Beste praktijken: zo bent u hackers te slim af

Mark Warburton geeft praktisch advies over beveiligingsoplossingen voor bestaande en toekomstige KNX-systemen, met voorbeelden van producten die een hele reeks beveiligingsmogelijkheden bieden en tips over de manier waarop u deze optimaal kunt benutten.

Nadat ze al jarenlang waarschuwt voor de risico's van netwerkpoorten die open blijven staan, maakte de KNX Association onlangs bekend dat er meldingen zijn van systemen die worden gehackt. Ook al zijn alle moderne projecten stevig beveiligd, toch zijn er nog altijd talloze bestaande projecten die bij de installatie minder beveiligd werden. Er ligt dus nog behoorlijk wat werk op de plank als we niet alleen de KNX-eindgebruikers, maar ook de reputatie van onze sector willen beschermen.

Het goede nieuws is dat er heel wat manieren bestaan om een KNX-installatie te beveiligen zonder dat dit ten koste gaat van de toegankelijkheid op afstand voor gebruikers en onderhoudstechnici. Het is zelfs mogelijk om het systeem binnen een gebouw volledig van de buitenwereld af te sluiten - een duidelijk bewijs van het feit dat KNX een van de veiligste systemen is die momenteel op de markt verkrijgbaar zijn.

Voordat we bekijken hoe we een KNX-systeem kunnen beveiligen, zetten we alle uitdagingen nog even op een rijtje, zodat we allemaal op dezelfde golflengte zitten.

Onbeveiligde KNX-systemen

Wie de standaardpoorten (3671) of een multicast address (224.0.23.12) op een IP-interface of router gebruikt, loopt het risico dat dezelfde poorten in de firewall worden opengezet, waardoor het KNX-systeem rechtstreeks vanaf de buitenwereld toegankelijk is. Wanneer in die omstandigheden geen bijkomende bescherming wordt gebruikt, zoals de beperking van de toegang tot het systeem vanaf specifieke IP-adressen, kan iedereen met eenvoudige hackingtools de open verbinding vinden en zich op die manier misschien toegang verschaffen tot het KNX-systeem. Als deze verbindingsmethode om welke reden dan ook de enige optie is, kan alleen al de standaardpoorten veranderen meer bescherming bieden. Toch is het gebruik van een dergelijke methode af te raden - zeker omdat er veel betere manieren bestaan om gebruikers vanop afstand tot het systeem toe te laten.

VPN-toegang

Een al lang toegepaste methode om gebruikers op een veilige manier vanop afstand binnen te laten, is de aanmaak van een VPN (Virtual Private Network), dat dan dienstdoet als veilige tunnel tot in het systeem. Na een geslaagde authenticatie om een verbinding tot stand te brengen, bevindt u zich als het ware binnen het gebouw, zodat u alle mogelijke veranderingen kunt uitvoeren, of apps of visualisatieoplossingen kunt aansluiten.Om een VPN aan te maken, kunt u bijvoorbeeld een netwerkrouter met een ingebedde VPN-server gebruiken. Bij de meeste installaties waar meerdere systemen in de woning worden geïnstalleerd (bv. AV, CCTV en KNX), is de kans groter dat het netwerk volledig wordt beheerd en dat de router de VPN-verbinding kan sturen. Bij kleinere installaties of wanneer de huiseigenaar niet wil investeren in een meer geavanceerde router en het door de internetserviceprovider geleverde standaardexemplaar wil gebruiken, moet wel een andere oplossing worden toegepast.

In dat geval kan een afzonderlijke VPN-server binnen het gebouw worden geïnstalleerd. Een mooi voorbeeld hiervan is de Gira X1, die met een ingebedde OpenVPN-server is uitgerust. De installatie van de Gira X1 is vrij eenvoudig, maar het enige grote nadeel is dat sommige poorten op de router open moeten blijven staan. In tegenstelling tot een installatie waarbij poorten rechtstreeks naar een KNX-interface of router worden geopend, moeten gebruikers van de X1 zich vooraf authenticeren, om onbevoegde toegang te voorkomen. Via de X1 en de OpenVPN-server is het mogelijk om niet alleen toegang te verlenen voor afstandsbediening voor de X1-app, maar krijgt de gebruiker ook toegang tot toestellen in de rest van het netwerk (bv. het KNX-systeem of een CCTV-camera).

Cloud- of objectgebaseerde toegang vanop afstand

Deze oplossing wordt door heel wat fabrikanten ondersteund en werkt op een vergelijkbare manier als een VPN, maar in plaats van een tunnel worden een plaatselijk toestel en een veilige website gebruikt om al het verkeer naar en van de installatie te coderen. Doordat het toestel de eerste aansluiting buiten het gebouw maakt, wordt een beveiligd pad gevormd, waardoor geen configuratie op de netwerkrouter hoeft te worden uitgevoerd. Door een applicatie op een computer vanop afstand te draaien of in te loggen via de beveiligde website, is het mogelijk om zich toegang te verschaffen tot de netwerktoestellen in de woning.

