KNX Security Proxy: waar dient het voor?

1 like Reageer als eerste! 20-09-2024
In dit artikel legt Joost Demarest uit hoe mediakoppelaars met KNX Security Proxy-functionaliteit kunnen worden gebruikt om niet-KNX-Secure-installaties te integreren met KNX Secure RF-producten. Voor wie Joost Demarest nog niet kent, hij is de CTO/CFO van KNX Association, de bedenker en eigenaar van KNX-technologie – de wereldwijde standaard voor alle toepassingen op het gebied van woning- en gebouwautomatisering.

KNX Secure dekt verschillende use cases waarbij KNX-communicatie beperkt is tot een groep geauthentiseerde apparaten, of waarbij de systeemcommunicatie als geheel wordt beschermd tegen afluisteren of manipulatie.

In het bijzonder beveiligt het in de volgende situaties:

• Externe toegang tot de installatie (KNX IP Secure Tunneling).

• De configuratie van apparaten in de installatie (KNX Data Security, KNX IP Secure Device Management).

• Runtime communicatie van bepaalde applicaties (KNX Data Security).

• KNX-communicatie in open IP-netwerken (KNX IP Secure Routing).

• KNX-communicatie in open subnetwerken (KNX Data Security). Dit laatste voorbeeld betreft het veelvoorkomende scenario waarbij een (mogelijk al bestaande) bekabelde KNX-installatie, d.w.z. een KNX TP (twisted-pair) installatie, wordt uitgebreid met KNX RF S-Mode-apparaten via een mediakoppelaar.

Afbeelding1* Het uitbreiden van een bestaande KNX TP-installatie met KNX RF via een mediakoppelaar (oorspronkelijke afbeelding afkomstig van: Weinzierl Engineering).

Het uitbreiden van een bestaande KNX TP-installatie met KNX RF via een mediakoppelaar (originele afbeelding: Weinzierl Engineering). In tegenstelling tot twisted-pair kabels, die verborgen zijn achter muren en plafonds en daardoor een basisbeveiliging bieden tegen externe aanvallen, is het KNX RF draadloze spectrum een open medium. Dit kan gemakkelijk anoniem van buiten de installatie worden benaderd.

Het is daarom een legitieme vereiste om alle communicatie binnen dit KNX RF-subnetwerk te beveiligen, maar tegelijkertijd integratie van KNX RF Secure-apparaten mogelijk te maken in applicaties die onveilig zijn op het KNX TP-segment. Een voorbeeld hiervan is het toevoegen van een beveiligde KNX RF-drukknop die deelneemt aan dezelfde groep als onbeveiligde KNX TP-drukknoppen en een onbeveiligde KNX TP-lichtschakelaar-actor.

Om dit te bereiken, moet het koppelapparaat dat het te beveiligen subnetwerk scheidt van het onbeveiligde subnetwerk, optreden als tussenpersoon bij het routeren van KNX Frames van het ene subnetwerk naar het andere. Hierbij voegt het apparaat transparant KNX Data Security toe aan of verwijdert het van het KNX Frame. Een koppelapparaat met een optionele security proxy-functionaliteit maakt het dus mogelijk om een groepsadres veilig te configureren voor een van zijn subnetwerken, maar zonder beveiliging (d.w.z. 'plain') voor zijn andere subnetwerk. Met andere woorden, het kan transparant vertalen tussen beveiligde en ongecodeerde communicatie, waardoor runtime-communicatie tussen apparaten in verschillende subnetwerken via dit groepsadres mogelijk wordt.

Afbeelding 2* Een voorbeeld van hoe een koppelapparaat KNX Security Proxy-functionaliteit gebruikt om beveiligde groepscommunicatie mogelijk te maken voor een van zijn subnetwerken, en ongecodeerde groepscommunicatie voor het andere subnetwerk.

Het vertalen van unicast (point-to-point) runtime-communicatie tussen beveiligd en ongecodeerd wordt niet ondersteund door een KNX Security Proxy, en ook (systeem) broadcast-runtime-communicatie niet. De security proxy bevat echter methoden om tijdelijk unicast- en (systeem) broadcast-routing tussen specifieke individuele adressen mogelijk te maken.

De security proxy is alleen toepasbaar op segmentkoppelaars, lijnkoppelaars en backbonekoppelaars.

Bron: www.knx.org