Zennio KNX Secure Securel v2 šifrované relé
AKTUALIZÁCIE DOKUMENTOV
| Verzia | Zmeny | stránky |
| b |
Pridané pokyny na obnovenie továrenských nastavení. |
ÚVOD
Doteraz boli dáta prenášané v automatizačnej inštalácii KNX otvorené a mohol ich čítať a manipulovať s nimi ktokoľvek s určitými znalosťami s prístupom ku KNX médiu, takže bezpečnosť je zaručená zamedzením prístupu ku KNX zbernici alebo k zariadeniam. Nové protokoly KNX Secure pridávajú dodatočné zabezpečenie komunikácií v inštalácii KNX, aby sa zabránilo takýmto typom útokov.
Zariadenia so zabezpečením KNX budú schopné bezpečne komunikovať s ETS a akýmkoľvek iným zabezpečeným zariadením, pretože budú obsahovať systém na autentifikáciu a šifrovanie informácií.
Existujú dva typy zabezpečenia KNX, ktoré môžu byť implementované súčasne v tej istej inštalácii:
- KNX Data Secure: zabezpečuje komunikáciu v rámci inštalácie KNX.
- KNX IP Secure: pre inštalácie KNX s IP komunikáciou, zabezpečuje komunikáciu cez IP sieť.
Zabezpečené zariadenie KNX označuje zariadenie, ktoré má základnú schopnosť umožniť bezpečnú komunikáciu, aj keď nie vždy sa to vyžaduje. Nezabezpečená komunikácia na zabezpečených zariadeniach KNX sa rovná komunikácii medzi zariadeniami bez zabezpečenia KNX.
Použitie zabezpečenia závisí od dvoch dôležitých nastavení v projekte ETS:
- Zabezpečenie uvedenia do prevádzky: nastavuje, či počas uvádzania do prevádzky má byť komunikácia s ETS zabezpečená alebo nie, a otvára možnosť aktivácie runtime bezpečnosti.
- Bezpečnosť behu: nastavuje, či počas behu má byť komunikácia medzi zariadeniami bezpečná alebo nie. Inými slovami, určuje, ktoré skupinové adresy majú byť zabezpečené. Aby sa aktivovalo zabezpečenie počas prevádzky, musí byť aktivované zabezpečenie pri uvádzaní do prevádzky.
Aktivácia zabezpečenia na zariadeniach KNX Secure je voliteľná. Ak je aktivovaný, nastavuje sa individuálne v skupinových adresách tak, aby bolo možné zabezpečiť všetky alebo len časť objektov, zvyšok môže normálne fungovať s nezabezpečenými zariadeniami. Inými slovami, zariadenia s a bez KNX Secure môžu koexistovať v rovnakej inštalácii.
KONFIGURÁCIA
Od verzie ETS 5.7 je umožnené používanie zabezpečenia KNX a všetkých jeho funkcionalít pre prácu so zabezpečenými zariadeniami.
V tejto časti je uvedený návod na konfiguráciu KNX secure v projektoch ETS.
KNX DATA SECURE
Jeho implementácia zabezpečuje komunikáciu medzi koncovými zariadeniami. Zabezpečené zariadenia KNX budú prenášať šifrované telegramy do iných zariadení, ktoré majú tiež zabezpečené KNX.
Pre každú skupinovú adresu bude možné zvoliť, či bude komunikácia bezpečná alebo nie.
BEZPEČNÉ UVEDENIE DO PREVÁDZKY
Keď má zariadenie zabezpečené uvedenie do prevádzky, komunikácia medzi ETS a zariadením bude prebiehať v bezpečnom režime.
Zariadenie by malo mať nakonfigurované bezpečné uvedenie do prevádzky vždy, keď existuje bezpečnosť prevádzky, tj jeden z jeho objektov je priradený k bezpečnej skupinovej adrese (pozri časť 2.1.2).
Poznámka: Upozorňujeme, že prítomnosť bezpečného zariadenia v rámci projektu ETS znamená ochranu samotného projektu heslom.
PARAMETERIZÁCIA ETS
Bezpečné uvedenie do prevádzky je možné nastaviť na karte „Konfigurácia“ v okne „Vlastnosti“ zariadenia.
Bezpečné uvedenie do prevádzky [aktivované / deaktivované]: umožňuje zvoliť, či má ETS komunikovať so zariadením v bezpečnom režime alebo nie, tj povoliť alebo zakázať KNX secure na zariadení.
