apresentação do powerpoint · 2020-07-01 · • uma solução com segurança acrescida assente...
TRANSCRIPT
Webminário
KNX SECUREJoão Crasto
Schneider ElectricAssociação KNX Portugal
Lisboa, 30 de Junho de 2020
Sumário:
1 – Introdução
2 – Como funciona o KNX Secure?
3 – Exemplos de aplicação e instalação
4 – Pontos Chave
5 – Resumo
DIVULGA O PROTOCOLO KNX
PROMOVE AS SOLUÇÕES INTEGRADAS KNX
DÁ A CONHECER AS EMPRESAS COM SOLUÇÕES KNX
PARTICIPA EM FEIRAS, CONFERÊNCIAS E EVENTOS
ORGANIZA CONFERÊNCIAS
PUBLICA ARTIGOS DE DIVULGAÇÃO
ACOMPANHA A PRODUÇÃO LEGISLATIVA E REGULAMENTAR
Actividades da Associação KNX Portugal
▪ CENELEC
EN 50090 – the only European Standard for Home and Building Electronic Systems (HBES) based on KNX.
▪ CEN
EN 13321-1 – the European Standard for Building Automation based on KNX.
▪ ISO/IEC
ISO/IEC 14543-3 – the World`s only Standard for Home Electronic Systems (HES) based on KNX.
▪ GB/T
GB/T 20965 – Chinese Standard for Home and Building Control based on KNX
▪ US Standard
ANSI/ASHRAE 135 – A Data Communication Protocol
for Building Automation and Control Networks
KNX - uma Solução Integrada
KNX está para a Domótica
como o Android está para os Smart Phones
KNX – Drivers do Mercado
10 Principais tendências de evolução do mercado
• Os avanços tecnológicos, os novos modelos de mercado e os requisitos dos clientes são o motor da transformação digital dos edifícios.
• O IoT é, cada vez mais, um factor de desenvolvimento, do campo residencial ao campo comercial.
• A cibersegurança surge em 2º lugar, em termos de relevância das tendências de mercado.
Transformação Digital
Gestão de Energia /
IoT
Ciber-Segurança
IA Gestão de Ativos
Co-opetition
Soluções SaS
Eficiência
Edifícios para Smart
Cities
Renováveis e Retorno
Sustentabilidade
Microgrids
KNX Secure
• Uma solução com segurança acrescida assente nas normas da associação KNX
• Encriptação alinhada com os requisitos das normas ISO / IEC18033-3 / AES 128
• Cumprimento com a norma EN50090-4-3 (Home and Building Electronics
Systems)
• Assegura dupla protecção:
• KNX IP Secure (rede IP, quer interna, quer externa - internet)
• KNX Data Secure (rede TP)
KNX IP Secure ou KNX Data Secure?
KNX Secure
KNX IP Secure
• Encripta a totalidade dos telegramas transferidos –através da rede IP - e utiliza, em parte, o data secure para salvaguardar as configurações do equipamento.
• Portanto, é possível configurar apenas a rede IP como secure. Habitualmente, é a rede IP que se encontra mais vulnerável a influencias externas.
• É possível implementar este método em redes KNX existentes, unicamente através da substituição dos IP Routers.
KNX Data Secure
• Encriptação dos valores transmitidos nas linhas TP. Os endereços de grupo e endereços individuais não são encriptados, o que torna a filtragem (a nível dos acopladores) mais rápida;
• Numa configuração data secure, os equipamentos envolvidos (sensores e actuadores) deverão, eles próprios, ser compatíveis com a encriptação implementada.
KNX SecureDois métodos…
KNX Data Secure
• Assegura que, independentemente do meio KNX, as mensagens selecionadas podem ser autenticadas e encriptadas.
• Deverá ser suportado tanto por sensores como poractuadores
• Comissionamento seguro
KNX IP Secure
• Toda a comunicação IP (incl. Routing e Tunneling) é encriptada e autenticada
• Deve ser utilizada por todos os equipamentos IP comroutings comuns
• Possibilidade de utilização de secure tunneling• Comissionamento seguro
• Nota: Ambos os métodos podem ser utilizados individualou simultaneamente
KNX SecureAnálise Wireshark – Comunicação sem encriptação
KNX SecureAnálise Wireshark – Comunicação encriptada
KNX IP Secure
Como assegurar o KNX IP secure?
