Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Introducción
Niveles de control
KNX
LONWORKS
BACNET
BACnet
La arquitectura de BACnet define cuatro capas que se corresponden
con las capas físicas, de enlace, de red y de aplicación del modelo OSI,
aunque solo la capa de aplicación y la de red son puramente BACnet.
- Arquitectura de capas BACnet -
A nivel de capa de enlace y capa física, utiliza diferentes protocolos,
como Ethernet, BACnet/IP, ARCNET, MS/TP, LonTalk o PTP; lo que se
traduce en la definición de diferentes variantes de BACnet:
BACnet/IP: Especificación definida en el Anexo J del estándar de
BACnet para poder trabajar con direcciones IP y puertos, lo que
permite su uso sobre la arquitectura Ethernet disponible, así
como el uso de redes VLAN. El anexo define la utilización de 16
puertos UDP. Se diferencia de BACnet/Ethernet por la utilización
de direcciones IP en lugar de direcciones MAC.
BACnet/Ethernet: Variante utilizada directamente con redes
Ethernet 8802-3. Soporta medios físicos variados, como cable o
fibra óptica. Está limitado a una infraestructura física que sólo
usa direcciones MAC para establecer las comunicaciones.
BACnet MS/TP: BACnet basado en los modos maestro-esclavo o
de paso de testigo (token passing) en la capa de enlace. Es un tipo
de BACnet que utiliza un canal serie para la comunicación,
típicamente RS-485.
BACnet PTP (Punto a punto): Este tipo de control de acceso al
medio sólo se utiliza en redes telefónicas. El estilo de conexión
directa EIA-232 está en desuso tendiendo a utilizarse Ethernet.
BACnet over ARCNET: Esta versión permite su uso sobre cable
coaxial o cable serie RS-485. Incrementa un poco las prestaciones
de BACnet MS/TP, pero está soportado por muy pocos
fabricantes.
Nos vamos a centrar en la seguridad del protocolo BACnet, incluyendo
claves, modos de cifrado o sistema de autenticación.
Claves
BACnet define 6 tipos de claves diferentes a utilizar dependiendo de la
tarea a realizar. Las claves son distribuidas a todos los dispositivos
desde el servidor de claves de la red, algunas de ellas incluso son
distribuidas de forma conjunta. No es necesario que un dispositivo
tenga la funcionalidad de servidor de claves, pero debe existir un
servidor que contenga todas las claves y un listado de dispositivos a
gestionar. El estándar no define como se implementa este servidor. Los
tipos de claves son:
General-Network-Access: Utilizada durante la vinculación de
dispositivos y objetos, para crear túneles cifrados y para la
interfaz de usuario de los dispositivos que no pueden autenticar a
los usuarios.
User-Authenticated: Clave distribuida a los dispositivos cliente
que pueden asegurar la autenticación de los usuarios o a los
dispositivos que no disponen de interfaz de usuario.
Application-Specific: Proporciona límites de seguridad entre las
áreas de las aplicaciones. Solo se distribuye a dispositivos que
comparten determinadas aplicaciones.
Installation: Clave que solo se distribuye a un conjunto pequeño
de dispositivos, típicamente a la aplicación de configuración y a
los dispositivos que van a configurarse.
Distribution: Esta clave se utiliza para distribuir las claves
General-Network-Access, User-Authenticated y Application-
Specific de forma segura.
Device-Master: Usada únicamente para distribuir la clave
Distribution. Esta clave es única para cada dispositivo y debe
mantenerse lo más segura posible.
Políticas de seguridad de red
La seguridad en los mensajes BACnet es aplicada en la capa de red, los
mensajes sin cifrar de BACnet se sitúan dentro de la parte de datos de
un nuevo mensaje seguro. Este cifrado está sujeto a 4 políticas de
seguridad de red basándose en si utiliza seguridad física, alguna
característica de seguridad del protocolo o nada:
Plain-trusted: Requiere seguridad física y no se aplica la
seguridad del protocolo.
Signed-trusted: La seguridad física no es requerida, es asegurado
mediante firmas.
Encrypted-trusted: Seguridad física no requerida, asegurado
mediante cifrado, realizado con AES(Advanced Encryption
Standard).
Plain-non-trusted: Sin seguridad física, ni firma o cifrado
aplicado. Mensaje en texto plano.
Los mensajes de seguridad de BACnet usan el mismo formato de trama,
consistente en un encabezado fijo, un cuerpo opcional y una firma
requerida.
https://www.incibe-cert.es/blog/seguridad-los-protocolos-control-edificios
https://www.casadomo.com/comunicaciones/ip-ethernet-vertebran-control-edificios-
inteligentes