Security of building automation systems based on KNX and KNXnet/IP secure

Abstract

Die traditionellen Anwendungsgebiete von Gebäudeautomationssystemen wie Heizung, Lüftung, Klima und Beleuchtung werden immer mehr ergänzt durch zusätzliche Funktionalitäten die ein erhöhtes Maß an Sicherheit erfordern. Diese zusätzlichen Services sind Alarmsysteme, Zugangskontrollsysteme sowie Energiemanagement Systeme für erneuerbare Energiequellen. Zusätzlich werden Gebäudeautomationssysteme immer mehr in existierende IP-Netzwerke integriert, oder sollen direkt über das Internet kommunizieren. Deshalb ist die Angriffsfläche für solche Systeme stark gewachsen. Aus diesem Grund ist eine solide Sicherheitsinfrastruktur, sowie ein detailliertes Wissen über potenzielle Angriffsszenarien notwendig. Als erstes werden in dieser Arbeit die Sicherheitsprobleme existierender KNX und KNXnet/IP Netzwerke behandelt. Dies wird erreicht, indem erfolgreiche Angriffsszenarien auf solche Netzwerke demonstriert werden. Darunter befinden sich netzwerkbasierte Angriffe, wie Replay-Attacken, sowie applikationsbasierte Angriffe, wie ein Buffer-Overflow Exploit, für eine ETS4 Management Applikation. Als zweiter Schritt werden die Sicherheitsmerkmale einer neuen Spezifikation für KNXnet/IP Sicherheit analysiert. Diese Spezifikation, mit dem namen KNXnet/IP Secure, ist teilweise unvollständig und enthält Vorgaben welche die Sicherheit beeinträchtigen können. Am Ende der Arbeit werden alternative Sicherheitskonzepte für KNXnet/IP Netzwerke behandelt. Dies inkludiert ein generelles Sicherheitskonzept für Gebäudeautomationssysteme, welches als Basis für die Entwicklung eines vereinfachten Sicherheitskonzeptes verwendet wurde.

The traditional areas of application for building automation systems like heating, ventilation, air conditioning and lighting are more and more extended by services which require a more robust security infrastructure. Those additional services can be alarm systems, access control systems and power management systems for renewable energy sources. Additionally, building automation networks are more and more integrated into existing IP-based networks, or even communicate directly over the internet. Therefore the attack surface of building automation systems has increased dramatically. This requires a solid security architecture for building automation systems and a good knowledge of possible attack vectors. In a first step, this work highlights the security issues of the current version of KNX and KNXnet/IP. This is done by demonstrating successful attack scenarios. Among these scenarios are network based attacks, like the replay of packets, as well as application based attacks, like a proof-of-concept of a buffer overflow exploit for the ETS4 management application. In a second step, a new draft for securing KNXnet/IP networks is analysed regarding its security properties. It is pointed out that the current version of this draft specification, called KNXnet/IP Secure, lacks necessary details and has certain limitations concerning the provided level of security. At the end, alternative security concepts for KNXnet/IP networks are discussed. This includes a general security concept for building automation systems, as well as a simplified security concept. The later was developed during this thesis.