NEU! UPGRADE IP 11 verfügbar!
NEU! LICHTWIDGET - DPT 7.600 - Logik Manager Update - sowie viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/B9MUEJj2
Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Ab sofort kann jeder die neue VISU & IFTTT testen. Info: viewtopic.php?f=8&t=5074
Release V 4 am 15. Juni 2024
Es gibt nun einen fixen Termin. Info: viewtopic.php?f=8&t=5117
NEU! Ausführliches Video Tutorial zur VISU
Jetzt werden alle Fragen beantwortet. Das Video: https://youtu.be/_El-zaC2Rrs
NEU! LICHTWIDGET - DPT 7.600 - Logik Manager Update - sowie viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/B9MUEJj2
Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Ab sofort kann jeder die neue VISU & IFTTT testen. Info: viewtopic.php?f=8&t=5074
Release V 4 am 15. Juni 2024
Es gibt nun einen fixen Termin. Info: viewtopic.php?f=8&t=5117
NEU! Ausführliches Video Tutorial zur VISU
Jetzt werden alle Fragen beantwortet. Das Video: https://youtu.be/_El-zaC2Rrs
[Hinweis] IT-Sicherheit am KNX-Bus
Forumsregeln
- Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
- Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
- Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
- Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln
-
- Reactions:
- Beiträge: 3615
- Registriert: So Aug 12, 2018 10:20 am
- Hat sich bedankt: 1273 Mal
- Danksagung erhalten: 1674 Mal
IT-Sicherheit am KNX-Bus
Weil es gerade im anderen Forum zwei interessante Fälle gibt.
Mit dem TWS wird uns ja per VPN eine sichere Verbindung auf die Installation und dem KNX-Bus angeboten.
Ich kann nur empfehlen diesen Weg zu nutzen.
Negative Erfahrungen werden aktuell gemacht wo man leichtsinniger Weise den KNX-Port offen weitergeleitet hat.
Da wurden dann mal eben alle Geräte quasi entladen und per BAU-Key quasi unbrauchbar gemacht, so dass man nicht mal mehr den letzten Stand seines ETS-Projektes wieder einspielen kann. Das ergibt entweder Hilfe vom Hersteller, oder eine Grundsolide Neuanschaffung aller KNX-HW im eigenen Projekt.
Hier der Link zum aktuellsten Fall, darin ist auch eine weitere Verlinkung zu einem anderen Fall. Das alles im Laufe der letzten 14 Tage passiert.
Link
Mit dem TWS wird uns ja per VPN eine sichere Verbindung auf die Installation und dem KNX-Bus angeboten.
Ich kann nur empfehlen diesen Weg zu nutzen.
Negative Erfahrungen werden aktuell gemacht wo man leichtsinniger Weise den KNX-Port offen weitergeleitet hat.
Da wurden dann mal eben alle Geräte quasi entladen und per BAU-Key quasi unbrauchbar gemacht, so dass man nicht mal mehr den letzten Stand seines ETS-Projektes wieder einspielen kann. Das ergibt entweder Hilfe vom Hersteller, oder eine Grundsolide Neuanschaffung aller KNX-HW im eigenen Projekt.
Hier der Link zum aktuellsten Fall, darin ist auch eine weitere Verlinkung zu einem anderen Fall. Das alles im Laufe der letzten 14 Tage passiert.
Link
Grüße
Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension
Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension
-
- Elaborated Networks
- Reactions:
- Beiträge: 9775
- Registriert: So Aug 12, 2018 9:27 am
- Wohnort: Frauenneuharting
- Hat sich bedankt: 4879 Mal
- Danksagung erhalten: 7820 Mal
- Kontaktdaten:
Ja Danke Göran,
das war auch letztens Thema bei Facebook.
Mit Hilfe einer speziellen Suchmaschine konnte man sehen, dass dies bei vielen tausend Installationen so vorgenommen wurde. Wenn da nun ein Hacker drüber geht.... Mahlzeit.
Es ist halt grob fahrlässig, seinen Router-Port nach außen freizugeben.
