Participant DataSecure

[Craps]

Bonjour à tous,
J’ai un projet avec 2 modules thePixa P360 KNX 24V THEBEN.
J’ai réalisé la configuration via ETS6.
J’ai configuré un premier module thePixa (Mode KNX Data Secure activé), puis débranché du bus KNX et 30v le premier exemplaire pour mettre un second module que j’ai aussi configuré.
Lorsque je suis repassé sur le premier module, ce dernier ne communiquait plus du tout avec ETS.
J’ai fini par retirer le premier module du projet, pour l’y remettre et tout reconfigurer mais rien n’y fait.
Ce module est en mode KNX Data Secure Activé. Et dans ce mode il ne communique plus avec ETS.
SI je désactive la Sécurité dans les paramètres de l’appareil, je parviens à le faire fonctionner.
A plusieurs reprises j’ai réalisé la procédure Factory Reset du module ThePixa en appuyant sur le bouton d’adresse pendant 2 à 3 secondes tout en branchant le bus KNX. Cette opération semble correctement réalisée car le voyant de chargement d’adresse physique s’éteint suite à la procédure.
La clé FDSK est correcte, la clé outil/secrète du module apparait dans le rapport de Sécurité du projet. Des clés d’exécution pour les adresses de groupes sont aussi présentes.
Ces clés sont bien supprimées du projet par ETS lors de la suppression du module du projet.
Dès que j’active KNX Data Secure sur le module, que je réalise le téléchargement complet du participant, l’adresse se configure, la phase de sécurité démarre et le téléchargement se termine en échec avec l’information : Le participant ne répond pas ou bien la lecture de l’adresse physique est impossible.
C’est suite à la phase de Chargement de la configuration de Sécurité que l’opération de chargement se termine. Et le voyant témoin de l’appui sur le bouton de Configuration de l’adresse physique reste allumé.
Voilà, je ne sais plus trop quoi faire, je pense qu’il y a un problème de clé ou d’authentification des appareils, mais comment y remédier …
Si vous avez des suggestions ou idées, je suis preneur. Merci de votre aide.

[filou59]

Si vous avez des suggestions ou idées, je suis preneur. Merci de votre aide.

Suggestion : Ne pas activer le mode Secure 

Sinon tu utilises quoi comme passerelle ? Le Secure est activé dessus ?

Pourquoi veux-tu utiliser ce mode? 

Sais-tu comment cela fonctionne? Si tu active le DataSecure sur un participant, il faut que ce mode soit aussi activer sur tous les participant devant dialoguer avec.

Exemple : 
Pilotage du Gache Electrique via la sortie 1 d'un Actionneur KNX. Activation du mode Data Secure sur l'actionneur
Tous les Participant devant dialoguer avec l'actionneur (quelque soit la sortie de celui-ci) doivent avoir le mode Data Secure activé.

Remarque : Si tes clés n'était pas correct tu ne pourrais pas programmer ton produit. Essai de programmé ton détecteur 1 avec la clé du 2 ca ne doit pas marcher.
Si tu changes une lettre dans la clé (erreur de frappe), ETS ne l'acceptera pas
Si le fabriquant fait une erreur et te donne le mauvais certificat (un certificat d'un autre produit), tu ne pourrais pas le programmer je pense car le N° de série est codé dans le certificat...

[Scorpio5]

Évite le data secure...
C'est totalement inutile..

Ta passerelle ip, tu peux mettre le ip secure, ça a du sens de protéger le seul point d'accès extérieur

Les fabricant doivent propser du data secure, mais tant que tout les éléments nknx ne sont pas data secure faut oublier...

Et ça n'a de sens finalement que dans des hôtel ou des client qui connaissent aurait envie de trifouiller le bus...

Mais je voit pas l'intérêt de faire ça...

Le data secure c'est un arguments commercial, mais pas vraiment un besoin...

Au contraire, avec le data secure d'activer, si la base de donnée est perdu ou corrompu, toute l'installation est morte, on ne peut plus y toucher... (ou simplement un oubli du mots de passe)

Y a encore pas mal d'install, ou l'intégrateur knx a disparu, avec la base de donnée, et le client n'a rien... Et il faut repomper toute la prog sans les texte...
C'est déjà galère, mais avec data secure c'est mort...

