: integra la funcionalidad de mover la conexión remota desde un dispositivo bus autónomo. Junto con los servicios de Basalte Live Cloud, esto proporciona una conexión remota segura para la programación y el control de usuario. Y si dispone de una interfaz de IP local, puede también usarla para programar los dispositivos KNX.
Estos son solo algunos ejemplos. La mayoría de los fabricantes proporcionan ahora un método para conectar de manera segura sus productos y el sistema KNX en general al mundo exterior.
KNX Secure
Los métodos de conexión segura antes mencionados están bien consolidados y llevan usándose muchos años para garantizar la protección de los proyectos. Pero hay otra manera. KNX Secure ofrece dos métodos adicionales para proteger un proyecto, y con el apoyo de todos los fabricantes se están convirtiendo rápidamente en el enfoque de facto. Mejor aún, estos crean la posibilidad de implementar múltiples capas de seguridad, haciendo que sea casi imposible piratear KNX.
KNX Data Secure
El primero es KNX Data Secure, que permite que los objetos del dispositivo tengan una capa de seguridad. Mediante algoritmos de seguridad que corresponden a la norma de la industria, los datos de la aplicación dentro de un telegrama KNX se codifican usando claves compartidas entre dispositivos. Esta es una gran herramienta para asegurar y codificar la información clave en el bus KNX, o incluso hacer que todo el bus sea ilegible para quien no tenga el proyecto con las claves.
KNX IP Secure
El otro método es KNX IP Secure. Este enfoque toma el telegrama KNX IP existente y lo envuelve en una manta de seguridad, nuevamente utilizando un enfoque acorde a la norma de la industria. La principal aplicación de esto es codificar la comunicación entre dos o más routers IP que se utilizan para crear una línea de áreas de IP. También se puede usar para codificar el tráfico desde ETS o desde los sistemas externos hasta un router o una interfaz IP, lo cual garantiza la seguridad de todas las comunicaciones IP.
Conclusión
Puede ser tan sencillo como añadir un dispositivo seguro para acceso remoto o diseñar un sistema desde cero para aprovechar múltiples capas de seguridad; en cualquier caso, asegurarse de incluir la seguridad como un componente clave del sistema garantizará que sus clientes, su negocio y la reputación del sistema KNX en general estén protegidos. Es también una gran oportunidad de revisar proyectos antiguos y ofrecer una actualización, no solo de la seguridad, sino también del resto del sistema. Esto garantizará incluso la protección de los proyectos heredados y es una gran oportunidad de restablecer el compromiso con antiguos clientes.
Con tantas formas de proteger un proyecto KNX, no hay excusa para dejar los proyectos KNX, ya sean pasados, presentes o futuros, expuestos a un ataque. Si todos apoyamos esto y hacemos lo correcto por nuestros clientes, también estaremos entonces protegidos como industria.
Mark Warburton es director de Ivory Egg (UK) Ltd, un proveedor de destacados productos KNX y cursos de formación en materia de KNX.