Seguridad: configuración de los sistemas KNX Secure en ETS

Mark Warburton explica los fundamentos de KNX Secure y detalla paso por paso cómo configurar los sistemas KNX Secure en ETS

Muchas cualidades hacen que KNX destaque sobre otros sistemas: la clave es la estandarización del sistema, que se ve representada por 30 años de compatibilidad retroactiva. El hecho de que KNX Association haya sido capaz de mantenerla tiene un gran mérito, especialmente si se tiene en cuenta lo mucho que el sistema ha evolucionado y se ha expandido a pesar de este principio clave. Esto tiene relevancia máxima a la hora de implementar KNX Secure. KNX Secure es ahora una parte madura del sistema, que permite codificar la comunicación entre dispositivos y la comunicación IP con el sistema, bloqueando el acceso al sistema para cualquier usuario no autorizado.

Veamos cómo configurar en ETS la gran cantidad de productos KNX Secure presentes en el mercado. Pero primero, pongámonos al día sobre KNX Secure.

Fundamentos de KNX Secure

KNX Secure es una extensión de la norma KNX que permite codificar la comunicación IP o los telegramas en el bus mediante la encriptación AES128. Esta necesidad ha surgido de la demanda por parte de los consumidores de soluciones seguras. Si bien siempre ha sido posible crear accesos remotos seguros a las instalaciones KNX mediante enfoques de IP estándar tales como VPN (redes privadas virtuales, por sus siglas en inglés), hay todavía multitud de instalaciones KNX por todo el mundo configuradas para acceso abierto desde internet, ya sea de manera inadvertida o deliberada, con el fin de facilitar el acceso remoto. Puesto que esto constituye un riesgo de seguridad inherente para los proyectos individuales y para la reputación en general de KNX como sistema robusto, tanto los fabricantes como KNX Association diseñaron en implementaron una capa de seguridad embebida que permitía realizar los proyectos de manera segura desde cero.

KNX Secure tiene dos aspectos, a saber, IP Secure y Data Secure.

KNX IP Secure

KNX IP Secure codifica todo el tráfico IP de KNX en una envoltura de seguridad que garantiza que solo los dispositivos y aplicaciones autorizados puedan leer los mensajes. Esto es cierto para conexiones de multidifusión o de tunnelling y puede aplicarse también a las conexiones de puesta en marcha de ETS de modo que todas las descargas y dispositivos estén protegidos.

KNX Data Secure

KNX Data Secure funciona al nivel del objeto individual, permitiendo la codificación de los datos en los telegramas individuales a través de todos los medios de comunicación. Esto puede utilizarse para proteger los datos sensibles o para restringir el acceso a las funciones generales del sistema central, dejando al resto del sistema KNX la comunicación estándar.

En ambos casos, existen diversos mecanismos de seguridad que garantizan que los telegramas no se puedan manipular o repetir, y KNX Association ha trabajado mucho para garantizar que la configuración sea lo más sencilla posible, manteniendo al mismo tiempo el máximo nivel de protección.Para trabajar con los productos de KNX Secure, es esencial usar la versión más reciente de ETS, tanto ETS 5.7.6 como, idealmente, el ETS6 recientemente lanzado.

Configuración de KNX Secure

En este ejemplo, veremos cómo crear una línea de áreas de IP segura con el router IP brindando también soporte a las conexiones de tunnelling. Veremos también cómo crear una dirección de grupo de Data Secure. Antes incluso de que pueda añadir dispositivos KNX Secure a ETS, deberá añadir una contraseña de proyecto en la pestaña de detalles principal. Puesto que ETS es de facto el administrador en una instalación segura, es fundamental que el acceso no sea posible sin permiso.

Añadir la FDSK

El siguiente paso es añadir la clave compartida predeterminada de fábrica (FDSK) de los productos seguros en ETS. Esta es la clave predefinida que está impresa en un dispositivo y/o se suministra en una tarjeta aparte, y se usa para la autorización inicial de un dispositivo. Después de este primer uso, ETS usa las claves del dispositivo que solo son conocidas para los dispositivos de seguridad y ETS.

La FDSK se puede añadir a ETS en la pestaña principal de seguridad o a medida que se añaden dispositivos de seguridad. En ambos casos, puede usar una cámara USB o un escáner portátil para leer los códigos QR y así no tener que teclear los 32 dígitos del código.

Añadir productos

Si ya ha añadido las claves, cuando añada los productos del catálogo se le seguirá solicitando la FDSK ya que esta solo estará vinculada cuando se direccione el dispositivo. Sin embargo, es posible ocultar esta petición. Notará que al buscar dispositivos KNX Secure en el catálogo, estos aparecerán con un candado.

Activación de las funciones KNX IP Secure

Una vez que los productos están en el proyecto, puede habilitar las funciones seguras en la línea principal o en la línea de áreas seleccionándolas en la vista de topología y luego cambiando la configuración en la pestaña de detalles. Al configurarlas en automático, ETS utilizará la seguridad cuando sea posible, es decir, cuando sea compatible con todos los dispositivos.

Los ajustes restantes se realizan en los dispositivos individuales. Puede elegir la puesta en marcha segura en la pestaña de configuración principal y luego añadir una contraseña en la pestaña de IP.

También puede habilitar la seguridad por separado en las conexiones de tunnelling individuales, tanto para la puesta en marcha como para la conexión de sistemas de terceros. En este caso, deberá añadir un código de autenticación en la pestaña de IP del dispositivo principal y una contraseña para cada conexión de tunnelling.Tener la posibilidad de habilitarlos individualmente es clave, ya que significa que el sistema aún puede funcionar con sistemas externos que aún no son compatibles con KNX Secure. Puesto que esto no encaja dentro del ámbito de KNX Association, el mercado presionará para que los proveedores de soluciones de terceros se actualicen al estándar KNX Secure.

Activación de las funciones KNX Data Secure

Trabajar con KNC Data es incluso más sencillo. En la pestaña de ajustes de una dirección de grupo, puede poner la seguridad en automático. A continuación, siempre que todos los objetos pertenezcan a dispositivos seguros, la seguridad se utilizará automáticamente en esa dirección de grupo específica.

Diagnóstico

Debido a que ETS y el proyecto contienen los detalles de seguridad, cualquier diagnóstico debe realizarse desde dentro del entorno del proyecto para garantizar la posibilidad de usar las claves.

Conclusión

Con todos los nuevos productos KNX compatibles con KNX Data Secure y una amplia gama de dispositivos IP Secure disponibles, ahora es completamente posible impedir el acceso a un sistema KNX para aquellos individuos que tengan finalidad criminal. Cuando se planifica en un proyecto, es increíblemente fácil de implementar y rápidamente se convertirá en algo natural para quienes trabajan regularmente con KNX.

KNX Secure representa una gran oportunidad para mostrar cómo KNX lidera las soluciones de automatización de edificios, incluso con la complejidad adicional de ser una solución estandarizada de protocolo abierto.Mark Warburton es director de Ivory Egg (UK) Ltd, un proveedor de destacados productos KNX y cursos de formación en materia de KNX.

www.ivoryegg.co.uk