Sécurité : la configuration des systèmes KNX Secure dans ETS

Mark Warburton explique les bases de KNX Secure et explique étape par étape comment configurer les systèmes KNX Secure dans ETS

De nombreux atouts permettent à KNX de se démarquer des autres systèmes, le principal étant la standardisation du système attestée par 30 ans de rétrocompatibilité. Le fait que KNX Association ait été capable de maintenir cela mérite des éloges, en particulier si l'on considère combien le système a évolué et s'est étendu malgré ce principe clé. C'est dans la mise en œuvre de KNX Secure que cet atout est le plus pertinent. Désormais considéré comme une partie mature du système, KNX Secure permet de coder à la fois la communication entre appareils et la communication IP avec le système en limitant l'accès au système aux seuls utilisateurs autorisés.

Alors que de très nombreux produits KNX Secure sont désormais disponibles, examinons comment ces produits se configurent dans ETS. Mais avant cela, un bref rappel de ce qu'est KNX Secure peut être utile.

Principes de KNX Secure

KNX Secure est une extension du standard KNX qui permet de coder les communications ou télégrammes IP sur le bus à l'aide du cryptage AES128. Ce besoin s'est fait sentir, car les consommateurs exigent des solutions sécurisées. Bien qu'il ait toujours été possible de créer un accès à distance sécurisé à une installation KNX en utilisant des approches IP standard telles que les VPN (réseaux privés virtuels), de nombreuses installations KNX existantes dans le monde ont été configurées pour un accès ouvert depuis l'Internet, soit par inadvertance, soit délibérément pour faciliter l'accès à distance. Cette situation présentant un risque inhérent en termes de sécurité pour les projets individuels ainsi que pour la réputation plus large de KNX comme système robuste, les fabricants et KNX Association ont conçu et déployé une couche de sécurité intégrée pour permettre de sécuriser les projets dès le début.

KNX Secure présente deux facettes, à savoir IP Secure et Data Secure.

KNX IP Secure

KNX IP Secure encode tout le trafic IP KNX dans une enveloppe de sécurité garantissant que seuls les appareils et applications autorisés peuvent lire les messages. Ceci est vrai pour les connexions multicasts ou tunnels et peut également s'appliquer aux connexions de mise en service ETS afin de protéger tous les téléchargements vers les appareils.

KNX Data Secure

KNX Data Secure fonctionne au niveau de chaque objet individuel, ce qui permet d'encoder les données des télégrammes individuels sur tous les supports de communication. Ceci pourrait être utilisé pour protéger les données sensibles ou limiter l'accès aux fonctions du système central, laissant le reste du système KNX communiquer de manière standard.

Dans un cas comme dans l'autre, divers mécanismes de sécurité empêchent la manipulation ou la répétition des télégrammes, et l'association KNX n'a pas ménagé ses efforts pour rendre la configuration aussi simple que possible tout en maintenant le niveau de protection le plus élevé.

Pour travailler avec les produits KNX Secure, il est essentiel d'utiliser la dernière version d'ETS, soit ETS 5.7.6 ou, idéalement, la nouvelle version ETS6.

Configuration de KNX Secure

Dans cet exemple, nous allons voir comment créer un réseau fédérateur IP sécurisé, le routeur IP prenant également en charge les connexions tunnels. Nous verrons également comment créer une adresse de groupe Data Secure.

Avant même de pouvoir ajouter des appareils KNX Secure à ETS, vous devez ajouter un mot de passe de projet dans l'onglet principal des détails. Comme ETS est effectivement l'administrateur dans une installation sécurisée, il est essentiel que l'accès ne soit pas possible sans autorisation.

Ajout du FDSK

L'étape suivante consiste à ajouter la clé partagée par défaut d'usine (Factory Default Shared Key, FDSK) de produits sécurisés dans ETS. Il s'agit de la clé par défaut imprimée sur un dispositif et/ou fournie sur une carte séparée. Elle est utilisée pour autoriser initialement un dispositif. Après cette première utilisation, ETS utilise des clés d'appareils qui ne sont connues que des appareils sécurisés et d'ETS.

La FDSK peut être ajoutée à ETS soit dans l'onglet principal de sécurité, soit lors de l'ajout d'appareils sécurisés individuels. Dans tous les cas, vous pouvez utiliser une caméra USB ou un scanner portable pour lire les codes QR, ce qui vous évitera de devoir retranscrire le code à 32 chiffres.

Ajout de produits

Si vous avez déjà ajouté les clés, la FDSK sera toujours demandée lorsque vous ajoutez les produits à partir du catalogue, car elle n'est liée qu'à l'adressage de l'appareil. Il est toutefois possible de masquer cette invite. Vous remarquerez que lorsque vous recherchez des appareils KNX Secure dans le catalogue, ils sont affichés avec un cadenas.

Activation des fonctions KNX IP Secure

Une fois les produits dans le projet, vous pouvez activer les fonctions sécurisées sur la ligne principale ou la ligne réseau en la sélectionnant dans la vue topologique, puis en modifiant le paramètre dans l'onglet détail. En sélectionnant le réglage automatique, ETS utilisera la sécurité lorsque c'est possible, c'est-à-dire lorsque tous les appareils la prendront en charge.

Les autres réglages sont effectués sur chaque appareil. Vous pouvez choisir d'utiliser la mise en service sécurisée dans l'onglet de paramètres principaux, puis ajouter un mot de passe dans l'onglet IP.Vous pouvez également activer séparément la sécurité sur les connexions tunnels individuelles, soit pour la mise en service, soit pour la connexion de systèmes tiers. Dans ce cas, vous allez devoir ajouter un code d'authentification sur l'onglet IP de l'appareil principal ainsi qu'un mot de passe pour chaque connexion tunnel.

La possibilité de les activer individuellement est essentielle, car cela signifie que le système peut toujours fonctionner avec des systèmes externes qui ne prennent pas encore KNX Secure en charge. Ceci sortant du domaine de compétence de KNX Association, une pression du marché sera nécessaire pour que les fournisseurs de solutions tiers adoptent la norme KNX Secure.

Activation des fonctions KNX Data Secure

KNX Data Secure est encore plus facile à utiliser. Dans l'onglet des paramètres d'une adresse de groupe, vous pouvez paramétrer la sécurité automatique. Ensuite, aussi longtemps que tous les objets proviennent d'appareils sécurisés, la sécurité sera automatiquement utilisée sur cette adresse de groupe spécifique.

Diagnostic

Étant donné qu'ETS et le projet détiennent les détails de sécurité, tout diagnostic doit être effectué à partir de l'environnement du projet afin de s'assurer que les clés peuvent être utilisées.

Conclusion

Avec tous les nouveaux produits KNX prenant en charge KNX Data Secure et une gamme étendue d'appareils IP Secure disponibles, il est maintenant tout à fait possible de rendre un système KNX inaccessible aux personnes mal intentionnées. Planifié dans un projet, KNX Secure est incroyablement facile à mettre en œuvre et deviendra rapidement une seconde nature pour ceux qui travaillent régulièrement avec KNX.

KNX Secure offre une excellente occasion de montrer comment KNX ouvre la voie aux solutions d'automatisation des bâtiments, malgré la complexité inhérente d'être une solution standardisée à protocole ouvert.

Mark Warburton est directeur chez Ivory Egg LTD (R-U), un fournisseur de produits KNX de pointe et prestataire de cours de formation KNX.

www.ivoryegg.co.uk