Войти / Регистрация

8 800 511-89-11

Обратный звонок

Хакерские атаки на KNX.

19 ноября 2021

 

 

 

В последнее время участились хакерские атаки на инсталляции KNX. Уже известно немало случаев, включая Россию, когда KNX инсталляции оказались выведенными из строя, а сами KNX устройства, установленные на объектах - заблокированными для пользователей и интеграторов.

 

Для «взлома» шины KNX использовалась беспечно оставленная  интеграторами возможность удаленного интернет-подключения к объектному KNX IP-интерфейсу через порт 3671. В таких случаях злоумышленники скрытно  собирают информацию об установленных на объекте устройствах KNX, а позднее, в течение считанных минут перепрограммируют те из них, которые оказались в непосредственной досягаемости по топологии шины KNX.

 

Целью атак являлись «обнуление» устройств KNX путем загрузки в них программ – «пустышек» и, что самое неприятное, установка пароля (т.н. ключ BCU), блокирующего доступ к устройствам для их перепрограммирования в последующем.

 

Снятие блокировки устройств KNX без знания установленного хакером пароля возможно только в условиях завода-производителя.  А значит, по крайней мере, одно или несколько устройств KNX должны быть демонтированы с объекта и отправлены производителю. Кроме того, такие случаи не являются гарантийными, и услуга разблокировки может оказаться платной. Итог - теряются время и деньги.

 

Горькая ирония в том, что для причинения максимального ущерба, преступники используют штатное средство KNX, предназначенное для  защиты от подобных угроз – установку внутри устройств KNX системной парольной защиты. Все, как в кино: если герой не стреляет первым, то стреляют в героя.

 

В любом случае налицо недостаток опыта или неоправданная беспечность интеграторов. Для  специалистов, кто еще не знаком с практикой антикриминальной защиты в KNX, ниже приводятся рекомендации, соблюдение которых надежно защитит  KNX инсталляцию от неприятностей.

Меры защиты IT

  • Закрытие порта 3671.

 

Порт 3671 используется протоколом KNXnet/IP Tunneling стандарта KNX для IP подключения  программы ETS (инструментальное ПО KNX) к KNXIP-интерфейсам или KNX IP-роутерам с целью диагностического сканирования шины KNX TP, сбора данных о подключенных к шине KNX устройствах и их программирования.

 

Таким образом, если на объекте предусмотрено подключение KNX инсталляции к сети Интернет, то настоятельно рекомендуется не оставлять в  интернет-роутере открытым порт 3671 в течение сколько-нибудь длительного времени.

 

В качестве дополнительной меры безопасности, удаленную связь с объектом по  протоколу KNXnet/IP Tunneling можно настроить, используя любой нестандартный порт, отличный от стандартного 3671. Это реализуется настройками связываемых интернет-роутеров – того, что на объекте и удаленного.  Но и подобный «прокси»-порт должен оставаться закрытым, когда интегратором не ведутся работы в удаленном режиме.  

 

  • Настройка  брандмауэра (firewall).

 

Локальная сеть, используемая как часть KNX инсталляции, должна быть отделена от внешнего интернета соответствующей настройкой брандмауэра роутера так, чтобы пакеты KNXnet/IP трафика не имели возможности для выхода во внешний интернет. Это достигается закрытием портов роутера со стороны домашней локальной сети во внешнем направлении.

 

В частности, брандмауэр должен изолировать внутреннюю локальную сеть, используемую KNX как среду передачи для главных линий областей или магистрали,  от широковещательного трафика (broadcast), поступающего c внешней стороны и, наоборот, замыкать групповой трафик KNX (multicast) внутри локальной сети объекта.

 

  • Использование VPN канала для внешнего доступа.

 

Лучше всего, если внешние соединения с локальной сетью объекта осуществляются через защищенные VPN каналы.  Для этого на объекте рекомендуется предусмотреть установку интернет-роутера с функцией VPN сервера или установку автономного VPN сервера на ПК платформе.

