В данной статье мы даём отличные практические советы о том, как защитить устаревшие, актуальные и будущие системы умного дома KNX, с примерами устройств, предлагающих ряд функций Secure, и советами о том, как ими воспользоваться.
После нескольких лет предупреждений о рисках, связанных с открытием сетевых портов, ассоциация KNX недавно объявила о появлении сообщений о взломах систем. Даже если все современные проекты были настроены безопасно, все еще существует бесчисленное количество устаревших проектов, которые могли быть установлены с меньшей защитой. Потому, у всех нас есть над чем поработать, чтобы защитить как конечных пользователей KNX, так и свою репутацию профессиональных инсталляторов.
Хорошая новость заключается в том, что существует бесчисленное множество способов обезопасить умные дома KNX и при этом обеспечить удаленный доступ как для пользователей, так и для обслуживания. Можно даже заблокировать систему внутри собственности, что доказывает, что KNX является одной из самых безопасных доступных систем.
Прежде чем рассматривать способы защиты системы KNX, давайте быстро исследуем проблемы, чтобы мы все понимали с решением каких задач столкнёмся.
Небезопасные системы KNX
Предполагая, что вы используете стандартные порты (3671) или многоадресный адрес (224.0.23.12) на IP-интерфейсе или маршрутизаторе, можно открыть те же порты в брандмауэре, тем самым сделав систему KNX доступной извне. Если оставить систему автоматизации без какой-либо дополнительной защиты, такой как прием соединений только с определенного IP-адреса, то любой, у кого есть базовые инструменты взлома, сможет найти открытое соединение и потенциально получить доступ к системе KNX. Если по какой-то причине этот метод подключения является единственно возможным вариантом, то поможет даже базовый шаг изменения портов по умолчанию. Однако, по возможности, следует избегать этого метода подключения, особенно потому, что существуют гораздо более эффективные способы обеспечения удаленного доступа.
Доступ к VPN
Давний метод безопасного удаленного доступа - создание VPN (виртуальной частной сети) в качестве безопасного туннеля доступа в систему. После того, как аутентификация была использована для подключения, вы фактически находитесь внутри здания, что позволяет вам вносить любые необходимые изменения или подключать приложения или визуализацию.
Один из способов создания VPN - использовать сетевой маршрутизатор со встроенным VPN-сервером. В большинстве случаев, когда в доме установлено несколько систем, таких как AV, CCTV и KNX, более вероятно, что сеть будет полностью управляемой, а маршрутизатор сможет поддерживать соединение VPN. На небольших инсталляциях или там, где домовладелец не желает устанавливать более совершенный маршрутизатор, чем стандартный, поставляемый поставщиком Интернет-услуг, необходимо другое решение.
В этом случае, в умном доме можно установить отдельный VPN-сервер. Прекрасным примером этого является модуль Gira X1, в который встроен сервер OpenVPN. Установка довольно проста, единственной серьезной проблемой является необходимость открытия некоторых портов на маршрутизаторе. Однако, в отличие от открытия портов напрямую для интерфейса KNX или маршрутизатора, X1 требует для доступа к системе определённые учетные записи для предотвращения несанкционированного доступа. Через X1 и сервер OpenVPN можно не только разрешить доступ для удаленного управления для приложения X1, но также получить доступ к устройствам в остальной части сети, таким как система KNX или камеры видеонаблюдения.
Облачный или объектный удаленный доступ
Поддерживаемый широким кругом производителей, удалённый (облачный) доступ работает аналогично VPN, но вместо туннеля он использует локальное устройство и безопасный вёб-сайт для кодирования всего входящего и исходящего трафика. Поскольку устройство выполняет первое подключение из здания, создается безопасный маршрут, что означает, что конфигурация сетевого маршрутизатора не требуется. Запустив приложение на удаленном компьютере или войдя в систему через защищенный веб-сайт, можно получить доступ к сетевым устройствам в доме.
