UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ

NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074

[Hinweis] IT-Sicherheit am KNX-Bus

Hier nur wichtige Tipps und Tricks. Schreibrechte nur für freigeschaltete Benutzer
Forumsregeln
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln

Ersteller
gbglace
Reactions:
Beiträge: 3585
Registriert: So Aug 12, 2018 10:20 am
Hat sich bedankt: 1253 Mal
Danksagung erhalten: 1649 Mal

IT-Sicherheit am KNX-Bus

#1

Beitrag von gbglace »

Weil es gerade im anderen Forum zwei interessante Fälle gibt.

Mit dem TWS wird uns ja per VPN eine sichere Verbindung auf die Installation und dem KNX-Bus angeboten.

Ich kann nur empfehlen diesen Weg zu nutzen.
Negative Erfahrungen werden aktuell gemacht wo man leichtsinniger Weise den KNX-Port offen weitergeleitet hat.

Da wurden dann mal eben alle Geräte quasi entladen und per BAU-Key quasi unbrauchbar gemacht, so dass man nicht mal mehr den letzten Stand seines ETS-Projektes wieder einspielen kann. Das ergibt entweder Hilfe vom Hersteller, oder eine Grundsolide Neuanschaffung aller KNX-HW im eigenen Projekt.

Hier der Link zum aktuellsten Fall, darin ist auch eine weitere Verlinkung zu einem anderen Fall. Das alles im Laufe der letzten 14 Tage passiert.

Link
Grüße
Göran

#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7632 Mal
Kontaktdaten:

#2

Beitrag von StefanW »

Ja Danke Göran,

das war auch letztens Thema bei Facebook.

Mit Hilfe einer speziellen Suchmaschine konnte man sehen, dass dies bei vielen tausend Installationen so vorgenommen wurde. Wenn da nun ein Hacker drüber geht.... Mahlzeit.

Es ist halt grob fahrlässig, seinen Router-Port nach außen freizugeben.

Wir überlegen durchaus, im Timberwolf Server bei den Tunnel eine Sperre anzubieten, damit die Verbindungsaufnahme nur von bestimmten IPs innerhalb möglich ist. Zudem denken wir über eine Programmierverhinderung nach. Nur fürchte ich, wird keiner für diese Features bezahlen....


lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

Ersteller
gbglace
Reactions:
Beiträge: 3585
Registriert: So Aug 12, 2018 10:20 am
Hat sich bedankt: 1253 Mal
Danksagung erhalten: 1649 Mal

#3

Beitrag von gbglace »

Ja das mit der Programmierverhinderung kenne ich bisher nur von MDT mit dem Safe-Modul. Keine Ahnung in welchen Stückzahlen das raus geht. Beim TWS hätte man dann auch die Hauptlinie gesichert kann das aber auch am UI abändern. Beim MDT Safe geht glaube ich nur im Verteiler abstöpseln. Für eine Außenlinie ein gangbarer weg, Aber ansonsten natürlich kein Feature für Fernwartung, wenn man da mechanisch ran muss.

Ja man glaubt kaum was für Anlagen da alles offen stehen, nicht nur das einfache EFH. Und Mal eben mit der ETS da drauf und alle Geräte umprogrammieren ist schnell gemacht. Mal ein GA aus den Geräten löschen ist ja noch nur ärgerlich aber alles mit BAU-Key blockieren ist quasi wie die Ransomware und Verschlüsselung der Laufwerke. Im KNX ist es leider nicht mit nem Reset und Format C: getan, sondern nur mit HW Austausch und das kann teuer werden.
Grüße
Göran

#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension

Dragonos2000
Reactions:
Beiträge: 2181
Registriert: So Aug 12, 2018 1:38 pm
Wohnort: Karlsruher Raum
Hat sich bedankt: 481 Mal
Danksagung erhalten: 889 Mal

#4

Beitrag von Dragonos2000 »

Und wenn wir noch einen Schritt weiterdenken:
Im besten Fall Gitter/Rolladen hochfahren, im schlimmsten Fall Motorschlösser und Riegel öffnen, wenn man die am Bus hatte...
Lg
Jochen
____________________________________________________________
TW 2600 #188
VPN offen, Zugriff jederzeit, Experimente jederzeit, Reboot jederzeit

Ersteller
gbglace
Reactions:
Beiträge: 3585
Registriert: So Aug 12, 2018 10:20 am
Hat sich bedankt: 1253 Mal
Danksagung erhalten: 1649 Mal

#5

Beitrag von gbglace »

Naja dazu muss man dann aber schon mehr forschen, aus einem reinen Schaltaktor kann man ja nicht so schnell erkennen was davon die Haustür ist.

Bis zum Schritt das da dann einer mit Transporter vor der Türe steht will ich gar nicht dran denken. Rein die Anlage deaktivieren und zu Elektronikschrott zu machen ist fast mehr Schaden als das übrige kleinteilige Inventar einzusammeln. Und es ist halt beliebig aus der Ferne in kurzer Zeit gemacht.
Grüße
Göran

#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension

jockel
Reactions:
Beiträge: 424
Registriert: Mo Aug 13, 2018 6:31 pm
Hat sich bedankt: 192 Mal
Danksagung erhalten: 147 Mal

#6

Beitrag von jockel »

Wir überlegen durchaus, im Timberwolf Server bei den Tunnel eine Sperre anzubieten, damit die Verbindungsaufnahme nur von bestimmten IPs innerhalb möglich ist.
Die Festlegung auf einzelne IPs oder Netze kommt bei mobilen Geräten, mit denen man vielleicht auch im Ausland unterwegs ist, schnell an die Grenze.