 

  • WEB доступ к KNX инсталляции.

 

Удаленное управление KNX инсталляцией может осуществляться через специализированные KNX устройства со встроенным web-сервером по протоколу HTTP или через другие стандартизированные в KNX web-сервисы. В этом случае сетевая безопасность обеспечивается разработчиком такого решения.

 

  • Установка на объекте сервисного компьютера с ETS.

 

Если удаленное интернет-подключение к шине KNX необходимо интегратору только в отладочных и сервисных целях, то возможна установка на объекте сервисного ПК с программой ETS и приложением удаленного доступа (TeamViewer, Chrome Remote Desktop  и т.п.).  В этом случае, очевидно, KNX IP-интерфейс может быть полностью отключен от внешней сети (порт 3671 закрыт в интернет-роутере).

 

  • Фильтрация IPи MAC адресов.

 

Дополнительной защитной мерой от несанкционированного проникновения злоумышленников в локальную сеть объекта может стать настройка в интернет-роутере фильтра  доверенных IP адресов. Таким образом, попытки внешнего подключения с IP адресов, не попавших в список доверенных, будут роутером блокироваться.

 

В случае развертывания на объекте беспроводной WiFi cети (WLAN), помимо фильтрации IP адресов, не лишней будет настройка MAC фильтра при конфигурировании роутеров и точек доступа WiFi.

 

  • Безопасная настройка WLAN.

 

Если на объекте развернута WLAN, то должны быть соблюдены стандартные меры по ее безопасному конфигурированию: изменение всех заводских настроек по умолчанию  на пользовательские;  отключение периодической трансляции в эфир SSID (beaconing); настройка надежного пароля и шифрация трафика не ниже уровня WPA2; использование MAC фильтров и т.д..

 

  • BMS на базе отдельной локальной сети.

 

Для средних и больших KNX проектов идеальным решением является создание для системы управления зданием (BMS) независимой локальной сети. В этом случае степень защищенности KNX BMS будет существенно выше.  

 

Меры защиты KNX

  • Изменение стандартного мультикастного адреса KNXnet/IP Routing

 

По умолчанию в протоколе KNXnet/IP Routing для групповой (multicust) коммуникации между KNX IP-роутерами используется адрес 224.0.23.12. Для лучшей защищенности KNX инсталляции рекомендуется его замена на другое значение из допустимого мультикаст-диапазона адресов (224.0.0.0 - 239.255.255.255). Для этого необходимо произвести в программе ETS  соответствующую настройку при параметризации KNX IP-роутеров или изменить этот параметр в свойствах магистральной IP-линии окна Топология программы ETS.

 

  • Безопасная настройка KNX IP-роутеров.

 

Настройкой KNX IP-роутеров и линейных соединителей может быть блокирована передача физических телеграмм* в нормальном режиме эксплуатации KNX инсталляции. В этом случае, риску несанкционированной переконфигурации может быть подвержена только одна линия KNX.

*) Телеграммы, передаваемые из ETS в устройства KNX при их программировании или диагностике.

 

  • Установка ключа BCU.

 

Для полного исключения возможности несанкционированной установки ключа BCU третьими лицами, интегратору, по согласованию с заказчиком,  можно это выполнить превентивно. Установка такого пароля производится в прорамме ETS на панели «Детали» в настройках свойств проекта (Рис.1).

 

 

 

 

Рис.1

 

После ввода в соответствующую строку цифрового ключа и его подтверждения, ключ будет сохранен в проекте (Рис.2). В дальнейшем, по ходу последовательного программирования устройств KNX, этот ключ-пароль будет устанавливаться уже внутри самих KNX устройств. После этого любое перепрограммирование устройств KNX без  ввода пароля окажется невозможным.  

 

 

 

Рис.2

 

Наверно, излишне говорить, что установленный пароль BCU надо надежно хранить и не забывать, чтобы не пострадать от собственных действий.  

 

  • KNX Secure.

