Contidos ocultar
1 Zennio KNX Secure Securel v2 Relé cifrado
2 ACTUALIZACIÓNS DE DOCUMENTOS
3 INTRODUCIÓN
4 CONFIGURACIÓN
4.1 DATOS KNX SEGUROS
4.2 PUESTA EN MARCHA SEGURO
4.3 KNX IP SEGURO
5 RESET DE FÁBRICA
6 OBSERVACIÓNS
7 Documentos/Recursos
7.1 Referencias
8 Publicacións relacionadas

Zennio-LOGO

Zennio KNX Secure Securel v2 Relé cifrado

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-IMAXE-PRODUTO

ACTUALIZACIÓNS DE DOCUMENTOS

Versión Cambios Páxina (s)
b  

Engadíronse instrucións para realizar un restablecemento de fábrica.

INTRODUCIÓN

Ata o momento, os datos transmitidos nunha instalación de automatización KNX estaban abertos e podían ser lidos e manipulados por calquera persoa con algún coñecemento con acceso ao medio KNX, de forma que se garante a seguridade ao impedir o acceso ao bus KNX ou aos dispositivos. Os novos protocolos KNX Secure engaden seguridade adicional ás comunicacións nunha instalación KNX para evitar este tipo de ataques.

Os dispositivos con KNX secure poderán comunicarse de forma segura con ETS e con calquera outro dispositivo seguro, xa que incorporarán sistema de autenticación e cifrado da información.

Existen dous tipos de seguridade KNX que se poden implementar simultaneamente nunha mesma instalación:

  • KNX Data Secure: protexe a comunicación dentro dunha instalación KNX.
  • KNX IP Secure: para instalacións KNX con comunicación IP, asegura a comunicación a través da rede IP.

Un dispositivo KNX seguro refírese a un dispositivo que ten a capacidade básica para permitir a comunicación segura, aínda que non sempre é necesario para facelo. Unha comunicación non segura en dispositivos KNX seguros é igual á comunicación establecida entre dispositivos sen seguridade KNX.

O uso da seguridade depende de dous axustes importantes no proxecto ETS:

  • Seguridade de posta en servizo: establece se, durante a posta en servizo, a comunicación con ETS debe ser ou non segura e abre a posibilidade de activar a seguridade de execución.
  • Seguridade en tempo de execución: establece se durante o tempo de execución, a comunicación entre os dispositivos debe ser ou non segura. Noutras palabras, determina que enderezos de grupo deben ser seguros. Para activar a seguridade durante o tempo de execución, debe estar activada a seguridade de posta en marcha.

A activación da seguridade nos dispositivos KNX Secure é opcional. Se está activado, establécese individualmente nos enderezos de grupo, de xeito que se poden protexer todos ou só unha parte dos obxectos, mentres que o resto pode funcionar normalmente con dispositivos non protexidos. Noutras palabras, os dispositivos con e sen KNX Secure poden coexistir nunha mesma instalación.

CONFIGURACIÓN

A partir da versión 5.7 de ETS, está habilitado o uso da seguridade KNX e todas as súas funcionalidades para traballar con dispositivos seguros.
Nesta sección preséntase unha guía para a configuración de KNX secure en proxectos ETS.

DATOS KNX SEGUROS

A súa implementación garante a comunicación entre os dispositivos finais. Os dispositivos KNX seguros transmitirán telegramas cifrados a outros dispositivos que tamén teñan KNX seguro.

Poderase elixir para cada enderezo de grupo, se a comunicación será ou non segura.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-01

PUESTA EN MARCHA SEGURO

Cando un dispositivo ten unha posta en servizo segura, a comunicación entre ETS e o dispositivo realizarase en modo seguro.

Un dispositivo debe ter unha posta en servizo segura configurada sempre que exista seguridade en tempo de execución, é dicir, un dos seus obxectos está asociado a un enderezo de grupo seguro (ver sección 2.1.2).

Nota: Teña en conta que a presenza dun dispositivo seguro dentro dun proxecto ETS, implica a protección do propio proxecto cun contrasinal.

