Documentation

Français

English
Deutsch
Italiano

Français

English
Deutsch
Italiano

Appearance

KNX Secure

KNX Secure protège votre installation KNX contre les accès non autorisés et les manipulations. Il s'appuie sur deux mécanismes :

  • KNX Data Secure protège l'appareil lui-même contre les modifications de configuration non autorisées (Secure Commissioning), et permet aussi optionnellement de chiffrer les télégrammes KNX individuels sur le bus TP.

  • KNX IP Secure chiffre le trafic IP, la connexion entre la KNX Bridge et les clients IP comme ETS.

Une installation typique utilise KNX Secure pour empêcher les accès non autorisés via IP, ce qui nécessite l'activation de Data Secure. Cependant, le chiffrement des télégrammes KNX sur le bus ajoute une complexité importante et est rarement utilisé. Tant que personne d'extérieur ne peut accéder au câble bus KNX vert, vous pouvez vous en passer.

KNX SecureData Securemandatory for KNX SecureIP Securerequires Data SecureSecureCommissioningrequiredSecured GroupAddressesoptionalIP SecureTunnelingrequired (with IP Secure)
Panneau KNX Secure avec code QR FDSK

Factory Default Setup Key (FDSK)

Chaque appareil KNX Secure possède un Factory Default Setup Key (FDSK) unique. Le FDSK de l'Atios KNX Bridge est affiché sur la page de paramètres KNX (par exemple ALODDQ-DW4XY3-W5LL77-LLRM7W-22OZE4-3FJBRH) et figure aussi sous l'appareil.

Prérequis

  • ETS 6.0 ou supérieur
  • Fichier knxprod : KNX Bridge v3.0 ou supérieur
  • Firmware KNX Bridge 3.1.0 ou supérieur

Secure Commissioning

Première Atios KNX Bridge

  1. Dans le Catalogue en ligne ETS, naviguez vers le fabricant Atios AG, sélectionnez Atios KNX Bridge, Version 3.0 ou supérieure et glissez-la dans la topologie de votre projet.
  2. Définissez un mot de passe de projet lorsque c'est demandé.
  3. Quand ETS vous invite à ajouter le FDSK, ouvrez le Web Interface.
  4. Naviguez vers KNX → Secure et copiez le FDSK affiché sous le code QR (par exemple ALOG2M-E4XZO2-CCEC53-L4B6XA-TSKIG4-DFBXTF), puis collez-le dans ETS.
  5. Secure Commissioning et Secure Tunneling sont activés par défaut.
  6. Faites un clic droit sur la KNX Bridge dans ETS, puis sélectionnez Download Individual Address suivi de Download Application.

Vous avez déjà une Atios KNX Bridge dans le projet ETS

  1. Dans le Catalogue en ligne ETS, naviguez vers le fabricant Atios AG, sélectionnez Atios KNX Bridge, Version 3.0 ou supérieure et glissez-la dans la topologie de votre projet.
  2. Définissez un mot de passe de projet lorsque c'est demandé.
  3. Quand ETS vous invite à ajouter le FDSK, cliquez sur Later.
  4. Supprimez la KNX Bridge que vous venez de glisser.
  5. Cliquez sur votre KNX Bridge existante dans la topologie.
  6. Allez dans Properties → Info → Application et cliquez sur Mise à jour au bas du panneau.
  7. Ajoutez le FDSK à l'appareil existant via Properties → Settings → Add Device Certificate.
  8. Faites un clic droit sur la KNX Bridge dans ETS et sélectionnez Download Application.

INFO

Vous devrez peut-être d'abord régler Secure Commissioning sur active pour faire apparaître le bouton Add Device Certificate.

Lors de la mise à jour d'une KNX Bridge existante

Ne changez pas le programme d'application via la ComboBox. Cela effacerait tous vos accessoires et paramètres. Si cela arrive par accident, cliquez immédiatement sur Undo.

Panneau ETS Properties Info Application avec le bouton Update en vert et la ComboBox en rouge

Tunneling IP Secure

IP Secure chiffre la communication IP entre l'Atios KNX Bridge et les clients IP. Il protège contre quiconque ayant accès au réseau pourrait tenter de lire ou d'injecter des télégrammes IP.

Comment connecter des clients (par exemple Home Assistant) à l'Atios KNX Bridge

  1. Dépliez le nœud Tunnel Address de l'Atios KNX Bridge dans la vue Topology.
  2. Sélectionnez le tunnel que le client doit utiliser.
  3. Glissez-déposez chaque adresse de groupe que le client doit pouvoir recevoir ou envoyer.
  4. Exportez le fichier keyring via Properties → Settings → Export Interface Information.
  5. Importez le fichier keyring dans le client.

WARNING

Le Tunnel 4 est réservé à Matter/HomeKit. Utilisez un autre tunnel pour les clients tiers.

Pourquoi c'est nécessaire : le fichier keyring contient le code d'authentification, les clés de chaque adresse de groupe glissée dans le tunnel, et l'identifiant utilisateur nécessaires pour ouvrir la connexion IP chiffrée entre la Bridge et le client.

Adresses de groupe sécurisées (optionnel)

Par défaut, ETS active automatiquement la sécurité sur les adresses de groupe quand tous les appareils connectés ont Secure Commissioning activé. Vous pouvez forcer ETS à activer ou désactiver la sécurité pour chaque adresse de groupe.

Les adresses de groupe sécurisées ne sont nécessaires que si quelqu'un pouvait accéder physiquement à votre bus KNX. Pour des installations résidentielles typiques, il n'est pas nécessaire de sécuriser les adresses de groupe individuelles, car cela ajoute une complexité importante.

Adresses de groupe sécurisées de l'Accessory Manager

  1. Activez la sécurité sur l'adresse de groupe (si ETS ne l'a pas fait automatiquement).
  2. Glissez-déposez l'adresse de groupe sur le Tunnel 4 (Matter/HomeKit).
  3. Retéléchargez l'Application sur tous les appareils connectés pour mettre à jour leurs listes d'adresses sources valides.
  4. Exportez le fichier keyring depuis ETS via Project Details → Security → Backup Keyring.
  5. Ouvrez le Web Interface et importez le fichier keyring (KNX).

Adresses de groupe sécurisées pour la passerelle KNX-DALI

  1. Activez la sécurité sur l'adresse de groupe (si ETS ne l'a pas fait automatiquement).
  2. Retéléchargez l'Application sur l'Atios KNX Bridge.
  3. Retéléchargez l'Application sur tous les appareils connectés.

Pourquoi c'est nécessaire : le Web Interface gère vos accessoires Matter et les mappe à des adresses de groupe KNX. Pour envoyer des commandes ou lire l'état des adresses de groupe sécurisées, les accessoires ont besoin des clés de chiffrement, stockées dans le keyring. Attribuer une adresse de groupe au Tunnel 4 indique aussi à ETS d'ajouter l'adresse de tunnel comme émetteur valide sur tous les appareils connectés et de mettre à jour leurs tables de filtrage. Sans cette attribution, la Bridge n'a pas la clé pour l'adresse et les télégrammes chiffrés n'atteignent pas l'actionneur.

Mise à jour du keyring après modifications sécurisées

Toute modification de la configuration sécurisée dans ETS nécessite :

  1. La réexportation du keyring depuis ETS.
  2. La réimportation dans le Web Interface KNX Bridge, et dans tout autre système tiers connecté utilisant KNX Secure.