apresentação do powerpoint · 2020-07-01 · • uma solução com segurança acrescida assente...

Webminário

KNX SECUREJoão Crasto

Schneider ElectricAssociação KNX Portugal

Lisboa, 30 de Junho de 2020

Sumário:

1 – Introdução

2 – Como funciona o KNX Secure?

3 – Exemplos de aplicação e instalação

4 – Pontos Chave

5 – Resumo

DIVULGA O PROTOCOLO KNX

PROMOVE AS SOLUÇÕES INTEGRADAS KNX

DÁ A CONHECER AS EMPRESAS COM SOLUÇÕES KNX

PARTICIPA EM FEIRAS, CONFERÊNCIAS E EVENTOS

ORGANIZA CONFERÊNCIAS

PUBLICA ARTIGOS DE DIVULGAÇÃO

ACOMPANHA A PRODUÇÃO LEGISLATIVA E REGULAMENTAR

Actividades da Associação KNX Portugal

▪ CENELEC

EN 50090 – the only European Standard for Home and Building Electronic Systems (HBES) based on KNX.

▪ CEN

EN 13321-1 – the European Standard for Building Automation based on KNX.

▪ ISO/IEC

ISO/IEC 14543-3 – the World`s only Standard for Home Electronic Systems (HES) based on KNX.

▪ GB/T

GB/T 20965 – Chinese Standard for Home and Building Control based on KNX

▪ US Standard

ANSI/ASHRAE 135 – A Data Communication Protocol

for Building Automation and Control Networks

KNX - uma Solução Integrada

KNX está para a Domótica

como o Android está para os Smart Phones

KNX – Drivers do Mercado

10 Principais tendências de evolução do mercado

• Os avanços tecnológicos, os novos modelos de mercado e os requisitos dos clientes são o motor da transformação digital dos edifícios.

• O IoT é, cada vez mais, um factor de desenvolvimento, do campo residencial ao campo comercial.

• A cibersegurança surge em 2º lugar, em termos de relevância das tendências de mercado.

Transformação Digital

Gestão de Energia /

IoT

Ciber-Segurança

IA Gestão de Ativos

Co-opetition

Soluções SaS

Eficiência

Edifícios para Smart

Cities

Renováveis e Retorno

Sustentabilidade

Microgrids

KNX Secure

• Uma solução com segurança acrescida assente nas normas da associação KNX

• Encriptação alinhada com os requisitos das normas ISO / IEC18033-3 / AES 128

• Cumprimento com a norma EN50090-4-3 (Home and Building Electronics

Systems)

• Assegura dupla protecção:

• KNX IP Secure (rede IP, quer interna, quer externa - internet)

• KNX Data Secure (rede TP)

KNX IP Secure ou KNX Data Secure?

KNX Secure

KNX IP Secure

• Encripta a totalidade dos telegramas transferidos –através da rede IP - e utiliza, em parte, o data secure para salvaguardar as configurações do equipamento.

• Portanto, é possível configurar apenas a rede IP como secure. Habitualmente, é a rede IP que se encontra mais vulnerável a influencias externas.

• É possível implementar este método em redes KNX existentes, unicamente através da substituição dos IP Routers.

KNX Data Secure

• Encriptação dos valores transmitidos nas linhas TP. Os endereços de grupo e endereços individuais não são encriptados, o que torna a filtragem (a nível dos acopladores) mais rápida;

• Numa configuração data secure, os equipamentos envolvidos (sensores e actuadores) deverão, eles próprios, ser compatíveis com a encriptação implementada.

KNX SecureDois métodos…

KNX Data Secure

• Assegura que, independentemente do meio KNX, as mensagens selecionadas podem ser autenticadas e encriptadas.

• Deverá ser suportado tanto por sensores como poractuadores

• Comissionamento seguro

KNX IP Secure

• Toda a comunicação IP (incl. Routing e Tunneling) é encriptada e autenticada

• Deve ser utilizada por todos os equipamentos IP comroutings comuns

• Possibilidade de utilização de secure tunneling• Comissionamento seguro

• Nota: Ambos os métodos podem ser utilizados individualou simultaneamente

KNX SecureAnálise Wireshark – Comunicação sem encriptação

KNX SecureAnálise Wireshark – Comunicação encriptada

KNX IP Secure

Como assegurar o KNX IP secure?

