Continguts amagar
1 Relé xifrat Zennio KNX Secure Securel v2
2 ACTUALITZACIONS DE DOCUMENTS
3 INTRODUCCIÓ
4 CONFIGURACIÓ
4.1 DADES KNX SEGURES
4.2 PUESTA EN SERVEI SEGURA
4.3 KNX IP SEGURETAT
5 RESTABLIMENT DE FÀBRICA
6 OBSERVACIONS
7 Documents/Recursos
7.1 Referències
8 Publicacions relacionades

Zennio-LOGO

Relé xifrat Zennio KNX Secure Securel v2

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-IMATGE-DE-PRODUCTE

ACTUALITZACIONS DE DOCUMENTS

Versió Canvis Pàgines
b  

S'han afegit instruccions per dur a terme un restabliment de fàbrica.

INTRODUCCIÓ

Fins al moment, les dades transmeses en una instal·lació d'automatització KNX eren obertes i podien ser llegides i manipulades per qualsevol persona amb algun coneixement amb accés al mitjà KNX, de manera que es garanteix la seguretat impedint l'accés al bus KNX o als dispositius. Els nous protocols KNX Secure afegeixen seguretat addicional a les comunicacions en una instal·lació KNX per evitar aquest tipus d'atacs.

Els dispositius amb KNX secure es podran comunicar de manera segura amb ETS i qualsevol altre dispositiu segur, ja que incorporaran sistema d'autenticació i xifrat de la informació.

Hi ha dos tipus de seguretat KNX que es poden implementar simultàniament en la mateixa instal·lació:

  • KNX Data Secure: assegura la comunicació dins d'una instal·lació KNX.
  • KNX IP Secure: per a instal·lacions KNX amb comunicació IP, assegura la comunicació a través de la xarxa IP.

Un dispositiu KNX segur fa referència a un dispositiu que té la capacitat bàsica per permetre una comunicació segura, encara que no sempre és necessari per fer-ho. Una comunicació no segura en dispositius KNX segurs és igual a la comunicació establerta entre dispositius sense seguretat KNX.

L'ús de la seguretat depèn de dos paràmetres importants en el projecte ETS:

  • Seguretat de posada en servei: estableix si, durant la posada en marxa, la comunicació amb ETS ha de ser segura o no i obre la possibilitat d'activar la seguretat d'execució.
  • Seguretat en temps d'execució: estableix si durant el temps d'execució, la comunicació entre dispositius ha de ser segura o no. En altres paraules, determina quines adreces de grup han de ser segures. Per activar la seguretat durant el temps d'execució, s'ha d'activar la seguretat de posada en marxa.

L'activació de la seguretat als dispositius KNX Secure és opcional. Si està activat, s'estableix individualment a les adreces de grup, de manera que es poden assegurar tots o només una part dels objectes, mentre que la resta pot funcionar amb normalitat amb dispositius no assegurats. És a dir, els dispositius amb i sense KNX Secure poden coexistir en una mateixa instal·lació.

CONFIGURACIÓ

A partir de la versió 5.7 d'ETS, s'habilita l'ús de la seguretat KNX i totes les seves funcionalitats per treballar amb dispositius segurs.
En aquesta secció es presenta una guia per a la configuració de KNX secure en projectes ETS.

DADES KNX SEGURES

La seva implementació garanteix la comunicació entre dispositius finals. Els dispositius KNX segurs transmetran telegrames xifrats a altres dispositius que també tinguin KNX segur.

Es podrà escollir per a cada adreça de grup, si la comunicació serà segura o no.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-01

PUESTA EN SERVEI SEGURA

Quan un dispositiu té una posada en marxa segura, la comunicació entre ETS i el dispositiu es durà a terme en mode segur.

Un dispositiu ha de tenir una posada en marxa segura configurada sempre que hi hagi seguretat en temps d'execució, és a dir, un dels seus objectes està associat a una adreça de grup segura (vegeu la secció 2.1.2).

Nota: Tingueu en compte que la presència d'un dispositiu segur dins d'un projecte ETS, implica la protecció del propi projecte amb una contrasenya.

