Konkrétní opatření pro zajištění bezpečné automatizace budov

5 min čtení

10.11.2020

1. Zabránění přístupu k síti na různých fyzických úrovních

Vhodná koncepce zabezpečení je založena na zajištění řádné prevence před neoprávněným přístupem. V případě instalace systémů HDLA to znamená, že pouze oprávněné, tzn. proškolené osoby (elektroinstalatér, správce, uživatel) mají fyzický přístup k instalaci systémů. Při navrhování i instalaci musí být kritické prvky systému chráněny co možná nejlepším způsobem.

Montáž kabelů a prvků systému

• Obecně platí, že prvky systému musí být řádně připevněny, aby se zabránilo, jejich snadnému odstranění, a tím by byl umožněn přístup ke sběrnici neoprávněným osobám;

• Kryty a rozvaděče obsahující přístroje musí být řádně uzavřeny nebo musí být namontovány v místech, kam mají přístup pouze oprávněné osoby;

• Ve venkovních prostorách musí být přístroje namontovány v dostatečné výšce (např. meteorologická stanice, snímač rychlosti větru, snímač pohybu atd.);

• Ve všech nedostatečně hlídaných veřejných prostorách využívat klasické přístroje propojené s binárními vstupy uloženými v chráněných oblastech (např. v rozvaděčích) anebo tlačítková rozhraní skrytá v hlubokých krabicích, což je určitá prevence před nežádoucím přístupem ke sběrnici;

• Pokud možno, využít opatření proti krádežím některých aplikačních modulů (např. mechanické zabezpečení aplikačních modulů šrouby, možnost sejmutí pouze speciálními nástroji, nutnost použití nadměrné síly k sejmutí a podobná opatření).

Kroucený pár

• Konce kabelů by neměly být viditelné, visící volně na stěnách, ani na výstupech nebo uvnitř budovy.

• Kabel sběrnice ve venkovním prostoru představuje vyšší riziko. Fyzický přístup ke sběrnicovému kabelu musí být v tomto případě ještě obtížnější než uvnitř bytu nebo domu.

• Pro dodatečnou ochranu přístrojů instalovaných v místech s omezeným dohledem (venku, v podzemních parkovištích, na WC atd.) mohou být připojeny k samostatné linii. Aktivací filtrační tabulky v liniové spojce potom může být zabráněno přístupu k celé instalaci.

Powerline

• Elektronické filtry by měly být použity k filtrování příchozích i odchozích signálů.

Radiofrekvenční

• Jelikož radiofrekvenční přenos je otevřené médium, nelze přijmout opatření fyzické ochrany pro zabránění přístupu. Proto je zapotřebí přijmout jiná opatření, která jsou uvedena níže.

IP

• Automatizace budov by měla běžet přes vyhrazenou LAN a WLAN s vlastním hardwarem (routery, přepínače atd.);

• Bez ohledu na typ instalace, se musí v každém případě dodržovat obvyklé ochranné mechanismy pro IP sítě. Ty mohou zahrnovat:

- MAC filtry;

- Šifrování bezdrátových sítí ve spojení se silnými hesly (změna výchozího hesla - WPA2 nebo vyšší) a ochrana proti neoprávněným osobám;

- Změna výchozí SSID (SSID je název, pod kterým je bezdrátový přístupový bod viditelný v síti, většinou výrobce a typ výrobku). Výchozí SSID může poukázat na s výrobkem spojené slabiny použitých přístupových bodů, čímž tak mohou být zvláště citlivé na hackery). Přístupový bod může být kromě toho nastaven tak, že je zabráněno periodickému přenosu mezi jiné SSID.

• V případě systému KNX musí být pro multicast použita jiná individuální IP adresa jako výchozí;

• U projektů většího rozsahu je vhodné, aby se na nastavení IP struktury podíleli síťoví specialisté a vhodným způsobem zajistili ochranu sítě proti hrozbám internetu z venku. Jedná se o správnou strukturu routerů a jejich nastavení, o ochranu firewallem, případně využití protokolu IEEE802.X.

Internet

• Pokud je v případě páteřního systému k propojení sběrnic využit Ethernet, je důležité si uvědomit, že jde o lokální datový přenos, který nelze otevřít směrem ven. V případě systému KNX se to týká rovněž datového přenosu propojujícího linie sběrnic s využitím KNXnet / IP routing a KNXnet/ IP tunneling. Proto není vhodné otevřít porty routerů a tím komunikaci učinit viditelnou z venčí.