[kiofu]

Ta passerelle ip, tu peux mettre le ip secure, ça a du sens de protéger le seul point d'accès extérieur

Bonjour,
Est ce que le KNXsecure d'une interface IP suffit comme protection pour activer la DMZ de la box internet pour un accès distant selon vous ?

[filou59]

Déjà pourquoi une DMZ (Mis a part pour une question de facilité) ? La DMZ ca ouvre tout, il vaut mieux ouvrir le strict minimum déjà.
OK Pour la DMZ pour tester ou alors pour un oneshot temporaire.

Sinon ca suffira jusqu'au jour ou un petit malin trouvera une faille. Comment etre sur que ce genre de produit soit infaillible ?

Le mieux ca restera a mon avi quand même le VPN.

[kiofu]

Déjà pourquoi une DMZ (Mis a part pour une question de facilité) ? La DMZ ca ouvre tout, il vaut mieux ouvrir le strict minimum déjà.
OK Pour la DMZ pour tester ou alors pour un oneshot temporaire.

Sinon ca suffira jusqu'au jour ou un petit malin trouvera une faille. Comment etre sur que ce genre de produit soit infaillible ?

Le mieux ca restera a mon avi quand même le VPN.

Bonjour,
La DMZ ouvre tout sur l'adresse ip de la machine concernée.
Elle est souvent utilisée quand on veut déployer son réseau sur un autre routeur que celui de sa box.


Pour la sécurité du  VPN, la méthode employée pour son dépliement peut aussi faire varier le niveau de sécurité ;  Open source, VPN de la box FAI, VPN d'un navigateur, VPNde son OS, VPN payant , etc...
Sans parler de la sécurité du mot de passe

Ma question porte sur le niveau de sécurité du knx secure. 

La DMZ me permet d'avoir un accès distant simplifié, sur une installation KNX pour pouvoir la maintenir et la modifier.

[filou59]

Je sais ce qu'est une DMZ, mon point de vue c'est plutôt qu'au lieu de faire une DMZ tu devrais déjà plutôt réfléchir a n'ouvrir que les port nécessaire a ton interface KNX

Ca pourrait déjà limiter les risques en cas de faille dans le produit, car qui peut garantir qu'il n'y en a pas ?

Les solution de VPN style Wireguard/OpenVPN mise en place en local sont je pense assez secure, elle sont tout de même employé assez largement en entreprise ou autre et on montré leur efficacité.
Cest de nos jour assez facile a mettre en oeuvre pour pas grand chose. Il suffit d'une machine linux voir d'un petit routeur pour la mise en oeuvre.

[kiofu]

Je sais ce qu'est une DMZ, mon point de vue c'est plutôt qu'au lieu de faire une DMZ tu devrais déjà plutôt réfléchir a n'ouvrir que les port nécessaire a ton interface KNX

Ca pourrait déjà limiter les risques en cas de faille dans le produit, car qui peut garantir qu'il n'y en a pas ?

Les solution de VPN style Wireguard/OpenVPN mise en place en local sont je pense assez secure, elle sont tout de même employé assez largement en entreprise ou autre et on montré leur efficacité.
Cest de nos jour assez facile a mettre en oeuvre pour pas grand chose. Il suffit d'une machine linux voir d'un petit routeur pour la mise en oeuvre.

Merci pour ces informations sur la DMZ.
Pour le VPN il faut une machine en plus, et j'avais plutôt une vision pro de la mie en œuvre du système sans trop de contrainte pour le client qui doit juste manipuler 1 paramètre dans sa box FAI.
Les projets domotiques sont assez long quand on fait du chauffage et de la climatisation, il y a pas mal de réglages à faire et les saisons a prendre en compte.
Donc pour moi ce serait temporaire mais sur 3 à 4 saisons pour vérifier les résultats.
Ce qui pose ensuite du prix de la mise en place du dispositif machine+vpn.
Donc pour en revenir a ma question, est ce que quelqu'un a un idée du niveau de sécurité du KNX Secure ?
Merci d'avance.

