Meilleure pratique : comment battre les cyberpirates

Mark Warburton donne d'excellents conseils pratiques sur la façon de sécuriser les systèmes KNX existants et futurs, avec des exemples de produits offrant une gamme de caractéristiques de sécurité et des conseils sur la façon d'en tirer parti.

Après avoir mis en garde pendant des années contre les risques liés aux ports de réseau restant ouverts, KNX Association a récemment annoncé que des systèmes avaient été piratés. Même si tous les projets modernes ont été conçus de manière sécurisée, d'innombrables projets hérités peuvent avoir été installés de manière moins sûre. Le travail ne manque donc pas pour protéger à la fois les utilisateurs finaux de KNX et la réputation de l'industrie.

La bonne nouvelle est qu'il existe de multiples façons de sécuriser une installation KNX tout en fournissant un accès à distance pour les utilisateurs et pour la maintenance. Il est même possible de verrouiller le système dans la propriété, ce qui fait de KNX l'un des systèmes les plus sûrs actuellement disponibles.

Avant d'examiner les façons de sécuriser un système KNX, explorons rapidement les différents problèmes afin d'être sur la même longueur d'onde.

Systèmes KNX non sûrs

En supposant que vous utilisiez les ports standard (3671) ou l'adresse multicast (224.0.23.12) sur une interface IP ou un routeur, il est possible d'ouvrir les mêmes ports dans le pare-feu, rendant ainsi le système KNX immédiatement accessible de l'extérieur. En l'absence de protection supplémentaire comme l'acceptation uniquement de connexions venant d'une adresse IP spécifique, toute personne mal intentionnée disposant d'outils de piratage de base pourra trouver la connexion ouverte et potentiellement accéder au système KNX. Si, pour l'une ou l'autre raison, cette méthode de connexion est la seule option possible, même l'étape de base consistant à modifier les ports par défaut sera utile. Cette méthode de connexion doit toutefois être évitée dans la mesure du possible, d'autant qu'il existe de bien meilleures façons de fournir un accès à distance.

Accès VPN

Une des méthodes utilisées depuis longtemps pour sécuriser l'accès à distance consiste à créer un VPN (réseau privé virtuel) comme tunnel sécurisé permettant d'accéder au système. Une fois l'authentification utilisée pour vous connecter, vous devenez effectivement local à l'intérieur du bâtiment, ce qui vous permet d'apporter les modifications nécessaires ou de connecter des applis ou des visualisations.

Une des façons de créer un VPN consiste à utiliser un routeur de réseau possédant un serveur VPN intégré. Dans la plupart des installations où plusieurs systèmes sont installés dans la maison, comme une installation audiovisuelle, un système de vidéosurveillance et KNX, il est plus probable que le réseau soit entièrement géré et le routeur capable de gérer la connexion VPN. Sur les installations plus petites, ou si le propriétaire n'est pas disposé à installer un routeur plus évolué que l'unité standard fournie par le fournisseur de services Internet, une autre solution est nécessaire.

On peut alors installer un serveur VPN séparé dans la propriété. Le Gira X1, qui possède un serveur OpenVPN intégré, en constitue un très bon exemple. Son installation est assez simple, la seule complication majeure étant la nécessité d'ouvrir certains ports sur le routeur. Toutefois, contrairement à l'ouverture de ports directement sur une interface KNX ou un routeur, le X1 nécessite des informations d'identification pour empêcher tout accès non autorisé. Il est possible, via le X1 et le serveur OpenVPN, non seulement d'autoriser l'accès pour la commande à distance de l'appli X1, mais aussi d'accéder aux appareils situés sur le reste du réseau, comme le système KNX ou une caméra de vidéosurveillance.

Accès à distance basé sur le cloud ou sur un objet

Pris en charge par un large éventail de fabricants, ce système fonctionne de manière similaire à un VPN, mais au lieu d'un tunnel, il utilise un appareil local et un site web sécurisé pour coder tout le trafic entrant et sortant de l'installation. L'appareil établissant la première connexion hors du bâtiment, un chemin sécurisé est créé, ce qui signifie qu'aucune configuration n'est nécessaire sur le routeur du réseau. En exécutant une application sur un ordinateur distant ou en se connectant via le site web sécurisé, il est possible d'accéder aux appareils du réseau à l'intérieur de la maison.