PARAMETRIZACIÓN ETS
A posta en servizo segura pódese configurar desde a pestana "Configuración" na xanela "Propiedades" do dispositivo.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-02Posta en servizo segura [Activado/Desactivado]: permite escoller se ETS debe comunicarse co dispositivo en modo seguro ou non, é dicir, activar ou desactivar o dispositivo seguro KNX.
Se se selecciona a opción "Activado", será obrigatorio ter un contrasinal para o proxecto.

 

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-03Figura 3. Proxecto – Establecer contrasinal.

Unha forma adicional de establecer un contrasinal nun proxecto é a través da xanela principal ("Overview”) de ETS. Ao seleccionar o proxecto, aparecerá unha sección no lado dereito onde, en "Detalles", se pode introducir o contrasinal desexado.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-04Figura 4. ETS – Contrasinal do dispositivo.

Engadir certificado de dispositivo: se a posta en servizo segura está "Activada", ETS solicitará, ademais do contrasinal, un certificado único para o dispositivo.
O certificado que se vai engadir [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] consta de 36 caracteres alfanuméricos xerados a partir do número de serie e da FDSK (Clave de configuración predeterminada de fábrica) do dispositivo. Inclúese co dispositivo e contén o código QR correspondente para facilitar a dixitalización.

 

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-05Figura 5. Proxecto - Engadir certificado de dispositivo.

O certificado do dispositivo tamén se pode engadir desde a xanela principal de ETS ("Overview”), accedendo á sección “Seguridade” da nova xanela que aparece á dereita ao seleccionar o proxecto.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-06Figura 6. ETS – Engadir certificado de dispositivo.

Durante a primeira posta en servizo segura, ETS substitúe o FDSK do dispositivo cunha nova clave (Tool Key) que se xera individualmente para cada dispositivo.
Se o proxecto se perde, todas as claves da ferramenta perderanse con el, polo que non se poden reprogramar os dispositivos. Para poder recuperalos, o FDSK debe restablecerse.
O FDSK pódese restaurar de dúas formas: despois dunha descarga, sempre que se realice desde o proxecto no que se realizou a primeira posta en servizo, ou despois dun restablecemento manual de fábrica (ver apartado 3).

COMUNICACIÓN DE GRUPO SEGURO
Cada obxecto dun dispositivo seguro pode transmitir a súa información en forma cifrada, establecendo así a seguridade na comunicación ou no funcionamento.

Para que un obxecto teña seguridade KNX, ten que ser configurado desde o propio enderezo do grupo, é dicir, o enderezo ao que se asociará o obxecto.

PARAMETRIZACIÓN ETS
A configuración de seguranza das comunicacións defínese desde a subpestana "Configuración" na xanela "Propiedades" do enderezo do grupo.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-07Figura 7. KNX Data Secure – Seguridade de enderezos de grupo.

Seguridade [Automático / Activado / Desactivado]: na configuración "Automático", ETS decide se se activa o cifrado se os dous obxectos vinculados poden comunicarse de forma segura.

Notas:

  • Todos os obxectos vinculados a un enderezo de grupo seguro serán obxectos seguros.
  • O mesmo dispositivo pode ter un enderezo de grupo seguro e non seguro.

Os obxectos seguros pódense identificar cun "escudo azul".

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-08Figura 8. Obxecto seguro.

KNX IP SEGURO

A seguridade IP KNX está deseñada para instalacións KNX con comunicación IP. A súa implementación garante o intercambio seguro de datos KNX entre sistemas a través de dispositivos KNX seguros con conexión IP.

Este tipo de seguridade aplícase nas interfaces de bus e só no medio IP, é dicir, os telegramas seguros transmítense entre acopladores KNX IP, dispositivos e interfaces seguros.

Para que a transmisión de telegramas nunha liña principal ou subliña tamén sexa segura, é preciso activar a seguridade no bus KNX (ver apartado 2.1).

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-09Figura 9. Esquema KNX IP Secure

PUESTA EN MARCHA SEGURO
Neste tipo de seguridade, ademais da posta en servizo segura do apartado 1.1.1, tamén se pode activar “Túneles seguros”. Este parámetro pódese atopar na pestana "Configuración" da xanela de propiedades do dispositivo na parte dereita da pantalla ETS.

