Relè crittografato Zennio KNX Secure Securel v2
AGGIORNAMENTI AI DOCUMENTI
| Versione | Cambiamenti | Pagina/e |
| b | Aggiunte istruzioni per eseguire un ripristino delle impostazioni di fabbrica. |
INTRODUZIONE
Finora i dati trasmessi in un impianto di automazione KNX erano aperti e potevano essere letti e manipolati da chiunque avesse una certa conoscenza con accesso al mezzo KNX, in modo che la sicurezza fosse garantita impedendo l'accesso al bus KNX o ai dispositivi. I nuovi protocolli KNX Secure aggiungono ulteriore sicurezza alle comunicazioni in un'installazione KNX per prevenire questo tipo di attacchi.
I dispositivi con KNX secure saranno in grado di comunicare in modo sicuro con ETS e qualsiasi altro dispositivo sicuro, in quanto incorporeranno il sistema per l'autenticazione e la crittografia delle informazioni.
Esistono due tipi di sicurezza KNX che possono essere implementati contemporaneamente nella stessa installazione:
- KNX Data Secure: protegge la comunicazione all'interno di un'installazione KNX.
- KNX IP Secure: per installazioni KNX con comunicazione IP, protegge la comunicazione tramite rete IP.
Un dispositivo KNX sicuro si riferisce a un dispositivo che ha la capacità di base per abilitare la comunicazione sicura, anche se non è sempre necessario farlo. Una comunicazione non protetta su dispositivi KNX protetti è uguale alla comunicazione stabilita tra dispositivi senza sicurezza KNX.
L'uso della sicurezza dipende da due impostazioni significative nel progetto ETS:
- Sicurezza messa in servizio: imposta se, durante la messa in servizio, la comunicazione con ETS deve essere sicura o meno e apre la possibilità di attivare la sicurezza runtime.
- Sicurezza runtime: imposta se durante il runtime la comunicazione tra i dispositivi deve essere sicura o meno. In altre parole, determina quali indirizzi di gruppo devono essere protetti. Per attivare la sicurezza durante il runtime, deve essere attivata la sicurezza della messa in servizio.
L'attivazione della sicurezza sui dispositivi KNX Secure è opzionale. Se attivato, viene impostato singolarmente negli indirizzi di gruppo, in modo che tutti o solo una parte degli oggetti possano essere messi in sicurezza, mentre il resto possa funzionare normalmente con dispositivi non messi in sicurezza. In altre parole, i dispositivi con e senza KNX Secure possono coesistere nella stessa installazione.
CONFIGURAZIONE
A partire dalla versione 5.7 di ETS, è abilitato l'uso della sicurezza KNX e di tutte le sue funzionalità per lavorare con dispositivi sicuri.
In questa sezione viene presentata una guida per la configurazione di KNX sicuro nei progetti ETS.
DATI KNX SICURI
La sua implementazione garantisce la comunicazione tra dispositivi finali. I dispositivi KNX sicuri trasmetteranno telegrammi crittografati ad altri dispositivi che dispongono anch'essi di KNX sicuro.
Sarà possibile scegliere per ogni indirizzo di gruppo, se la comunicazione sarà sicura o meno.
MESSA IN SERVIZIO SICURA
Quando un dispositivo ha una messa in servizio sicura, la comunicazione tra ETS e il dispositivo sarà effettuata in modalità sicura.
Un dispositivo dovrebbe avere una messa in servizio sicura configurata ogni volta che c'è sicurezza di runtime, cioè uno dei suoi oggetti è associato ad un indirizzo di gruppo sicuro (vedi sezione 2.1.2).
Nota: Si ricorda che la presenza di un dispositivo sicuro all'interno di un progetto ETS, implica la protezione del progetto stesso con una password.
PARAMETRIZZAZIONE ETS
La messa in servizio sicura può essere impostata dalla scheda "Configurazione" nella finestra "Proprietà" del dispositivo.
Messa in servizio sicura [attivata / disattivata]: consente di scegliere se ETS deve comunicare con il dispositivo in modalità sicura o meno, ovvero di abilitare o disabilitare KNX sicuro sul dispositivo.
