NIEUWIGHEDEN KNX OPENEN WERELD NAAR IOT
OOK ETS INSIDE KREEG UPDATE
KNX blijft in West-Europa een vaak en graag gebruikte domoticastandaard. Al sinds het officiële ontstaan in 1992 is het protocol populair bij installateurs en ook gerenommeerde fabrikanten brengen met de regelmaat van de klok nieuwe KNX-componenten uit. Ook de HVAC-sector lijkt stilaan te vallen voor de voordelen van KNX. Maar de wereld staat niet stil, dus ook KNX moet zichzelf voortdurend in vraag stellen en zich aanpassen aan nieuwe noden. Joost Demarest van de KNX Association gaf recent een overzicht van de nieuwigheden tijdens een bijeenkomst van SBM.
De koppeling met internet verliep tot nog toe via KNXnet/IP, maar die werkwijze beantwoordt steeds minder aan de groeiende noden van de markt. Daarom werd KNX IoT ontwikkeld
wordt aangevuld met IPv6-gebaseerde communicatie
KOPPELING KNX IN INTERNET OF THINGS
De voornaamste (r)evolutie is de verschuiving van de klassieke KNX naar een systeem dat ook geschikt is voor IoT, het Internet of Things. Almaar meer toestellen werken op IP-basis en die aantallen zullen alleen nog maar stijgen. Schakelaars, tv's, wasmachines, tandenborstels, babyfoons … je kunt het zo gek niet bedenken of ze worden vandaag op een of andere manier aangesloten op internet. Voor KNX heeft dit ook vergaande gevolgen. De koppeling met internet verliep tot nog toe via KNXnet/IP, maar die werkwijze beantwoordt steeds minder aan de groeiende noden van de markt. Daarom werd KNX IoT ontwikkeld.
omdat de omzetting niks toevoegt aan de communicatie
van de voordelen van een Internet-based platform
Gedaan met '1.1.1' naar '1/1/1' en '1'
Om te begrijpen waar exact het schoentje wringt, moeten we de opbouw van de klassieke KNX even tegen het licht houden. Die klassieke KNX is uiterst eenvoudig van opbouw. Bovenstaande alineatitel is voor elke doorgewinterde KNX-installateur meteen duidelijk: 1.1.1 is bijvoorbeeld een drukknop die in de slaapkamer op de eerste verdieping geïnstalleerd is, wat perfect nagegaan kan worden in de topologie. 1/1/1 staat dan weer voor het schakelen van het licht naast het bed, want dat staat ook zo gedocumenteerd in het project.
De data '1', ten slotte, slaan op het aanschakelen van de verlichting, want het datapunttype bepaalt wat de betekenis is van die data. Deze manier van werken is uiterst KNX- specifiek, wat enorme voordelen heeft naar flexibiliteit toe. Maar in de IT-wereld stoot dit op veel weerstand. Sinds de enorme opkomst van het internet als backbone voor heel wat toestellen verliep de integratie tussen KNX en internet te omslachtig omdat de verstuurde boodschappen niet te begrijpen zijn voor externe toestellen. Andere bussystemen werken commandogeoriënteerd, wat niet zo flexibel is, maar herken je de type melding, dan is de boodschap wél begrijpbaar.
Van knxnet/ip naar knx iot
Bovendien is KNXnet/IP té KNX-specifiek en moeten alle projectdata ook nog eens in de webclient heringevoerd worden. De boodschap vanuit KNX wordt door KNXnet/IP alleen maar verpakt in een IP-telegram. Er wordt eigenlijk geen meerwaarde toegevoegd aan de data.Om KNX met een ethernet-based platform te laten communiceren, bestaat er al sinds een vijftien jaar een oplossing: KNXnet/IP. De ontwikkeling van dit concept kwam er evenwel vooral om een snelle connectie te bekomen tussen pc en installatie via het LAN- netwerk van de klant. Connectie met het externe internet levert vandaag risico's op die vijftien jaar veel minder speelden, dat is meteen een van de hoofdredenen voor de ontwikkeling van KNX IoT.
