KNX Secure

KNX Secure protegge la vostra installazione KNX da accessi non autorizzati e manipolazioni. Si basa su due meccanismi:

• KNX Data Secure protegge il dispositivo stesso dalle modifiche di configurazione non autorizzate (Secure Commissioning), e opzionalmente consente di cifrare i singoli telegrammi KNX sul bus TP.

• KNX IP Secure cifra il traffico IP, la connessione tra la KNX Bridge e i client IP come ETS.

Un'installazione tipica usa KNX Secure per impedire accessi non autorizzati tramite IP, il che richiede l'attivazione di Data Secure. Tuttavia, la cifratura dei telegrammi KNX sul bus aggiunge una complessità importante ed è raramente usata. Finché nessuno esterno può accedere al cavo bus KNX verde, potete farne a meno.

Factory Default Setup Key (FDSK)

Ogni dispositivo KNX Secure ha un Factory Default Setup Key (FDSK) univoco. L'FDSK dell'Atios KNX Bridge è visualizzato nella pagina di impostazioni KNX (ad esempio ALODDQ-DW4XY3-W5LL77-LLRM7W-22OZE4-3FJBRH) e si trova anche sul lato inferiore del dispositivo.

Prerequisiti

• ETS 6.0 o superiore
• File knxprod: KNX Bridge v3.0 o superiore
• Firmware KNX Bridge 3.1.0 o superiore

---

Secure Commissioning

Prima Atios KNX Bridge

1. Nel Catalogo online ETS, navigate verso il produttore Atios AG, selezionate Atios KNX Bridge, Version 3.0 o superiore e trascinatela nella topologia del progetto.
2. Impostate una password di progetto quando richiesto.
3. Quando ETS vi invita ad aggiungere l'FDSK, aprite il Web Interface.
4. Navigate verso KNX → Secure e copiate l'FDSK visualizzato sotto il codice QR (ad esempio ALOG2M-E4XZO2-CCEC53-L4B6XA-TSKIG4-DFBXTF), poi incollatelo in ETS.
5. Secure Commissioning e Secure Tunneling sono attivati per impostazione predefinita.
6. Fate clic destro sulla KNX Bridge in ETS, poi selezionate Download Individual Address seguito da Download Application.

Avete già una Atios KNX Bridge nel progetto ETS

1. Nel Catalogo online ETS, navigate verso il produttore Atios AG, selezionate Atios KNX Bridge, Version 3.0 o superiore e trascinatela nella topologia del progetto.
2. Impostate una password di progetto quando richiesto.
3. Quando ETS vi invita ad aggiungere l'FDSK, cliccate su Later.
4. Eliminate la KNX Bridge che avete appena trascinato.
5. Cliccate sulla KNX Bridge esistente nella topologia.
6. Andate in Properties → Info → Application e cliccate su Aggiornamento in fondo al pannello.
7. Aggiungete l'FDSK al dispositivo esistente tramite Properties → Settings → Add Device Certificate.
8. Fate clic destro sulla KNX Bridge in ETS e selezionate Download Application.

INFO

Potreste dover impostare prima Secure Commissioning su active per far apparire il pulsante Add Device Certificate.

Durante l'aggiornamento di una KNX Bridge esistente

Non cambiate il programma applicativo tramite la ComboBox. Cancellerebbe tutti gli accessori e le impostazioni. Se accade per errore, cliccate immediatamente su Undo.

Tunneling IP Secure

IP Secure cifra la comunicazione IP tra l'Atios KNX Bridge e i client IP. Protegge da chiunque abbia accesso alla rete e possa cercare di leggere o iniettare telegrammi IP.

Come collegare i client (ad esempio Home Assistant) all'Atios KNX Bridge

1. Espandete il nodo Tunnel Address dell'Atios KNX Bridge nella vista Topology.
2. Selezionate il tunnel che il client deve usare.
3. Trascinate ogni indirizzo di gruppo che il client deve poter ricevere o inviare.
4. Esportate il file keyring tramite Properties → Settings → Export Interface Information.
5. Importate il file keyring nel client.

WARNING

Il Tunnel 4 è riservato a Matter/HomeKit. Usate un altro tunnel per i client di terze parti.

Perché è necessario: il file keyring contiene il codice di autenticazione, le chiavi di ogni indirizzo di gruppo trascinato nel tunnel e l'ID utente necessari per aprire la connessione IP cifrata tra la Bridge e il client.

Indirizzi di gruppo sicuri (opzionale)

Per impostazione predefinita, ETS attiva automaticamente la sicurezza sugli indirizzi di gruppo quando tutti i dispositivi connessi hanno Secure Commissioning attivato. Potete forzare ETS ad attivare o disattivare la sicurezza per ogni indirizzo di gruppo.

Gli indirizzi di gruppo sicuri sono necessari solo se qualcuno potesse accedere fisicamente al vostro bus KNX. Per installazioni residenziali tipiche, non è necessario proteggere i singoli indirizzi di gruppo, dato che ciò aggiunge complessità importante.

Indirizzi di gruppo sicuri dell'Accessory Manager

1. Attivate la sicurezza sull'indirizzo di gruppo (se ETS non l'ha fatto automaticamente).
2. Trascinate l'indirizzo di gruppo sul Tunnel 4 (Matter/HomeKit).
3. Riscaricate l'Applicazione su tutti i dispositivi connessi per aggiornare i loro elenchi di indirizzi sorgente validi.
4. Esportate il file keyring da ETS tramite Project Details → Security → Backup Keyring.
5. Aprite il Web Interface e importate il file keyring (KNX).

Indirizzi di gruppo sicuri per il gateway KNX-DALI

1. Attivate la sicurezza sull'indirizzo di gruppo (se ETS non l'ha fatto automaticamente).
2. Riscaricate l'Applicazione sull'Atios KNX Bridge.
3. Riscaricate l'Applicazione su tutti i dispositivi connessi.

Perché è necessario: il Web Interface gestisce gli accessori Matter e li mappa su indirizzi di gruppo KNX. Per inviare comandi o leggere lo stato degli indirizzi di gruppo sicuri, gli accessori hanno bisogno delle chiavi di cifratura, memorizzate nel keyring. Assegnare un indirizzo di gruppo al Tunnel 4 indica anche a ETS di aggiungere l'indirizzo del tunnel come mittente valido su tutti i dispositivi connessi e di aggiornare le loro tabelle di filtraggio. Senza questa assegnazione, la Bridge non ha la chiave per l'indirizzo e i telegrammi cifrati non raggiungono l'attuatore.

Aggiornamento del keyring dopo modifiche sicure

Qualunque modifica alla configurazione sicura in ETS richiede:

1. La riesportazione del keyring da ETS.
2. La reimportazione nel Web Interface KNX Bridge, e in ogni altro sistema di terze parti collegato che usa KNX Secure.