Filtracja Telegramów KNX: Zasady i Bezpieczeństwo Instalacji

W systemie KNX/EIB istnieją dwa rodzaje adresów: fizyczny i grupowy (logiczny). Adres fizyczny służy do identyfikacji w strukturze systemu konkretnego elementu. Adres grupowy przyporządkowuje dany element do grupy urządzeń, z którymi powinien współpracować z racji spełnianych funkcji. Adres grupowy wykorzystywany jest do pracy grupowej, na przykład podczas wysyłania jednego telegramu z rozkazami dla jednocześnie kilku urządzeń w grupie, np. dla wszystkich opraw w danym pomieszczeniu, by zredukowały światło o zadaną wartość.

Komunikacja odbywa się zazwyczaj lokalnie, czyli w obrębie jednej linii. W takim przypadku sensory nadają telegramy, zgodnie z zasadą losowego dostępu do sieci (CSMA/CA), które rozchodzą się po całej linii. Aktory, dla których przeznaczone są informacje, odbierają je i potwierdzają nadawcy prawidłowe przyjęcie telegramu. Inni użytkownicy, dla których dany telegram nie jest przeznaczony, ignorują go.

Rola Sprzęgieł Liniowych w Filtracji Telegramów

W tym momencie duże znaczenie odgrywają sprzęgła liniowe, zapobiegające rozprzestrzenianiu się informacji po całym systemie. Pełnią one rolę filtrów-wzmacniaczy. W momencie uruchamiania systemu w sprzęgle zapisywana jest tablica filtracyjna określająca, które telegramy należy wzmocnić i przekazać dalej, a które wytłumić. Przepływ informacji, jak również filtracja, są możliwe oczywiście w obie strony.

Gdy telegram wysłany np. przez element linii 1 jest przeznaczony dla elementu linii 12, dociera on do sprzęgła liniowego 1 i zostaje przez nie przepuszczony do linii głównej. Następnie przedostaje się przez sprzęgło liniowe 12 i dociera do odbiorcy. W tym czasie sprzęgła liniowe od 2 do 11 nie przepuszczają telegramu z linii głównej do swoich linii.

Bezpieczeństwo Instalacji KNX

Instalacje KNX są jednymi z bezpieczniejszych rodzajów instalacji inteligentnych. Pracują w oparciu o unikalny rodzaj magistrali, wymagają specjalnych, fizycznych narzędzi, aby się do nich dostać i je podsłuchać, mają ograniczoną ilość punktów wejścia po IP do systemu. Najbezpieczniejsza magistrala komunikacyjna to taka, do której potencjalny intruz nie ma dostępu ani wirtualnego, ani fizycznego.

Przeczytaj także: EIB/KNX: Topologia i jej wpływ na wydajność

Przewody powinny być prowadzone zawsze w taki sposób, aby żaden ich odcinek oraz żadna końcówka nie były widoczne, ani dostępne. Przede wszystkim miejsca, w których najłatwiej uzyskać dostęp do magistrali (na przykład poprzez demontaż sensorów w przestrzeniach wspólnych) należy dobezpieczyć. Przyciski i czujniki montowane na ścianach w zasięgu ręki człowieka mają zazwyczaj możliwość montażu zabezpieczenia antykradzieżowego i wszędzie, gdzie jest to możliwe zalecam z takiego zabezpieczenia skorzystać.

Z kolei jeśli chodzi o rozdzielnice zawierające urządzenia KNX już na etapie projektu powinny być lokalizowane w miejscach, do których osoby postronne będą miały utrudniony dostęp.

Zabezpieczenie Magistrali IP

Magistrala IP zasługuje na oddzielny akapit. W największym skrócie można powiedzieć, że urządzenia automatyki budynkowej powinny pracować na niezależnych od głównej infrastruktury sieciowej budynku switchach i routerach. Z jednej strony podnosi to poziom bezpieczeństwa, oddzielając automatykę od urządzeń o wiele popularniejszych (a więc łatwiejszych do zaatakowania), z drugiej podniesie jakość pracy systemu i nada mu większą przewidywalność.

System KNX z racji swojej budowy i zasady pracy obejmującej m.in. strefowanie przepływu informacji sprawia, że uzyskanie dostępu do jednej z nitek magistrali z poziomu innej nitki może być utrudnione lub niemal niemożliwe. I ta właśnie zaleta systemu dosyć naturalnie podnosi bezpieczeństwo instalacji.