• Implementação de equipamentos compatíveis, quer ao nível de interface (IP/KNX), quer ao nível de equipamento de sistema (acopladores, roteadores, etc.)

• Assegurar que os equipamentos são certificados KNX Secure

• Implementar parametrizações / configurações através de ETS (mín. V5.6)

IP Router IP Interface USB Interface Acoplador

Exemplo: gama SpaceLogic de equipamentos de sistema

KNX IP SecureCaracterísticas técnicas dos equipamentos:

Produto IP Router IP Interface Acoplador Interface USB

Referência MTN6500-0103 MTN6502-0105 MTN6500-0101 MTN6502-0101

Descrição SpaceLogic KNX IP Router

SpaceLogic KNX IP Interface

SpaceLogic KNX Coupler

SpaceLogic KNX USB Interface

Largura 18mm 18mm 18mm 18mm

Fonte Alim. Auxiliar Não Não Não Não

Botão Diagnóstico Endereços de GrupoEndereços Individuais

Selecção de Interface Endereços de GrupoEndereços Individuais

--

LEDs de Diagnóstico Estado IPModo

Estado KNX

Estado IPModo

Estado KNX

Est.º Linha PrincipalModo

Est.º Linha Secundária

Estado USBEstado KNX

QR Code Documentação se.com Código KNX Secure

Documentação se.com Código KNX Secure

Documentação se.com Código KNX Secure

Documentação se.com

KNX SecureColocação em serviço – KNX Secure no ETS

QR Codes – Documentação e Certificados

• A colocação em serviço de equipamentos KNX secure requer um certificado individual para cada equipamento

• Cada equipamento é fornecido com o respectivo certificado – FDSK (Factory Default Setup Key)

o 36 caracteres alfanuméricos, que poderão ser introduzidos manualmente ou através de webcam (leitura QR) no ETS

o Dois QR codes, fixo e destacável

o Atribuição de FDSK ao nível da programação ou no separador de projecto do ETS, para um gestão global dos certificados.

QRCode FDSK

QRCode MySchneider – Doc. Técnica

KNX SecureColocação em serviço – KNX Secure no ETS

Requisitos e cuidados a observar

• Todos os equipamentos deverão suportar a funcionalidade de telegramas longos (long frame)

• Um projecto em que seja implementada a funcionalidade secure, deverá ser protegido por uma password, à qual ficarão vinculados todos os equipamento com comunicação encriptada

• (Nota: diferente da funcionalidade já existente BCU password – especifica para cada equipamento)

• É possível recuperar um equipamento secure, em caso de perda da password. No entanto, todas as configurações implementadas serão perdidas, sendo necessário reconfigurar o equipamento.

• A password de projecto é, no entanto, ela própria encriptada, ao nível da base de dados do ETS. Neste sentido, a perda da password de projecto impossibilita a recuperação deste.

• (Nota: no caso de implementação de password BCU, a recuperação de um equipamento do qual a password tenha sido perdida só é possível através do suporte do fabricante)

KNX SecureArquitecturas-tipo

• Aplicável a qualquer tipo de edifício (escritórios, hotel, etc.)

• Proteção ao nível da infraestrutura IP

• Implementação de um equipamento secure por pisoLegenda

FA KNX

KNX Botoneira

KNX Det. Presença

KNX Acoplador de Linha

KNX TP Acoplador de Área

KNX IP Acoplador de Linha

KNX IP Acoplador de Área

KNX TP

Rede IP

PB

Área 1 Linha 1

1.1.0

IP-LC

PS PS

1.1 z 1.2 z

1.1 x 1.2 x

1.1 y 1.2 y

1.2.0

IP-LC

Área 1 Linha 2

Switch/Router

PS

1.1.0

TP-LC

1.1 x

1.1 y

1.0.0

TP-AC

1.1.0

IP-LC

1.0.0

IP-AC

Ligações KNX IP Secure

(Rede Estruturada)

Switch/Router

KNX SecureArquitecturas-tipo

• Acesso remoto à instalação – VPN, DNS, IP, etc.