[filou59]

Après en même temps tu dis tout en 10x , tu aurais peu etre pu créer ton propre sujet car on dévi.

Si c'est pour un usage pro c'est différent.

Donc pour en revenir a ma question, est ce que quelqu'un a un idée du niveau de sécurité du KNX Secure ?

On est pas ingénieur en sécurité ou autre. Comment peut-on mesurer le niveau de sécurité d'un produit a notre niveau.
Tu sais si une voiture est sur si elle a passer des crashtest !!!
En electronique ou informatique, des produits peuvent répondre a des normes, mais après au fil du temps des petits malin ou des chercheurs tombe sur des failles...
Le KNX secure doit pour moi être sécurisé, mais de la a conseiller a un client d'ouvrir une DMZ.... je n'irais pas jusque là.
Déjà si tu tombes le geek qui a déjà ouvert des port pour son propre usage tu devas changer de solution
Si tu tombes sur le client qui est chez un fournisseur ne proposant pas l'ouverture de port, idem tes de le caca pour rester poli...
Je vue passer des info par exemple sur SFR qui change un peu son architecture réseau, a cause de la pénurie d'adresse IPv4, les clients passe sur un protocole type réseau mobile 4G le CGNAT. En gros les IP sont partagé par plusieurs client, mais le gros point noir c'est que l'on peut pas faire d'ouverture de port....
Chez Free c'est pas du CGNAT c'est une variante, je sais pas dans les fait comment ca fonctionne....
A ta place je partirais plutot sur des produit KNX capable d'etre autonome sans avoir besoin d'ouvrir un port extérieur.
-Enertex ENA² par exemple devrait faire ce que tu veux.
-Sinon il y des interface de chez Jung , mais il y a une licence a acheter, je sais pas si c'est du oneshot ou si c'est pour une durée limité.
Il y a de plus en plus de solutions qui arrive sur le marché.

[kiofu]

Après en même temps tu dis tout en 10x , tu aurais peu etre pu créer ton propre sujet car on dévi.

Si c'est pour un usage pro c'est différent.

Donc pour en revenir a ma question, est ce que quelqu'un a un idée du niveau de sécurité du KNX Secure ?

On est pas ingénieur en sécurité ou autre. Comment peut-on mesurer le niveau de sécurité d'un produit a notre niveau.
Tu sais si une voiture est sur si elle a passer des crashtest !!!
En electronique ou informatique, des produits peuvent répondre a des normes, mais après au fil du temps des petits malin ou des chercheurs tombe sur des failles...
Le KNX secure doit pour moi être sécurisé, mais de la a conseiller a un client d'ouvrir une DMZ.... je n'irais pas jusque là.
Déjà si tu tombes le geek qui a déjà ouvert des port pour son propre usage tu devas changer de solution
Si tu tombes sur le client qui est chez un fournisseur ne proposant pas l'ouverture de port, idem tes de le caca pour rester poli...
Je vue passer des info par exemple sur SFR qui change un peu son architecture réseau, a cause de la pénurie d'adresse IPv4, les clients passe sur un protocole type réseau mobile 4G le CGNAT. En gros les IP sont partagé par plusieurs client, mais le gros point noir c'est que l'on peut pas faire d'ouverture de port....
Chez Free c'est pas du CGNAT c'est une variante, je sais pas dans les fait comment ca fonctionne....
A ta place je partirais plutot sur des produit KNX capable d'etre autonome sans avoir besoin d'ouvrir un port extérieur.
-Enertex ENA² par exemple devrait faire ce que tu veux.
-Sinon il y des interface de chez Jung , mais il y a une licence a acheter, je sais pas si c'est du oneshot ou si c'est pour une durée limité.
Il y a de plus en plus de solutions qui arrive sur le marché.

Loin de la l'idée de vous énerver, j'espère ne pas vous avoir froissé avec mes approximations  .

Si personne n'a la réponse, je me ferai une raison.

Actuellement j'exploite le DOMOVEA V2 EXPERT qui me permet d'avoir cette fonction, sauf que le surcout par rapport à la version basique est un peu lourd pour des tests dans des installations plus petites.

Je vais regarder du côté de Enertex, merci du tuyau.

Bonne continuation