Daarnaast is er ook de belangrijke evolutie naar besturing met tablet & smartphone. De IT-specialisten die de software voor deze toestellen ontwikkelen, prefereren HTTP, Websockets en JavaScript. De KNX-gelieerde IP/UDP (User Datagram Protocol) wordt in de KNX IoT vervangen door een volledig IP- gebaseerde manier van communiceren. Een andere oplossing hiervoor, die tot nog toe veel gebruikt wordt, is het werken met een webserver, die het KNX-signaal omzet naar HTTP, zodat de IT'ers wel aan de slag kunnen. Hier is wel een groot nadeel aan verbonden, want de fabrikanten hebben allemaal een specifiek systeem. Hun webserver luistert enkel naar de eigen webclient en naar geen enkele andere. Dat druist in tegen de filosofie van KNX. De betrachting van KNX is dus dat om het even welke webserver of gateway kan communiceren met elke software, pas dan kunnen de voordelen van KNX volledig ingezet worden in een IoT-systeem, zonder schotten tussen systemen.
Ipv6 naast twisted pair en radiofrequency
Een gevolg van de evolutie naar IP-technologie is ook dat twisted pair en radiofrequency minder gebruikt zullen worden als communicatiemiddel, ten voordele van een volledig IPv6-conforme bekabeling of draadloos systeem. Dat neemt niet weg dat er nog steeds traditionele KNX Classic componenten te koop zullen zijn, die perfect bruikbaar zullen blijven. Wel is het zo dat er ook een intelligente KNX IoT stack in de installatie of in de cloud zal zitten, waarin het KNX-project en alle semantiek van de installatie zitten. Ook zullen er meer KNX IoT capable devices gebruikt worden, krachtige toestellen die in staat zijn om krachtige gestandaardiseerde IP-protocollen te ondersteunen.
De betrachting van KNX is dat om het even welke webserver of gateway kan communiceren met elke software, pas dan kunnen de voordelen van KNX volledig ingezet worden in een IoT-systeem, zonder schotten tussen systemen
ETS INSIDE
ETS Inside is al op de markt sinds vorig jaar en ontketende een ware stormloop. Het succes kwam niet uit de lucht vallen, want het is een prima aanvulling op ETS Professional. Die laatste is voor installateurs vaste prik, het programma bezit uitgebreide functionaliteiten en is ook geschikt voor uit de kluiten gewassen installaties. Belangrijk ook is dat Professional vooral geschikt is voor programmering op een pc-scherm, het is minder geschikt voor kleinere schermen. De bedoeling van ETS Inside is tweeërlei.
Een eerste punt is om installateurs met een nog beperkte KNX-kennis ook toe te laten om kleinere projecten te realiseren. Daarom is de userinterface een stuk toegankelijker, zo wordt de gebruiker niet geconfronteerd met groepsadressen, noch met fysieke adressen.
Een tweede bedoeling is om de eindklant toe te laten om wijzigingen aan te brengen aan zijn installatie op parameterniveau. Als installateur die werkt met ETS Professional, kunt u uw klant toelaten om bijvoorbeeld dimparameters zelf vrij aan te passen, als hij tenminste beschikt over ETS Inside. Voor een bepaald type klant kan dit zeer handig zijn. Mocht de klant toch de installatie wat naar de knoppen helpen, dan kan de installateur altijd teruggrijpen naar zijn originele project in ETS Professional of een Restore doorvoeren in de ETS inside. Om de functionaliteit voor de eindklant te faciliteren, werkt ETS Inside ook op tablet en smartphone.
KNX SECURE
KNX is een zeer degelijk en robuust systeem als het op veiligheid aankomt.