• Implementação de equipamentos compatíveis, quer ao nível de interface (IP/KNX), quer ao nível de equipamento de sistema (acopladores, roteadores, etc.)
• Assegurar que os equipamentos são certificados KNX Secure
• Implementar parametrizações / configurações através de ETS (mín. V5.6)
IP Router IP Interface USB Interface Acoplador
Exemplo: gama SpaceLogic de equipamentos de sistema
KNX IP SecureCaracterísticas técnicas dos equipamentos:
Produto IP Router IP Interface Acoplador Interface USB
Referência MTN6500-0103 MTN6502-0105 MTN6500-0101 MTN6502-0101
Descrição SpaceLogic KNX IP Router
SpaceLogic KNX IP Interface
SpaceLogic KNX Coupler
SpaceLogic KNX USB Interface
Largura 18mm 18mm 18mm 18mm
Fonte Alim. Auxiliar Não Não Não Não
Botão Diagnóstico Endereços de GrupoEndereços Individuais
Selecção de Interface Endereços de GrupoEndereços Individuais
--
LEDs de Diagnóstico Estado IPModo
Estado KNX
Estado IPModo
Estado KNX
Est.º Linha PrincipalModo
Est.º Linha Secundária
Estado USBEstado KNX
QR Code Documentação se.com Código KNX Secure
Documentação se.com Código KNX Secure
Documentação se.com Código KNX Secure
Documentação se.com
KNX SecureColocação em serviço – KNX Secure no ETS
QR Codes – Documentação e Certificados
• A colocação em serviço de equipamentos KNX secure requer um certificado individual para cada equipamento
• Cada equipamento é fornecido com o respectivo certificado – FDSK (Factory Default Setup Key)
o 36 caracteres alfanuméricos, que poderão ser introduzidos manualmente ou através de webcam (leitura QR) no ETS
o Dois QR codes, fixo e destacável
o Atribuição de FDSK ao nível da programação ou no separador de projecto do ETS, para um gestão global dos certificados.
QRCode FDSK
QRCode MySchneider – Doc. Técnica
KNX SecureColocação em serviço – KNX Secure no ETS
Requisitos e cuidados a observar
• Todos os equipamentos deverão suportar a funcionalidade de telegramas longos (long frame)
• Um projecto em que seja implementada a funcionalidade secure, deverá ser protegido por uma password, à qual ficarão vinculados todos os equipamento com comunicação encriptada
• (Nota: diferente da funcionalidade já existente BCU password – especifica para cada equipamento)
• É possível recuperar um equipamento secure, em caso de perda da password. No entanto, todas as configurações implementadas serão perdidas, sendo necessário reconfigurar o equipamento.
• A password de projecto é, no entanto, ela própria encriptada, ao nível da base de dados do ETS. Neste sentido, a perda da password de projecto impossibilita a recuperação deste.
• (Nota: no caso de implementação de password BCU, a recuperação de um equipamento do qual a password tenha sido perdida só é possível através do suporte do fabricante)
KNX SecureArquitecturas-tipo
• Aplicável a qualquer tipo de edifício (escritórios, hotel, etc.)
• Proteção ao nível da infraestrutura IP
• Implementação de um equipamento secure por pisoLegenda
FA KNX
KNX Botoneira
KNX Det. Presença
KNX Acoplador de Linha
KNX TP Acoplador de Área
KNX IP Acoplador de Linha
KNX IP Acoplador de Área
KNX TP
Rede IP
PB
Área 1 Linha 1
1.1.0
IP-LC
PS PS
1.1 z 1.2 z
1.1 x 1.2 x
1.1 y 1.2 y
1.2.0
IP-LC
Área 1 Linha 2
Switch/Router
PS
1.1.0
TP-LC
1.1 x
1.1 y
1.0.0
TP-AC
1.1.0
IP-LC
1.0.0
IP-AC
Ligações KNX IP Secure
(Rede Estruturada)
Switch/Router
KNX SecureArquitecturas-tipo
• Acesso remoto à instalação – VPN, DNS, IP, etc.
