KNX zabezpečení. Přehled

Podobné dokumenty
KNX Zabezpečení. Přehled

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

KNX Novinky. KNX Internet Věcí, KNX Secure, ETS Inside

Obr. 1: KNX přístroje na nosné liště v rozvaděči propojené sběrnicovým kabelem

Bezpečnostní politika společnosti synlab czech s.r.o.

Úvod - Podniková informační bezpečnost PS1-2

VPN - Virtual private networks

Elektronický podpis. Základní princip. Digitální podpis. Podpis vs. šifrování. Hashování. Jednosměrné funkce. Odesílatel. Příjemce

SSL Secure Sockets Layer

Bezpečnostní aspekty informačních a komunikačních systémů KS2

54Mbps bezdrátový router WRT-415. Návod pro rychlou instalaci

KLASICKÝ MAN-IN-THE-MIDDLE

Zabezpečení v síti IP

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic

Provádí ochranu sítě před napadením (ochrana počítačů nestačí) Odděluje uživatele (prvek nespolehlivosti) od prvků ochrany

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

KNX Novinky. KNX Secure KNX Internet vecí

Bezdrátové sítě Wi-Fi Původním cíl: Dnes

Světelné scény a jejich řízení systémovou instalací ABB i- bus KNX Ing. Josef Kunc

Uživatelský manuál. KNXgal. řízení zabezpečovacích ústředen. Galaxy ze sběrnice KNX. napájeno ze sběrnice KNX. indikace komunikace na KNX

AKTION CONNECTOR POPIS FUNKCÍ A NÁVOD

Bezdrátový router 150 Mbit/s Wireless N

Obsah. Část I Základy bezpečnosti...9 Kapitola 1 Základy obvodového zabezpečení Kapitola 2 Filtrování paketů...27

Konfigurace WDS režimu u produktů bezdrátových AP a routerů Tenda

Počítačová síť je spojení dvou a více počítačů kabelem, telefonní linkou,

Cisco Networking Accademy. 7. Bezdrátové sítě (Wireless Networks)

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Aktion Connector NÁVOD

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

TOPOLOGIE DATOVÝCH SÍTÍ

CC&C WA-2204C. Návod k obsluze

Přenos signálů, výstupy snímačů

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Uživatel počítačové sítě

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

Dvoupásmový přístupový bod pro venkovní použití Návod k obsluze - EC-WA6202 (EC-WA6202M)

Použití programu WinProxy

TECHNICKÁ DOKUMENTACE PŘÍSTUPOVÉ JEDNOTKY P530

Systémové elektrické instalace KNX/EIB (13. část) Ing. Josef Kunc

NSA GB HDD. Příručka k rychlé instalaci. Multimediální server s jedním diskem. Výchozí přihlašovací údaje. Webová adresa: nsa310 Heslo: 1234

NBG4615. Příručka k rychlé instalaci. Bezdrátový Gigabitový router třídy N s funkcí NetUSB

Zákon o kybernetické bezpečnosti

Služby pro zařízení vysokého napětí. Spolehlivé sledování stavu zařízení

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

AleFIT MAB Keeper & Office Locator

Příloha č. 12. Systém společného přihlašování, tzv. Single Sign On, ochrana dat

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

Bezpečnostní politika společnosti synlab czech s.r.o.

Jak se stát certifikovaným KNX školicím centrem

NBG-419N. Příručka k rychlé instalaci. Bezdrátový router N-lite pro domácí užití

Aktivní prvky: přepínače

TECHNICKÁ DOKUMENTACE PŘÍSTUPOVÉHO SYSTÉMU P560

WAP3205. Příručka k rychlé instalaci. Bezdrátový přístupový bod třídy N

Seznámení s Quidy. vstupní a výstupní moduly řízené z PC. 2. srpna 2007 w w w. p a p o u c h. c o m

Normy ISO/IEC NISS. V Brně dne 7. listopadu 2013

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

Software pro vzdálenou laboratoř

APS Web Panel. Rozšiřující webový modul pro APS Administrator. Webové rozhraní pro vybrané funkce programového balíku APS Administrator

Šifrování. Tancuj tak, jako když se nikdo nedívá. Šifruj tak, jako když se dívají všichni! Martin Kotyk IT Security Consultnant

