UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ

NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074

[Beantwortet] [V3.5.1] KNX Secure Integration im TWS?

Eure Wünsche und Phantasien
Forumsregeln
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln

Ersteller
ThomasD
Reactions:
Beiträge: 167
Registriert: So Sep 09, 2018 9:16 am
Hat sich bedankt: 270 Mal
Danksagung erhalten: 55 Mal

[V3.5.1] KNX Secure Integration im TWS?

#1

Beitrag von ThomasD »

Hallo,

ich plane gerade ein neues Projekt und würde da gern direkt auf KNX Secure setzen.
Die anderen Komponenten von Gira und MDT unterstützen das.
Daher die Frage, wie weit ist es mit der Integration in der TWS Software??
Gibt es dazu vielleicht schon eine konkrete Road Map??

Gruß
Thomas
Zuletzt geändert von Parsley am Mi Okt 18, 2023 2:35 pm, insgesamt 2-mal geändert.
WIREGATE V1.4.0
PBM unlimited mit 67 Slaves
TWS 2600 #174 REBOOT jederzeit möglich
TWS 2600 #572

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7633 Mal
Kontaktdaten:

#2

Beitrag von StefanW »

Hallo Thomas,

danke dass Du ein eigenen Thread hierzu aufgemacht hast.

Wir haben das Thema "KNX Secure" durchaus auf unserer Liste, im Moment aber nicht so weit vorne, weil die Umsetzung dürfte einen hohen fünfstelligen Betrag kosten und der Bedarf dürfte derzeit nur bei 1% der Nutzer liegen. Das rechnet sich einfach nicht.

Allerdings wird der Timberwolf Server zunehmend auch für gewerbliche Objekte eingesetzt und damit dürfte der sich für dieses Leistungsmerkmal interessierende Nutzerkreis zunehmen.

Womöglich kann man solche speziellen und teuren Leistungsmerkmale auch als "Professional" Feature separat verkaufen (oder auch eine "Professional" Version des TWS 3500 herausbringen die das enthält). Das gleiche gilt auch für KNXnet/IP, wo wir schon näher dran sind (d.h. kommt zuerst).


Bedeutet: Es gibt eine kontinuierliche Entwicklung bei KNX und Erweiterungen des Stacks. In der derzeitigen Version 3.x haben wir an sehr vielen Erweiterungen und auch an der Benutzeroberfläche für KNX gearbeitet. Es sind auch noch Sicherheitsmerkmale hinsichtlich der Tunnelbelegung und der Programmierunterdrückung in Arbeit.

Es ist also weniger ein technisches Problem, als ein kaufmännisches. Wenn die Nutzer bereit sind, dafür zu bezahlen, schieben wir es gerne nach vorne.

lg

Stefan
Zuletzt geändert von StefanW am Mi Mär 23, 2022 8:16 pm, insgesamt 1-mal geändert.
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

Ersteller
ThomasD
Reactions:
Beiträge: 167
Registriert: So Sep 09, 2018 9:16 am
Hat sich bedankt: 270 Mal
Danksagung erhalten: 55 Mal

#3

Beitrag von ThomasD »

Hallo Stefan,

ich wollte mal aktiv wieder nachfragen in wie weit es hierzu Neuigkeiten gibt??
Stand ja auch mit in der RoadMap bei Ultra. Ich habe Ultra gebucht, d.h. ich war bereit dafür zu bezahlen 🤣🤣, vielleicht auch noch andere die Ultra gebucht haben 🤔.

Gruß
Thomas
WIREGATE V1.4.0
PBM unlimited mit 67 Slaves
TWS 2600 #174 REBOOT jederzeit möglich
TWS 2600 #572

blaubaerli
Reactions:
Beiträge: 2308
Registriert: Sa Sep 15, 2018 10:26 am
Wohnort: Kerpen
Hat sich bedankt: 884 Mal
Danksagung erhalten: 677 Mal

#4

Beitrag von blaubaerli »

Hallo Thomas,

welche Version genau hast du im Eisatz?

Ich würde das dann noch im Betreff ergänzen!