• Configuração, manutenção, operação, etc.
Linha Principal
1 TP
Switch/Router
1.0.0
IP-AC
PB
Area 1 Linha 1
1.1.0
TP-LC
PS PS
1.1 z 1.2 z
PS
1.1 x 1.2 x
1.1 y 1.2 y
1.2.0
TP-LC
Area 1 Linha 2
2.1.0
IP-LC
Area 2 Linha 1
PS
2.1 z
2.1 x
2.1 y
Switch/Router
Internet
PC c/ ETS
Legenda
FA KNX
KNX Botoneira
KNX Det. Presença
KNX Acoplador de Linha
KNX TP Acop. de Área
KNX IP Router config.
como Acop. de Linha
KNX IP Router config.
como Acop. de Área
KNX TP
Rede IP
PS
1.1.0
TP-LC
1.1 x
1.1 y
1.0.0
TP-AC
1.1.0
IP-LC
1.0.0
IP-AC
KNX SecureArquitecturas-tipo
IP Router como Acoplador de Área
• Maior versatilidade na topologia
• Optimização da gestão de tráfego –filtragem de telegramas
• Requer um maior número de fontes de alimentação, mas um menor número de pontos de rede
• KNX IP Secure implementado ao nível das Área
Linha Principal
1 TP1.0.0
IP-AC
PB
Area 1 Linha 1
1.1.0
TP-LC
PS PS
1.1 z 1.2 z
PS
1.1 x 1.2 x
1.1 y 1.2 y
1.2.0
TP-LC
Area 1 Linha 2
2.0.0
IP-AC
PB
Area 2 Linha 1
2.1.0
TP-LC
PS PS
2.1 z 2.2 z
PS
2.1 x 2.2 x
2.1 y 2.2 y
2.2.0
TP-LC
Area 2 Linha 2
IP Switch/Router Legenda
FA KNX
KNX Botoneira
KNX Det. Presença
KNX Acoplador de Linha
KNX IP Router config.
como Acop. de Área
KNX TP
Rede IP
PS
1.1.0
TP-LC
1.1 x
1.1 y
1.0.0
IP-AC
KNX SecureArquitecturas-tipo
IP Router como Acoplador de Linha
• Menor complexidade na infraestrutura TP
• Menor número de fontes de alimentação
• Maior número de pontos de rede
• Maior intensidade de tráfego, uma vez que a filtragem apenas é realizada ao nível dos IP Routers
• Abrangência IP Secure a todas as linhas
Linha Principal
1 TP1.0.0
IP-AC
PB
Area 1 Linha 1
1.1.0
TP-LC
PS PS
1.1 z 1.2 z
PS
1.1 x 1.2 x
1.1 y 1.2 y
1.2.0
TP-LC
Area 1 Linha 2
2.0.0
IP-AC
PB
Area 2 Linha 1
2.1.0
TP-LC
PS PS
2.1 z 2.2 z
PS
2.1 x 2.2 x
2.1 y 2.2 y
2.2.0
TP-LC
Area 2 Linha 2
IP Switch/Router Legenda
FA KNX
KNX Botoneira
KNX Det. Presença
KNX Acoplador de Linha
KNX IP Router config.
como Acop. de Área
KNX TP
Rede IP
PS
1.1.0
TP-LC
1.1 x
1.1 y
1.0.0
IP-AC
KNX IP Secure
Pontos-chave:
• Metodologia de protecção às instalações – ao nível do IT e ao nível de campo (TP)
• Encriptação a nível local e ao nível dos acessos remotos: aplicações, gateways, servidores, etc.
• Conceito future-proof – extensível a um cada vez maior número de equipamentos KNX
• Tecnologia versátil, com possibilidade de implementação em instalações existentes.
