Trong một hệ thống KNX hoàn thiện, những người có quyền truy cập vật lý vào hệ thống thường bao gồm kỹ sư trưởng, kỹ thuật viên chăm sóc dịch vụ và người dùng. Tuy nhiên, để ngăn ngừa những truy cập trái phép, khi thiết kế và cài đặt KNX cần chú ý đến những yếu tố đảm bảo an toàn như sau:
ử
Hạn chế khả năng truy cập vật lý
1. Lắp đặt thiết bị
Các thiết bị cần được cố định theo tiêu chuẩn kỹ thuật về việc lắp đặt đảm bảo tránh tình huống có thể dễ dàng dịch chuyển và kết nối trái phép.
Tủ điều khiển KNX được đóng kín và đặt tại vị trí mà chỉ những người được ủy quyền được phép truy cập.
Gắn các thiết bị ngoài trời với độ cao vừa đủ (cảm biến thời tiết, cảm biến gió, cảm biến di chuyển, ...)
Tại các khu vực công cộng, nơi rất khó giám sát việc truy cập trái phép thì nên sử dụng cổng giao tiếp nhị phân. Các cổng nhị phân này được đặt tại nơi có tính bảo mật cao như tủ điều khiển hoặc hộp kín để tránh việc truy cập trái phép vào KNX Bus.
Nên sử dụng thêm các biện pháp an toàn bổ sung khác như cố định các hộp, tủ điều khiển bằng ốc vít và chỉ có thể tháo rời bằng dụng cụ chuyên dụng.
2. Lắp đặt cáp KNX Twisted Pair
Dây cáp đi ngoài trời hoặc trong nhà không được hở đầu cáp.
Dây cáp ngoài trời có độ rủi ro an ninh cao hơn do đó phải thiết kế và lắp đặt sao cho việc truy cập bus trong trường hợp này còn khó khăn hơn cả truy cập bus indoor.
Để tăng cường khả năng bảo vệ, các thiết bị KNX mà được lắp đặt tại các khu vực có khả năng giám sát hạn chế (như bãi đỗ xe, nhà vệ sinh, ...) được kết nối thông qua một line riêng biệt và được kiểm soát bởi line coupler và filter table.
3. Các thiết bị RF (Radio Frequency)
Giao tiếp bằng sóng radio là phương thức mở do đó không thể ngăn chặn việc truy cập vật lý. Việc bảo vệ an toàn cho hệ thống RF sẽ được liệt kê trong phần 2.
4. Các thiết bị IP
Đối với building thì nên sử dụng mạng LAN và WLAN chuyên dụng với phần cứng riêng (routers, switches, ...)
Tuân thủ theo các biện pháp bảo vệ thông thường của mạng IP như:
Sử dụng bộ lọc MAC
Mã hóa mạng không dây kết hợp với sử dụng mật khẩu mạnh (thay đổi mật khẩu mặc định - WP2 trở lên) để chống lại việc truy cập trái phép.
Thay đổi SSID mặc định (SSID là tên điểm truy cập không dây hiển thị trong mạng, chủ yếu là tên nhà sản xuất và loại sản phẩm). SSID mặc định có thể chỉ ra điểm yếu cụ thể của sản phẩm và dễ bị hacker tấn công.
Trong một hệ thống KNX hoàn thiện, những người có quyền truy cập vật lý vào hệ thống thường bao gồm kỹ sư trưởng, kỹ thuật viên chăm sóc dịch vụ và người dùng. Tuy nhiên, để ngăn ngừa những truy cập trái phép, khi thiết kế và cài đặt KNX cần chú ý đến những yếu tố đảm bảo an toàn như sau:Hạn chế khả năng truy cập vật lý1. Lắp đặt thiết bị Các thiết bị cần được cố định theo tiêu chuẩn kỹ thuật về việc lắp đặt đảm bảo tránh tình huống có thể dễ dàng dịch chuyển và kết nối trái phép.Tủ điều khiển KNX được đóng kín và đặt tại vị trí mà chỉ những người được ủy quyền được phép truy cập.Gắn các thiết bị ngoài trời với độ cao vừa đủ (cảm biến thời tiết, cảm biến gió, cảm biến di chuyển, ...)Tại các khu vực công cộng, nơi rất khó giám sát việc truy cập trái phép thì nên sử dụng cổng giao tiếp nhị phân. Các cổng nhị phân này được đặt tại nơi có tính bảo mật cao như tủ điều khiển hoặc hộp kín để tránh việc truy cập trái phép vào KNX Bus.Nên sử dụng thêm các biện pháp an toàn bổ sung khác như cố định các hộp, tủ điều khiển bằng ốc vít và chỉ có thể tháo rời bằng dụng cụ chuyên dụng.2. Lắp đặt cáp KNX Twisted PairDây cáp đi ngoài trời hoặc trong nhà không được hở đầu cáp.Dây cáp ngoài trời có độ rủi ro an ninh cao hơn do đó phải thiết kế và lắp đặt sao cho việc truy cập bus trong trường hợp này còn khó khăn hơn cả truy cập bus indoor.Để tăng cường khả năng bảo vệ, các thiết bị KNX mà được lắp đặt tại các khu vực có khả năng giám sát hạn chế (như bãi đỗ xe, nhà vệ sinh, ...) được kết nối thông qua một line riêng biệt và được kiểm soát bởi line coupler và filter table.3. Các thiết bị RF (Radio Frequency)Giao tiếp bằng sóng radio là phương thức mở do đó không thể ngăn chặn việc truy cập vật lý. Việc bảo vệ an toàn cho hệ thống RF sẽ được liệt kê trong phần 2.ư4. Các thiết bị IPĐối với building thì nên sử dụng mạng LAN và WLAN chuyên dụng với phần cứng riêng (routers, switches, ...)Tuân thủ theo các biện pháp bảo vệ thông thường của mạng IP như: Sử dụng bộ lọc MACMã hóa mạng không dây kết hợp với sử dụng mật khẩu mạnh (thay đổi mật khẩu mặc định - WP2 trở lên) để chống lại việc truy cập trái phép.Thay đổi SSID mặc định (SSID là tên điểm truy cập không dây hiển thị trong mạng, chủ yếu là tên nhà sản xuất và loại sản phẩm). SSID mặc định có thể chỉ ra điểm yếu cụ thể của sản phẩm và dễ bị hacker tấn công. Đối với KNX multicast, s một địa chỉ IP khác sẽ được sử dụng làm địa chỉ mặc định (224.0.23.12).5. InternetKNXnet/IP Routing và KNXnet/IP Tunnelling không được thiết kế để sử dụng qua Internet do đó không nên mở các cổng của bộ định tuyến về phía internet.Cài đặt (W) LAN phải được bảo vệ bằng tường lửa.Trong trường hợp không nhất thiết phải truy cập hệ thống KNX từ bên ngoài thì default gateway có thể set về 0, cách này sẽ block việc truy cập internet.Đối với KNX multicast, sư một địa chỉ IP khác sẽ được sử dụng làm địa chỉ mặc định (224.0.23.12).
5. Internet
KNXnet/IP Routing và KNXnet/IP Tunnelling không được thiết kế để sử dụng qua Internet do đó không nên mở các cổng của bộ định tuyến về phía internet.
Cài đặt (W) LAN phải được bảo vệ bằng tường lửa.
Trong trường hợp không nhất thiết phải truy cập hệ thống KNX từ bên ngoài thì default gateway có thể set về 0, cách này sẽ block việc truy cập internet.
-02.png)