Beste Grüße
Jens
wiregate1250 & timberwolf168 (2600er), VPN offen, Reboot nach Vereinbarung

Ersteller
ThomasD
Reactions:
Beiträge: 167
Registriert: So Sep 09, 2018 9:16 am
Hat sich bedankt: 270 Mal
Danksagung erhalten: 55 Mal

#5

Beitrag von ThomasD »

welche Version genau hast du im Eisatz
Ich habe momentan die V4 IP4 installiert.
Welche ich bei der Eröffnung drauf hatte kann ich nicht mehr sagen!

Gruß
Thomas
WIREGATE V1.4.0
PBM unlimited mit 67 Slaves
TWS 2600 #174 REBOOT jederzeit möglich
TWS 2600 #572
Benutzeravatar

Parsley
Reactions:
Beiträge: 525
Registriert: Di Okt 09, 2018 7:27 am
Wohnort: 490..
Hat sich bedankt: 587 Mal
Danksagung erhalten: 351 Mal

#6

Beitrag von Parsley »

Danke Thomas,
ich habe einfach mal die aktuelle öffentliche Version im Titel eingetragen, damit wir einen Richtwert haben.
Gruß Parsley


Timberwolf Server 3500L #657 (VPN offen, reboot nach Absprache)

kuesnacht
Reactions:
Beiträge: 1
Registriert: Sa Nov 25, 2023 2:25 pm
Danksagung erhalten: 1 Mal

#7

Beitrag von kuesnacht »

Guten Nachmittag!

Ich möchte gerne das Thema KNX Secure nochmals anwärmen.

Hintergrund: Wir haben gerade im Zuge eines grösseren Hausumbaus die Elektrik austauschen und dabei ein KNX-System einziehen lassen. Auch aus Gründen der Investitionssicherheit haben wir alle Komponenten, die wir als „Secure“ bekommen konnten, in „Secure“ Ausführung bestellt. Praktisch alles ausser die Bewegungssensoren und die Wetterstation. Die meisten Komponenten von Feller bzw. Schneider. Einen Server haben wir noch nicht, da wir uns nicht entscheiden konnten und uns Gira X1 etc nicht so überzeugt haben, soll aber jetzt nachgerüstet werden. Es ist irgendwie logisch, dass wir den Server auch in Secure-Ausführung wollen.

Nun zu den Fragen:
1. Der Timberwolf kann momentan kein KNX Secure, das ist klar. Ist das jetzt nur eine Frage der Zeit, oder könnte es sein, dass es gar nicht kommt? Wenn ersteres, gibt es eine grobe Zeitplanung? Hintergrund: Kein Problem, wenn das System in den nächsten Monaten sicherheitsmässig downgegradet wird, solange es mittelfristig secure ist.

2. Wenn wir heute Nicht-Secure-Komponenten (Timberwolf, anderes) einhängen (haben wir ja schon gemacht), was bedeutet das genau? Werden die Aktoren dann implizit so programmiert, dass sie auch Nicht-Secure Telegramme annehmen, wenn ein Nicht-Secure-Gerät etwas sendet? Passiert das Geräte- bzw. GA-spezifisch? Danke für etwas technische Aufklärung…

Herzlichen Dank
Peter

Ersteller
ThomasD
Reactions:
Beiträge: 167
Registriert: So Sep 09, 2018 9:16 am
Hat sich bedankt: 270 Mal
Danksagung erhalten: 55 Mal

#8

Beitrag von ThomasD »

Hallo Peter,
solange es mittelfristig secure ist
...in 4 Monaten wird der Thread 2 Jahre alt.
Ich denke man muss da eher mit sehr langfristig rechnen. Wobei ich Zweifel habe das es für Bestandsgeräte überhaupt kommt.

Ich habe jetzt ohne den TWS gebaut, evtl. schließe ich bissel paar 1W Sensoren an aber mehr wird der nicht machen.
Ich lasse meine Abo's auslaufen, da ich hoffe das er 1W immer kann. Ich glaube nicht daran das der TWS KNX Secure in absehbarer Zeit kann.
Gefühlt kommen im Moment kaum Features dazu, momentan ist der Hype halt nur um die VISU.
Wer die braucht bekommt sicher was ganz tolles geboten!