Úvod Bezpečnost v počítačových sítích Technologie Ethernetu

Řešení počítačové sítě na škole

MBus Explorer MULTI. Uživatelský manuál V. 1.1

X.25 Frame Relay. Frame Relay

Toshiba EasyGuard v akci:

MODUL 3 KANÁLOVÉHO D/A PŘEVODNÍKU 0 25 ma

Přenosové zařízení B-GSM

Obrana sítě - základní principy

Řada P-660HN. Příručka k rychlé instalaci. Bezdrátový router N /modem ADSL2+

Informatika / bezpečnost

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

mbank.cz mtransfer Okamžitá notifikace o mtransferu Dokumentace pro externího partnera

Uživatelský manuál. KNXgal

Bezdrátové routery LTE & UMTS datové a hlasové brány

Přehled služeb CMS. Centrální místo služeb (CMS)

Projektování distribuovaných systémů Lekce 2 Ing. Jiří ledvina, CSc

Soubor zařízení (meteostanic) je určen pro monitoring meteorologických parametrů ve venkovním prostředí.

Zlepšete bezpečnost a komunikaci ve zdravotnických zařízeních a nemocnicích IP vnitřní a venkovní video interkomy a IP paging systémy

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

EXTRAKT z mezinárodní normy

ADW-4401B. Bezdrátový Ethernet/ADSL router. Uživatelský manuál

K čemu slouží počítačové sítě

Wi-Fi aplikace v důlním prostředí. Robert Sztabla

CISCO CCNA I. 8. Rizika síťového narušení

Nejlepší zabezpečení chytrých telefonů

Systémy pro sběr a přenos dat

Není cloud jako cloud, rozhodujte se podle bezpečnosti

HiPath HG 1500 Multimediální komunikace ve společnostech střední velikosti

Počítačové sítě. Počítačová síť. VYT Počítačové sítě

Integrace slaboproudých systémů inteligentních budov. Production of intrinsically safe equipment

ESIII Převodníky Nikobusu

Profilová část maturitní zkoušky 2013/2014

Inovace bakalářského studijního oboru Aplikovaná chemie

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Představení Kerio Control

PODMÍNKY. pro dálkový přenos dat

Synco living. Klimatizace Uvedení do provozu. Srpen 2008 Strana1/31 Michal Bassy - Srpen 2008

UC485P. Převodník RS232 na RS485 nebo RS422. Průmyslové provedení s krytím

ZJEDNODUŠENÍ SÍŤOVÉ BEZPEČNOSTI UVNITŘ DATOVÉHO CENTRA. Jaroslav Sedláček network architect

P-660HN-TxA. Příručka k rychlé instalaci. Bezdrátová brána n ADSL2+ se 4 porty

Transkript:

KNX zabezpečení Přehled

Obsah Obsah... 2 1 Úvod... 3 2 Zabránění přístupu k síti na různých fyzických médiích KNX... 3 2.1.1 Úvod... 3 2.1.2 Montáž kabelů a přístrojů... 3 2.1.3 Kroucený pár... 3 2.1.4 Powerline... 3 2.1.5 Radiofrekvenční... 3 2.1.6 IP... 4 2.1.7 Internet... 4 3 Omezení nežádoucí komunikace uvnitř sítě... 5 4 Ochrana komunikace při konfiguraci... 5 5 Ochrana provozní komunikace... 6 6 Propojení KNX do zabezpečených systémů...9 7 Detekce neautorizovaných přístupů ke sběrnici... 9 8 Literatura... 9 Str. 2 Copyright, KNX Association,Version 3, April 2015