PARAMETRITZACIÓ ETS
La posada en marxa segura es pot configurar des de la pestanya "Configuració" de la finestra "Propietats" del dispositiu.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-02Posada en marxa segura [Activat/Desactivat]: permet triar si l'ETS s'ha de comunicar amb el dispositiu en mode segur o no, és a dir, activar o desactivar la seguretat KNX al dispositiu.
Si se selecciona l'opció "Activat", serà obligatori disposar d'una contrasenya per al projecte.

 

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-03Figura 3. Projecte – Establir contrasenya.

Una manera addicional d'establir una contrasenya en un projecte és a través de la finestra principal ("A mésview”) de l'ETS. En seleccionar el projecte, es mostrarà una secció a la part dreta on, a "Detalls", es pot introduir la contrasenya desitjada.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-04Figura 4. ETS – Contrasenya del dispositiu.

Afegeix certificat de dispositiu: si la posada en marxa segura està "Activada", ETS sol·licitarà, a més de la contrasenya, un certificat únic per al dispositiu.
El certificat que s'ha d'afegir [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] consta de 36 caràcters alfanumèrics generats a partir del número de sèrie i de la FDSK (Clau de configuració predeterminada de fàbrica) del dispositiu. S'inclou amb el dispositiu i conté el codi QR corresponent per escanejar fàcilment.

 

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-05Figura 5. Projecte – Afegeix certificat de dispositiu.

El certificat del dispositiu també es pot afegir des de la finestra principal de l'ETS ("Subview”), accedint a la secció “Seguretat” de la nova finestra que es mostra a la dreta en seleccionar el projecte.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-06Figura 6. ETS – Afegeix certificat de dispositiu.

Durant la primera posada en marxa segura, ETS substitueix el FDSK del dispositiu per una nova clau (Tool Key) que es genera individualment per a cada dispositiu.
Si es perd el projecte, totes les claus de l'eina es perdran amb ell, per tant, els dispositius no es poden reprogramar. Per poder recuperar-los, s'ha de restablir el FDSK.
El FDSK es pot restaurar de dues maneres: després d'una descàrrega, sempre que es realitzi des del projecte en què es va realitzar la primera posada en marxa, o després d'un restabliment manual de fàbrica (vegeu l'apartat 3).

COMUNICACIÓ DE GRUP SEGURA
Cada objecte d'un dispositiu segur pot transmetre la seva informació en forma xifrada, establint així seguretat en la comunicació o el funcionament.

Perquè un objecte tingui seguretat KNX, s'ha de configurar des de la pròpia adreça del grup, és a dir, l'adreça a la qual s'associarà l'objecte.

PARAMETRITZACIÓ ETS
La configuració de seguretat de la comunicació es defineix a la subpestanya "Configuració" a la finestra "Propietats" de l'adreça del grup.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-07Figura 7. KNX Data Secure – Seguretat de l'adreça de grup.

Seguretat [Automàtic / Activat / Desactivat]: a la configuració "Automàtic", ETS decideix si el xifratge està activat si els dos objectes enllaçats es poden comunicar de manera segura.

Notes:

  • Tots els objectes vinculats a una adreça de grup segura han de ser objectes segurs.
  • El mateix dispositiu pot tenir una adreça de grup segura i no segura.

Els objectes segurs es poden identificar amb un "escut blau".

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-08Figura 8. Objecte segur.

KNX IP SEGURETAT

La seguretat IP KNX està dissenyada per a instal·lacions KNX amb comunicació IP. La seva implementació garanteix l'intercanvi segur de dades KNX entre sistemes mitjançant dispositius KNX segurs amb connexió IP.

Aquest tipus de seguretat s'aplica a les interfícies de bus i només en el mitjà IP, és a dir, es transmeten telegrames segurs entre acobladors, dispositius i interfícies IP KNX segurs.

Per tal que la transmissió de telegrames en una línia principal o sublínia també sigui segura, s'ha d'activar la seguretat al bus KNX (vegeu l'apartat 2.1).

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-09Figura 9. Esquema KNX IP Secure

PUESTA EN SERVEI SEGURA
En aquest tipus de seguretat, a més de la posada en marxa segura de l'apartat 1.1.1, també es pot activar “Túneles segurs”. Aquest paràmetre es pot trobar a la pestanya "Configuració" de la finestra de propietats del dispositiu a la part dreta de la pantalla ETS.