Kluczowe Aspekty Konfiguracji i Uruchomienia

• Na etapie programowania należy zwracać uwagę na poprawność ustawienia adresacji urządzeń w zgodzie z topologią.
• Zdefiniuj w ETS klucz BCU. Znajdziesz go w ustawieniach projektu (najpierw musisz mieć aktywne hasło do projektu!). Składa się z 8 znaków szesnastkowych. Nie zgub ani tego klucza, ani hasła do projektu. Bez tych informacji raz zaprogramowane urządzenia będą niemożliwe do przeprogramowania.
• Wykorzystaj możliwości urządzeń wspierających KNX Secure. Służą do tego KNX Data Secure i KNX IP Secure.

Dodatkowe Zalecenia Bezpieczeństwa

• Samo medium, którym jest skrętka jest stosunkowo bezpieczne. Podobnie jak magistralę KNX TP należy prowadzić tak, żeby ograniczyć do niej fizyczny dostęp. To samo tyczy się urządzeń sieciowych (switchy, routerów, patchpaneli w szafach RACK).
• Warto zastanowić się nad tym, aby dopuścić do komunikacji wyłącznie urządzenia, które są nasze. Najłatwiej jest to zrobić poprzez filtrowanie adresów MAC i dopuszczając tylko te znane.
• Dla bardziej zaawansowanych - zmieńcie multicastowe adresy IP dla protokołu KNX IP. Domyślny adres, tj. 224.0.23.12 jest oficjalnie zarejestrowany, a więc dobrze znany potencjalnym atakującym naszą sieć.
• Kolejnym krokiem w podniesieniu bezpieczeństwa jest wydzielenie w sieci VLAN dedykowanej dla ruchu sieciowego urządzeń automatyki.
• Wiele instalowanych dziś rozwiązań (przekaźniki, lampki, przyciski i regulatorki oparte na IP) z czasem przestaje być aktualizowanych i stają się łatwym celem ataku.
• Sieci bezprzewodowe powinny być dobrze chronione. Pierwszą rzeczą jaką robię w sieciach WiFi jest zmiana domyślnej nazwy (SSID). Często wskazuje ona na producenta, a nawet konkretny model punktu dostępowego (router WiFi, Access Point), a jest to przydatna podpowiedź dla atakującego na temat słabych punktów urządzenia.
• Instalacja sieciowa powinna być chroniona firewallem, wbudowanym zazwyczaj w router dostępowy.

Protokoły komunikacyjne KNX (w tym KNXnet/IP Routing i KNXnet/IP Tunnelling) nigdy nie były projektowane z myślą o pracy w sieci Internet. Dlatego też odradzam otwieranie portów routera dostępowego, żeby w prosty sposób można było podłączać się pod instalację by ją przeprogramowywać zdalnie.

Przeczytaj także: Definicja i pomiar filtracji kłębuszkowej

Nawet najbezpieczniejszy system KNX nie będzie bezpieczny, jeśli zostanie zintegrowany z “dziurawym” systemem nadrzędnym lub podrzędnym. Jeżeli takim systemem zewnętrznym jest system kontroli dostępu lub system alarmowy to sprawdzajmy czy urządzenia posiadają odpowiednie certyfikaty, wszelkie bramki ograniczajmy funkcjonalnie do wyłącznie niezbędnego zakresu, a najlepiej zamiast integrować systemy programowo, połączmy je za pomocą styków bezpotencjałowych.

Każdy system domu inteligentnego jest tak dobry, jak dobrze zainstalował go uruchomieniowiec. Specjalnie dla instalatorów KNX zebrałem powyżej najważniejsze zasady, którymi sugeruję się inspirować od etapu koncepcji, przez projekt, po instalację i uruchomienie.

Przeczytaj także: Webber AP8400 - wymiana filtrów

tags: #filtracja #telegramów #KNX #zasady

Popularne posty:

• Komfort i Bezpieczeństwo dzięki Nawilżaczowi
• Wilgotność drewna a efektywność
• Smog w Białce Tatrzańskiej
• Babyliss Pro: Najlepsze suszarko-lokówki z jonizacją
• Inteligentne oczyszczanie powietrza Xiaomi