1 Úvod Tento dokument slouží jako vodítko jak pro elektroinstalatéry, tak i pro výrobce KNX, aby se seznámili s aktuálními opatřeními, která mohou být učiněna pro zvýšení bezpečnosti instalací KNX. 2 Zabránění přístupu k síti na různých fyzických médiích KNX 2.1.1 Úvod Vhodná koncepce zabezpečení je založena na zajištění řádné prevence před neoprávněným přístupem. V případě instalace KNX to znamená, že pouze oprávněné osoby (elektroinstalatér, správce, uživatel) mají fyzický přístup k instalaci KNX. Při navrhování a instalaci, pro každé KNX médium, musí být kritické prvky chráněny co možná nejlepším způsobem. 2.1.2 Montáž kabelů a přístrojů Obecně platí, že zařízení a přístroje musí být řádně připevněny, aby se zabránilo, že by mohly být snadno odstraněny a tím by byl umožněn přístup k instalaci KNX neoprávněným osobám. Kryty a rozvaděče obsahující KNX přístroje musí být řádně uzavřeny nebo musí být namontovány v místnostech, do nichž mají přístup pouze oprávněné osoby. Ve venkovních prostorách musí být přístroje namontovány v dostatečné výšce (např. meteorologická stanice, snímač větru, snímač pohybu, atd.). Ve všech nedostatečně hlídaných veřejných prostorách využívat klasické přístroje propojené s binárními vstupy uloženými v chráněných oblastech (např. v rozvaděčích) anebo tlačítková rozhraní skrytá v hlubokých krabicích, což je určitá prevence před nežádoucím přístupem ke sběrnici. Pokud možno, využít opatření proti krádežím některých aplikačních modulů (např. mechanické zabezpečení aplikačních modulů šrouby, možnost sejmutí pouze nástroji, nutnost použití nadměrné síly k sejmutí a podobná opatření). 2.1.3 Kroucený pár Konce kabelů by neměly být viditelné, visící vně na stěnách, ani na výstupech nebo uvnitř budovy. Kabel sběrnice ve venkovním prostoru představuje vyšší riziko. Fyzický přístup ke KNX kroucenému páru musí být v tomto případě ještě obtížnější než uvnitř bytu nebo domu. Pro dodatečnou ochranu přístrojů instalovaných v místech s omezeným dohledem (venku, v podzemních parkovištích, na WC, atd.) mohou být připojeny k samostatné linii. Aktivací filtrační tabulky v liniové spojce potom může být zabráněno přístupu hackera k celé instalaci. 2.1.4 Powerline Elektronické filtry by měly být použity k filtrování příchozích i odchozích signálů. 2.1.5 Radiofrekvenční Jelikož radiofrekvenční přenos je otevřené médium, nelze přijmout opatření fyzické ochrany pro zabránění přístupu. Proto je zapotřebí přijmout jiná opatření, která jsou uvedena v článcích 3 až 6 (a zejména ta která jsou uvedena v článku 5). Str. 3 Copyright, KNX Association,Version 3, April 2015

2.1.6 IP Automatizace budov by měla běžet přes vyhrazený LAN a WLAN s vlastním hardwarem (routery, přepínače, atd.). Bez ohledu na typ instalace KNX, musí se v každém případě dodržovat obvyklé ochranné mechanismy pro IP sítě. Ty mohou zahrnovat: O MAC filtry O Šifrování bezdrátových sítí ve spojení se silnými hesly (změna výchozího hesla - WPA2 nebo O vyšší) a ochrana proti neoprávněným osobám. Změna výchozí SSID (SSID je název, pod kterým je bezdrátový přístupový bod viditelný v síti, většinou výrobce a typ výrobku). Výchozí SSID může poukázat na s výrobkem spojené slabiny použitých přístupových bodů, čímž tak mohou být zvláště citlivé na hackery). Přístupový bod může být kromě toho nastaven tak, že je zabráněno periodickému přenosu mezi jiné SSID. Pro KNX IP multicast musí být použita jiná IP adresa jako výchozí (224.0.23.12). Vhodnou adresu lze dohodnout se správcem sítě. IT síťoví specialisté se budou podílet na větších projektech s připojením ke KNXnet / IP: takto bude možné optimalizovat konfiguraci sítě (řiditelné přepínače, VLAN, přístupové body podle IEEE802.X atd.) a mohou být využity další mechanismy na ochranu jako filtrování e-mailů a antivirus. 2.1.7 Internet KNXnet / IP routing a KNXnet/ IP tunneling nejsou určeny k použití prostřednictvím internetu. Proto není vhodné otevřít porty routerů k internetu a tím KNX komunikaci učinit viditelnou přes internet. O Instalace (W) LAN musí být chráněna firewallem. O Není-li nutný jakýkoli externí přístup k instalaci, výchozí rozhraní může být nastaveno na hodnotu 0 a takto zablokovat veškerou komunikaci s internetem. Přeje-li si někdo realizovat přístup k instalaci přes internet, pak to může být uskutečněno následujícím způsobem: O Zajištění přístupu k instalaci KNX prostřednictvím připojení VPN: To však vyžaduje router, který podporuje funkce serveru VPN nebo přímo server s funkcemi VPN. O Některé z jednoúčelových řešení specializovaného výrobce, které je na trhu k dispozici a vizualizace (např. umožnění přístupu http). O KNX je v současné době ve fázi zadávání, s cílem stanovit standardizované řešení KNX pro přístup k instalacím KNX přes internet prostřednictvím webových služeb. Str. 4 Copyright, KNX Association,Version 3, April 2015