Se viene selezionata l'opzione “Attivato”, sarà obbligatorio avere una password per il progetto.
Figura 3. Progetto – Imposta password.
Un altro modo per impostare una password su un progetto è attraverso la finestra principale ("Overview”) dell'ETS. Al momento della selezione del progetto, sul lato destro verrà visualizzata una sezione dove, alla voce “Dettagli”, è possibile inserire la password desiderata.
Figura 4. ETS – Password del dispositivo.
Aggiungi certificato dispositivo: se la messa in servizio sicura è "Attivata", ETS richiederà, oltre alla password, un certificato univoco per il dispositivo.
Il certificato da aggiungere [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] è composto da 36 caratteri alfanumerici generati dal numero di serie e dalla FDSK (Factory Default Setup Key) del dispositivo. È incluso con il dispositivo e contiene il codice QR corrispondente per una facile scansione.
Figura 5. Progetto: aggiungi certificato dispositivo.
Il certificato del dispositivo può anche essere aggiunto dalla finestra ETS principale ("Overview”), accedendo alla sezione “Sicurezza” della nuova finestra visualizzata sul lato destro al momento della selezione del progetto.
Figura 6. ETS: aggiungere il certificato del dispositivo.
Durante la prima messa in servizio sicura, ETS sostituisce l'FDSK del dispositivo con una nuova chiave (Tool Key) che viene generata individualmente per ogni dispositivo.
Se il progetto viene perso, tutte le chiavi degli strumenti andranno perse con esso, quindi i dispositivi non possono essere riprogrammati. Per poterli recuperare, l'FDSK deve essere resettato.
L'FDSK può essere ripristinato in due modi: dopo uno scaricamento, purché eseguito dal progetto in cui è stato effettuato il primo commissioning, oppure dopo un factory reset manuale (vedi paragrafo 3).
COMUNICAZIONE DI GRUPPO SICURA
Ogni oggetto di un dispositivo sicuro può trasmettere le sue informazioni in forma crittografata, stabilendo così sicurezza nella comunicazione o nel funzionamento.
Affinché un oggetto abbia sicurezza KNX, deve essere configurato dall'indirizzo di gruppo stesso, ovvero l'indirizzo a cui l'oggetto verrà associato.
PARAMETRIZZAZIONE ETS
Le impostazioni di sicurezza della comunicazione sono definite dalla sottoscheda "Configurazione" nella finestra "Proprietà" dell'indirizzo di gruppo.
Figura 7. KNX Data Secure – Sicurezza degli indirizzi di gruppo.
Sicurezza [Automatico / On / Off]: nell'impostazione "Automatico", ETS decide se la crittografia è attivata se i due oggetti collegati possono comunicare in modo sicuro.
Note:
- Tutti gli oggetti collegati a un indirizzo di gruppo protetto devono essere oggetti protetti.
- Lo stesso dispositivo può avere sia indirizzi di gruppo sicuri che non sicuri.
Gli oggetti protetti possono essere identificati con uno "scudo blu".
Figura 8. Oggetto protetto.
KNX IP SICURO
La sicurezza IP KNX è progettata per installazioni KNX con comunicazione IP. La sua implementazione garantisce lo scambio sicuro di dati KNX tra sistemi tramite dispositivi KNX sicuri con connessione IP.
Questo tipo di sicurezza viene applicato alle interfacce bus e solo nel mezzo IP, cioè i telegrammi sicuri vengono trasmessi tra accoppiatori, dispositivi e interfacce IP KNX sicuri.
Affinché anche la trasmissione di telegrammi su una linea principale o su una linea secondaria sia sicura, è necessario attivare la sicurezza sul bus KNX (vedere paragrafo 2.1).
Figura 9. Schema KNX IP Secure
MESSA IN SERVIZIO SICURA
In questo tipo di sicurezza, oltre alla messa in servizio sicura nella sezione 1.1.1, è possibile attivare anche “Secure Tunneling”. Questo parametro si trova nella scheda "Impostazioni" della finestra delle proprietà del dispositivo sul lato destro della schermata ETS.