Ce principe connaît plusieurs applications différentes :

Gira S1- un appareil d'accès à distance dédié. Configuré dans ETS, il établit, une fois mis en place, une connexion sortante sécurisée vers le portail Gira. Il peut être utilisé à la fois pour les notifications par courriel et la programmation à distance, mais il s'intègre également aux solutions de visualisation Gira X1 et Gira HomeServer, de sorte que les utilisateurs finaux peuvent se connecter simplement et en toute sécurité à leur installation.

Interface IP Jung - en achetant une licence, les interfaces IP Jung peuvent être rapidement configurées pour un accès à distance pour programmer des appareils sur le bus KNX. Configuré via un plugin ETS et offrant au propriétaire l'option d'activer l'accès à distance, c'est un excellent moyen de maintenir le système à distance, en particulier quand aucun serveur KNX séparé n'est utilisé.

Basalte Core Mini - déplaçant la connexion à distance depuis un dispositif de bus autonome, le Basalte Core Mini dispose de cette fonctionnalité intégrée. Avec les services Basalte Live Cloud, vous disposez d'une connexion à distance sécurisée pour la programmation et le contrôle de l'utilisateur. Qui plus est, si vous disposez d'une interface IP locale, vous pouvez également l'utiliser pour programmer des appareils KNX.

Ce ne sont que quelques exemples. La plupart des fabricants de KNX proposent désormais une méthode pour connecter de manière sûre leurs produits et le système KNX plus large avec le monde extérieur.

KNX Secure

Les méthodes de connexion sécurisée ci-dessus ont fait leurs preuves et sont utilisées depuis de nombreuses années pour garantir la protection des projets. Mais il existe un autre moyen. KNX Secure offre deux méthodes supplémentaires pour sécuriser un projet. Prises en charge par de nombreux fabricants, elles deviennent rapidement l'approche de facto. Mieux encore, elles créent la possibilité d'implémenter plusieurs couches de sécurité rendant KNX presque impossible à pirater.

KNX Data Secure

La première est KNX Data Secure, qui permet aux objets d'un appareil d'avoir une couche de sécurité. Des algorithmes de sécurité standard permettent de coder les données d'application dans un télégramme KNX en utilisant des clés partagées entre plusieurs appareils. Il s'agit d'un excellent outil pour sécuriser et coder les informations clés sur le bus KNX, voire rendre l'ensemble du bus illisible à moins de disposer du projet avec les clés.

KNX IP Secure

L'autre méthode est KNX IP Secure. Cette approche utilise le télégramme IP KNX existant et l'enveloppe dans une couverture de sécurité, en utilisant ici aussi une approche standard de l'industrie. La principale application de cette solution est le codage de la communication entre deux ou plusieurs routeurs IP utilisés pour créer un réseau fédérateur IP. Elle peut également être utilisée pour coder le trafic en provenance d'ETS ou de systèmes externes vers un routeur ou une interface IP, ce qui permet de sécuriser toutes les communications IP.

Conclusion

Que ce soit en ajoutant un appareil sécurisé pour l'accès à distance ou en concevant un système à partir d'une feuille blanche pour tirer profit de couches multiples de sécurité, faire de la sécurité un composant clé du système vous permettra d'assurer la protection de vos clients, de votre entreprise et du système KNX plus largement. C'est aussi une excellente occasion de revisiter d'anciens projets et de proposer une mise à niveau, non seulement de la sécurité, mais aussi du reste du système. Cela vous permettra de protéger même les anciens projets, et constituera une excellente occasion de renouer avec d'anciens clients.

Avec autant de méthodes pour sécuriser un projet KNX, laisser les projets KNX passés, actuels ou futurs, ouverts aux attaques serait inexcusable. Si nous adoptons tous cette approche et faisons ce qui est nécessaire pour nos clients, nous protégerons également notre industrie.

Mark Warburton est directeur chez Ivory Egg LTD (R-U), un fournisseur de produits KNX de pointe et prestataire de cours de formation KNX.

www.ivoryegg.co.uk