UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ

NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074

[Frage] Cometvisu Aufruf beschränken

Rund um die CometVisu im Timberwolf Server
Antworten

Ersteller
SchlaubySchlu
Reactions:
Beiträge: 211
Registriert: Mo Aug 13, 2018 9:32 pm
Wohnort: Allgäu
Hat sich bedankt: 106 Mal
Danksagung erhalten: 91 Mal

Cometvisu Aufruf beschränken

#1

Beitrag von SchlaubySchlu »

Hallo CV Gemeinde,

ich habe eine Frage, bin mir nicht schlüssig ob die in das TWS oder KUF gehört. Also fals ich hier flasch bin, einfach sagen...

Bei mir erstreckt sich das Netzwerk übe das ganze Haus und da habe ich mich gefragt ob den jeder die Möglichkeit haben muss meine Wohnung zu steuern. Nicht das dies ein wirkliches Problem ist, da es ja nur die eigenen Familie ist.

Deshalb die "Dumme" Frage ob es möglich ist, mit den Möglichkeiten des TWS oder der CV eine Art "Zugangsbeschränkung" zur CV Oberfläche zu realisieren?

Gruß Ralf
Timberwolf Server 2600 #196, VPN offen, Reboot nach Vereinbarung, BM 729

fechter65
Reactions:
Beiträge: 207
Registriert: Mo Aug 13, 2018 10:44 am
Hat sich bedankt: 195 Mal
Danksagung erhalten: 143 Mal

#2

Beitrag von fechter65 »

In der Anfangszeit der CometVisu gab es einmal eine Aussage dazu: https://knx-user-forum.de/forum/öffentl ... post266402
TW2600 / TW-ID: 87/ VPN offen, booten jederzeit erlaubt
TW2600 / TW-ID: 173/ VPN offen, booten nach Rücksprache

Marinux
Reactions:
Beiträge: 125
Registriert: Fr Apr 12, 2019 3:04 pm
Hat sich bedankt: 9 Mal
Danksagung erhalten: 51 Mal

#3

Beitrag von Marinux »

Hi Ralf,

auch wenn CV keine Authentifierzierungsmöglichkeit bietet, so hast du andere Möglichkeiten.

Z.B. könntest Du Dein Netzwerk per VLAN segmentieren und darüber die Berechtigung zum Zugriff auf CV steuern. Eine andere Möglichkeit wäre das Vorschalten eines Reverse-Proxy, der die Authentifizierung stellvertretend für CV übernimmt.
Zuletzt geändert von Marinux am Do Jun 18, 2020 3:41 pm, insgesamt 1-mal geändert.
Gruß Markus

TWS 960Q #360, VPN geschlossen, Reboot verboten
Benutzeravatar

Chris M.
Reactions:
Beiträge: 1190
Registriert: Sa Aug 11, 2018 10:52 pm
Wohnort: Oberbayern
Hat sich bedankt: 234 Mal
Danksagung erhalten: 853 Mal
Kontaktdaten:

#4

Beitrag von Chris M. »

Es gibt verschiedene Möglichkeiten, die alle bzgl. Sicherheit und Aufwand unterschiedliche Eigenschaften haben:
  • Sichere Umgebung (jedem wird vertraut), nur Schutz gegen Bedienungsfehler (der CV-Installation):
    Das ist der Standard, man kann vom Browser nur über den Manager etwas kaputt machen
  • Sichere Umgebung (jedem wird vertraut), nur Schutz gegen Bedienungsfehler (der CV-Installation und der Bus-Teilnehmer):
    Einfach verschiedene Konfigs nutzen. Eine allgemeine und eine wo auch kritisches enthalten ist (wie z.B. das Stromlos-Schalten von allen möglichen Steckdosen).
    Durch die Verwendung des <include> Widgets geht das auch mit vertretbarem Aufwand
  • Unsichere Umgebung, Schutz gegen Manipulation gefordert (z.B. Hotel):
    Hier muss man zwei Bereiche absichern - die Installation so wie den Bus
    • Härtung der Installation:
      Das geht nur über die Kommandozeile.
      Eigentlich ausreichend: das Konfig-Verzeichnis Read-Only machen.
      Für Panaoide: den Manager löschen (ist ja eh nur optional und on-top) oder den Web-Server so umkonfigrieren, dass der zugriffsgeschützt ist.
    • Härtung des Bus:
      Das fängt bereits damit an, dass es keinen Zugriff auf das grüne Kabel geben sollte - auch nicht wenn man den Taster abzieht... Da vermutlich keiner so weit gehen möchte (würde ja z.B. bedeuten, dass man nur mit klassischen Tastern und Binäreingängen in einer sicheren Umgebung arbeiten kann, was auch wieder sehr aufwändig wird), sollte zumindest mit Linien und Paketfiltern gearbeitet werden, so dass der Schaden lokal begrenzt bleibt.
      Die CometVisu (bzw. der Server, hier also der TWS) ist da auch nur ein Bus-Teilnehmer. Einer wo per URL beliebige Werte auf beliebige GAs gesendet werden können. D.h. hier müssen die Filter-Tabellen einfach korrekt implementiert sein.
    Das ganze sollte man nicht als Halb-Laie mal nebenbei machen. Da sollte ein professioneller IT-Administrator und ein KNX Profi zusammen arbeiten, vermutlich mit noch weiteren Kollegen die das Sicherheitskonzept entwickeln, einrichten und abprüfen. Und ohne erfolgreich bestandenen Penetration-Test ist's nichts wert.
Einzelne Konfigs passwortgeschützt o.ä. (z.B. Zertifikate) zu machen ist zwar grundsätzlich angedacht und vom Prinzip vorgesehen. Aber nicht implementiert - da die CometVisu prinzipbedingt eben immer auf alle GAs schreiben kann - so wie jeder andere Teilnehmer am grünen Kabel auch. Der Nutzen war folglich nie den Aufwand wert.
CometVisu Entwickler - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!

CometVisu Fragen, Bugs, ... bitte im Entwicklungs-Forum, hier nur spezifisches für CV<->Timberwolf.

TWS 2500 ID: 76 + TP-UART - VPN offen, Reboot nur nach Absprache
Antworten

Zurück zu „CometVisu“