A-Z ELEKTRO leden / únor 2018

leden/únor 2018 | A-Z ELEKTRO | 41 SYSTÉMOVÉ ELEKTROINSTALACE Ing. Josef Kunc Sekretář spolku KNX národní skupina České republiky, z.s. Technická 3058/10 616 00 Brno-Královo Pole Mail: eibsyst@volny.cz www.knxcz.cz , www.knx.org/cz Czech Republic Obr. 3: Nastavení hesla sběrnicových spojek v projektu linie. Dalším opatřením pro zabránění případného nežádoucího přeprogramo­ vání některých přístrojů KNX je aktivace hesla sběrnicových spojek v projektu ETS (obr. 3). Existuje celá řada KNX přístrojů, které byly německou organizací VdS ověřeny a schváleny pro zabezpečovací účely. Takovéto přístroje jsou zajištěny proti nežádoucím přístupům. Dalším krokem ke zvýšení bezpečnosti je kódovaná komunikace mezi vybranými částmi instalace. Např. různá data vyu­ žívaná v systémech zabezpečení objektu jsou využívána i při řízení mnohých funkcí budov (osvětlení, vytápění, stínění apod.). Proto je důležité si tato data vzájemně vyměňovat v zakódovaném tvaru. Pro tento účel byla asociací KNX vyvinuta aplikace KNX Data Secure. Jen málokterý uživatel KNX systémové instalace v současnosti nevyžaduje vzdá­ lené přístupy prostřednictvím internetu. Zpravidla chce mít možnost kontrolovat a ovládat kdykoli a odkudkoli provozní stavy některých funkcí. Pro zajištění vzdálené komunikace je KNX instalace k síti IP připojena přes KNX/IP rozhraní nebo router. Přitom síť IP (ethernet) může být snadno vybavena drátovým, bezdráto­ vým (WiFi) nebo mobilním připojením. To ovšem znamená, že případná nepovolaná osoba nemusí mít možnost nepohodlného přímého připojení ke sběrnici KNX, na­ opak, mohla by se v klidu připojit vzdáleně odkudkoliv. Jak zabránit vzdálenému neoprávněnému přístupu ke KNX sběrnici Používání internetového protokolu KNX IP v nezávislých LAN nebo WLAN sítích by mělo být samozřejmostí. Je ale potřebné použití dalších standardních bezpečnostních mechanismů v IP sítích. Především při existenci přímého připojení k internetu musí být komunikace přimě­ řeně chráněna. Znamená to využívání VPN komunikace a také vhodných webových serverů. Také zde asociace KNX nabízí řešení s KNX bezpečnými rozhraními. Připravovaná nově specifikovaná KNX roz­ hraní dále zvýší zabezpečení komunikace mezi KNX a internetem prostřednictvím webových služeb. Stále častěji využívaná možnost dál­ kového ovládání KNX instalací prostřed­ nictvím internetu anebo bezdrátovou sítí WLAN vyžaduje další ochranná opatření. Zabráněním přístupu k přístrojům i pře­ nosovýmmédiím se odstraňuje nebezpečí manipulace s datovým provozem. Z toho důvodu je nezbytné chránit předávané informace na každémmédiu (KNX TP, PL, RF, IP) proti změně nebo protokolování telegramů a jejich opakování nežádoucí manipulací z vnějšku. Vzdálený přístup ke sběrnicovému systému KNX přes internet by tedy měl být zajištěn tak, aby provoz i konfiguraci sběrnicových přístrojů mohly uskutečnit pouze ověřené oprávněné osoby. V takovémto případě se jedná o účinný ochranný mechanismus proti manipulaci, protože sběrnicové přístroje mohou komunikovat pouze mezi sebou, jelikož jsou samy o sobě součástí sběrnicového systému. Koncepce kompletního zabezpečení KNX instalací Podle naznačených požadavků byla v KNX vyvinuta nová bezpečnostní koncepce: KNX Data Secure a KNX IP Secure. Oba typy zabezpečení používají mechanismy, které jsou např. použity pro bezpečný pře­ nos dat mezi elektroměry a energetickými společnostmi. Mají-li být data odesílána přes internet, spojení mezi vysílající a přijímající sítí může být chráněno virtuální privátní sítí (VPN). Přesto to nezajišťuje odesílatelovo oprávnění ke konfiguraci sběrnicového systému nebo k výměně dat s ním. Zde KNX IP Secure nabízí dodatečnou jistotu rozšířením protokolu KNX IP kompletním šifrováním přenášených dat. I ve stávají­ cích instalacích lze tohoto cíle dosáhnout poměrně snadno. Mají-li být data přenášena v KNX insta­ laci pouze lokálně, k ochraně dat postačí rozšíření sběrnicového protokolu. Zadaný ochranný mechanismus KNX Data Secure ověřuje věrohodnost anebo šifruje vybrané KNX telegramy nezávisle na přenosovém médiu. Přístrojům nebo komunikačním objektům z ETS se přiřadí přístupové klíče. V kterékoli KNX instalaci mohou být nejen zabezpečené, ale také neza­ bezpečené aplikace. Z toho vyplývá, že ne všechny přístroje je nutné zabezpečit. Takže doposud používané přístroje vůbec není nezbytné vyměňovat za nové, umož­ ňující tuto zabezpečenou komunikaci. Nyní nově zaváděné ochranné mecha­ nismy KNX Data Secure a KNX IP Secure dovolují vytváření plně zabezpečených komunikačních kanálů mezi jednotlivými prvky v KNX instalacích. To znamená zabránění možnosti přenosu a doručení zmanipulovaných zpráv určených k ovlá­ dání funkcí v instalaci. Každá zpráva – každý telegram – obsahuje ověřovací kód. Automatické přidělování číselných řad nebo identifikačních posloupností činí neúspěšnými případné pokusy o záznam dat a jejich pozdější přenos za účelem sabotáže. Takovéto šifrování datového provozu činí instalaci KNX prakticky nezranitelnou. Tento postup je založen na celosvětově existujících bezpečnostních protokolech. Systémoví integrátoři, projektanti i elektromontéři dodávající KNX systé­ mové instalace tedy mohou znemožnit jakýkoli neoprávněný přístup. K tomu se ovšemmusí seznámit s možnými ochran­ nými opatřeními a následně je aplikovat. Nejen při předávání nových KNX in­ stalací, ale také při běžně vykonávaných periodických kontrolách instalací již fungujících je potřebné prověřovat uvažo­ vanou úroveň zabezpečení. Nové bezpeč­ nostní funkce, zejména pro přístup přes internet, lze doplnit do všech stávajících KNX instalací využitím nových rozhraní s novými KNX bezpečnostními mecha­ nismy. Veškeré funkce KNX IP Secure i KNX Data Secure je možné zajistit pou­ žíváním nové verze softwaru ETS5.5, který bude k dispozici od letošního května. Obr. 2: Nastavení parametrů liniové spojky s aktivní filtrační tabulkou