Relais chiffré Zennio KNX Secure Securel v2
MISES À JOUR DES DOCUMENTS
| Version | Changements | Page (s) |
| b |
Ajout d'instructions pour effectuer une réinitialisation d'usine. |
INTRODUCTION
Jusqu'à présent, les données transmises dans une installation d'automatisation KNX étaient ouvertes et pouvaient être lues et manipulées par toute personne ayant des connaissances ayant accès au support KNX, de sorte que la sécurité est garantie en empêchant l'accès au bus KNX ou aux appareils. Les nouveaux protocoles KNX Secure ajoutent une sécurité supplémentaire aux communications dans une installation KNX pour empêcher ce type d'attaques.
Les appareils avec KNX sécurisé pourront communiquer en toute sécurité avec ETS et tout autre appareil sécurisé, car ils intégreront un système d'authentification et de cryptage des informations.
Il existe deux types de sécurité KNX qui peuvent être mises en œuvre simultanément dans une même installation :
- KNX Data Secure : sécurise la communication au sein d'une installation KNX.
- KNX IP Secure : pour les installations KNX avec communication IP, sécurise la communication via le réseau IP.
Un appareil KNX sécurisé fait référence à un appareil qui a la capacité de base pour permettre une communication sécurisée, bien qu'il ne soit pas toujours nécessaire de le faire. Une communication non sécurisée sur des appareils KNX sécurisés équivaut à une communication établie entre des appareils sans sécurité KNX.
L'utilisation de la sécurité dépend de deux paramètres importants dans le projet ETS :
- Sécurité de mise en service : définit si, lors de la mise en service, la communication avec ETS doit être sécurisée ou non et ouvre la possibilité d'activer la sécurité d'exécution.
- Sécurité d'exécution : définit si pendant l'exécution, la communication entre les appareils doit être sécurisée ou non. En d'autres termes, il détermine quelles adresses de groupe doivent être sécurisées. Pour activer la sécurité pendant l'exécution, la sécurité de mise en service doit être activée.
L'activation de la sécurité sur les appareils KNX Secure est facultative. S'il est activé, il est défini individuellement dans les adresses de groupe, de sorte que tous ou seulement une partie des objets peuvent être sécurisés, tandis que le reste peut fonctionner normalement avec des appareils non sécurisés. En d'autres termes, les appareils avec et sans KNX Secure peuvent coexister dans la même installation.
CONFIGURATION
À partir de la version 5.7 d'ETS, l'utilisation de la sécurité KNX et de toutes ses fonctionnalités pour travailler avec des dispositifs sécurisés est activée.
Dans cette section, un guide pour la configuration de KNX sécurisé dans les projets ETS est présenté.
SÉCURITÉ DES DONNÉES KNX
Sa mise en œuvre assure la communication entre les terminaux. Les appareils KNX sécurisés transmettront des télégrammes cryptés à d'autres appareils qui ont également KNX sécurisé.
Il sera possible de choisir pour chaque adresse de groupe, si la communication sera sécurisée ou non.
MISE EN SERVICE SÉCURISÉE
Lorsqu'un appareil dispose d'une mise en service sécurisée, la communication entre ETS et l'appareil s'effectue en mode sans échec.
Un équipement doit avoir une mise en service sécurisée configurée chaque fois qu'il y a sécurité d'exécution, c'est-à-dire qu'un de ses objets est associé à une adresse de groupe sécurisée (voir section 2.1.2).
Note: Veuillez noter que la présence d'un dispositif sécurisé au sein d'un projet ETS implique la protection du projet lui-même par un mot de passe.
PARAMETRAGE ETS
La mise en service sécurisée peut être paramétrée depuis l'onglet « Configuration » de la fenêtre « Propriétés » de l'appareil.
Mise en service sécurisée [Activé / Désactivé] : permet de choisir si ETS doit communiquer avec l'appareil en mode sans échec ou non, c'est-à-dire d'activer ou de désactiver la sécurité KNX sur l'appareil.
Si l'option "Activé" est sélectionnée, il sera obligatoire d'avoir un mot de passe pour le projet.
