22. nov 2021
Dopo anni di allarmi sui rischi legati alle porte di rete lasciate aperte, KNX Association ha annunciato recentemente alcune segnalazioni di hackeraggio di sistemi. Sebbene tutti i progetti moderni siano stati impostati in sicurezza, esistono ancora infiniti progetti legacy che possono essere stati installati in modi meno sicuri, per cui dobbiamo agire per proteggere sia gli utenti finali KNX sia la reputazione del settore.
La buona notizia è che esistono moltissimi metodi per proteggere un'installazione KNX pur continuando a fornire accesso remoto agli utenti e a scopo di manutenzione. È possibile anche bloccare il sistema nella proprietà, il che dimostra che KNX è uno dei sistemi più sicuri disponibili.
Prima di esaminare i modi di proteggere un sistema KNX, vediamo rapidamente le problematiche su cui siamo tutti concordi.
Sistema KNX non protetto
Supponiamo che stiate usando le porte standard (3671) o l'indirizzo multicast (224.0.23.12) su un router o un'interfaccia IP, è possibile aprire le stesse porte nel firewall, rendendo quindi il sistema KNX immediatamente accessibile dall'esterno. Se lasciato senza protezione supplementare, ad esempio accettando solo le connessioni da un indirizzo IP specifico, chiunque con strumenti di hackeraggio base sarà in grado di trovare la connessione aperta e potenzialmente accedere al sistema KNX. Se, per qualche ragione, questo metodo di connessione è l'unica opzione possibile, sarà utile anche lo step di base di cambiare le porte predefinite. Tuttavia, questo metodo di connessione dovrebbe essere evitato, quando possibile, soprattutto perché esistono metodi decisamente migliori di fornire accesso remoto.
Accesso VPN
Un metodo consolidato di accesso remoto protetto consiste nel creare una VPN (Virtual Private Network) come tunnel sicuro nel sistema. Dopo avere usato l'autenticazione per connettervi, siete effettivamente "locali" nell'edificio, il che vi consente di apportare eventuali modifiche necessarie o connettere app o visualizzazione.
Un modo per creare una VPN consiste nell'utilizzare un router di rete con server VPN incorporato. Nella maggior parte degli impianti in abitazioni in cui si installano più sistemi, come AV, TVCC e KNX, è più probabile che la rete sia gestita interamente e il router riesca a eseguire la connessione VPN. Su impianti più piccoli, o quando il proprietario dell'immobile non ha intenzione di installare un router più avanzato di quello standard in dotazione dal service provider di internet, allora è necessario ricorrere a un'altra soluzione.
In questo caso, si può installare un server VPN separato nella proprietà. Un ottimo esempio è Gira X1, che ha un server OpenVPN incorporato. L'installazione è piuttosto semplice, la principale difficoltà è data dalla necessità di aprire alcune porte sul router. Tuttavia, a differenza dell'apertura diretta delle porte su un router o un'interfaccia KNX, X1 richiede soltanto le credenziali per prevenire gli accessi non autorizzati. Tramite X1 e il server OpenVPN, è possibile non soltanto accedere al comando remoto dell'app X1, ma anche ai dispositivi sul resto della rete, come il sistema KNX o la telecamera TVCC.
Accesso remoto basato su oggetto o cloud
Sostenuto da una vasta gamma di costruttori, funziona in modo simile a una VPN, ma invece di un tunnel, utilizza un dispositivo locale e un sito web protetto per codificare il traffico in entrata e in uscita dall'installazione. Siccome il dispositivo esegue la prima connessione fuori dall'edificio, si crea un percorso sicuro, cioè che non richieda configurazioni sul router di rete. Eseguendo un'applicazione su un computer remoto o il login tramite il sito web protetto, è possibile accedere ai dispositivi di rete all'interno dell'abitazione.
Esistono alcune applicazioni diverse:
Gira S1- dispositivo di accesso remoto dedicato. È configurato in ETS e, una volta impostato, esegue una connessione protetta in uscita al portale Gira. Oltre a essere utilizzabile per notifiche di e-mail e programmazione in remoto, si integra con le soluzioni di visualizzazione Gira X1 e Gira HomeServer, consentendo agli utenti finali di connettersi alla propria installazione in modo semplice e sicuro.
Interfaccia IP Jung - l'acquisto di una licenza consente di configurare rapidamente le interfacce IP per l'accesso remoto di dispositivi di programmazione su bus KNX. Configurato tramite plugin ETS e con la possibilità per il proprietario dell'immobile di abilitare l'accesso remoto, questo è un ottimo metodo per eseguire la manutenzione del sistema in remoto, in particolare quando non si utilizza un server KNX separato.
Basalte Core Mini - spostamento della connessione remota da un dispositivo bus autonomo, Basalte Core mini ha questa funzionalità integrata. Oltre ai servizi Basalte Live Cloud, offre una connessione remota protetta per programmazione e controllo dell'utente. Potete utilizzarlo anche per programmare i dispositivi KNX, se possedete un'interfaccia IP locale.
Ecco alcuni esempi. La maggior parte dei produttori KNX fornisce attualmente un metodo per connettere in sicurezza con il mondo esterno sia i propri prodotti sia il sistema KNX più esteso.
KNX Secure
I metodi di connessione sicura descritti sopra sono consolidati e utilizzati da molti anni per garantire la protezione dei progetti. Ma esiste un altro modo. KNX Secure offre due metodi aggiuntivi per proteggere un progetto e, grazie ai costruttori che li supportano, sta diventando rapidamente l'approccio effettivo. In particolare, consente di implementare più layer di sicurezza rendendo pressoché impossibile hackerare KNX.
KNX Data Secure
Il primo KNX Data Secure che consente agli oggetti del dispositivo di avere un layer di sicurezza. Utilizzando algoritmi di sicurezza standard nel settore, i dati dell'applicazione in un telegramma KNX sono codificati utilizzando chiavi condivise dai dispositivi. È uno strumento fantastico per proteggere e codificare informazioni importanti sul bus KNX o persino rendere illeggibile l'intero bus se non disponete del progetto con i codici.
KNX IP Secure
L'altro metodo è KNX IP Secure. Quest'approccio prende il telegramma IP KNX esistente e lo avvolge in una coperta protettiva, sempre utilizzando l'approccio standard del settore. La sua principale applicazione è la codifica della comunicazione tra due o più router IP utilizzati per creare una backbone IP. Può essere impiegato per codificare il traffico da ETS o da sistemi esterni a un'interfaccia o un router IP, proteggendo tutte le comunicazioni IP.
Conclusione
Sarà semplice sia aggiungere un dispositivo protetto per l'accesso remoto sia progettare un sistema dall'inizio alla fine per approfittare di più layer di sicurezza; in ogni modo, inserire la sicurezza come componente essenziale del sistema garantirà la protezione dei vostri clienti, della vostra attività e la reputazione del sistema KNX. È anche un'ottima opportunità per rivedere vecchi progetti e offrire un upgrade, non soltanto a livello di sicurezza, ma anche del resto del sistema. In questo modo, garantirete che anche i progetti legacy siano protetti, il che rappresenta una buona opportunità di riallacciare i rapporti con vecchi clienti.
Con così tanti modi per proteggere un sistema KNX, non ci sono davvero scuse per lasciare progetti KNX, presenti o futuri, esposti ad attacchi, anche in parte. Se tutti noi sosterremo questo principio e faremo la cosa giusta per i nostri clienti, allora saremmo protetti a livello di settore.
Mark Warburton è un dirigente di Ivory Egg (UK) Ltd, azienda fornitrice dei principali prodotti e corsi di formazione KNX.