• Další zásady bezpečného nastavení:

- Instalace (W) LAN musí být chráněna firewallem;

- Není-li nutný jakýkoli externí přístup k instalaci, výchozí rozhraní může být nastaveno na hodnotu 0 a takto zablokovat veškerou komunikaci s internetem;

- Pokud je systém ovládán vzdáleně aplikací, je doporučeno využívat aplikaci Myjordomus, která využívá šifrovanou komunikaci, autentizace probíhá pomocí digitálního certifikátu, tzn. stejná úroveň zabezpečení jako mají banky.

• Má-li být realizován vzdálený přístup nastavovacího programu do instalace přes internet, je opět záhodno dodržet určité bezpečnostní principy.

V případě systému KNX:

• Zajištění přístupu k instalaci prostřednictvím připojení VPN: To však vyžaduje router, který podporuje funkce serveru VPN nebo přímo server s funkcemi VPN;

• Některé z jednoúčelových řešení specializovaného výrobce, které je na trhu k dispozici a vizualizace (např. umožnění přístupu http).

V případě systému Buspro:

• V případě systému Buspro je vzdálené připojení realizováno přes cloudový server výrobce, který je náležitě zabezpečen. Na implementátorovi opět zůstává dostatečně zabezpečit připojení koncové strany;

• Wireless 256.512 je zabezpečeno.

2. Omezení nežádoucí komunikace uvnitř sítě

• Individuální adresy přístrojů musí být řádně přiřazeny v souladu s topologií a routery musí být nakonfigurovány tak, aby nemohly předávat zprávy s neodpovídajícími zdrojovými adresami. Takto lze nežádoucí komunikaci omezit na jednu linii.

• Broadcastingová a nefiltrovaná komunikace přes routery musí být zablokována. Takto bude případná rekonfigurace omezena na jednu linii. V případě systému KNX toto provede administrátor, v případě systému Buspro je systém blokování implementován v IP branách, které zajišťují úlohu liniových spojek.

• V případě systému KNX musí být spojky nakonfigurovány tak, aby měly nastaveny aktivní filtrační tabulky a nepřenášely skupinové adresy nepoužívané v příslušných liniích. Pokud by tomu tak nebylo, nežádoucí komunikace v jedné linii by nesla riziko nekontrolovaného šíření zpráv po celé instalaci.

3. Ochrana komunikace při konfiguraci

• Systém KNX dále umožňuje v konfiguračním programu definovat heslo pro konkrétní projekt, jehož prostřednictvím lze uzamknout přístroje před neoprávněným přístupem. Tím se zabrání, aby konfiguraci instalace bylo možné číst nebo měnit neoprávněnými osobami.

4. Propojení systémů HDLA do zabezpečených systémů

Připojení HDLA systémů k takovým aplikacím, jakými jsou elektrické zabezpečovací systémy, elektrické požární systémy a přístupové systémy, lze zajistit:

• HDLA přístroji nebo rozhraními s příslušnou certifikací místních pojišťoven;

• bezpotenciálovými kontakty (binárními vstupy, tlačítkovými rozhraními apod.);

• odpovídajícími rozhraními (jako RS232) nebo hradly: v tomto případě musí být zajištěno, aby komunikace sběrnice nevyvolala příslušné funkce zabezpečení v bezpečnostní části instalace.

5. Detekce neautorizovaných přístupů ke sběrnici

Je samozřejmé, že sběrnici lze monitorovat, a tak vysledovat neobvyklý provoz.

V případě systému KNX je třeba vzít dále v úvahu:

• Některé typy přístrojů mohou detekovat, zda jiný přístroj nevysílá telegramy s jejich individuální adresou. To není samovolně oznámeno v síti, ale lze to načíst z PID_DEVICE_CONTROL;

• Velmi aktuální implementace se může projevit již v PID_DOWNLOAD_COUNTER. Porovnáním čtení hodnoty (pravidelně) s referenční hodnotou bude signalizována změna v konfiguraci přístroje.

V případě systému Buspro lze provádět průběžný monitoring datového provozu na sběrnici nástrojem TOOL, integrovaným do parametrizačního programu HBST.

Více inforamcí zde