Zennio KNX Secure Securel v2 versleuteld relais

DOCUMENT-UPDATES

Versie	Wijzigingen	Pagina's)
b	Instructies toegevoegd voor het uitvoeren van een fabrieksreset.

INVOERING

Tot nu toe waren de gegevens die in een KNX-automatiseringsinstallatie werden verzonden open en konden ze worden gelezen en gemanipuleerd door iedereen met enige kennis van zaken die toegang heeft tot het KNX-medium, zodat de veiligheid wordt gegarandeerd door de toegang tot de KNX-bus of tot de apparaten te voorkomen. De nieuwe KNX Secure-protocollen voegen extra beveiliging toe aan de communicatie in een KNX-installatie om dergelijke aanvallen te voorkomen.

Apparaten met KNX-beveiliging kunnen veilig communiceren met ETS en elk ander beveiligd apparaat, omdat ze een systeem voor authenticatie en codering van de informatie bevatten.

Er zijn twee soorten KNX-beveiliging die tegelijkertijd in dezelfde installatie kunnen worden geïmplementeerd:

• KNX Data Secure: beveiligt de communicatie binnen een KNX-installatie.
• KNX IP Secure: voor KNX-installaties met IP-communicatie, beveiligt communicatie via IP-netwerk.

Een veilig KNX-apparaat verwijst naar een apparaat dat de basiscapaciteit heeft om veilige communicatie mogelijk te maken, hoewel dit niet altijd vereist is. Een onbeveiligde communicatie op beveiligde KNX-apparaten is gelijk aan communicatie tussen apparaten zonder KNX-beveiliging.

Het gebruik van beveiliging is afhankelijk van twee belangrijke instellingen in het ETS-project:

• Inbedrijfstellingsbeveiliging: stelt in of de communicatie met ETS tijdens de inbedrijfstelling veilig moet zijn of niet en opent de mogelijkheid om de looptijdbeveiliging te activeren.
• Runtime-beveiliging: stelt in of communicatie tussen apparaten tijdens runtime veilig moet zijn of niet. Met andere woorden, het bepaalt welke groepsadressen beveiligd moeten worden. Om de beveiliging tijdens de looptijd te activeren, moet de inbedrijfstellingsbeveiliging worden geactiveerd.

De activering van de beveiliging op KNX Secure-apparaten is optioneel. Als het geactiveerd is, wordt het individueel ingesteld in de groepsadressen, zodat alle of slechts een deel van de objecten kunnen worden beveiligd, terwijl de rest normaal kan functioneren met niet-beveiligde apparaten. Met andere woorden, apparaten met en zonder KNX Secure kunnen naast elkaar bestaan ​​in dezelfde installatie.

CONFIGURATIE

Vanaf ETS versie 5.7 is het gebruik van KNX-beveiliging en al zijn functionaliteiten om met beveiligde apparaten te werken mogelijk.
In dit gedeelte wordt een handleiding voor de configuratie van KNX secure in ETS-projecten gepresenteerd.

KNX DATA BEVEILIGD

De implementatie zorgt voor communicatie tussen eindapparaten. Beveiligde KNX-apparaten verzenden versleutelde telegrammen naar andere apparaten die ook over KNX-beveiliging beschikken.

Per groepsadres kan worden gekozen of de communicatie al dan niet beveiligd is.

VEILIGE INBEDRIJFSTELLING

Wanneer een apparaat een veilige inbedrijfstelling heeft, wordt de communicatie tussen ETS en het apparaat uitgevoerd in de veilige modus.

Een apparaat moet een veilige inbedrijfstelling hebben als er runtime-beveiliging is, dwz een van zijn objecten is gekoppeld aan een veilig groepsadres (zie paragraaf 2.1.2).

Opmerking: Houd er rekening mee dat de aanwezigheid van een beveiligd apparaat binnen een ETS-project de bescherming van het project zelf met een wachtwoord inhoudt.

ETS PARAMETERISATIE
De veilige inbedrijfstelling kan worden ingesteld via het tabblad "Configuratie" in het venster "Eigenschappen" van het apparaat.

Veilige inbedrijfstelling [geactiveerd / gedeactiveerd]: maakt het mogelijk om te kiezen of ETS al dan niet in de veilige modus met het apparaat moet communiceren, dwz om KNX Secure op het apparaat in of uit te schakelen.
Als de optie "Geactiveerd" is geselecteerd, is het verplicht om een ​​wachtwoord voor het project te hebben.

 

Figuur 3. Project – Wachtwoord instellen.

Een andere manier om een ​​wachtwoord in te stellen voor een project is via het hoofdvenster (“Overview”) van ETS. Bij het selecteren van het project wordt aan de rechterkant een gedeelte getoond waar onder “Details” het gewenste wachtwoord kan worden ingevoerd.

Afbeelding 4. ETS – Apparaatwachtwoord.

Apparaatcertificaat toevoegen: Als veilige inbedrijfstelling "Geactiveerd" is, zal ETS, naast het wachtwoord, een uniek certificaat voor het apparaat vragen.
Het toe te voegen certificaat [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] bestaat uit 36 ​​alfanumerieke tekens die worden gegenereerd op basis van het serienummer en de FDSK (Factory Default Setup Key) van het apparaat. Het wordt bij het apparaat geleverd en bevat de bijbehorende QR-code voor eenvoudig scannen.

 

Afbeelding 5. Project – Apparaatcertificaat toevoegen.

Apparaatcertificaat kan ook worden toegevoegd vanuit het ETS-hoofdvenster (“Overview”), door naar het gedeelte "Beveiliging" van het nieuwe venster te gaan dat aan de rechterkant wordt weergegeven wanneer u het project selecteert.

Afbeelding 6. ETS – Apparaatcertificaat toevoegen.

Tijdens de eerste veilige inbedrijfstelling vervangt ETS de FDSK van het apparaat door een nieuwe sleutel (Tool Key) die voor elk apparaat afzonderlijk wordt gegenereerd.
Als het project verloren gaat, gaan ook alle gereedschapssleutels verloren, daarom kunnen de apparaten niet opnieuw worden geprogrammeerd. Om ze te kunnen herstellen, moet de FDSK worden gereset.
De FDSK kan op twee manieren worden hersteld: na een ontlading, mits uitgevoerd vanuit het project waarin de eerste inbedrijfstelling is uitgevoerd, of na een handmatige fabrieksreset (zie hoofdstuk 3).

VEILIGE GROEPSCOMMUNICATIE
Elk object van een beveiligd apparaat kan zijn informatie in gecodeerde vorm verzenden, waardoor de communicatie of werking wordt beveiligd.

Om een ​​object KNX-beveiliging te geven, moet het worden geconfigureerd vanaf het groepsadres zelf, dwz het adres waaraan het object zal worden gekoppeld.

ETS PARAMETERISATIE
De communicatiebeveiligingsinstellingen worden gedefinieerd vanaf het subtabblad "Configuratie" in het venster "Eigenschappen" van het groepsadres.

Afbeelding 7. KNX Data Secure – Groepsadresbeveiliging.

Beveiliging [Automatisch / Aan / Uit]: in de instelling "Automatisch" beslist ETS of codering wordt geactiveerd als de twee gekoppelde objecten veilig kunnen communiceren.

Opmerkingen:

• Alle objecten die aan een beveiligd groepsadres zijn gekoppeld, zijn beveiligde objecten.
• Hetzelfde apparaat kan zowel een beveiligd als een niet-beveiligd groepsadres hebben.

Beveiligde objecten zijn te herkennen aan een “blauw schild”.

Figuur 8. Object beveiligen.

KNX IP-BEVEILIGD

KNX IP-beveiliging is ontworpen voor KNX-installaties met IP-communicatie. De implementatie zorgt voor een veilige uitwisseling van KNX-gegevens tussen systemen via beveiligde KNX-apparaten met IP-verbinding.

Dit type beveiliging wordt toegepast op businterfaces en alleen in het IP-medium, dwz veilige telegrammen worden verzonden tussen beveiligde KNX IP-koppelingen, apparaten en interfaces.

Om ervoor te zorgen dat de overdracht van telegrammen op een hoofdlijn of sublijn ook veilig is, moet de beveiliging op de KNX-bus zijn geactiveerd (zie paragraaf 2.1).

Afbeelding 9. KNX IP Secure-schema

VEILIGE INBEDRIJFSTELLING
Bij dit type beveiliging kan naast beveiligde inbedrijfstelling in paragraaf 1.1.1 ook “Secure Tunneling” worden geactiveerd. Deze parameter is te vinden op het tabblad "Instellingen" van het venster met apparaateigenschappen aan de rechterkant van het ETS-scherm.

ETS PARAMETERISATIE
De beveiligingsinstellingen voor inbedrijfstelling en tunneling worden gedefinieerd op het tabblad "Configuratie" in het venster "Eigenschappen" van het apparaat.

Afbeelding 10. KNX IP Secure – Veilige inbedrijfstelling en tunneling.
Naast Secure Commissioning en de knop Add Device Certificate, eerder uitgelegd in paragraaf 2.1.1, verschijnen ook:

• Secure Tunneling [Enabled / Disabled]: parameter alleen beschikbaar als beveiligde inbedrijfstelling is ingeschakeld. Als deze eigenschap "Ingeschakeld" is, zijn de gegevens die via de tunnelverbindingen worden verzonden veilig, dwz de informatie wordt versleuteld via het IP-medium. Elk tunneladres heeft zijn eigen wachtwoord.

Afbeelding 11. Wachtwoord tunneladres.

Het IP-tabblad van het product bevat ook het inbedrijfstellingswachtwoord en de authenticatiecode, die nodig zijn om een ​​veilige verbinding met het apparaat tot stand te brengen.

Afbeelding 12. Inbedrijfstellingswachtwoord en authenticatiecode.

Opmerking: Het wordt aanbevolen dat de authenticatiecode voor elk apparaat individueel is (en bij voorkeur de standaardinstelling in ETS).
Het inbedrijfstellingswachtwoord wordt gevraagd wanneer de IP-interface wordt geselecteerd in ETS om er verbinding mee te maken (de authenticatiecode is optioneel):

Afbeelding 13. Verzoek om inbedrijfstellingswachtwoord bij selectie van een veilige IP-interface.

FABRIEKSINSTELLINGEN

Om te voorkomen dat een apparaat onbruikbaar wordt in geval van verlies van het project en/of de Tool Key waarmee het is geprogrammeerd, is het mogelijk om het terug te zetten naar de fabrieksstatus door de FDSK te herstellen door de onderstaande stappen te volgen:

1. Zet het apparaat in de veilige modus. Dit wordt bereikt door het aan te zetten met de programmeerknop ingedrukt totdat de programmeer-LED knippert.
2. Laat de programmeerknop los. Het blijft knipperen.
3. Druk 10 seconden op de programmeerknop. Terwijl u op de knop drukt, licht deze rood op. De reset vindt plaats wanneer de LED even uitgaat.

Dit proces verwijdert naast de Tool Key ook het BCU-wachtwoord en reset het individuele adres naar de waarde 15.15.255.

Een ontlading van het applicatieprogramma wist ook de Tool Key en het BCU-wachtwoord, hoewel in dit geval het ETS-project waarmee het was geprogrammeerd vereist is.

OBSERVATIES

Enkele overwegingen bij het gebruik van KNX-beveiliging: 

• Individuele adreswijziging: in een project met meerdere reeds geprogrammeerde beveiligde apparaten die groepsadressen onderling delen, maakt het wijzigen van het individuele adres in een ervan het noodzakelijk om de rest van de apparaten die groepsadressen delen ermee te programmeren.
• Programmeren van een reset-apparaat: bij het programmeren van een fabrieksreset-apparaat, detecteert ETS dat de FDSK wordt gebruikt en vraagt ​​om bevestiging om een ​​nieuwe Tool Key te genereren om het apparaat opnieuw te programmeren.
• Apparaat geprogrammeerd in een ander project: als u probeert een apparaat te downloaden (al dan niet veilig) dat al veilig is geprogrammeerd in een ander project, kunt u het niet downloaden. U moet het oorspronkelijke project herstellen of een fabrieksreset uitvoeren.
• BCU-sleutel: dit wachtwoord gaat verloren door handmatige fabrieksreset of door uitladen.

Doe mee en stuur ons uw vragen over Zennio-apparaten: https://support.zennio.com

Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Nave P-8.11 45007 Toledo. Spanje

Telefoon: +34 925 232 002

www.zennio.com
info@zennio.com

Documenten / Bronnen

Zennio KNX Secure Securel v2 versleuteld relais [pdf] Gebruikershandleiding KNX, Secure Securel v2 versleuteld relais, KNX Secure Securel v2 versleuteld relais, v2 versleuteld relais, versleuteld relais, relais

Referenties

• Gebruiksaanwijzing