Er bestaan verschillende toepassingen hiervan:

Gira S1- een dedicated toestel voor toegang vanop afstand. Dit toestel is in ETS geconfigureerd en brengt na de installatie een beveiligde uitgaande verbinding met de portal van Gira tot stand. De Gira S1 kan niet alleen worden gebruikt voor e-mailberichtgeving en programmering vanop afstand, maar kan ook worden geïntegreerd in de Gira X1 en de Gira HomeServer visualisatieoplossingen, zodat eindgebruikers op een eenvoudige en veilige manier een verbinding tot stand kunnen brengen met hun installatie.

Jung IP Interface - na de aankoop van een licentie kunnen Jung IP-interfaces snel worden geconfigureerd voor toegang vanop afstand om toestellen op de KNX-bus te programmeren. Deze oplossing wordt geconfigureerd via een ETS-plug-in en biedt de huiseigenaar de mogelijkheid om toegang vanop afstand te activeren. Dit is een fantastische manier om het systeem vanop afstand te onderhouden - en dan vooral wanneer er geen afzonderlijke KNX-server wordt gebruikt.

Basalte Core Mini - bij deze oplossing is de functie die eerder door een standalone bustoestel werd vervuld, geïntegreerd. Samen met de Basalte Live Cloud-diensten zorgt deze oplossing voor een veilige verbinding vanop afstand voor programmering en bediening. En als u een lokale IP-interface hebt, kan deze oplossing ook worden gebruikt om KNX-toestellen te programmeren.

Dit zijn slechts enkele voorbeelden. De meeste KNX-fabrikanten bieden tegenwoordig een methode aan waarmee hun producten en het ruimere KNX-systeem met de buitenwereld veilig kunnen worden verbonden.

KNX Secure

De veilige verbindingsmethoden die hierboven worden beschreven, zijn algemeen bekende oplossingen die al jarenlang worden gebruikt om projecten te beveiligen. Maar er bestaat nog een andere manier. KNX Secure biedt twee extra methoden om een project te beveiligen en aangezien alle fabrikanten deze oplossingen ondersteunen, is dit snel de feitelijke aanpak aan het worden. Beter nog: deze methoden bieden de mogelijkheid om meerdere beveiligingslagen te implementeren, waardoor KNX bijna onmogelijk kan worden gehackt.

KNX Data Secure

De eerste methode is KNX Data Secure, waarmee apparaatobjecten van een beveiligingslaag kunnen worden voorzien. De applicatiegegevens binnen een KNX-telegram maken gebruik van beveiligingsalgoritmen die aan de industrienormen voldoen en worden gecodeerd met sleutels die tussen toestellen worden gedeeld. Dit is een fantastische tool om essentiële informatie op de KNX-bus te beveiligen en te coderen, of zelfs om de volledige bus onleesbaar te maken voor wie niet over het project met de bijbehorende sleutels beschikt.

KNX IP Secure

De andere methode is KNX IP Secure. Bij deze aanpak wordt het bestaande KNX IP-telegram in een ‘veiligheidsdeken' gewikkeld - een oplossing die ook aan de industrienormen voldoet. Deze oplossing wordt in de eerste plaats toegepast om de communicatie tussen twee of meer IP-routers die worden gebruikt om een IP-backbone aan te maken, te coderen. Ze kan ook worden gebruikt om het verkeer van ETS of externe systemen naar een IP-router of interface te coderen, waardoor alle IP-communicaties worden beveiligd.

Conclusie

Het kan heel eenvoudig zijn: gewoon een beveiligd toestel voor toegang vanop afstand toevoegen of een volledig systeem ontwerpen om meerdere beveiligingslagen te kunnen benutten; hoe dan ook, als u ervoor zorgt dat beveiliging een sleutelcomponent is van het systeem, draagt u bij aan een betere bescherming voor niet alleen uw klanten en uw bedrijf, maar ook de bredere reputatie van het KNX-systeem. Het is ook een uitstekende gelegenheid om oude projecten opnieuw te bekijken en een upgrade aan te bieden, niet alleen van de beveiliging, maar ook van de rest van het systeem. Op die manier kunnen zelfs bestaande projecten worden beschermd - en het is een geweldige kans om nog eens contact op te nemen met oude klanten.

Aangezien er zoveel manieren bestaan om een KNX-project te beveiligen, hebt u echt geen excuus meer om oudere, hedendaagse of toekomstige KNX-projecten bloot te stellen aan aanvallen. Als we hier allemaal toe bijdragen en het juiste doen voor onze klanten, zullen we ook als industrie beschermd zijn.

Mark Warburton is een van de directeurs van Ivory Egg (UK) Ltd, een toonaangevende leverancier van KNX-producten die ook KNX-opleidingen organiseert.

www.ivoryegg.co.uk