PARAMETRITZACIÓ ETS
La configuració de seguretat de la posada en marxa i del túnel es defineix des de la pestanya "Configuració" de la finestra "Propietats" del dispositiu.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-10Figura 10. KNX IP Secure: posada en marxa i túnel segurs.
A més de la posada en marxa segura i el botó Afegeix certificat de dispositiu, explicat anteriorment a l'apartat 2.1.1, també apareixerà:

  • Túnel segur [Activat / Desactivat]: paràmetre només disponible si la posada en marxa segura està habilitat. Si aquesta propietat està "Habilitada", les dades transmeses a través de les connexions del túnel seran segures, és a dir, la informació es xifrarà a través del mitjà IP. Cada adreça del túnel tindrà la seva pròpia contrasenya.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-10Figura 11. Contrasenya de l'adreça de túnel.

La pestanya IP del producte també conté la contrasenya de posada en marxa i el codi d'autenticació, que són necessaris per establir qualsevol connexió segura amb el dispositiu.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-11Figura 12. Contrasenya de posada en marxa i codi d'autenticació.

Nota: Es recomana que el codi d'autenticació per a cada dispositiu sigui individual (i preferiblement el definit per defecte a ETS).
La contrasenya de posada en marxa es demanarà quan se seleccioneu la interfície IP a ETS per connectar-hi (el codi d'autenticació és opcional):

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-12Figura 13. Sol·licitud de contrasenya de posada en marxa en seleccionar una interfície IP segura.

RESTABLIMENT DE FÀBRICA

Per evitar que un dispositiu es torni inutilitzable en cas de perdre el projecte i/o la clau d'eina amb què està programat, és possible tornar-lo a l'estat de fàbrica restaurant el FDSK seguint els passos següents:

  1. Posa el dispositiu en mode segur. Això s'aconsegueix engegant-lo amb el botó de programació premut fins que el LED de programació parpelleja.
  2. Deixeu anar el botó de programació. Continua parpellejant.
  3. Premeu el botó de programació durant 10 segons. Mentre premeu el botó, s'il·lumina en vermell. El restabliment es produeix quan el LED s'apaga momentàniament.

Aquest procés, a part de la clau d'eina, també elimina la contrasenya de la BCU i restableix l'adreça individual al valor 15.15.255.

Una descàrrega del programa d'aplicació també elimina la clau d'eina i la contrasenya de la BCU, encara que en aquest cas es requereix el projecte ETS amb el qual s'ha programat.

OBSERVACIONS

Algunes consideracions per a l'ús de la seguretat KNX: 

  • Canvi d'adreça individual: en un projecte amb diversos dispositius segurs ja programats que comparteixen adreces de grup entre ells, canviar l'adreça individual en un d'ells fa necessari programar la resta de dispositius que comparteixen adreces de grup amb ell.
  • Programació d'un dispositiu de restabliment: quan s'intenta programar un dispositiu de restabliment de fàbrica, l'ETS detecta que s'està utilitzant el FDSK i demana confirmació per generar una nova clau d'eina per reprogramar el dispositiu.
  • Dispositiu programat en un altre projecte: si intenteu descarregar un dispositiu (de manera segura o no) que ja ha estat programat de manera segura en un altre projecte, no el podreu descarregar. Haureu de recuperar el projecte original o fer un restabliment de fàbrica.
  • Clau BCU: aquesta contrasenya es perd per restabliment manual de fàbrica o per descàrrega.

Uneix-te i envia'ns les teves consultes sobre els dispositius Zennio: https://support.zennio.com

Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Nau P-8.11 45007 Toledo. Espanya

Tel. +34 925 232 002

www.zennio.com
info@zennio.com

Documents/Recursos

Relé xifrat Zennio KNX Secure Securel v2 [pdfGuia de l'usuari
KNX, Secure Securel v2 Encrypted Relay, KNX Secure Securel v2 Encrypted Relay, v2 Encrypted Relay, Encrypted Relay, Relay

Referències

Publicacions relacionades

Deixa un comentari

La teva adreça de correu electrònic no es publicarà. Els camps obligatoris estan marcats *