Obr. 1: Přístup k sítím KNX přes Internet 3 Omezení nežádoucí komunikace uvnitř sítě Individuální adresy přístrojů musí být řádně přiřazeny v souladu s topologií a routery musí být nakonfigurovány tak, aby nemohly předávat zprávy s neodpovídajícími zdrojovými adresami. Takto lze nežádoucí komunikaci omezit na jednu linii. Broadcastingová a nefiltrovaná komunikace přes routery musí být zablokována. Takto bude případná rekonfigurace omezena na jednu linii. Spojky musí být nakonfigurovány tak, aby měly nastaveny aktivní filtrační tabulky a nepřenášely skupinové adresy nepoužívané v příslušných liniích. Pokud by tomu tak nebylo, nežádoucí komunikace v jedné linii by nesla riziko nekontrolovaného šíření zpráv po celé instalaci KNX. 4 Ochrana komunikace při konfiguraci ETS umožňuje definovat heslo pro konkrétní projekt, jehož prostřednictvím lze uzamknout přístroje před neoprávněným přístupem. Tím se zabrání, aby konfiguraci instalace bylo možné číst nebo měnit neoprávněnými osobami. Obr. 2: Ochrana před konfigurační komunikací v ETS Str. 5 Copyright, KNX Association,Version 3, April 2015

5 Ochrana provozní komunikace KNX provozní komunikaci je možné chránit využitím: O KNX Data Secure a O KNX IP Secure mechanizmů KNX Data Secure zajišťuje, že bez ohledu na přenosové KNX médium, vybrané zprávy odesílané KNX přístroji mohou být ověřovány anebo také šifrovány. Aby bylo zajištěno, že i v případě, kdy taková komunikace by nebyla zabezpečena, a takovéto sítě by nebyly připojeny k IP, byly definovány výše uvedené mechanismy KNX IP Secure. Takto je zajištěno, že KNX IP tunneling nebo routing zpráv nelze zaznamenávat ani s nimi manipulovat na IP. KNX IP Secure mechanismus zajistí přidání bezpečnostní obálky ke kompletnímu datovému provozu KNXnet / IP. Obr. 3: Ochrana KNX provozní komunikace na síti IP s využitím KNXnet IP Secure V KNX Data Secure a KNX IP Secure mechanizmy zajišťují, aby: přístroje mohly vytvořit zabezpečený komunikační kanál, čímž se zajišťuje: O O O Integrita dat, tj. zabraňuje se útočníkovi získat kontrolu napíchnutím a manipulací s rámci. V KNX je toto zajištěno připojením ověřovacího kódu ke každé zprávě: tento přídavný kód umožňuje ověřit, že zpráva nebyla upravována a že skutečně pochází od důvěryhodného komunikačního partnera. Aktuálnost, to znamená, že útočníkovi zabraňuje ve využití záznamů rámců jejich pozdějším přehráváním, aniž by manipuloval s obsahem. V KNX Data Secure je to zajištěno sériovým číslem a v KNX IP Secure identifikátorem série. Důvěrnosti, tj. zašifrování provozu v síti zajišťuje minimální možnost útočníka k nahlédnutí na přenášená data. Když je umožněno šifrování KNX síťového provozu, přístroje KNX zajistí šifrování alespoň podle AES-128 CCM algoritmů, společně se symetrickým klíčem. Str. 6 Copyright, KNX Association,Version 3, April 2015