• Configuração, manutenção, operação, etc.

Linha Principal

1 TP

Switch/Router

1.0.0

IP-AC

PB

Area 1 Linha 1

1.1.0

TP-LC

PS PS

1.1 z 1.2 z

PS

1.1 x 1.2 x

1.1 y 1.2 y

1.2.0

TP-LC

Area 1 Linha 2

2.1.0

IP-LC

Area 2 Linha 1

PS

2.1 z

2.1 x

2.1 y

Switch/Router

Internet

PC c/ ETS

Legenda

FA KNX

KNX Botoneira

KNX Det. Presença

KNX Acoplador de Linha

KNX TP Acop. de Área

KNX IP Router config.

como Acop. de Linha

KNX IP Router config.

como Acop. de Área

KNX TP

Rede IP

PS

1.1.0

TP-LC

1.1 x

1.1 y

1.0.0

TP-AC

1.1.0

IP-LC

1.0.0

IP-AC

KNX SecureArquitecturas-tipo

IP Router como Acoplador de Área

• Maior versatilidade na topologia

• Optimização da gestão de tráfego –filtragem de telegramas

• Requer um maior número de fontes de alimentação, mas um menor número de pontos de rede

• KNX IP Secure implementado ao nível das Área

Linha Principal

1 TP1.0.0

IP-AC

PB

Area 1 Linha 1

1.1.0

TP-LC

PS PS

1.1 z 1.2 z

PS

1.1 x 1.2 x

1.1 y 1.2 y

1.2.0

TP-LC

Area 1 Linha 2

2.0.0

IP-AC

PB

Area 2 Linha 1

2.1.0

TP-LC

PS PS

2.1 z 2.2 z

PS

2.1 x 2.2 x

2.1 y 2.2 y

2.2.0

TP-LC

Area 2 Linha 2

IP Switch/Router Legenda

FA KNX

KNX Botoneira

KNX Det. Presença

KNX Acoplador de Linha

KNX IP Router config.

como Acop. de Área

KNX TP

Rede IP

PS

1.1.0

TP-LC

1.1 x

1.1 y

1.0.0

IP-AC

KNX SecureArquitecturas-tipo

IP Router como Acoplador de Linha

• Menor complexidade na infraestrutura TP

• Menor número de fontes de alimentação

• Maior número de pontos de rede

• Maior intensidade de tráfego, uma vez que a filtragem apenas é realizada ao nível dos IP Routers

• Abrangência IP Secure a todas as linhas

Linha Principal

1 TP1.0.0

IP-AC

PB

Area 1 Linha 1

1.1.0

TP-LC

PS PS

1.1 z 1.2 z

PS

1.1 x 1.2 x

1.1 y 1.2 y

1.2.0

TP-LC

Area 1 Linha 2

2.0.0

IP-AC

PB

Area 2 Linha 1

2.1.0

TP-LC

PS PS

2.1 z 2.2 z

PS

2.1 x 2.2 x

2.1 y 2.2 y

2.2.0

TP-LC

Area 2 Linha 2

IP Switch/Router Legenda

FA KNX

KNX Botoneira

KNX Det. Presença

KNX Acoplador de Linha

KNX IP Router config.

como Acop. de Área

KNX TP

Rede IP

PS

1.1.0

TP-LC

1.1 x

1.1 y

1.0.0

IP-AC

KNX IP Secure

Pontos-chave:

• Metodologia de protecção às instalações – ao nível do IT e ao nível de campo (TP)

• Encriptação a nível local e ao nível dos acessos remotos: aplicações, gateways, servidores, etc.

• Conceito future-proof – extensível a um cada vez maior número de equipamentos KNX

• Tecnologia versátil, com possibilidade de implementação em instalações existentes.

MUITO OBRIGADO

Informações: knx@knx.pt