Správně vytvořená KNX instalace je bezpečná

Typografie
  • Nejmenší Malé Střední Velké Největší
  • Výchozí Helvetica Segoe Georgia Times

Před více než 30 lety byl zahájen vývoj nyní ve světě nejrozšířenějšího a mezinárodně normalizovaného systému KNX. Na počátku byla řada požadavků, jimž by měla vyhovovat každá KNX instalace, samozřejmě za předpokladu, že budou splněny doporučené postupy při jejím vytváření.

K tomu byla vypracována také koncepce školení, protože základním předpokladem pro správné vytvoření kompletní KNX systémové instalace je její zpracování od projektu až po předání zákazníkovi správným způsobem, nejlépe správně vyškolenými osobami, tedy certifikovanými Partnery KNX. Doporučenými způsoby sestavená instalace je pak dostatečně bezpečná, zajištěná před nepovolanými zásahy.

Celková základní koncepce zabezpečení KNX instalace je založena na různých preventivních opatřeních před neoprávněnými přístupy. To znamená, že jen oprávněné osoby, jakými jsou uživatelé, systémoví integrátoři, popř. ve velkých objektech také správci, mají povolený fyzický přístup k této KNX instalaci. Při navrhování a montáži musí být kritické prvky chráněny, pokud možno co nejlepším způsobem, s ohledem na použitá přenosová média.
Při montáži kabelů a přístrojů je nutné dodržovat zásady platné pro kvalitní práci. To znamená, že všechny tyto díly musí být řádně uloženy a připevněny. Takto se dosáhne stavu, kdy k jednotlivým prvkům je v maximální míře znemožněn nebo ztížen přístup neoprávněným osobám. Proto např. rozvaděče s KNX přístroji mají být umístěny v samostatných uzamykatelných místnostech (ve velkých budovách) anebo v místnostech, do nichž mají přístup pouze oprávněné osoby.
Snímače povětrnostních údajů, snímače pohybu a další přístroje, které jsou montovány ve venkovním prostředí, je nezbytné montovat v dostatečných výškách, aby byly chráněny polohou před nežádoucími zásahy.

bezpecna knx 2018 1
Pokud je potřebné použít ovládací prvky a snímače některých fyzikálních veličin v nedostatečně zabezpečených venkovních nebo veřejných prostorách, potom nejlepším řešením je použít např. klasická ovládací tlačítka nebo klasické snímače propojené s binárními či analogovými vstupy umístěnými v dostatečně chráněných prostorech. Podle účelu takovýchto přístrojů je navíc možné jejich činnost blokovat v určitém čase, při určitých povětrnostních podmínkách apod. Tyto binární a analogové vstupy mohou být v rozvaděčích uvnitř objektu, čímž je zcela znemožněn přístup ke sběrnici. Anebo budou v hlubokých elektroinstalačních krabicích (především tlačítková rozhraní), což může tvořit určitou ochranu před nežádoucím přístupem ke sběrnici. Zde stojí za zmínku, že připojovací vedení od klasických přístrojů k rozvaděčovým analogovým a binárním vstupům může být např. až 100 m dlouhé, zatímco při použití tlačítkových rozhraní je správná činnost přístrojů zaručována při délkách připojovacích vedení nepřesahujících např. 10 m. Při montáži přístrojů do venkovního prostředí je nezbytné dodržet podmínky stanovené výrobcem – např. přístroje KNX jsou běžně určeny pro montáž do vnitřního prostředí při pracovních teplotách okolí od +5°C do +40°C. Jen některé z nich mohou být montovány při pracovních teplotách od -20°C, samozřejmě při zajištění dostatečného stupně krytí. Pro skrytou montáž tlačítkových rozhraní mohou sloužit speciální elektroinstalační krabice, např. podle obr. 1, kde z vnějšku je běžně dostupný pouze klasický elektromechanický spínač. V takovýchto případech je navíc možná určitá ochrana před nežádoucími ovládáními vhodným využitím časových parametrů příslušných kanálů tlačítkových rozhraní: Ovládat lze pouze dlouhými stisky, přičemž dolní časovou hranici pro dlouhý stisk lze nastavit i na několik sekund.
Mezi opatření proti zcizení ovládacích prvků (aplikačních modulů) je jejich dostatečně pevné připevnění (přišroubování), případně využití jen takových prvků, jejichž sejmutí není možné bez vhodných nástrojů – nejlépe speciálních.

