Bakgrunn
Etter at avisen addressa.no skrev en artikkel om datasikkerheten hvor en person fikk sitt KNX smarthus hacket, har vi fått flere forespørsler om dette temaet. Det synes vi er flott. For en av de største sikkerhetsrisikoene vi har er likegyldighet. Artikkelforfatteren foreslår noen tiltak for å øke sikkerheten, men disse rådene er bare generelle og er ikke tiltak som man må innføre for å faktisk gjøre et smarthus sikkert.
Det er mange måter å gjøre et KNX anlegg tilgjengelig over internett samtidig som sikkerheten mot de med onde hensikter ivaretas. Men først hva er det man ikke skal gjøre (som vi antar var gjort hos kunden som adressa.no skriver om):
Har man en KNX IP Router (f. eks. HDL M/IPRT.1) tilknyttet sitt hjemmenettverk så har man full tilgang til KNX komponentene fra hjemmenettverket via modulen sin IP-adresse port 3671 eller via multicast adressen. Åpner man for tilgang fra Internett ved å definere en port-viderekobling i brannmuren, alle henvendelser til brannmurens port 3671 videresendes KNX IP Routeren på hjemmenettverket, da får man tilgang til KNX komponentene fra internett. Du selv trenger bare å sjekke hvilken offisiell IP-adresse du har når du surfer på internett, så kan du bruke den sammen med port 3671 og du har full tilgang.
Men hvorfor er ikke dette greit?
På internett så finnes det maskiner som skanner alle IP-adresser og alle porter for å finne slike åpne porter. Du tenker kanskje at «det er ingen som er interessert i mitt KNX anlegg og de har ikke database-fila, så de kan ikke gjøre noe farlig». Dette er feil. Eksemplet fra pressen viser at det er noen som bare har onde hensikter. De laster opp en ny konfigurasjon med et BCU passord, som effektivt ødelegger konfigurasjonen du hadde og samtidig låser alle andre ute fra KNX komponentene. Dersom de har metode å kommunisere med kunden på, så er veien veldig kort til å kreve løsepenger for BCU passordet.
Et steg opp…
«Dersom jeg ikke bruker port 3671 så går det bra. Da er det bare jeg som vet IP-adressen og porten». Dette er også feil. De som skanner vil finne ut at du har et KNX anlegg på en annen port. Ikke gjør det!
To steg opp…
Benytt en VPN løsning som ikke krever huller i brannmuren, og som fremdeles fungerer dersom din ISP gir ditt hus/bedrift ny IP-adresse.
Hva anbefaler vi?
ELDI leverer IXON Cloud VPN løsning. Den består av en egen industriell router og en abonnementsfri sky-løsning. Routeren beskytter KNX anlegget både fra internett og eventuelt kundes intern-nettverk. Den krever ingen åpne inngående porter i brannmuren. Tilgang gjøres via sky-portalen. Alle som skal ha tilgang kan få unik pålogging med brukernavn og passord. Når man er innlogget så kan man åpne VPN-forbindelsen, man trenger ikke å vite hvilken offisielle IP-adresse kunden har i dag, skyportalen har full kontroll på dette. Når en installatør/leverandør/intern bruker ikke lenger skal ha tilgang, så låser man bare brukeren i portalen. Har du mange kunder så har du full oversikt over alle i sky-portalen.
For ordens skyld. Smarthus er ikke smarthus. Innlegget over gjelder KNX. ELDI selger også HDL Buspro. Dette systemet bruker UDP Broadcast som ikke er route-bar over internett og har en innebygget skyløsning for fjerntilgang i sin IP-Modul, så der har vi ikke utfordringene over.