Hallo CV Gemeinde,
ich habe eine Frage, bin mir nicht schlüssig ob die in das TWS oder KUF gehört. Also fals ich hier flasch bin, einfach sagen...
Bei mir erstreckt sich das Netzwerk übe das ganze Haus und da habe ich mich gefragt ob den jeder die Möglichkeit haben muss meine Wohnung zu steuern. Nicht das dies ein wirkliches Problem ist, da es ja nur die eigenen Familie ist.
Deshalb die "Dumme" Frage ob es möglich ist, mit den Möglichkeiten des TWS oder der CV eine Art "Zugangsbeschränkung" zur CV Oberfläche zu realisieren?
Gruß Ralf
UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ
NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ
NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074
[Frage] Cometvisu Aufruf beschränken
-
- Reactions:
- Beiträge: 211
- Registriert: Mo Aug 13, 2018 9:32 pm
- Wohnort: Allgäu
- Hat sich bedankt: 106 Mal
- Danksagung erhalten: 91 Mal
Cometvisu Aufruf beschränken
Timberwolf Server 2600 #196, VPN offen, Reboot nach Vereinbarung, BM 729
-
- Reactions:
- Beiträge: 207
- Registriert: Mo Aug 13, 2018 10:44 am
- Hat sich bedankt: 195 Mal
- Danksagung erhalten: 143 Mal
In der Anfangszeit der CometVisu gab es einmal eine Aussage dazu: https://knx-user-forum.de/forum/öffentl ... post266402
TW2600 / TW-ID: 87/ VPN offen, booten jederzeit erlaubt
TW2600 / TW-ID: 173/ VPN offen, booten nach Rücksprache
TW2600 / TW-ID: 173/ VPN offen, booten nach Rücksprache
-
- Reactions:
- Beiträge: 125
- Registriert: Fr Apr 12, 2019 3:04 pm
- Hat sich bedankt: 9 Mal
- Danksagung erhalten: 51 Mal
Hi Ralf,
auch wenn CV keine Authentifierzierungsmöglichkeit bietet, so hast du andere Möglichkeiten.
Z.B. könntest Du Dein Netzwerk per VLAN segmentieren und darüber die Berechtigung zum Zugriff auf CV steuern. Eine andere Möglichkeit wäre das Vorschalten eines Reverse-Proxy, der die Authentifizierung stellvertretend für CV übernimmt.
auch wenn CV keine Authentifierzierungsmöglichkeit bietet, so hast du andere Möglichkeiten.
Z.B. könntest Du Dein Netzwerk per VLAN segmentieren und darüber die Berechtigung zum Zugriff auf CV steuern. Eine andere Möglichkeit wäre das Vorschalten eines Reverse-Proxy, der die Authentifizierung stellvertretend für CV übernimmt.
Zuletzt geändert von Marinux am Do Jun 18, 2020 3:41 pm, insgesamt 1-mal geändert.
Gruß Markus
TWS 960Q #360, VPN geschlossen, Reboot verboten
TWS 960Q #360, VPN geschlossen, Reboot verboten
-
- Reactions:
- Beiträge: 1190
- Registriert: Sa Aug 11, 2018 10:52 pm
- Wohnort: Oberbayern
- Hat sich bedankt: 234 Mal
- Danksagung erhalten: 853 Mal
- Kontaktdaten:
Es gibt verschiedene Möglichkeiten, die alle bzgl. Sicherheit und Aufwand unterschiedliche Eigenschaften haben:
- Sichere Umgebung (jedem wird vertraut), nur Schutz gegen Bedienungsfehler (der CV-Installation):
Das ist der Standard, man kann vom Browser nur über den Manager etwas kaputt machen - Sichere Umgebung (jedem wird vertraut), nur Schutz gegen Bedienungsfehler (der CV-Installation und der Bus-Teilnehmer):
Einfach verschiedene Konfigs nutzen. Eine allgemeine und eine wo auch kritisches enthalten ist (wie z.B. das Stromlos-Schalten von allen möglichen Steckdosen).
Durch die Verwendung des <include> Widgets geht das auch mit vertretbarem Aufwand - Unsichere Umgebung, Schutz gegen Manipulation gefordert (z.B. Hotel):
Hier muss man zwei Bereiche absichern - die Installation so wie den Bus- Härtung der Installation:
Das geht nur über die Kommandozeile.
Eigentlich ausreichend: das Konfig-Verzeichnis Read-Only machen.
Für Panaoide: den Manager löschen (ist ja eh nur optional und on-top) oder den Web-Server so umkonfigrieren, dass der zugriffsgeschützt ist. - Härtung des Bus:
Das fängt bereits damit an, dass es keinen Zugriff auf das grüne Kabel geben sollte - auch nicht wenn man den Taster abzieht... Da vermutlich keiner so weit gehen möchte (würde ja z.B. bedeuten, dass man nur mit klassischen Tastern und Binäreingängen in einer sicheren Umgebung arbeiten kann, was auch wieder sehr aufwändig wird), sollte zumindest mit Linien und Paketfiltern gearbeitet werden, so dass der Schaden lokal begrenzt bleibt.
Die CometVisu (bzw. der Server, hier also der TWS) ist da auch nur ein Bus-Teilnehmer. Einer wo per URL beliebige Werte auf beliebige GAs gesendet werden können. D.h. hier müssen die Filter-Tabellen einfach korrekt implementiert sein.
- Härtung der Installation:
CometVisu Entwickler - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!
CometVisu Fragen, Bugs, ... bitte im Entwicklungs-Forum, hier nur spezifisches für CV<->Timberwolf.
TWS 2500 ID: 76 + TP-UART - VPN offen, Reboot nur nach Absprache
CometVisu Fragen, Bugs, ... bitte im Entwicklungs-Forum, hier nur spezifisches für CV<->Timberwolf.
TWS 2500 ID: 76 + TP-UART - VPN offen, Reboot nur nach Absprache