Есть несколько различных применений этого:
Gira S1
Gira S1 - специализированное устройство удаленного доступа. Оно настраивается в ETS и после настройки устанавливает безопасное исходящее соединение с порталом Gira. Его можно не только использовать для уведомлений по электронной почте и удаленного программирования, Gira S1 также интегрируется с решениями визуализации Gira X1 и Gira HomeServer. Потому, конечные пользователи могут просто и безопасно подключаться к своему умному дому.
Jung IP Interface
Jung IP Interface - при покупке лицензии IP-интерфейсы Jung можно быстро настроить для удаленного доступа для программирования устройств на шине KNX. Настроенный с помощью ETS и с возможностью для домовладельца включить удаленный доступ, это отличный способ удаленного обслуживания системы, особенно если отдельный сервер KNX не используется.
Basalte Core Mini
Basalte Core Mini - позволяет перемещать удаленное соединение с автономного устройства шины, в Basalte Core mini. Наряду с сервисами Basalte Live Cloud это обеспечивает безопасное удаленное соединение для программирования и управления пользователем системой умный дом KNX. А если у вас есть локальный IP-интерфейс, его также можно использовать для программирования устройств KNX.
Это всего лишь несколько примеров. Большинство производителей KNX теперь предоставляют способ безопасного подключения своих продуктов и системы KNX к внешнему миру.
Все три вышеперечисленных решения обобщены на этом рисунке от KNX Association.
KNX Secure
Вышеуказанные методы безопасного подключения хорошо зарекомендовали себя и используются в течение многих лет для обеспечения защиты проектов. Но есть другой способ. KNX Secure предлагает два дополнительных метода защиты проекта, и поскольку все современные производители оборудования автоматизации умный дом KNX поддерживают эти методы, он быстро становится фактическим подходом. Более того, это дает возможность реализовать несколько уровней безопасности, что делает практически невозможным взлом инсталляции KNX.
KNX Data Secure
Первый - это KNX Data Secure, который позволяет объектам устройств иметь определенный уровень безопасности. Используя стандартные алгоритмы безопасности, данные приложения в телеграмме KNX кодируются с использованием ключей, общих для устройств инсталляции. Это отличный инструмент для защиты и кодирования ключевой информации на шине KNX или даже для того, чтобы сделать всю шину нечитаемой, если у вас нет проекта с ключами.
KNX IP Secure
Другой метод - KNX IP Secure. Этот подход берет существующую IP-телеграмму KNX и оборачивает ее защитным одеялом, опять же с использованием стандартного отраслевого подхода. Основное применение KNX IP Secure - кодирование связи между двумя или более IP-маршрутизаторами, которые используются для создания магистрали IP. Его также можно использовать для кодирования трафика от ETS или внешних систем к IP-маршрутизатору или интерфейсу, обеспечивая безопасность всех IP-коммуникаций.
Вывод
Защитить инсталляцию умный дом KNX так же просто, как добавить защищенное устройство для удаленного доступа или разработки системы с нуля, чтобы воспользоваться преимуществами нескольких уровней безопасности. В любом случае, если вы включите устройства безопасности в качестве ключевого компонента системы, это обеспечит защиту ваших клиентов, вашего бизнеса и репутации системы KNX в целом. Это также прекрасная возможность пересмотреть старые проекты и предложить обновление не только системы безопасности, но и всей системы. Данный подход гарантирует, что даже устаревшие проекты будут защищены, и станет отличной возможностью для повторного взаимодействия со старыми клиентами.
Имея так много способов защитить проект KNX, действительно нет оправдания тому, чтобы оставлять проекты KNX, будь то прошлые, настоящие или будущие, открытыми для атак и взлома. Если мы все будем поддерживать системы защиты и повышать безопасность проектов, то, как и умные дома, мы также будем защищены.
#knx #умный дом #knx secure #безопасность #взлом
Спасибо за внимание и не пропустите следующие статьи.
Обратитесь к специалистам компании xiot.ru "Разумная автоматизация" и мы разработаем для Вас детальный проект любой сложности.
Приобрести оборудование Вы можете в нашем магазине xiot-shop.ru.
Больше полезных советов, обзоров, интересных статей, оборудования умных домов и новостей о нём Вы можете найти на новостной странице нашего сайта, Ютубе и Инстаграм.