Gruß
Thomas
Zuletzt geändert von ThomasD am Sa Nov 25, 2023 3:51 pm, insgesamt 1-mal geändert.
WIREGATE V1.4.0
PBM unlimited mit 67 Slaves
TWS 2600 #174 REBOOT jederzeit möglich
TWS 2600 #572

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7633 Mal
Kontaktdaten:

#9

Beitrag von StefanW »

Hallo Peter,
kuesnacht hat geschrieben: Sa Nov 25, 2023 2:39 pm1. Der Timberwolf kann momentan kein KNX Secure, das ist klar. Ist das jetzt nur eine Frage der Zeit, oder könnte es sein, dass es gar nicht kommt? Wenn ersteres, gibt es eine grobe Zeitplanung? Hintergrund: Kein Problem, wenn das System in den nächsten Monaten sicherheitsmässig downgegradet wird, solange es mittelfristig secure ist.
KNX ist unser wichtigstes Protokoll. Als wir unseren KNX Stack 2018 veröffentlicht hatten, war dies der leistungsfähigste 64 bit KNX Stack am Markt mit 8.000 Universalobjekten, von denen leider nur 2.000 vom damaligen MT und der ETS unterstützt wurden.

Im letzten Jahr haben wir umfangreiche Erweiterungen der UI für KNX vorgenommen, den Import aus der ETS6 (unverschlüsselt) implementiert, sowie eine automatische Konvertierung und Erweiterungen in der Verknüpfung für KNX umgesetzt.

Seit zwei Wochen ist auch der Import verschlüsselter ETS6 Projekte umgesetzt und befindet sich derzeit zum Test bei den DEV-Testern (war bisher in allen Fällen erfolgreich) und kommt mit der IP5 dann auch für die Insider.

Was nun ansteht ist

1. Erweiterung der KNX Applikation und des KNX Subsystems um weitere DPT, die in den letzten Jahren hinzugekommen sind bzw. jetzt in eine breitere Verwendung kommen.

2. KNXnet/IP Data Stack für Einbindung des Servers über Ethernet und KNX Data Security (dann sowohl für KNX-TP als auch KNXnet/IP)

Diese Entwicklungen sind wichtig. Termin kann ich nicht nennen, es ist fertig, wenn es fertig ist, allerdings wird bereits daran gearbeitet


kuesnacht hat geschrieben: Sa Nov 25, 2023 2:39 pm2. Wenn wir heute Nicht-Secure-Komponenten (Timberwolf, anderes) einhängen (haben wir ja schon gemacht), was bedeutet das genau? Werden die Aktoren dann implizit so programmiert, dass sie auch Nicht-Secure Telegramme annehmen, wenn ein Nicht-Secure-Gerät etwas sendet? Passiert das Geräte- bzw. GA-spezifisch? Danke für etwas technische Aufklärung…
Die Verschlüsselung von KNX Data Security basiert auf Gruppenadressen. Nur dann, wenn alle KNX Geräte deren Objekte mit einer GA verknüpft sind, KNX Data Security unterstützen, dann schlägt die ETS vor, diese GA zu sichern. Ist nur eines der mit einer GA verknpften Objekte eines Gerätes "non-secure" dann wird diese betreffende GAs nicht verschlüsselt.

Dies wird von der ETS automatisch ermittelt und eingerichtet.

ThomasD hat geschrieben: Sa Nov 25, 2023 3:51 pmIch denke man muss da eher mit sehr langfristig rechnen. Wobei ich Zweifel habe das es für Bestandsgeräte überhaupt kommt.
Nein, wir arbeiten bereits dran. Und solange technisch nichts dagegen steht, wird es alle oben genannten KNX Erweiterungen auch für bestehende Server geben. Ob dies im Rahmen eines kostenfreien Updates erfolgt oder dann jeweils ein paar Euro kostet, ist jetzt nicht entschieden.

ThomasD hat geschrieben: Sa Nov 25, 2023 3:51 pmIch glaube nicht daran das der TWS KNX Secure in absehbarer Zeit kann.
Wir arbeiten bereits dran.

ThomasD hat geschrieben: Sa Nov 25, 2023 3:51 pmGefühlt kommen im Moment kaum Features dazu, momentan ist der Hype halt nur um die VISU.
Es geht nicht nur um die VISU. Wir berichten nur über diese deutlich mehr.


Aus dem WIKI zur V4:

Bild

ThomasD hat geschrieben: Sa Nov 25, 2023 3:51 pmWer die braucht bekommt sicher was ganz tolles geboten!
Allerdings ist die VISU für vieles strategisch wichtig. Nicht nur erweitern sich damit die Stückzahlen ordentlich, sondern die VISU enabled weitere Technologien und Leistungsmerkmale, die sonst nicht möglich oder wenig sinnvoll gewesen wären. Wird man dann noch sehen, wenn es soweit ist.