Ak je vybratá možnosť „Aktivované“, bude povinné mať heslo pre projekt.
Obrázok 3. Projekt – Nastaviť heslo.
Ďalší spôsob, ako nastaviť heslo na projekte, je cez hlavné okno („Overview“) ETS. Pri výbere projektu sa na pravej strane zobrazí sekcia, kde je možné v časti „Detaily“ zadať požadované heslo.
Obrázok 4. ETS – Heslo zariadenia.
Pridať certifikát zariadenia: Ak je zabezpečené uvedenie do prevádzky „Aktivované“, ETS si okrem hesla vyžiada aj jedinečný certifikát pre zariadenie.
Certifikát, ktorý sa má pridať [xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx-xxxxxx] pozostáva z 36 alfanumerických znakov vygenerovaných zo sériového čísla a FDSK (predvolený kľúč nastavenia zariadenia z výroby). Je súčasťou zariadenia a obsahuje zodpovedajúci QR kód pre jednoduché skenovanie.
Obrázok 5. Projekt – Pridať certifikát zariadenia.
Certifikát zariadenia je možné pridať aj z hlavného okna ETS („Overview“), prístupom do časti „Zabezpečenie“ v novom okne zobrazenom na pravej strane pri výbere projektu.
Obrázok 6. ETS – Pridať certifikát zariadenia.
Počas prvého bezpečného uvedenia do prevádzky ETS nahradí FDSK zariadenia novým kľúčom (Tool Key), ktorý sa vygeneruje individuálne pre každé zariadenie.
Ak sa projekt stratí, stratia sa s ním aj všetky kľúče nástrojov, preto sa zariadenia nedajú preprogramovať. Aby ste ich mohli obnoviť, FDSK sa musí resetovať.
FDSK je možné obnoviť dvoma spôsobmi: po vyložení, za predpokladu, že sa vykoná z projektu, v ktorom bolo vykonané prvé uvedenie do prevádzky, alebo po manuálnom resete z výroby (pozri časť 3).
ZABEZPEČENÁ SKUPINOVÁ KOMUNIKÁCIA
Každý objekt zabezpečeného zariadenia môže prenášať svoje informácie v zašifrovanej forme, čím zaisťuje bezpečnosť v komunikácii alebo prevádzke.
Aby mal objekt bezpečnosť KNX, musí byť nakonfigurovaný zo samotnej skupinovej adresy, tj adresy, ku ktorej bude objekt priradený.
PARAMETERIZÁCIA ETS
Nastavenia bezpečnosti komunikácie sa definujú na podzáložke „Konfigurácia“ v okne „Vlastnosti“ skupinovej adresy.
Obrázok 7. Zabezpečenie údajov KNX – Zabezpečenie skupinovej adresy.
Zabezpečenie [Automaticky / Zapnuté / Vypnuté]: v nastavení „Automaticky“ ETS rozhodne, či je šifrovanie aktivované, ak dva prepojené objekty môžu bezpečne komunikovať.
Poznámky:
- Všetky objekty spojené so zabezpečenou skupinovou adresou musia byť zabezpečené objekty.
- Rovnaké zariadenie môže mať zabezpečenú aj nezabezpečenú skupinovú adresu.
Zabezpečené objekty možno identifikovať pomocou „modrého štítu“.
Obrázok 8. Zabezpečenie objektu.
KNX IP SECURE
Zabezpečenie KNX IP je navrhnuté pre inštalácie KNX s IP komunikáciou. Jeho implementácia zabezpečuje bezpečnú výmenu KNX dát medzi systémami cez zabezpečené KNX zariadenia s IP pripojením.
Tento typ zabezpečenia je aplikovaný na zbernicových rozhraniach a iba na IP médiu, tj medzi bezpečnými KNX IP väzbami, zariadeniami a rozhraniami sa prenášajú zabezpečené telegramy.
Aby bol bezpečný aj prenos telegramov na hlavnej alebo vedľajšej linke, musí byť na zbernici KNX aktivované zabezpečenie (pozri časť 2.1).
Obrázok 9. Schéma KNX IP Secure
BEZPEČNÉ UVEDENIE DO PREVÁDZKY
Pri tomto type zabezpečenia je možné okrem bezpečného uvedenia do prevádzky v časti 1.1.1 aktivovať aj „Bezpečné tunelovanie“. Tento parameter možno nájsť na karte „Nastavenia“ v okne vlastností zariadenia na pravej strane obrazovky ETS.
