Если ваша система KNX подключена к внешнему миру, уверены ли вы, что она безопасна? Если нет, то каковы возможные последствия? Поговорим о том, как избежать этой ситуации, используя надлежащие ИТ-механизмы для связи.
Что произойдет, если ваша система умный дом не защищена?
Первое, о чем можно подумать, говоря о нарушении безопасности, — это способность хакера перехватывать данные с шины KNX. Я сомневаюсь, что кто-то будет делать что-то с полученной информацией, но факт в том, что без защищенной системы KNX внешние источники могут иметь доступ к любым данным и функциям.
Во-вторых, в незащищенной системе существует возможность для третьей стороны отправлять данные в умный дом. С этим возникает вероятность повреждения программирования или, что еще хуже, повреждения определенного компонента или нескольких устройств.
Давайте рассмотрим теоретический пример событий (все события выдуманы, совпадения с реальными случайны):
Нам позвонили с объекта, у которого пропало управление освещением и отоплением. Объекту было более десяти лет, и до этого события он работал нормально. Хотя копия файла ETS была доступна, другой документации от предыдущего инсталлятора не было.
В чём заключается проблема?
Первая попытка диагностики была предпринята по телефону и по электронной почте. Первое предположение заключались в том, что возможна проблема с источником питания или шиной. Визит был необходим, чтобы продолжить диагностику. Быстрый визуальный осмотр показал, что не было отключений сетевых выключателей, комнатные контроллеры и выключатели были запитаны (у них были активные экраны и/или горящие светодиоды состояния). На главных распределительных щитах также были реле и диммеры со светодиодами, включенными в различных состояниях. Хм. Так что, может проблема не в блоке питания. После проверки напряжения на шине, а затем отключения питания и изоляции оказалось, что с питанием на шине все в порядке. Любопытно.
Так что же случилось с шиной KNX? Возможно, есть короткое замыкание или какая-то форма коррупции. Дальнейшее исследование показывает активный IP-интерфейс и «сторонний логический модуль» (подключенный к Ethernet), а также подключение к сторонней системе автоматизации, на дисплеях которой доступно управление освещением и обогревом. Физическое отключение этих устройств не влияет на состояние системы.
Диагностика ETS
Итак, можем ли мы подключить ноутбук и использовать диагностику ETS? Ну да… и линейное сканирование показывает довольно много активных компонентов. При ближайшем рассмотрении свойств отдельных компонентов мы обнаруживаем, что некоторые элементы, которые не работают, такие как комнатные переключатели и диммеры, не имеют таблицы групповых адресов! Вот почему они не работают!
Дальнейший анализ показывает, что эти неисправные компоненты не будут принимать загрузку аппликационной программы, так как у них включен и открыт «шлюз BCU» (но он не включен в программе и, насколько известно, никогда не был включен). ЕДИНСТВЕННЫЙ способ перепрограммировать эти элементы — выполнить сброс до заводских настроек. И угадайте, что? Большинство отдельных компонентов KNX нельзя сбросить до заводских настроек. Конечным результатом является проект, который полностью неработоспособен и требует дополнительного многих тысяч рублей для исправления и установки новых компонентов, плюс, конечно, труд инженера/программиста.
Так что же стало причиной этой катастрофической неудачи? Существует очень высокая вероятность того, что, поскольку система имела IP-интерфейс с удаленным подключением, имела место какая-либо форма удаленной «атаки».
Извлеченные уроки: во-первых, нужно ли вашей системе KNX подключаться к внешнему миру? Если вы рассматриваете положительный ответ, то каковы преимущества? И, если вы продолжите использовать IP-соединение, я бы посоветовал изучить и понять все возможные последствия и варианты безопасности системы. Возможно, удаленный доступ к вашей системе для извлечения данных не так опасен, как злонамеренный удаленный доступ с целью каким-либо образом изменить данные.
Как сделать ваш умный дом безопасным, если нужно подключить вашу систему KNX к внешнему миру?
Во-первых, я должен подчеркнуть принцип, согласно которому KNX является «открытой и безопасной» технологией. Тем не менее, мы должны убедиться, что применяем соответствующие критерии и инструменты, которые KNX Association и ETS предоставляют нам, чтобы гарантировать этот безопасность.
Возможность удаленного доступа к объектам является преимуществом, которое предлагает KNX, и необходимостью во многих случаях. Например, в домах это значительно облегчает жизнь пользователям во многих аспектах, включая наблюдение, удаленное изменение уставок (например, обогрева), прием аварийных сигналов и предупреждений и т. д. Для зданий это может позволить удаленное обслуживание в режиме 24/7, когда менеджеру, владельцу или интегратору необходимо управлять своими объектами без ненужных поездок.
Обеспечение безопасного доступа
Прежде чем комментировать, что мы можем сделать для обеспечения безопасной и удаленно доступной установки, я должен подчеркнуть, что НИКОГДА не следует делать: разрешать удаленный доступ через UDP-порт 3671. Этот момент известен хакерам и эквивалентен «красной ковровой дорожке» для этих нежелательных гостей.
Еще одним инструментом, доступным интегратору, является ключ BCU, доступный в течение многих лет для всех устройств KNX (кроме очень старых устройств System-1). Мой совет заключается в том, что устройства всегда должны быть запрограммированы с помощью ключа BCU, поскольку злоумышленнику придется угадывать пароль из 4,29 миллиарда вариантов. Использование ключа BCU не является помехой для интегратора, поскольку ETS никогда не запрашивает его, если используется исходный проект ETS.
Для обеспечения безопасного доступа к инсталляции KNX существует несколько возможностей:
- Настройте VPN-подключение на установочном маршрутизаторе. Это лучший вариант, но иногда он может быть сложным для обычных интеграторов.
- Используйте IP-шлюзы KNX, которые позволяют настраивать защищенные службы VPN, такие как OpenVPN, ZeroTier и т. д.
- Используйте устройства доступа KNX IP с зашифрованной связью.
- Используйте устройства KNX TP с облачным IP-подключением (не по стандарту KNX).
- Для средних и крупных инсталляций используйте платформу BMS с собственным драйвером KNX, который обеспечивает безопасную интеграцию и мониторинг KNX.
Эти методы направлены на то, чтобы избежать сценария, описанного нами в начале этой статьи, который, на наш взгляд, является наиболее опасным и на данный момент наиболее простым для хакеров, если не будут приняты соответствующие меры. Кроме того, использование устройств KNX IP Secure и KNX Data Secure на объектах решит любой дополнительный сценарий угроз, который может возникнуть.
#технологии #knx #умный дом #взлом #хакинг
Спасибо за внимание и не пропустите следующие статьи.
Построить недорогой KNX умный дом легко! Обратитесь к специалистам xiot.ru и мы разработаем для Вас детальный проект умный дом любой сложности
Приобрести оборудование автоматизации Вы можете в нашем магазине xiot-shop.ru
Больше полезных советов, обзоров, интересных статей, оборудования умных домов и новостей о нём Вы можете найти на новостной странице нашего сайта, Ютубе и Инстаграм.