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.
Benutzeravatar

cybersmart
Reactions:
Beiträge: 230
Registriert: Do Jan 20, 2022 6:15 pm
Wohnort: Germering
Hat sich bedankt: 126 Mal
Danksagung erhalten: 148 Mal
Kontaktdaten:

#10

Beitrag von cybersmart »

Ich denke es ist wichtig und richtig KNX (Data) Secure mittelfristig zu implementieren, da dies in bestimmten (gewerblichen) Gebäudekategorien sicherlich Teil einer Ausschreibung ist/wird.

Obwohl ich beruflich im Bereich Cybersecurity (in kritischen Infrastrukturen, Unternehmen die sehr hohe Sicherheitsanforderungen haben) unterwegs bin sehe ich allerdings den Mehrwert im Einfamilienhaus nicht. Es mag Ausnahmen geben wenn ein besonders hohes Sicherheitsniveau durchgängig erreicht werden „muss“. Ich selbst vermisse KNX Secure zu Hause nicht.

Aber ansonsten erhöht es die Komplexität und ich habe aus Erfahrung einen ganz klaren Leitspruch entwickelt: „Komplexität ist der Feind von Sicherheit“.

Diejenigen, bei denen KNX Secure hoch auf der Liste steht sollten ggf. eine einfache Risikobewertung vornehmen. Nur weil 2/3 der gekauften Komponenten es können ist kein guter Grund es unbedingt zu brauchen oder einzusetzen.
Habt ihr dann für eure IT auch konsequent eine eigene CA am Start und managt die Zertifikate?
VPN und WiFi mit zertifikatsbasierter Authentifizierung statt „shared secret“?

Selbst TLS wird für immer mehr Menschen im eigenen Haus eher zu einem Problem als zur Lösung - wer hat schon eine eigene interne CA und wie sind die Angriffsvektoren intern?
Welche zusätzliche Sicherheit wird erreicht?
Allerdings sollten alle Geräte die TLS erzwingen auch ermöglichen, eigene Zertifikate zu nutzen oder auf http zu gehen wenn man denn will (Wink an den TWS ;-)

In öffentlichen oder öffentlich zugänglichen Netzen ist das ein „Must Have“, zu Hause eher ein komplexes, nerviges Problem das dazu verleitet, sich anzutrainieren über Zertifikatswarnungen hinweg zu klicken.

Meiner Ansicht nach ist die Architektur hier wichtiger

- KNX Linienkoppler mit Filtertabelle für Außenlinie
- keine Gäste per WLAN ins Hausnetz (also konsequent Gastnetz)
- keine Netzwerkanschlüsse außen zugänglich und falls doch (Türanlage, Kameras) Switches mit einer gewissen Portkontrolle (wenn bei mir eine Kamera entfernt wird wird der Port disabled) und sinnvolle aber einfache VLAN Struktur.

Aber auch hier ist man dann wieder schnell in komplexen Szenarien, die weit über die Fritz!Box Umgebung und oft das eigene Know-How von Bewohnern hinausgehen.

Daher glaube ich, dass man in der Risikobetrachtung getrost im EFH auf KNX Secure verzichten kann ohne dadurch besonders angreifbar zu werden.
Ich würde eher die KNX Server auf der Netzwerkebene angreifen, statt den TP-Bus selbst (für den ich physisch ja am / im Objekt sein muss) - wenn ich einen S1, X1, HS, TWS unter Kontrolle hab, dann habe ich eh quasi das Objekt teilweise unter Kontrolle und ein Footprint im IP Netzwerk ist wertvoller als im KNX-TP.

Nur mal so als Gedankenanregung für diejenigen, denen KNX Secure sehr wichtig ist - habt ihr ein mindestens ähnliches Sicherheitsniveau in eurem Netzwerk? Falls nicht konzentriert euch erstmal auf das Netzwerk und die Client-Endpoints.

Grüße,

Uwe
Zuletzt geändert von cybersmart am So Nov 26, 2023 3:55 pm, insgesamt 3-mal geändert.
VG, Uwe

timberwolf765 VPN: closed Reboot: no
Antworten

Zurück zu „Feature Requests & Diskussionen Timberwolf Allgemein“