Als iemand een KNX-boodschap onderschept, kan die persoon in theorie weinig aanvangen met de informatie die deze bevat. Enkel als je ook over het betreffende ETS-project beschikt, kun je weten wat er precies bedoeld is. Tenzij als iemand fysiek de kabels uit de muur trekt en over ETS-kennis beschikt, dan zou hij in theorie kunnen achterhalen welke betekenis een bepaalde instructie heeft. Onwaarschijnlijk in residentiële projecten, maar in bv. hotelomgevingen moet dit euvel wel aangepakt worden. Ook gevoelige zaken als deursloten, raambeveiligingen en informatie uit metingen worden steeds vaker via KNX uitgevoerd. Daarnaast is ook het gebruik van KNX RF (Radio Frequency) een potentiële bron van problemen, omdat dit een open medium is. Als een component een opdracht via RF verstuurt, kan dat pakweg 100 meter verder ook opgepikt worden. KNX werd een aantal jaren terug geconfronteerd met de cybersecurityproblematiek. Samen met de fabrikanten werden de voornaamste threats opgelijst en werd er bekeken hoe die het best aangepakt kunnen worden. Dat resulteerde in de opsomming van een aantal kritieke punten:
- Meetdata rond verbruik mogen nooit door derden kunnen worden gemanipuleerd;
- Signalen van afsluitcomponenten (deurcontacten bijvoorbeeld) moeten beschermd worden tegen manipulatie;
- KNX-componenten die een bepalende rol hebben in een installatie, mogen enkel communiceren met geauthenticeerde deelnemers;
- Codes voor KNX-toegangssystemen moeten altijd geëncrypteerd worden.
Om verder te garanderen dat de cybersecurity te allen tijde gegarandeerd wordt, ontwikkelde men daarom KNX Secure. Belangrijk is dat dit geen breuk betekent met het oude systeem, maar een extensie op het bestaande systeem. Een volledige make-over is dus niet nodig.
KNX werd een aantal jaren terug geconfronteerd met de cybersecurityproblematiek. Samen met de fabrikanten werden de voornaamste threats opgelijst en werd bekeken hoe die het best aangepakt kunnen worden
Verschil knx ip secure en knx data secure
KNX Secure bestaat uit twee delen, KNX IP Secure en KNX Data Secure. Beide systemen beschermen een ander type communicatie. In het geval van IP Secure gaat het om de IP- communicatie, dus het telegramverkeer tussen KNX IP-koppelaars. In het geval van Data Secure gaat het om de communicatie tussen de eigenlijke toestellen op Twisted Pair (of RF). Belangrijk om weten is dat beide systemen in de huidige ETS 5.6 worden ondersteund. De bedoeling is duidelijk: de communicatie tussen zowel toestellen onderling als die met een koppeling met IP veilig laten verlopen. Ook bij het in bedrijf nemen van een toestel moet dit het geval zijn. KNX Secure beveiligt de communicatie op meerdere wijzes, het voorkomt dat een hacker
- een telegram opneemt en weer kan afspelen;
- een telegram opneemt, veranderingen aanbrengt en weer op de bus stuurt;
- een telegram kan begrijpen.
Om dat te verkrijgen, maakt KNX Secure gebruik van internationaal aanvaarde, gestandaardiseerde algoritmes, waarbij er gebruikgemaakt wordt van encryptie (het vervormen van boodschappen, zodat alleen wie over de juiste codesleutel beschikt, de boodschap kan ontcijferen) en authenticatie (waarbij de zender tegenover de ontvanger bewijst dat hij wel degelijk de zender is die de boodschap verstuurde).
Een aantal frequent gemaakte cyberfouten
Filtertabellen van koppelaars worden niet geladen. Dit is een veelvoorkomende beginnersfout. Bij het laden van filtertabellen zorg je ervoor dat groepstelegrammen die niet bedoeld zijn voor de andere kant, ook niet doorgelaten worden. Een hacker kan, als een ruimte van een andere gescheiden wordt met behulp van koppelaars en in de ruimtes niet dezelfde groepsadressen gebruikt worden, niet van de ene ruimte naar de andere ruimte gaan.
De KNX-installatie zit op hetzelfde netwerk als het gewone gastwifinetwerk. Zo wordt het voor hackers een koud kunstje om telegrammen te onderscheppen. De strikte scheiding tussen beide netwerken is een absolute voorwaarde om dit soort gevaren te vermijden. De KNX Association heeft een uitgebreide lijst opgesteld met een aantal tips rond cybersecurity.
Die vindt u terug op: https://www.knx.org/