Beim Wiregate gab es ja die Möglichkeit, das VPN per KNX GA zu aktivieren und zu deaktivieren. Das habe ich dazu genutzt, es nach dem Anruf auf einer sonst nicht genutzten Nummer von meinem Mobiltelefon aus für eine kurze Zeit freizuschalten. Nach Abbau der Verbindung oder nach ein pAr Minuten ohne Verbindung hab ich es dann deaktiviert.

Ist natürlich nur praktikabel wenn man es nicht ständig braucht und ja, ich weiß das ich bei so etwas paranoid bin ;)

Vielleicht könnte man im Timberwolf eine ähnliche Funktion vorsehen, ob nun per KNX oder Netzwerk ist eigentlich egal. Es müsste eine Möglichkeit geben, das VPN zu starten und zu stoppen und eine Rückmeldung wenn sich ein Client verbindet und trennt. Idealer Weise auch noch eine Möglichkeit den aktuellen Status abzufragen.
TWS 2500 ID: 145 + 1x TP-UART + 2x DS9490R, VPN geschlossen, Reboot nach Absprache / wiregate198 (im Ruhestand)

Robosoc
Reactions:
Beiträge: 1876
Registriert: Di Okt 09, 2018 9:26 am
Hat sich bedankt: 635 Mal
Danksagung erhalten: 775 Mal

#7

Beitrag von Robosoc »

Seit dem ich dieses Topic und auch die im ersten Beitrag verlinkten Infos gelesen habe, habe ich meine Installation natürlich noch einmal überprüft. Aber es lässt mich noch immer nicht in Ruhe...

Ist es nicht ggf. sinnvoll selber einen BAU / BCU Schlüssel zu vergeben, um die Sicherheit zu erhöhen? Macht Ihr das so? Wenn ich es richtig verstehe ist der Nachteil dass, ich dann fortan bei jeder Änderung eines KNX-Gerätes diesen Schlüssel werde eingeben müssen...aber bei einem weitestgehend fertigen Projekt ist das ja jetzt im Vergleich zu dem möglichen, höheren Schutz ja nicht so dramatisch.

Was meint die Community?
Zuletzt geändert von Robosoc am Mi Nov 03, 2021 9:24 pm, insgesamt 1-mal geändert.
VG, Sven - TWS 950Q ID:335 & 291, VPN offen, Reboot OK

Ersteller
gbglace
Reactions:
Beiträge: 3585
Registriert: So Aug 12, 2018 10:20 am
Hat sich bedankt: 1253 Mal
Danksagung erhalten: 1649 Mal

#8

Beitrag von gbglace »

Die Sicherheit lässt sich deutlich erhöhen, der Aufwand bei der Änderung steigt natürlich auch. Und absolut die Stabilität der Dokumentation der Anlage.

möglichst mit ein wenig Paranoia das LAN betreiben und Außenlinie hinter guten Kopplern betreiben und ggf noch ein MDT-Safe zu installieren. Ist erstmal meine persönliche Sicherheitsstrategie.

In einem Projekt mit grundsätzlich offenen Zugriff auf die grüne Leitung (Hotel usw.) würde ich das direkt mit nutzen.
Grüße
Göran

#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension

maggyver
Reactions:
Beiträge: 364
Registriert: So Okt 14, 2018 1:48 pm
Hat sich bedankt: 228 Mal
Danksagung erhalten: 274 Mal

#9

Beitrag von maggyver »

Hallo Göran,

da stimme ich dir grundsätzlich zu.

Für die Absicherung eines Eigenheimes ist deine persönliche Sicherheitstrategie und Herangehensweise absolut zu empfehlen.

Für andere Objekt/Projekt ist auch der Zugriff vom Inneren heraus, in solch eine Sicherheitsstrategie mit einzubeziehen.
Die beste Verfahrensweise kann ermittelt werden, wenn man sich vorher etwaige Gedanken dazu macht und bestimmte Dinge kritisch hinterfragt.


Grüße

René
Grüße
René
_______________________________________________________________________________

TWS 2600LW ID:504 + PBM ID:892 + PBM ID:910 , VPN offen , Reboot erlaubt, Offline, Insider
TWS 950QL ID:379 , VPN offen, Reboot erlaubt, Offline, Insider

Ersteller
gbglace
Reactions:
Beiträge: 3585
Registriert: So Aug 12, 2018 10:20 am
Hat sich bedankt: 1253 Mal
Danksagung erhalten: 1649 Mal

#10

Beitrag von gbglace »

Meine ich ja mit dem Hinweis Z.B. Hotel wo neben den Angestellten auch noch fremde Personen Zugriff auf die grüne Leitung haben. Ansonsten ja jede Gewerbeanlage kann natürlich auch potentiell durch einen Mitarbeiter manipuliert werden.
Grüße
Göran

#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension
Antworten

Zurück zu „Essentials - Wichtige Tipps & Tricks“