ElektroPrůmysl.cz, červen 2018

Elektro Průmysl .cz ELEKTROINSTALACE červen 2018 | 23 středky (kromě již zmíněných routerů také IP přepínače apod.). Bez ohledu na typ KNX instalace (na přenosová média) je nezbytné dodržovat obvyklé ochranné mechanismy pro IP sítě. Mezi ně patří: • Používání filtrace pomocí adres MAC (Media Access Control). Filtrování MAC je efektivnější v kabelových sítích, kdežto v bezdrátových sítích může docházet k neoprávněnému skenování platných MAC adres. • Šifrování zpráv v bezdrátových sítích při použití silných hesel. • Změna výchozí SSID (což je klíč, který umožňuje propojení jednotlivých částí bezdrátové sítě, představuje řetězec ASCII znaků o délce nejvýše 32 znaků a má význam názvu, pod nímž je bezdrátový přístupový bod viditelný v síti – obvykle se jedná o název výrobce a typ výrobku). Všechna bezdrátová zařízení pokoušející se o vzájemnou komunikaci mezi sebou musí předávat tentýž SSID. Výchozí SSID může ukázat na slabiny spojené s použitými přístupovými body k výrobku. Přístupový bod může být nastaven tak, aby bylo zabráněno periodickému přenosu mezi jiné SSID. Nastavením různých klíčů lze zajistit fungování i několika bezdrátových sítí v jedné lokalitě a v rámci stejného frekvenčního rozsahu. Pro KNX IP Multicast je nezbytné použití jiné IP adresy jako výchozí (224.0.23.12). Tuto vhodnou adresu je potřebné dohod- nout se správcem sítě. V rozsáhlejších instalacích je nezbytná spolupráce s IT síťovými specialisty, proto- že právě oni se budou podílet na připoje- ních ke KNXnet/IP optimalizací konfigura- ce sítě s nasazením řiditelných přepínačů, WLAN, vymezení přístupových bodů podle IEEE802.X atd. Důležité je i použití dalších opatření na ochranu sítě, jako je filtrovaní mailů nebo antivirové programy. KNXnet/IP routing a KNXnet/IP tunne- ling nejsou určeny k použití prostřednic- tvím internetu. Proto není vhodné otevřít porty routerů k internetu a tím KNX komu- nikaci učinit viditelnou přes internet. Instalace LAN, WLAN je nutné chránit firewallem. Pokud ke KNX instalaci není požadován jakýkoli externí přístup, výchozí rozhraní lze nastavit na hodnotu 0. Tím se zablokuje veškerá komunikace s internetem. Při potřebě zajištění vzdálených přístu- pů ke KNX instalaci přes internet lze dopo- ručit následující opatření: • Zajištění přístupu k instalaci KNX prostřednictvím VPN připojení: K tomu je však potřebný router podporující funkce serveru VPN anebo přímo server s funkcemi VPN. • Je také možné využití jednoúčelového řešení některého ze specializovaných výrobců, které je na trhu, umožňující vizualizaci a přístup https. • Nejnovějším opatřením je využití KNX IP Secure – viz článek v Elektroprůmysl č. 2/2018. Pokud se týče bezdrátového přenosu v KNX instalacích, je potřebné se zmínit, že radiofre- kvenční přenos je otevřeným přenosovým médiem, takže není snadné vytvořit opatření proti nežádoucímpřístupům. Účinnýmopat- řením je však využití obecněji platné ochrany provozní komunikace KNX Secure a to jak KNX Data Secure, tak i KNX IP Secure. V menších instalacích lze dosáhnout určitého stupně zabezpečení proti přístu- pům neoprávněných osob naprogramová- ním softwarem ETS Inside s použitím pří- stroje ETS Inside (časopis Elektroprůmysl č. 4/2018), který je potřebný pro vzdálené přístupy zabezpečené uživatelským hes- lem. Pro dosažení nejvyššího stupně za- bezpečení pak je ale vždy potřebné využití koncepce KNX Secure.