PARAMETERIZÁCIA ETS
Bezpečnostné nastavenia spúšťania a tunelovania sa definujú na karte „Konfigurácia“ v okne „Vlastnosti“ zariadenia.
Obrázok 10. KNX IP Secure – Bezpečné uvedenie do prevádzky a tunelovanie.
Okrem Bezpečného uvedenia do prevádzky a tlačidla Pridať certifikát zariadenia, ktoré bolo predtým vysvetlené v časti 2.1.1, sa zobrazí aj:
- Secure Tunneling [Enabled / Disabled]: Parameter je dostupný, len ak je povolené bezpečné uvedenie do prevádzky. Ak je táto vlastnosť „Enabled“, dáta prenášané cez tunelové spojenia budú bezpečné, tj informácie budú šifrované cez IP médium. Každá adresa tunela bude mať svoje vlastné heslo.
Obrázok 11. Heslo adresy tunelovania.
Záložka IP produktu obsahuje aj heslo pre uvedenie do prevádzky a overovací kód, ktoré sú potrebné na vytvorenie akéhokoľvek zabezpečeného pripojenia k zariadeniu.
Obrázok 12. Heslo pre uvedenie do prevádzky a overovací kód.
Poznámka: Odporúča sa, aby bol autentifikačný kód pre každé zariadenie individuálny (a pokiaľ možno štandardne nastavený v ETS).
Heslo pre uvedenie do prevádzky sa bude vyžadovať, keď je v ETS vybraté rozhranie IP na pripojenie k nemu (overovací kód je voliteľný):
Obrázok 13. Požiadavka na uvedenie do prevádzky pri výbere zabezpečeného rozhrania IP.
VÝROBNÝ RESET
Aby sa zabránilo tomu, že sa zariadenie stane nepoužiteľným v prípade straty projektu a/alebo kľúča nástroja, ktorým je naprogramované, je možné ho vrátiť do stavu z výroby a obnoviť FDSK podľa nasledujúcich krokov:
- Prepnite zariadenie do núdzového režimu. Dosiahnete to tak, že ho zapnete so stlačeným programovacím tlačidlom, kým nezačne blikať programovacia LED.
- Uvoľnite programovacie tlačidlo. Stále bliká.
- Stlačte programovacie tlačidlo na 10 sekúnd. Po stlačení tlačidla sa rozsvieti na červeno. Reset nastane, keď LED na chvíľu zhasne.
Tento proces, okrem Tool Key, tiež vymaže heslo BCU a nastaví individuálnu adresu na hodnotu 15.15.255.
Uvoľnením aplikačného programu sa vymaže aj kľúč nástroja a heslo BCU, aj keď v tomto prípade sa vyžaduje projekt ETS, s ktorým bol naprogramovaný.
POZNÁMKY
Niektoré úvahy o používaní zabezpečenia KNX:
- Individuálna zmena adresy: v projekte s niekoľkými už naprogramovanými zabezpečenými zariadeniami, ktoré medzi sebou zdieľajú skupinové adresy, zmena individuálnej adresy v jednom z nich spôsobuje, že je potrebné naprogramovať ostatné zariadenia, ktoré s ním zdieľajú skupinové adresy.
- Programovanie zariadenia na resetovanie: pri pokuse o naprogramovanie zariadenia na obnovenie továrenského nastavenia ETS zistí, že sa používa FDSK a požiada o potvrdenie vygenerovania nového kľúča nástroja, aby bolo možné zariadenie preprogramovať.
- Zariadenie naprogramované v inom projekte: ak sa pokúsite stiahnuť zariadenie (bezpečne alebo nie), ktoré už bolo bezpečne naprogramované v inom projekte, nebudete ho môcť stiahnuť. Budete musieť obnoviť pôvodný projekt alebo vykonať obnovenie továrenských nastavení.
- BCU kľúč: toto heslo sa stratí buď manuálnym obnovením továrenského nastavenia alebo vyložením.
Pridajte sa a pošlite nám svoje otázky týkajúce sa zariadení Zennio: https://support.zennio.com
Zennio Avance y Tecnología SL
C/ Río Jarama, 132. Nave P-8.11 45007 Toledo. Španielsko
Tel. +34 925 232 002
www.zennio.com
info@zennio.com
Dokumenty / zdroje
 |
Zennio KNX Secure Securel v2 šifrované relé [pdf] Používateľská príručka KNX, šifrované relé Securel Securel v2, šifrované relé KNX Securel v2, šifrované relé v2, šifrované relé, relé |