Wir überlegen durchaus, im Timberwolf Server bei den Tunnel eine Sperre anzubieten, damit die Verbindungsaufnahme nur von bestimmten IPs innerhalb möglich ist. Zudem denken wir über eine Programmierverhinderung nach. Nur fürchte ich, wird keiner für diese Features bezahlen....
lg
Stefan
das war auch letztens Thema bei Facebook.
Mit Hilfe einer speziellen Suchmaschine konnte man sehen, dass dies bei vielen tausend Installationen so vorgenommen wurde. Wenn da nun ein Hacker drüber geht.... Mahlzeit.
Es ist halt grob fahrlässig, seinen Router-Port nach außen freizugeben.
Wir überlegen durchaus, im Timberwolf Server bei den Tunnel eine Sperre anzubieten, damit die Verbindungsaufnahme nur von bestimmten IPs innerhalb möglich ist. Zudem denken wir über eine Programmierverhinderung nach. Nur fürchte ich, wird keiner für diese Features bezahlen....
lg
Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de
Link zu Impressum und Datenschutzerklärung oben.
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de
Link zu Impressum und Datenschutzerklärung oben.
-
- Reactions:
- Beiträge: 3615
- Registriert: So Aug 12, 2018 10:20 am
- Hat sich bedankt: 1273 Mal
- Danksagung erhalten: 1674 Mal
Ja das mit der Programmierverhinderung kenne ich bisher nur von MDT mit dem Safe-Modul. Keine Ahnung in welchen Stückzahlen das raus geht. Beim TWS hätte man dann auch die Hauptlinie gesichert kann das aber auch am UI abändern. Beim MDT Safe geht glaube ich nur im Verteiler abstöpseln. Für eine Außenlinie ein gangbarer weg, Aber ansonsten natürlich kein Feature für Fernwartung, wenn man da mechanisch ran muss.
Ja man glaubt kaum was für Anlagen da alles offen stehen, nicht nur das einfache EFH. Und Mal eben mit der ETS da drauf und alle Geräte umprogrammieren ist schnell gemacht. Mal ein GA aus den Geräten löschen ist ja noch nur ärgerlich aber alles mit BAU-Key blockieren ist quasi wie die Ransomware und Verschlüsselung der Laufwerke. Im KNX ist es leider nicht mit nem Reset und Format C: getan, sondern nur mit HW Austausch und das kann teuer werden.
Ja man glaubt kaum was für Anlagen da alles offen stehen, nicht nur das einfache EFH. Und Mal eben mit der ETS da drauf und alle Geräte umprogrammieren ist schnell gemacht. Mal ein GA aus den Geräten löschen ist ja noch nur ärgerlich aber alles mit BAU-Key blockieren ist quasi wie die Ransomware und Verschlüsselung der Laufwerke. Im KNX ist es leider nicht mit nem Reset und Format C: getan, sondern nur mit HW Austausch und das kann teuer werden.
Grüße
Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension
Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension
-
- Reactions:
- Beiträge: 2184
- Registriert: So Aug 12, 2018 1:38 pm
- Wohnort: Karlsruher Raum
- Hat sich bedankt: 482 Mal
- Danksagung erhalten: 889 Mal
Und wenn wir noch einen Schritt weiterdenken:
Im besten Fall Gitter/Rolladen hochfahren, im schlimmsten Fall Motorschlösser und Riegel öffnen, wenn man die am Bus hatte...
Im besten Fall Gitter/Rolladen hochfahren, im schlimmsten Fall Motorschlösser und Riegel öffnen, wenn man die am Bus hatte...
Lg
Jochen
____________________________________________________________
TW 2600 #188
VPN offen, Zugriff jederzeit, Experimente jederzeit, Reboot jederzeit
Jochen
____________________________________________________________
TW 2600 #188
VPN offen, Zugriff jederzeit, Experimente jederzeit, Reboot jederzeit
-
- Reactions:
- Beiträge: 3615
- Registriert: So Aug 12, 2018 10:20 am
- Hat sich bedankt: 1273 Mal
- Danksagung erhalten: 1674 Mal
Naja dazu muss man dann aber schon mehr forschen, aus einem reinen Schaltaktor kann man ja nicht so schnell erkennen was davon die Haustür ist.
Bis zum Schritt das da dann einer mit Transporter vor der Türe steht will ich gar nicht dran denken. Rein die Anlage deaktivieren und zu Elektronikschrott zu machen ist fast mehr Schaden als das übrige kleinteilige Inventar einzusammeln. Und es ist halt beliebig aus der Ferne in kurzer Zeit gemacht.
Bis zum Schritt das da dann einer mit Transporter vor der Türe steht will ich gar nicht dran denken. Rein die Anlage deaktivieren und zu Elektronikschrott zu machen ist fast mehr Schaden als das übrige kleinteilige Inventar einzusammeln. Und es ist halt beliebig aus der Ferne in kurzer Zeit gemacht.
Grüße
Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension
Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension
-
- Reactions:
- Beiträge: 424
- Registriert: Mo Aug 13, 2018 6:31 pm
- Hat sich bedankt: 193 Mal
- Danksagung erhalten: 147 Mal
Die Festlegung auf einzelne IPs oder Netze kommt bei mobilen Geräten, mit denen man vielleicht auch im Ausland unterwegs ist, schnell an die Grenze.Wir überlegen durchaus, im Timberwolf Server bei den Tunnel eine Sperre anzubieten, damit die Verbindungsaufnahme nur von bestimmten IPs innerhalb möglich ist.
Beim Wiregate gab es ja die Möglichkeit, das VPN per KNX GA zu aktivieren und zu deaktivieren. Das habe ich dazu genutzt, es nach dem Anruf auf einer sonst nicht genutzten Nummer von meinem Mobiltelefon aus für eine kurze Zeit freizuschalten. Nach Abbau der Verbindung oder nach ein pAr Minuten ohne Verbindung hab ich es dann deaktiviert.
Ist natürlich nur praktikabel wenn man es nicht ständig braucht und ja, ich weiß das ich bei so etwas paranoid bin
Vielleicht könnte man im Timberwolf eine ähnliche Funktion vorsehen, ob nun per KNX oder Netzwerk ist eigentlich egal. Es müsste eine Möglichkeit geben, das VPN zu starten und zu stoppen und eine Rückmeldung wenn sich ein Client verbindet und trennt. Idealer Weise auch noch eine Möglichkeit den aktuellen Status abzufragen.
TWS 2500 ID: 145 + 1x TP-UART + 2x DS9490R, VPN geschlossen, Reboot nach Absprache / wiregate198 (im Ruhestand)
-
- Reactions:
- Beiträge: 1884
- Registriert: Di Okt 09, 2018 9:26 am
- Hat sich bedankt: 639 Mal
- Danksagung erhalten: 775 Mal
Seit dem ich dieses Topic und auch die im ersten Beitrag verlinkten Infos gelesen habe, habe ich meine Installation natürlich noch einmal überprüft. Aber es lässt mich noch immer nicht in Ruhe...
Ist es nicht ggf. sinnvoll selber einen BAU / BCU Schlüssel zu vergeben, um die Sicherheit zu erhöhen? Macht Ihr das so? Wenn ich es richtig verstehe ist der Nachteil dass, ich dann fortan bei jeder Änderung eines KNX-Gerätes diesen Schlüssel werde eingeben müssen...aber bei einem weitestgehend fertigen Projekt ist das ja jetzt im Vergleich zu dem möglichen, höheren Schutz ja nicht so dramatisch.
Was meint die Community?
Ist es nicht ggf. sinnvoll selber einen BAU / BCU Schlüssel zu vergeben, um die Sicherheit zu erhöhen? Macht Ihr das so? Wenn ich es richtig verstehe ist der Nachteil dass, ich dann fortan bei jeder Änderung eines KNX-Gerätes diesen Schlüssel werde eingeben müssen...aber bei einem weitestgehend fertigen Projekt ist das ja jetzt im Vergleich zu dem möglichen, höheren Schutz ja nicht so dramatisch.
Was meint die Community?
Zuletzt geändert von Robosoc am Mi Nov 03, 2021 9:24 pm, insgesamt 1-mal geändert.
VG, Sven - 3500 XL ID:1369 | 3500 L ID:1355, VPN offen, Reboot OK
-
- Reactions:
- Beiträge: 3615
- Registriert: So Aug 12, 2018 10:20 am
- Hat sich bedankt: 1273 Mal
- Danksagung erhalten: 1674 Mal
Die Sicherheit lässt sich deutlich erhöhen, der Aufwand bei der Änderung steigt natürlich auch. Und absolut die Stabilität der Dokumentation der Anlage.
möglichst mit ein wenig Paranoia das LAN betreiben und Außenlinie hinter guten Kopplern betreiben und ggf noch ein MDT-Safe zu installieren. Ist erstmal meine persönliche Sicherheitsstrategie.
In einem Projekt mit grundsätzlich offenen Zugriff auf die grüne Leitung (Hotel usw.) würde ich das direkt mit nutzen.
möglichst mit ein wenig Paranoia das LAN betreiben und Außenlinie hinter guten Kopplern betreiben und ggf noch ein MDT-Safe zu installieren. Ist erstmal meine persönliche Sicherheitsstrategie.
In einem Projekt mit grundsätzlich offenen Zugriff auf die grüne Leitung (Hotel usw.) würde ich das direkt mit nutzen.
Grüße
Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension
Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension
-
- Reactions:
- Beiträge: 364
- Registriert: So Okt 14, 2018 1:48 pm
- Hat sich bedankt: 228 Mal
- Danksagung erhalten: 274 Mal
Hallo Göran,
da stimme ich dir grundsätzlich zu.
Für die Absicherung eines Eigenheimes ist deine persönliche Sicherheitstrategie und Herangehensweise absolut zu empfehlen.
Für andere Objekt/Projekt ist auch der Zugriff vom Inneren heraus, in solch eine Sicherheitsstrategie mit einzubeziehen.
Die beste Verfahrensweise kann ermittelt werden, wenn man sich vorher etwaige Gedanken dazu macht und bestimmte Dinge kritisch hinterfragt.
Grüße
René
da stimme ich dir grundsätzlich zu.
Für die Absicherung eines Eigenheimes ist deine persönliche Sicherheitstrategie und Herangehensweise absolut zu empfehlen.
Für andere Objekt/Projekt ist auch der Zugriff vom Inneren heraus, in solch eine Sicherheitsstrategie mit einzubeziehen.
Die beste Verfahrensweise kann ermittelt werden, wenn man sich vorher etwaige Gedanken dazu macht und bestimmte Dinge kritisch hinterfragt.
Grüße
René
Grüße
René
_______________________________________________________________________________
TWS 2600LW ID:504 + PBM ID:892 + PBM ID:910 , VPN offen , Reboot erlaubt, Offline, Insider
TWS 950QL ID:379 , VPN offen, Reboot erlaubt, Offline, Insider
René
_______________________________________________________________________________
TWS 2600LW ID:504 + PBM ID:892 + PBM ID:910 , VPN offen , Reboot erlaubt, Offline, Insider
TWS 950QL ID:379 , VPN offen, Reboot erlaubt, Offline, Insider
-
- Reactions:
- Beiträge: 3615
- Registriert: So Aug 12, 2018 10:20 am
- Hat sich bedankt: 1273 Mal
- Danksagung erhalten: 1674 Mal
Meine ich ja mit dem Hinweis Z.B. Hotel wo neben den Angestellten auch noch fremde Personen Zugriff auf die grüne Leitung haben. Ansonsten ja jede Gewerbeanlage kann natürlich auch potentiell durch einen Mitarbeiter manipuliert werden.
Grüße
Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension
Göran
#1 Timberwolf 2600 Velvet Red TWS #225 / VPN aktiv / Reboot OK
#2 Timberwolf 2600 Organic Silver TWS #438 / VPN aktiv / Reboot OK
#3 PBM 3 Kanäle, #4 Modbus-Extension