Sicurezza: configurazione dei sistemi KNX Secure in ETS

Mark Warburton descrive le basi di KNX Secure e spiega passo dopo passo come configurare un sistema KNX Secure in ETS

Ci sono molte cose per cui KNX si distingue rispetto ad altri sistemi, la principale è la standardizzazione del sistema, rappresentata da oltre 30 anni di retrocompatibilità. Che KNX Association sia riuscita a mantenerla, è degno di nota, in particolare se considerate quanto si sia evoluto ed esteso il sistema, nonostante questo principio chiave. Questo è particolarmente rilevante nell'implementazione di KNX Secure. Oggi parte consolidata del sistema, KNX Secure consente di codificare sia la comunicazione tra dispositivi sia la comunicazione IP con il sistema, da codificare, bloccando il sistema soltanto agli utenti autorizzati.

Dato il numero infinito di prodotti KNX Secure attualmente rilasciati, vediamo come configurarli in ETS. Ma prima, ecco un breve sunto su KNX Secure.

Funzioni base di KNX Secure

KNX Secure è un'estensione dello standard KNX che consente di codificare telegrammi o comunicazione IP su crittografia AES128. Questa esigenza deriva dalla richiesta di soluzioni sicure da parte dei consumatori. Sebbene sia sempre stato possibile creare un accesso remoto protetto a un'installazione KNX usando approcci IP standard come le VPN (Virtual Private Networks), esistono tuttora numerose installazioni KNX in tutto il mondo configurate per l'accesso aperto a internet, inavvertitamente o deliberatamente, per facilitare l'accesso remoto. Dato il rischio di sicurezza intrinseco presente per i singoli progetti, nonché per la reputazione di KNX, inteso come sistema solido, sia i costruttori, sia KNX Association hanno progettato e implementato un layer di sicurezza incorporato per proteggere i progetti a 360°.

KNX Secure ha due aspetti, nello specifico IP Secure e Data Secure.

KNX IP Secure

KNX IP Secure codifica il traffico IP KNX in un wrapper di sicurezza, in modo che soltanto le applicazioni e i dispositivi autorizzati possano leggere i messaggi. Questo vale per connessioni multicast o tunnelling ed è applicabile anche a connessioni di messa in servizio ETS in modo da proteggere i download sui dispositivi.

KNX Data Secure

KNX Data Secure funziona a livello di oggetto individuale, consentendo la codifica dei dati in singoli telegrammi attraverso i mezzi di comunicazione. È utilizzabile per proteggere dati sensibili o limitare l'accesso a funzioni a livello di sistema centrale, consentendo al resto del sistema KNX di comunicare nel modo standard.

In entrambi i casi, esistono diversi meccanismi di sicurezza che prevengono la manipolazione o la ripetizione dei telegrammi e KNX Association si è impegnata molto per garantire che la configurazione sia il più immediata possibile, mantenendo nel contempo il massimo livello di protezione.

Per lavorare con prodotti KNX Secure, è essenziale operare con l'ultima versione di ETS, ETS 5.7.6 o, teoricamente la nuova release, ETS6.

Configurazione di KNX Secure

In questo esempio, vedremo come creare una linea backbone IP sicura con il router IP, supportando anche le connessioni tunnelling. Scopriremo inoltre come creare un indirizzo di gruppo Data Secure.

Prima di aggiungere un dispositivo KNX Secure a ETS, dovrete aggiungere una password del progetto sul tab scheda principale dei dati. Poiché ETS è effettivamente l'amministratore in un'installazione protetta, è essenziale non consentire l'accesso senza autorizzazione.

Aggiunta di FDSK

Il nuovo step prevede l'aggiunta di Factory Default Shared Key (FDSK) dai prodotti protetti a ETS. Questo è il codice predefinito stampato su un dispositivo e/o fornito su una scheda separata e usato per l'autorizzazione iniziale di un dispositivo. Dopo il primo utilizzo, ETS impiega codici di dispositivi noti soltanto ai dispositivi protetti e a ETS.

Si può aggiungere FDSK a ETS sul tab di protezione principale o aggiungendo i singoli dispositivi sicuri. In ogni caso, potete utilizzare una telecamera USB o uno scanner portatile per leggere i codici QR ed evitare di digitare il codice a 32 cifre.

Aggiunta di prodotti

Se avete già aggiunto i codici, quando aggiungete i prodotti del Catalogo, vi chiederà FDSK in quanto si collega soltanto quando si indirizza il dispositivo. È comunque possibile nascondere il prompt. Noterete che cercando i dispositivi KNX Secure nel Catalogo, saranno visualizzati con un lucchetto.

Abilitazione delle funzioni KNX IP Secure

Quando i prodotti sono nel progetto, potete abilitare le funzioni protette sulla linea principale o sulla linea backbone selezionandola nelle topologia visualizzata e quindi modificando l'impostazione sul tab dei dati. Con l'impostazione automatica, ETS utilizzerà la sicurezza quando possibile, cioè quando tutti i dispositivi la supportano.

Le impostazioni restanti si effettuano sui singoli dispositivi. Potete scegliere di usare la messa in servizio protetta sul tab di impostazione principale e quindi aggiungere una password sul tab IP.

Potete inoltre abilitare separatamente la protezione su connessioni tunnelling individuali, per la messa in servizio o per connettere sistemi di terze parti. In questo caso, dovrete aggiungere un codice di autenticazione sul tab IP del dispositivo principale oltre a una password per ogni connessione tunnelling.

È essenziale riuscire ad abilitarli singolarmente, in quanto significa che il sistema è in grado di funzionare con sistemi esterni che supportano ancora KNX Secure. Poiché questo esula dallo scopo di KNX Association, ci saranno pressione del mercato affinché i provider di soluzioni terze parti si aggiornino allo standard KNX Secure.

Abilitazione delle funzioni KNX Data Secure

Lavorare con KNX Data Secure è ancora più semplice. Nel tab di impostazione di un indirizzo di gruppo, potete impostare la protezione su Automatica. Finché tutti gli oggetti provengono da dispositivi protetti, la sicurezza sarà utilizzata automaticamente su quell'indirizzo di gruppo specifico.

Diagnostica

Poiché ETS e il progetto mantengono i dati di sicurezza, la diagnostica deve essere effettuata dall'interno dell'ambiente del progetto per garantire che si possano utilizzare i codici.

Conclusione

Con tutti i nuovi prodotti KNX che supportano KNX Data Secure, e una vasta gamma di dispositivi IP Secure disponibili, ora è possibile rendere inaccessibile un sistema KNX a coloro che hanno intenti nefasti. Se previsto in un progetto, è incredibilmente facile da implementare e diventerà presto una seconda natura per chi lavora regolarmente con KNX.

KNX Secure rappresenta una grande opportunità per mostrare in che modo KNX sia all'avanguardia nelle soluzioni di automazione degli edifici, anche con la maggiore complessità di una soluzione standardizzata con protocollo aperto.

Mark Warburton è un dirigente di Ivory Egg (UK) Ltd, azienda fornitrice dei principali prodotti e corsi di formazione KNX.

www.ivoryegg.co.uk