Figure 3. Projet – Définir le mot de passe.
Une autre façon de définir un mot de passe pour un projet consiste à passer par la fenêtre principale ("Overview”) d'ETS. Lors de la sélection du projet, une section s'affiche sur le côté droit où, sous "Détails", le mot de passe souhaité peut être saisi.
Figure 4. ETS – Mot de passe de l'appareil.
Ajouter un certificat d'appareil : si la mise en service sécurisée est "Activée", ETS demandera, en plus du mot de passe, un certificat unique pour l'appareil.
Le certificat à ajouter [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] est composé de 36 caractères alphanumériques générés à partir du numéro de série et de la FDSK (Factory Default Setup Key) de l'appareil. Il est inclus avec l'appareil et contient le code QR correspondant pour une numérisation facile.
Figure 5. Projet – Ajouter un certificat de périphérique.
Le certificat d'appareil peut également être ajouté à partir de la fenêtre principale d'ETS ("Overview"), en accédant à la section "Sécurité" de la nouvelle fenêtre affichée à droite lors de la sélection du projet.
Figure 6. ETS – Ajouter un certificat d'appareil.
Lors de la première mise en service sécurisée, ETS remplace la FDSK de l'appareil par une nouvelle clé (Tool Key) qui est générée individuellement pour chaque appareil.
Si le projet est perdu, toutes les clés d'outil seront perdues avec lui, par conséquent, les appareils ne peuvent pas être reprogrammés. Afin de pouvoir les récupérer, la FDSK doit être réinitialisée.
Le FDSK peut être restauré de deux manières : après un déchargement, à condition qu'il soit effectué à partir du projet dans lequel la première mise en service a été effectuée, ou après une réinitialisation manuelle des paramètres d'usine (voir section 3).
COMMUNICATION DE GROUPE SÉCURISÉE
Chaque objet d'un dispositif sécurisé peut transmettre ses informations sous forme cryptée, établissant ainsi une sécurité de communication ou de fonctionnement.
Pour qu'un objet ait la sécurité KNX, il doit être configuré à partir de l'adresse de groupe elle-même, c'est-à-dire l'adresse à laquelle l'objet sera associé.
PARAMETRAGE ETS
Les paramètres de sécurité de la communication sont définis depuis le sous-onglet "Configuration" de la fenêtre "Propriétés" de l'adresse de groupe.
Figure 7. KNX Data Secure – Sécurité d'adresse de groupe.
Sécurité [Automatique / Activé / Désactivé] : dans le paramètre "Automatique", ETS décide si le cryptage est activé si les deux objets liés peuvent communiquer en toute sécurité.
Remarques :
- Tous les objets liés à une adresse de groupe sécurisée doivent être des objets sécurisés.
- Le même appareil peut avoir une adresse de groupe sécurisée et non sécurisée.
Les objets sécurisés peuvent être identifiés par un "bouclier bleu".
Figure 8. Objet sécurisé.
KNX IP SÉCURISÉ
La sécurité IP KNX est conçue pour les installations KNX avec communication IP. Sa mise en œuvre assure l'échange sécurisé de données KNX entre les systèmes via des appareils KNX sécurisés avec connexion IP.
Ce type de sécurité est appliqué sur les interfaces de bus et uniquement sur le support IP, c'est-à-dire que des télégrammes sécurisés sont transmis entre des coupleurs IP KNX sécurisés, des appareils et des interfaces.
Pour que la transmission des télégrammes sur une ligne principale ou une sous-ligne soit également sécurisée, la sécurité doit être activée sur le bus KNX (voir section 2.1).
Figure 9. Schéma KNX IP Secure
MISE EN SERVICE SÉCURISÉE
Dans ce type de sécurité, en plus de la mise en service sécurisée de la section 1.1.1, « Secure Tunneling » peut également être activé. Ce paramètre se trouve dans l'onglet "Paramètres" de la fenêtre des propriétés de l'appareil sur le côté droit de l'écran ETS.