PARAMETRIZZAZIONE ETS
Le impostazioni di messa in servizio e di sicurezza del tunneling sono definite dalla scheda "Configurazione" nella finestra "Proprietà" del dispositivo.
Figura 10. KNX IP Secure – Messa in servizio e tunneling sicuri.
Oltre a Messa in servizio sicura e al pulsante Aggiungi certificato dispositivo, spiegato in precedenza nella sezione 2.1.1, compariranno anche:
- Secure Tunneling [Enabled / Disabled]: parametro disponibile solo se abilitato il secure commissioning. Se questa proprietà è “Abilitata”, i dati trasmessi attraverso le connessioni del tunnel saranno sicuri, cioè le informazioni saranno crittografate attraverso il mezzo IP. Ogni indirizzo del tunnel avrà la propria password.
Figura 11. Password dell'indirizzo di tunneling.
La scheda IP del prodotto contiene anche la password di messa in servizio e il codice di autenticazione, necessari per stabilire una connessione sicura con il dispositivo.
Figura 12. Password di messa in servizio e codice di autenticazione.
Nota: Si raccomanda che il codice di autenticazione per ciascun dispositivo sia individuale (e preferibilmente il valore predefinito impostato in ETS).
La password di messa in servizio verrà richiesta quando l'interfaccia IP viene selezionata in ETS per connettersi ad essa (il codice di autenticazione è opzionale):
Figura 13. Richiesta della password di messa in servizio quando si seleziona un'interfaccia IP sicura.
RIPRISTINO DI FABBRICA
Per evitare che un dispositivo diventi inutilizzabile in caso di smarrimento del progetto e/o della Tool Key con cui è programmato, è possibile riportarlo allo stato di fabbrica ripristinando l'FDSK seguendo i seguenti passi:
- Metti il dispositivo in modalità provvisoria. Ciò si ottiene alimentandolo con il pulsante di programmazione premuto fino a quando il LED di programmazione non lampeggia.
- Rilasciare il pulsante di programmazione. Continua a lampeggiare.
- Premere il pulsante di programmazione per 10 secondi. Mentre si preme il pulsante, si illumina in rosso. Il reset avviene quando il LED si spegne momentaneamente.
Questo processo, oltre alla Tool Key, cancella anche la password BCU e reimposta l'indirizzo individuale al valore 15.15.255.
Uno scarico del programma applicativo cancella anche la Tool Key e la password BCU, anche se in questo caso è richiesto il progetto ETS con cui è stata programmata.
OSSERVAZIONI
Alcune considerazioni per l'utilizzo della sicurezza KNX:
- Cambio indirizzo singolo: in un progetto con più dispositivi sicuri già programmati che condividono tra loro gli indirizzi di gruppo, la modifica dell'indirizzo singolo in uno di essi rende necessario programmare il resto dei dispositivi che condividono con esso gli indirizzi di gruppo.
- Programmazione di un dispositivo di ripristino: quando si tenta di programmare un dispositivo di ripristino delle impostazioni di fabbrica, ETS rileva che si sta utilizzando l'FDSK e chiede conferma per generare una nuova Tool Key per riprogrammare il dispositivo.
- Dispositivo programmato in un altro progetto: se provi a scaricare un dispositivo (in modo sicuro o meno) che è già stato programmato in modo sicuro in un altro progetto, non potrai scaricarlo. Dovrai ripristinare il progetto originale o eseguire un ripristino delle impostazioni di fabbrica.
- Chiave BCU: questa password viene persa con il ripristino manuale delle impostazioni di fabbrica o con lo scaricamento.
Iscriviti e inviaci le tue richieste sui dispositivi Zennio: https://support.zennio.com
Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Navata P-8.11 45007 Toledo. Spagna
Tel. +34 925 232 002
Documenti / Risorse
 | Relè crittografato Zennio KNX Secure Securel v2 [pdf] Guida utente KNX, Relè crittografato Secure Securel v2, Relè crittografato KNX Secure Securel v2, Relè crittografato v2, Relè crittografato, Relè |