bezpecna knx 2018 2
Sběrnicové kabely KNX je potřebné ukládat skrytě, jejich konce by neměly být viditelné, neměly by volně viset na stěnách nebo volně vycházet z výstupních otvorů jak uvnitř, tak i vně budovy. Sběrnicový kabel ve venkovním prostoru představuje již vyšší riziko neoprávněného přístupu. Proto musí být zajištěn výrazně ztížený přístup k němu, než je tomu ve vnitřních prostorách bytů nebo komerčních objektů. Musí-li být kabel veden po povrchu stavební konstrukce, měl by být chráněn uložením do tuhých trubek, jak je vidět na příkladu na obr. 2
Jen ve výjimečných případech by se měly používat přístroje připojené ke sběrnici KNX v prostorách s nedostatečným dohledem (ve venkovních prostorách, v podzemních parkovištích, na WC apod.). Tyto přístroje je potom vhodné umístit na samostatnou linii oddělenou od ostatních částí instalace liniovou spojkou (nebo routerem) s aktivovanou filtrační tabulkou (obr. 3). Předpokládáme-li, že hlavní skupiny skupinových adres přiřazených komunikačním objektům přístrojů venkovní linie se budou pohybovat v rozmezí od 0 do 13, pouze pro tyto adresy bude obousměrně nastavena filtrace, kdežto pro vyšší čísla adres bude přenos znemožněn jejich blokováním. Aby byly neuskutečnitelnými jakékoli pokusy o nežádoucí přeprogramování ostatních částí instalace, musí být nastaveno blokování fyzicky adresovaných telegramů (tzn. programovacích telegramů) – to může být přípustné pouze ve směru od hlavní linie k linii podřízené. Důležitá je i blokace telegramů broadcast – tedy telegramů určených všem přístrojům v celé KNX instalaci.

bezpecna knx 2018 3
U přístrojů na linii s nebezpečím nežádoucího přístupu je také vhodné aktivovat komunikační objekty odesílající cyklické informace, jejichž významem je údaj o trvajícím připojení ke sběrnici (obr. 4). Je dobré, aby napájecí zdroj pro tuto kritickou linii byl schopen předávat údaje o svém okamžitém zatížení k následnému vyhodnocení nežádoucích změn jeho stavu. Všechny přístroje by měly mít aktivní heslo sběrnicové spojky (obr. 5), takže jejich nežádoucí přeprogramování je zcela znemožněno.
V České republice jsme nezavedli KNX systémové instalace s komunikací po silovém vedení vzhledem k tomu, že u nás prakticky nepřichází v úvahu objekty, pro něž přednostně je tento přenos určen. Tento způsob předávání informací lze, především z ekonomických důvodů, použít výhradně při rekonstrukcích starších budov, v nichž stávající vnitřní elektrické instalace využívají měděné vodiče. Kromě toho je zde použit vždy samostatný ochranný vodič a navíc, v každé elektroinstalační krabici je k dispozici nulový vodič. Ale když je již zapotřebí staré hliníkové rozvody nahrazovat měděnými, při rekonstrukci a zvyšování technické úrovně je již nejen ekonomicky výhodnějším ukládat také KNX sběrnicové kabely.
Ovšem v zemích, ve kterých byl použit KNX systém Powerline s přenosem po silových vedeních, pro zvýšení bezpečnosti před nežádoucími zásahy by se měly používat elektronické filtry zajišťující filtrování signálů v obou směrech přenosu.
Ve velkých budovách, v nichž se používá výměny informací mezi jednotlivými částmi KNX instalace (mezi liniemi a oblastmi) prostřednictvím KNX/IP routerů, by pro úkoly související s automatizací provozu jednotlivých funkcí objektu měla být použita vyhrazená část IP sítě (LAN nebo WLAN) využívající vlastní hardwarové prostředky (kromě již zmíněných routerů také IP přepínače apod.).

bezpecna knx 2018 4
Bez ohledu na typ KNX instalace (na přenosová média) je nezbytné dodržovat obvyklé ochranné mechanismy pro IP sítě. Mezi ně patří:

  • Používání filtrace pomocí adres MAC (Media Access Control). Filtrování MAC je efektivnější v kabelových sítích, kdežto v bezdrátových sítích může docházet k neoprávněnému skenování platných MAC adres.
  • Šifrování zpráv v bezdrátových sítích při použití silných hesel.
  • Změna výchozí SSID (což je klíč, který umožňuje propojení jednotlivých částí bezdrátové sítě, představuje řetězec ASCII znaků o délce nejvýše 32 znaků a má význam názvu, pod nímž je bezdrátový přístupový bod viditelný v síti – obvykle se jedná o název výrobce a typ výrobku). Všechna bezdrátová zařízení pokoušející se o vzájemnou komunikaci mezi sebou musí předávat tentýž SSID. Výchozí SSID může ukázat na slabiny spojené s použitými přístupovými body k výrobku. Přístupový bod může být nastaven tak, aby bylo zabráněno periodickému přenosu mezi jiné SSID. Nastavením různých klíčů lze zajistit fungování i několika bezdrátových sítí v jedné lokalitě a v rámci stejného frekvenčního rozsahu.