 

Сегодня технология KNX, помимо перечисленных выше традициционных инструментов безопасности, поддерживает мощные средства криптографической защиты (начиная с ETS 5). Это расширение стандарта KNX,  получившее название KNX Secure, предусматривает несколько уровней защиты:

 

  • Аутентификация отправителей KNX телеграмм
  • Контроль аутентичности KNX телеграмм
  • Криптографическая защита данных KNX TP телеграмм (KNX Data Secure)
  • Криптографическая защита трафика на KNX IP линиях (KNX IP Secure)

 

Инсталляции с KNX Secure надежно защищены от внешних угроз. Но, чтобы воспользоваться всеми преимуществами этой технологии, в проект должны  быть включены уcтройства KNX, поддерживающие  алгоритмы шифрования и аутентификации (маркировка Secure).

 

Поскольку ассортимент таких устройств на рынке KNX остается ограниченным, то традиционные методы обеспечения безопасности KNX установок остаются актуальными.

 

На (Рис.3) представлена обобщающая схема, иллюстрирующая наиболее важные из приведенных выше рекомендаций.  Реализация даже одной из мер, или небольшой их части, уже существенно усложнит задачу преступников или сделает ее невыполнимой.  Мера достаточности антикриминальной защиты в каждом KNX проекте должна оцениваться интеграторами и пользователями индивидуально.   

         

 

 

Рис.3

 

Дополнительную информацию по безопасной KNX инсталляции можно найти в документах Ассоциации KNX (www.knx.org):

KNX Secure Checklist

KNX Secure Guide

 

Лаборатория «Ай-Хоум.ру». 2021. ©

Заполните форму

Войти как партнер

Восстановить пароль

Зарегистрироваться

Пользовательское соглашение

Ниже представлены условия пользования материалами ресурса zenniorussia.ru и обязательны для выполнения всеми, кто получает к ним доступ.

1. Использование материалов  zenniorussia.ru регулируется нормами действующего законодательства Российской Федерации и Международными правовыми нормами.

2. Настоящее Соглашение считается публичной офертой. Каждый пользователь, получивший доступ к публикациям сайта, автоматически считается присоединившимся к Соглашению.

3. Администрация zenniorussia.ru вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Изменения вступают в силу по истечении 7 дней со дня опубликования. В случае несогласия пользователя с произведенными изменениями он обязан не предпринимать действий, которые могли бы нарушить вступившие в законную силу вновь принятые условия.

4. Пользователь соглашается не предпринимать действий, которые будут оценены как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы вэб-ресурса.

5. Использование материалов zenniorussia.ru без согласия администрации строго запрещено (статья 1270 Г.К РФ). Для правомерного использования необходимо согласие администрации в виде заключения лицензионного договора.

6. Разрешается цитирование материалов с условием опубликования не более 1-2 абзацев и проставления кликабельной, прямой и индексируемой поисковыми системами ссылки (без применения атрибута rel nofollow). Ссылка должна вести на ту же страницу zenniorussia.ru, с которой была использована цитата.

7. В комментариях к статьям запрещены высказывания и сообщения, которые бы вступали в явное противоречие с законодательством Российской Федерации и Международными Нормами, а также общепринятыми правилами морали и нравственности.

8. Администрация zenniorussia.ru не несет никакой ответственности за возможный ущерб, который пользователь может получить в результате посещения интернет-ресурсов, ссылки на которые ведут со страниц zenniorussia.ru, а также в результате любых предпринимаемых им действий на основании информации, размещенной на страницах zenniorussia.ru.

9. Пользователь соглашается с тем, что на вебстраницах сайта zenniorussia.ru может быть размещена реклама в любом объеме, а также с тем, что администрация настоящего ресурса не несет никакой ответственности и не имеет никаких обязательств в связи с наличием такой рекламы.

10. Администрация zenniorussia.ru ставит себе целью защищать авторское право на публикации в соответствии с действующим законодательством РФ и существующими Международными нормами. Если действия по защите не были предприняты незамедлительно, то они могут быть осуществлены позднее.