PARAMETRAGE ETS
Les paramètres de sécurité de mise en service et de tunnellisation sont définis depuis l'onglet « Configuration » de la fenêtre « Propriétés » de l'appareil.
Figure 10. KNX IP Secure – Mise en service et tunnelisation sécurisées.
En plus de la mise en service sécurisée et du bouton Ajouter un certificat d'appareil, expliqué précédemment à la section 2.1.1, apparaîtront également :
- Tunneling sécurisé [Activé / Désactivé] : paramètre disponible uniquement si la mise en service sécurisée est activée. Si cette propriété est « Enabled », les données transmises via les connexions tunnel seront sécurisées, c'est-à-dire que les informations seront cryptées via le support IP. Chaque adresse de tunnel aura son propre mot de passe.
Figure 11. Mot de passe de l'adresse de tunnellisation.
L'onglet IP du produit contient également le mot de passe de mise en service et le code d'authentification, qui sont nécessaires pour établir une connexion sécurisée à l'appareil.
Figure 12. Mot de passe de mise en service et code d'authentification.
Note: Il est recommandé que le code d'authentification de chaque appareil soit individuel (et de préférence défini par défaut dans ETS).
Le mot de passe de mise en service sera demandé lors de la sélection de l'Interface IP dans ETS pour s'y connecter (le code d'authentification est facultatif) :
Figure 13. Demande de mot de passe de mise en service lors de la sélection d'une interface IP sécurisée.
RETOUR AUX PARAMÈTRES D'USINE
Pour éviter qu'un appareil ne devienne inutilisable en cas de perte du projet et/ou de la Tool Key avec laquelle il est programmé, il est possible de le remettre à l'état d'usine en restaurant le FDSK en suivant les étapes ci-dessous :
- Mettez l'appareil en mode sans échec. Ceci est réalisé en le mettant sous tension avec le bouton de programmation enfoncé jusqu'à ce que la LED de programmation clignote.
- Relâchez le bouton de programmation. Il continue de clignoter.
- Appuyez sur le bouton de programmation pendant 10 secondes. Lorsque vous appuyez sur le bouton, il s'allume en rouge. La réinitialisation se produit lorsque la LED s'éteint momentanément.
Outre la clé d'outil, ce processus supprime également le mot de passe BCU et réinitialise l'adresse individuelle à la valeur 15.15.255.
Un déchargement du programme d'application supprime également la clé d'outil et le mot de passe BCU, bien que dans ce cas, le projet ETS avec lequel il a été programmé soit requis.
OBSERVATIONS
Quelques considérations pour l'utilisation de la sécurité KNX :
- Changement d'adresse individuelle : dans un projet avec plusieurs dispositifs sécurisés déjà programmés qui partagent entre eux des adresses de groupe, le changement d'adresse individuelle dans l'un d'eux oblige à programmer le reste des dispositifs qui partagent avec lui des adresses de groupe.
- Programmation d'un dispositif de réinitialisation : lorsque vous essayez de programmer un dispositif de réinitialisation d'usine, ETS détecte que le FDSK est utilisé et demande une confirmation pour générer une nouvelle clé d'outil afin de reprogrammer le dispositif.
- Appareil programmé dans un autre projet : si vous essayez de télécharger un appareil (en toute sécurité ou non) qui a déjà été programmé en toute sécurité dans un autre projet, vous ne pourrez pas le télécharger. Vous devrez récupérer le projet d'origine ou effectuer une réinitialisation d'usine.
- Clé BCU : ce mot de passe est perdu soit par une réinitialisation manuelle des paramètres d'usine, soit par un déchargement.
Rejoignez-nous et envoyez-nous vos demandes de renseignements sur les appareils Zennio : https://support.zennio.com
Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Nef P-8.11 45007 Tolède. Espagne
Tél. +34 925 232 002
www.zennio.com
info@zennio.com
Documents / Ressources
 |
Relais chiffré Zennio KNX Secure Securel v2 [pdf] Guide de l'utilisateur KNX, relais crypté Secure Securel v2, relais crypté KNX Secure Securel v2, relais crypté v2, relais crypté, relais |