Pro KNX IP Multicast je nezbytné použití jiné IP adresy jako výchozí (224.0.23.12). Tuto vhodnou adresu je potřebné dohodnout se správcem sítě.
V rozsáhlejších instalacích je nezbytná spolupráce s IT síťovými specialisty, protože právě oni se budou podílet na připojeních ke KNXnet/IP optimalizací konfigurace sítě s nasazením řiditelných přepínačů, WLAN, vymezení přístupových bodů podle IEEE802.X atd. Důležité je i použití dalších opatření na ochranu sítě, jako je filtrovaní mailů nebo antivirové programy.
KNXnet/IP routing a KNXnet/IP tunneling nejsou určeny k použití prostřednictvím internetu. Proto není vhodné otevřít porty routerů k internetu a tím KNX komunikaci učinit viditelnou přes internet.

bezpecna knx 2018 5
Instalace LAN, WLAN je nutné chránit firewallem.
Pokud ke KNX instalaci není požadován jakýkoli externí přístup, výchozí rozhraní lze nastavit na hodnotu 0. Tím se zablokuje veškerá komunikace s internetem.
Při potřebě zajištění vzdálených přístupů ke KNX instalaci přes internet lze doporučit následující opatření:

  • Zajištění přístupu k instalaci KNX prostřednictvím VPN připojení: K tomu je však potřebný router podporující funkce serveru VPN anebo přímo server s funkcemi VPN.
  • Je také možné využití jednoúčelového řešení některého ze specializovaných výrobců, které je na trhu, umožňující vizualizaci a přístup https.
  • Nejnovějším opatřením je využití KNX IP Secure – viz článek v Elektroprůmysl č. 2/2018.

Pokud se týče bezdrátového přenosu v KNX instalacích, je potřebné se zmínit, že radiofrekvenční přenos je otevřeným přenosovým médiem, takže není snadné vytvořit opatření proti nežádoucím přístupům. Účinným opatřením je však využití obecněji platné ochrany provozní komunikace KNX Secure a to jak KNX Data Secure, tak i KNX IP Secure.
V menších instalacích lze dosáhnout určitého stupně zabezpečení proti přístupům neoprávněných osob naprogramováním softwarem ETS Inside s použitím přístroje ETS Inside (časopis Elektroprůmysl č. 4/2018), který je potřebný pro vzdálené přístupy zabezpečené uživatelským heslem. Pro dosažení nejvyššího stupně zabezpečení pak je ale vždy potřebné využití koncepce KNX Secure.

Aktuální číslo časopisu

ElektroPrumysl cz unor 2019 S

ElektroPrůmysl.cz, únor 2019

Číslo je zaměřené na osvětlovací techniku, software v automatizační technice, elektrotechnice a energetice.

Najdete nás na Facebooku

Bezplatný odběr časopisu

Chcete odebírat časopis ElektroPrůmysl.cz zdarma? Napište Vaše jméno a e-mail, poté klikněte na tlačítko odebírat.
 Souhlasím se zpracováním osobních údajů pro potřeby zasílání časopisu zdarma. Informace o zpracování osobních údajů
Časopis vychází 1x měsíčně.

Zajímavé odkazy

Odborné semináře OEZ 2019 Registrujte se zdarma. Opravy a rekonstrukce rozvaděčů nn, správná volba proudových chráničů, selektivita jištění v programu Sichr.
Vyšší úroveň bezpečnosti s NKT instal CYKY Dca Inovovaný kabel s vylepšeným materiálem pláště, nešíří plamen, splňuje požární klasifikaci „Dca“.
VOLTWORLD.cz - Svět měřicí techniky! Internetový obchod s kvalitní měřicí technikou osvědčených světových značek. Akční ceny, výhodné sady, půjčovna, servis, kalibrace, školení a semináře.
Turck Cloud - vzhůru do oblak! Se speciálním cloudovým systémem pro sběr, ukládání a zpracování produkčních dat pro potřeby monitorování různých úloh ve sféře průmyslového internetu věcí (IIoT) a Industry 4.0.
TERMOKAMERY.cz – novinky a akční ceny! Vyberte si termokameru přesně dle Vašeho požadavku. Technické poradenství, profesionální přístup, prodej, odborná školení, servis a kalibrace. Vyžádejte si předvedení termokamer zdarma přímo ve vaší firmě!
Bezplatný odběr časopisu
Chcete odebírat časopis ElektroPrůmysl.cz zdarma? Napište Vaše jméno a e-mail, poté klikněte na tlačítko odebírat.
 Souhlasím se zpracováním osobních údajů pro potřeby zasílání časopisu zdarma. Informace o zpracování osobních údajů
Časopis vychází 1x měsíčně.