PARAMETRIZACIÓN ETS
A configuración de seguridade de posta en servizo e de túnel defínese desde a pestana "Configuración" na xanela "Propiedades" do dispositivo.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-10Figura 10. KNX IP Secure: posta en servizo e túnel seguros.
Ademais da posta en servizo segura e o botón Engadir certificado de dispositivo, explicado anteriormente na sección 2.1.1, tamén aparecerá:

  • Túnel seguro [Activado / Desactivado]: parámetro só dispoñible se a posta en servizo segura está activada. Se esta propiedade está "Activada", os datos transmitidos a través das conexións do túnel serán seguros, é dicir, a información cifrarase a través do medio IP. Cada enderezo do túnel terá o seu propio contrasinal.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-10Figura 11. Contrasinal do enderezo de túnel.

A pestana IP do produto tamén contén o contrasinal de posta en servizo e o código de autenticación, que son necesarios para realizar calquera conexión segura co dispositivo.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-11Figura 12. Contrasinal de posta en servizo e código de autenticación.

Nota: Recoméndase que o código de autenticación de cada dispositivo sexa individual (e preferiblemente o establecido por defecto en ETS).
O contrasinal de posta en servizo solicitarase cando se seleccione a Interface IP en ETS para conectarse a ela (o código de autenticación é opcional):

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-12Figura 13. Solicitude de contrasinal de posta en servizo ao seleccionar unha interface IP segura.

RESET DE FÁBRICA

Para evitar que un dispositivo quede inservible no caso de perder o proxecto e/ou a Chave da ferramenta coa que está programado, é posible devolvelo ao estado de fábrica restaurando o FDSK seguindo os seguintes pasos:

  1. Pon o dispositivo en modo seguro. Isto conséguese acendendo o botón de programación pulsado ata que o LED de programación parpadea.
  2. Soltar o botón de programación. Segue parpadeando.
  3. Prema o botón de programación durante 10 segundos. Mentres se preme o botón, acendese en vermello. O reinicio ocorre cando o LED se apaga momentaneamente.

Este proceso, ademais da clave da ferramenta, tamén elimina o contrasinal BCU e restablece o enderezo individual ao valor 15.15.255.

Unha descarga do programa da aplicación tamén borra a Chave da ferramenta e o contrasinal BCU, aínda que neste caso é necesario o proxecto ETS co que foi programado.

OBSERVACIÓNS

Algunhas consideracións para o uso da seguridade KNX: 

  • Cambio de enderezo individual: nun proxecto con varios dispositivos seguros xa programados que comparten enderezos de grupo entre eles, o cambio de enderezo individual nun deles fai necesario programar o resto de dispositivos que comparten enderezos de grupo con el.
  • Programación dun dispositivo de restablecemento: ao tentar programar un dispositivo de restablecemento de fábrica, ETS detecta que se está a utilizar o FDSK e pide confirmación para xerar unha nova clave de ferramenta para reprogramar o dispositivo.
  • Dispositivo programado noutro proxecto: se tentas descargar un dispositivo (con seguridade ou non) que xa foi programado con seguridade noutro proxecto, non poderás descargalo. Terás que recuperar o proxecto orixinal ou realizar un restablecemento de fábrica.
  • Chave BCU: este contrasinal pérdese por restablecemento manual de fábrica ou por descarga.

Únete e envíanos as túas consultas sobre os dispositivos Zennio: https://support.zennio.com

Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Nave P-8.11 45007 Toledo. España

Tel. +34 925 232 002

www.zennio.com
info@zennio.com

Documentos/Recursos

Zennio KNX Secure Securel v2 Relé cifrado [pdfGuía do usuario
KNX, Secure Securel v2 Encrypted Relay, KNX Secure Securel v2 Encrypted Relay, v2 Encrypted Relay, Encrypted Relay, Relay

Referencias

Publicacións relacionadas

Deixa un comentario

O teu enderezo de correo electrónico non será publicado. Os campos obrigatorios están marcados *