Symetrický klíč znamená, že stejný klíč používá odesílatel k ochraně odchozí zprávy (ověření + důvěrnost!), jakož i v přijímači(ích) k ověření při příjmu této zprávy. Obr. 4: Přehled činnosti KNX Data Secure V KNX Data Secure jsou přístroje chráněny následujícím způsobem: - Přístroj se dodává s jedinečným Nastaveným výrobním klíčem přístroje (FDSK). - Instalatér vloží tento FDSK do konfiguračního nástroje ETS (tuto akci ale v žádném případě nelze uskutečnit po sběrnici). - Konfigurační nástroj vytváří pro projekt specifický pomocný klíč. - ETS po sběrnici odešle přístroji, který má být konfigurován pomocným klíčem, avšak pomocí šifrování a ověření zprávy s předem zadanou FDSK. Ani nástroj ani klíč FDSK nejsou nikdy obsaženy v přenášeném prostém textu na sběrnici. - Přístroj od té doby využívá pouze pomocný klíč k dalším konfiguracím v ETS. FDSK se již při následné komunikaci nepoužívá. - ETS vytváří pomocné klíče (kolik jich je zapotřebí) pro skupinovou komunikaci, kterou je nutné zabezpečit. - Po sběrnici ETS odesílá přístroji, který má být konfigurován tyto provozní klíče, ovšemže využitím šifrování a ověřování zpráv pomocným klíčem. Provozní klíče nejsou nikdy přenášeny po sběrnici ve formátu prostého textu. Str. 7 Copyright, KNX Association,Version 3, April 2015

Obr. 5: Proces zabezpečení KNX přístrojů Pro KNX IP Secure, zabezpečené připojení (Tunneling nebo Device Management) je stanovena následujícím způsobem: - Jak klient, tak i server vytvoří individuální veřejný / soukromý pár klíčů. To se označuje jako asymetrické šifrování. - Klient pošle svůj veřejný klíč na server jako prostý text. - Server odpoví s veřejným klíčem v prostém textu, který je přiložen k výsledku následujícího výpočtu: vypočtená hodnota XOR serveru veřejného klíče pomocí veřejného klíče klienta, zašifruje se kódem přístroje pro ověření klienta a zašifruje se podruhé s vypočteným klíčem relace. Ověřovací kód přístroje je buď přiřazen z ETS během konfigurace, nebo je to pomocný klíč. Tento ověřovací kód přístroje musí být poskytnut provozovateli vizualizace, která má být bezpečně propojena s příslušným serverem. - Klient uskuteční stejnou operaci XOR, ale ověřuje se sám šifrováním, a to nejprve s jedním z hesel serveru a ještě podruhé s klíčem relace. Je třeba poznamenat, že použitý šifrovací algoritmus (Diffie Hellmann) zajišťuje, že klíč relace klienta a serveru jsou shodné. Hesla serveru musí být poskytována provozovateli vizualizace, když chce navázat bezpečné spojení s příslušným serverem. Str. 8 Copyright, KNX Association,Version 3, April 2015

Obr. 6: Nastavení KNX IP Secure spojení 6 Propojení KNX do zabezpečených systémů Připojení KNX k takovým aplikacím, jakými jsou zabezpečovací systémy proti vloupání / požární ochrana / vstupní dveřní systémy, lze zajistit: KNX přístroji nebo rozhraními s příslušnou certifikací místních pojišťoven; bezpotenciálovými kontakty (binárními vstupy, tlačítkovými rozhraními apod.); odpovídajícími rozhraními (jako RS232) nebo hradly: v tomto případě musí být zajištěno, aby komunikace KNX nevyvolala příslušné funkce zabezpečení v bezpečnostní části instalace. 7 Detekce neautorizovaných přístupů ke sběrnici Je samozřejmé, že sběrnici lze monitorovat a tak vysledovat neobvyklý provoz. Některé typy přístrojů mohou detekovat, zda jiný přístroj nevysílá telegramy s jejich individuální adresou. To není samovolně oznámeno v síti, ale lze to načíst z PID_DEVICE_CONTROL. Velmi aktuální implementace se může projevit již v PID_DOWNLOAD_COUNTER. Porovnáním čtení hodnoty (pravidelně) s referenční hodnotou bude signalizována změna v konfiguraci přístroje. 8 Literatura [1] AN 158 v02 KNX Data Security DP Version [2] AN 159 v04 KNX IP Secure DP Version [3] Volume 3/8/x KNXnet/IP Specifications KNX Standard Version 2.1 Str. 9 Copyright, KNX Association,Version 3, April 2015

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář