Zawartość ukrywać
1 Szyfrowany przekaźnik Zennio KNX Secure Securel v2
2 AKTUALIZACJE DOKUMENTÓW
3 WSTĘP
4 KONFIGURACJA
4.1 BEZPIECZNE DANE KNX
4.2 BEZPIECZNE URUCHOMIENIE
4.3 BEZPIECZNE IP KNX
5 PRZYWRÓCENIE USTAWIEŃ FABRYCZNYCH
6 OBSERWACJE
7 Dokumenty / Zasoby
7.1 Odniesienia
8 Powiązane posty

Zennio-LOGO

Szyfrowany przekaźnik Zennio KNX Secure Securel v2

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-PRODUCT-IMAGE

AKTUALIZACJE DOKUMENTÓW

Wersja Zmiany Strona(y)
b  

Dodano instrukcje dotyczące przywracania ustawień fabrycznych.

WSTĘP

Do tej pory dane przesyłane w instalacji automatyki KNX były otwarte i mogły być odczytywane i manipulowane przez każdego, kto posiadał pewną wiedzę i miał dostęp do nośnika KNX, dzięki czemu bezpieczeństwo gwarantowane było poprzez uniemożliwienie dostępu do magistrali KNX lub urządzeń. Nowe protokoły KNX Secure zapewniają dodatkowe bezpieczeństwo komunikacji w instalacji KNX, aby zapobiec tego typu atakom.

Urządzenia wyposażone w KNX secure będą mogły bezpiecznie komunikować się z ETS i każdym innym bezpiecznym urządzeniem, gdyż będą wyposażone w system uwierzytelniania i szyfrowania informacji.

Istnieją dwa rodzaje zabezpieczeń KNX, które można wdrożyć jednocześnie w tej samej instalacji:

  • KNX Data Secure: zabezpiecza komunikację w obrębie instalacji KNX.
  • KNX IP Secure: w instalacjach KNX z komunikacją IP zabezpiecza komunikację poprzez sieć IP.

Bezpieczne urządzenie KNX oznacza urządzenie, które ma podstawowe możliwości umożliwiające bezpieczną komunikację, choć nie zawsze jest to wymagane. Niezabezpieczona komunikacja na zabezpieczonych urządzeniach KNX jest równoznaczna z komunikacją nawiązaną pomiędzy urządzeniami bez zabezpieczeń KNX.

Stosowanie zabezpieczeń zależy od dwóch istotnych ustawień w projekcie ETS:

  • Zabezpieczenie uruchomienia: określa, czy podczas uruchamiania komunikacja z ETS powinna być bezpieczna, czy nie, i otwiera możliwość aktywacji zabezpieczenia czasu pracy.
  • Bezpieczeństwo wykonania: określa, czy w czasie działania komunikacja między urządzeniami powinna być bezpieczna, czy nie. Innymi słowy określa, które adresy grupowe mają być bezpieczne. Aby aktywować zabezpieczenie w czasie pracy, należy aktywować zabezpieczenie uruchomienia.

Aktywacja zabezpieczeń na urządzeniach KNX Secure jest opcjonalna. Jeśli jest włączona, jest ustawiana indywidualnie w adresach grupowych, dzięki czemu można zabezpieczyć wszystkie lub tylko część obiektów, a reszta może normalnie funkcjonować z urządzeniami niezabezpieczonymi. Innymi słowy, urządzenia z KNX Secure i bez niego mogą współistnieć w tej samej instalacji.

KONFIGURACJA

Od wersji ETS 5.7 możliwe jest wykorzystanie bezpieczeństwa KNX i wszystkich jego funkcjonalności do pracy z bezpiecznymi urządzeniami.
W tej części zaprezentowano przewodnik dotyczący konfiguracji KNX secure w projektach ETS.

BEZPIECZNE DANE KNX

Jego wdrożenie zapewnia komunikację pomiędzy urządzeniami końcowymi. Bezpieczne urządzenia KNX będą przesyłać zaszyfrowane telegramy do innych urządzeń, które również mają zabezpieczenie KNX.

Dla każdego adresu grupowego będzie można wybrać, czy komunikacja będzie bezpieczna, czy nie.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-01

BEZPIECZNE URUCHOMIENIE

Jeżeli urządzenie ma bezpieczne uruchomienie, komunikacja pomiędzy ETS a urządzeniem będzie odbywać się w trybie bezpiecznym.

Urządzenie powinno mieć skonfigurowane bezpieczne uruchomienie zawsze, gdy zapewnione jest bezpieczeństwo działania, tzn. jeden z jego obiektów jest powiązany z bezpiecznym adresem grupowym (patrz rozdział 2.1.2).

Notatka: Należy pamiętać, że obecność bezpiecznego urządzenia w projekcie ETS oznacza ochronę samego projektu hasłem.

PARAMETRYZACJA ETS
Bezpieczne uruchomienie można ustawić w zakładce „Konfiguracja” w oknie „Właściwości” urządzenia.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-02Bezpieczne uruchomienie [Aktywowane / Dezaktywowane]: umożliwia wybór, czy ETS ma komunikować się z urządzeniem w trybie awaryjnym, czy nie, czyli włączyć lub wyłączyć funkcję KNX secure na urządzeniu.
W przypadku wybrania opcji „Aktywowane” obowiązkowe będzie posiadanie hasła do projektu.

 

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-03Rysunek 3. Projekt – Ustaw hasło.

Dodatkowym sposobem ustawienia hasła do projektu jest skorzystanie z okna głównego („Overview”) ETS. Po wybraniu projektu po prawej stronie wyświetli się sekcja, w której w zakładce „Szczegóły” można wpisać żądane hasło.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-04Rysunek 4. ETS – Hasło urządzenia.

Dodaj certyfikat urządzenia: Jeśli bezpieczne uruchomienie jest „Aktywowane”, ETS oprócz hasła zażąda unikalnego certyfikatu dla urządzenia.
Dodawany certyfikat [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] składa się z 36 znaków alfanumerycznych wygenerowanych z numeru seryjnego i FDSK (ang. Factory Default Setup Key) urządzenia. Jest dołączony do urządzenia i zawiera odpowiedni kod QR ułatwiający skanowanie.

 

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-05Rysunek 5. Projekt – Dodaj certyfikat urządzenia.

Certyfikat urządzenia można dodać także z głównego okna ETS („Overview”), przechodząc do sekcji „Bezpieczeństwo” nowego okna wyświetlanego po prawej stronie podczas wyboru projektu.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-06Rysunek 6. ETS – Dodaj certyfikat urządzenia.

Podczas pierwszego bezpiecznego uruchomienia ETS zastępuje FDSK urządzenia nowym kluczem (kluczem narzędziowym), który jest generowany indywidualnie dla każdego urządzenia.
Jeśli projekt zostanie utracony, wszystkie klucze narzędzi zostaną utracone wraz z nim, dlatego nie będzie można przeprogramować urządzeń. Aby móc je odzyskać, należy zresetować FDSK.
FDSK można przywrócić na dwa sposoby: po rozładunku, pod warunkiem, że zostanie on wykonany z projektu, w którym przeprowadzono pierwsze uruchomienie, lub po ręcznym przywróceniu ustawień fabrycznych (patrz rozdział 3).

BEZPIECZNA KOMUNIKACJA GRUPOWA
Każdy obiekt bezpiecznego urządzenia może przesyłać swoje informacje w postaci zaszyfrowanej, zapewniając w ten sposób bezpieczeństwo komunikacji lub działania.

Aby obiekt miał zabezpieczenie KNX należy go skonfigurować z poziomu samego adresu grupowego, czyli adresu, z którym obiekt będzie powiązany.

PARAMETRYZACJA ETS
Ustawienia bezpieczeństwa komunikacji definiuje się w podzakładce „Konfiguracja” w oknie „Właściwości” adresu grupowego.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-07Rysunek 7. KNX Data Secure – bezpieczeństwo adresów grupowych.

Bezpieczeństwo [Automatyczny / Włączony / Wyłączony]: w ustawieniu „Automatyczny” ETS decyduje, czy szyfrowanie jest aktywowane, jeśli dwa połączone obiekty mogą się bezpiecznie komunikować.

Uwagi:

  • Wszystkie obiekty powiązane z bezpiecznym adresem grupowym muszą być obiektami bezpiecznymi.
  • To samo urządzenie może mieć zarówno bezpieczny, jak i niezabezpieczony adres grupowy.

Bezpieczne obiekty można rozpoznać po „niebieskiej tarczy”.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-08Rysunek 8. Zabezpiecz obiekt.

BEZPIECZNE IP KNX

Bezpieczeństwo KNX IP przeznaczone jest dla instalacji KNX z komunikacją IP. Jego wdrożenie zapewnia bezpieczną wymianę danych KNX pomiędzy systemami za pośrednictwem bezpiecznych urządzeń KNX z połączeniem IP.

Ten rodzaj zabezpieczenia stosowany jest na złączach magistrali i tylko w medium IP, tzn. bezpieczne telegramy przesyłane są pomiędzy bezpiecznymi łącznikami KNX IP, urządzeniami i interfejsami.

Aby transmisja telegramów na linii głównej lub podlinii była również bezpieczna, należy włączyć zabezpieczenie na magistrali KNX (patrz punkt 2.1).

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-09Rysunek 9. Schemat KNX IP Secure

BEZPIECZNE URUCHOMIENIE
W przypadku tego rodzaju zabezpieczenia, oprócz bezpiecznego uruchomienia opisanego w rozdziale 1.1.1, można również aktywować „Bezpieczne tunelowanie”. Parametr ten znajduje się w zakładce „Ustawienia” okna właściwości urządzenia po prawej stronie ekranu ETS.

PARAMETRYZACJA ETS
Ustawienia zabezpieczeń uruchomienia i tunelowania definiuje się w zakładce „Konfiguracja” w oknie „Właściwości” urządzenia.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-10Rysunek 10. KNX IP Secure – bezpieczne uruchomienie i tunelowanie.
Oprócz opcji Bezpieczne uruchomienie i przycisku Dodaj certyfikat urządzenia, opisanego wcześniej w sekcji 2.1.1, pojawi się również:

  • Bezpieczne tunelowanie [Włączone / Wyłączone]: parametr dostępny tylko wtedy, gdy włączone jest bezpieczne uruchomienie. Jeśli ta właściwość jest „Włączona”, dane przesyłane przez połączenia tunelowe będą bezpieczne, tj. informacje będą szyfrowane poprzez medium IP. Każdy adres tunelu będzie miał własne hasło.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-10Rysunek 11. Hasło adresu tunelowego.

Zakładka IP produktu zawiera również Hasło uruchomienia i Kod uwierzytelniający, które są wymagane do nawiązania bezpiecznego połączenia z urządzeniem.

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-11Rysunek 12. Hasło uruchomienia i kod uwierzytelniający.

Notatka: Zaleca się, aby kod uwierzytelniający dla każdego urządzenia był indywidualny (najlepiej ustawiony domyślnie w ETS).
Hasło uruchomieniowe będzie wymagane, gdy w ETS zostanie wybrany interfejs IP w celu połączenia się z nim (kod uwierzytelniający jest opcjonalny):

Zennio-KNX-Secure-Securel-v2-Encrypted-Relay-12Rysunek 13. Żądanie hasła rozruchowego podczas wybierania bezpiecznego interfejsu IP.

PRZYWRÓCENIE USTAWIEŃ FABRYCZNYCH

Aby zapobiec sytuacji, w której urządzenie stanie się bezużyteczne w przypadku utraty projektu i/lub klucza narzędzia, za pomocą którego zostało zaprogramowane, możliwe jest przywrócenie go do stanu fabrycznego, przywracając FDSK, wykonując poniższe czynności:

  1. Przełącz urządzenie w tryb awaryjny. Osiąga się to poprzez włączenie zasilania z wciśniętym przyciskiem programowania, aż zacznie migać dioda LED programowania.
  2. Zwolnić przycisk programowania. Ciągle miga.
  3. Naciśnij przycisk programowania na 10 sekund. Po naciśnięciu przycisku świeci się na czerwono. Reset następuje w momencie chwilowego zgaśnięcia diody LED.

Proces ten, oprócz klucza narzędzia, usuwa również hasło BCU i resetuje indywidualny adres do wartości 15.15.255.

Wyładowanie programu użytkowego powoduje również usunięcie klucza narzędzia i hasła BCU, chociaż w tym przypadku wymagany jest projekt ETS, za pomocą którego został on zaprogramowany.

OBSERWACJE

Kilka uwag dotyczących stosowania zabezpieczeń KNX: 

  • Indywidualna zmiana adresu: w projekcie z kilkoma już zaprogramowanymi bezpiecznymi urządzeniami, które dzielą między sobą adresy grupowe, zmiana indywidualnego adresu w jednym z nich powoduje konieczność zaprogramowania pozostałych urządzeń, które współdzielą z nim adresy grupowe.
  • Programowanie urządzenia resetującego: podczas próby zaprogramowania urządzenia resetującego do ustawień fabrycznych ETS wykrywa, że ​​używany jest FDSK i prosi o potwierdzenie w celu wygenerowania nowego klucza narzędzia w celu przeprogramowania urządzenia.
  • Urządzenie zaprogramowane w innym projekcie: jeśli spróbujesz pobrać urządzenie (bezpieczne lub nie), które zostało już bezpiecznie zaprogramowane w innym projekcie, nie będziesz mógł go pobrać. Będziesz musiał odzyskać oryginalny projekt lub przywrócić ustawienia fabryczne.
  • Klucz BCU: to hasło zostanie utracone w wyniku ręcznego przywrócenia ustawień fabrycznych lub rozładunku.

Dołącz i wyślij nam swoje zapytania dotyczące urządzeń Zennio: https://support.zennio.com

Zennio Avance i Tecnologia SL
C/ Río Jarama, 132. Nave P-8.11 45007 Toledo. Hiszpania

Telefon +34 925 232 002

www.zennio.pl
info@zennio.com

Dokumenty / Zasoby

Szyfrowany przekaźnik Zennio KNX Secure Securel v2 [plik PDF] Instrukcja użytkownika
KNX, szyfrowany przekaźnik Secure Securel v2, szyfrowany przekaźnik KNX Secure Securel v2, szyfrowany przekaźnik v2, szyfrowany przekaźnik, przekaźnik

Odniesienia

Powiązane posty

Zostaw komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *