Función Descifrado de BACnet/SC - Metasys - LIT-12013959 - BACnet Secure Connect Router - 12.0

Boletín técnico de flujos de trabajo de BACnet/SC

Product
Document type
Technical Bulletin
Document number
LIT-12013959
Version
12.0
Revision date
2023-03-07
Product status
Active
Puede utilizar la función de descifrado de BACnet/SC para capturar mensajes cifrados en la red BACnet/SC a través de la herramienta Wireshark. Puede configurar un servidor para que cree un archivo de claves de sesión que podrá utilizar para descifrar los mensajes entre el dispositivo en el que se ejecuta la función y otros dispositivos con los que tenga sesiones TLS. Esta función solo debe utilizarse con fines de diagnóstico y, una vez activada, los mensajes cifrados pueden descifrarse y dejan de ser seguros.
Nota: Esta función solo está disponible para los servidores Metasys.

Activación del descifrado

Para activar la captura de las claves de sesión TLS entre el servidor y otros dispositivos que se comunican mediante BACnet/SC, complete los siguientes pasos.
  1. En la SCT, cargue el archivo y, a continuación, ajuste el atributo Habilitar la función de descifrado BACnet/SC del objeto de dispositivo Servidor en Verdadero.
  2. Descargue el archivo con los cambios en el objeto dispositivo.
  3. Ajuste el atributo Modo de depuración del objeto Puerto de red SC en Verdadero. Las claves de sesión se capturan en esta ubicación: C:\ProgramData\Johnson Controls\MetasysIII\bacnetsc-keys.txt
Nota:
  • El sistema crea una auditoría cuando se ajusta el Modo de depuración en Verdadero.
  • El atributo de estado del objeto Puerto de red SC cambia a En prueba cuando se ajusta el Modo de depuración en Verdadero.
  • Para capturar las claves cuando se está estableciendo la conexión con el concentrador, active el Modo de depuración antes de cambiar el modo de comunicación al Modo de solo conexión segura o al Modo dual SC e IP. Si el modo de comunicación se cambió antes de activar el Modo de depuración, puede utilizar el valor del comando Reiniciar puerto en la propiedad Comando del Puerto de red SC para activar la tarea WebSocket Sever para que se reinicie. A continuación, se restablecen las conexiones WebSocket y se capturan las claves.
  • Por motivos de seguridad, un temporizador devuelve automáticamente el atributo Modo de depuración a Falso transcurridos 30 minutos. Puede hacer un seguimiento del tiempo en el atributo Tiempo restante de depuración del objeto Puerto de red SC. Pasados 30 minutos, el software detiene cualquier registro de futuras sesiones clave y establece automáticamente el atributo Comando del objeto Puerto de red SC en Reiniciar puerto. A continuación, el enlace de datos BACnet/SC se reinicia y todas las conexiones WebSocket finalizan y se restablecen. Esto hace que las claves de sesión capturadas en el archivo carezcan de valor para descifrar futuras comunicaciones.
  • Para cancelar el descifrado antes de que expiren los 30 minutos, ajuste el atributo Modo de depuración del objeto Puerto de red SC en Falso.

Importación del descifrado

Para importar el archivo bacnetsc-keys.txt en la herramienta Wireshark, complete los siguientes pasos:
  1. Abra Wireshark y haga clic en Editar > Preferencias.
  2. En el panel izquierdo, expanda Protocolos y seleccione TLS.
  3. En el campo Nombre de archivo de registro (pre)-maestro-secreto, introduzca C:\ProgramData\Johnson Controls\MetasysIII\bacnetsc-keys.txt y haga clic en Aceptar.
  4. Si tiene éxito, se abrirá la pestaña TLS descifrado en Wireshark.
  5. Los paquetes descifrados se muestran en la pestaña TLS descifrado de Wireshark.