ElabNET Technik Forum

Hallo,

ich plane gerade ein neues Projekt und würde da gern direkt auf KNX Secure setzen.
Die anderen Komponenten von Gira und MDT unterstützen das.
Daher die Frage, wie weit ist es mit der Integration in der TWS Software??
Gibt es dazu vielleicht schon eine konkrete Road Map??

Gruß
Thomas

Hallo Thomas,

danke dass Du ein eigenen Thread hierzu aufgemacht hast.

Wir haben das Thema "KNX Secure" durchaus auf unserer Liste, im Moment aber nicht so weit vorne, weil die Umsetzung dürfte einen hohen fünfstelligen Betrag kosten und der Bedarf dürfte derzeit nur bei 1% der Nutzer liegen. Das rechnet sich einfach nicht.

Allerdings wird der Timberwolf Server zunehmend auch für gewerbliche Objekte eingesetzt und damit dürfte der sich für dieses Leistungsmerkmal interessierende Nutzerkreis zunehmen.

Womöglich kann man solche speziellen und teuren Leistungsmerkmale auch als "Professional" Feature separat verkaufen (oder auch eine "Professional" Version des TWS 3500 herausbringen die das enthält). Das gleiche gilt auch für KNXnet/IP, wo wir schon näher dran sind (d.h. kommt zuerst).


Bedeutet: Es gibt eine kontinuierliche Entwicklung bei KNX und Erweiterungen des Stacks. In der derzeitigen Version 3.x haben wir an sehr vielen Erweiterungen und auch an der Benutzeroberfläche für KNX gearbeitet. Es sind auch noch Sicherheitsmerkmale hinsichtlich der Tunnelbelegung und der Programmierunterdrückung in Arbeit.

Es ist also weniger ein technisches Problem, als ein kaufmännisches. Wenn die Nutzer bereit sind, dafür zu bezahlen, schieben wir es gerne nach vorne.

lg

Stefan

Hallo Stefan,

ich wollte mal aktiv wieder nachfragen in wie weit es hierzu Neuigkeiten gibt??
Stand ja auch mit in der RoadMap bei Ultra. Ich habe Ultra gebucht, d.h. ich war bereit dafür zu bezahlen , vielleicht auch noch andere die Ultra gebucht haben .

Gruß
Thomas

Hallo Thomas,

welche Version genau hast du im Eisatz?

Ich würde das dann noch im Betreff ergänzen!

Beste Grüße
Jens

welche Version genau hast du im Eisatz

Ich habe momentan die V4 IP4 installiert.
Welche ich bei der Eröffnung drauf hatte kann ich nicht mehr sagen!

Gruß
Thomas

Danke Thomas,
ich habe einfach mal die aktuelle öffentliche Version im Titel eingetragen, damit wir einen Richtwert haben.

Guten Nachmittag!

Ich möchte gerne das Thema KNX Secure nochmals anwärmen.

Hintergrund: Wir haben gerade im Zuge eines grösseren Hausumbaus die Elektrik austauschen und dabei ein KNX-System einziehen lassen. Auch aus Gründen der Investitionssicherheit haben wir alle Komponenten, die wir als „Secure“ bekommen konnten, in „Secure“ Ausführung bestellt. Praktisch alles ausser die Bewegungssensoren und die Wetterstation. Die meisten Komponenten von Feller bzw. Schneider. Einen Server haben wir noch nicht, da wir uns nicht entscheiden konnten und uns Gira X1 etc nicht so überzeugt haben, soll aber jetzt nachgerüstet werden. Es ist irgendwie logisch, dass wir den Server auch in Secure-Ausführung wollen.

Nun zu den Fragen:
1. Der Timberwolf kann momentan kein KNX Secure, das ist klar. Ist das jetzt nur eine Frage der Zeit, oder könnte es sein, dass es gar nicht kommt? Wenn ersteres, gibt es eine grobe Zeitplanung? Hintergrund: Kein Problem, wenn das System in den nächsten Monaten sicherheitsmässig downgegradet wird, solange es mittelfristig secure ist.

2. Wenn wir heute Nicht-Secure-Komponenten (Timberwolf, anderes) einhängen (haben wir ja schon gemacht), was bedeutet das genau? Werden die Aktoren dann implizit so programmiert, dass sie auch Nicht-Secure Telegramme annehmen, wenn ein Nicht-Secure-Gerät etwas sendet? Passiert das Geräte- bzw. GA-spezifisch? Danke für etwas technische Aufklärung…

Herzlichen Dank
Peter

Hallo Peter,

solange es mittelfristig secure ist

...in 4 Monaten wird der Thread 2 Jahre alt.
Ich denke man muss da eher mit sehr langfristig rechnen. Wobei ich Zweifel habe das es für Bestandsgeräte überhaupt kommt.

Ich habe jetzt ohne den TWS gebaut, evtl. schließe ich bissel paar 1W Sensoren an aber mehr wird der nicht machen.
Ich lasse meine Abo's auslaufen, da ich hoffe das er 1W immer kann. Ich glaube nicht daran das der TWS KNX Secure in absehbarer Zeit kann.
Gefühlt kommen im Moment kaum Features dazu, momentan ist der Hype halt nur um die VISU.
Wer die braucht bekommt sicher was ganz tolles geboten!

Gruß
Thomas

Hallo Peter,

kuesnacht hat geschrieben: ↑Sa Nov 25, 2023 2:39 pm1. Der Timberwolf kann momentan kein KNX Secure, das ist klar. Ist das jetzt nur eine Frage der Zeit, oder könnte es sein, dass es gar nicht kommt? Wenn ersteres, gibt es eine grobe Zeitplanung? Hintergrund: Kein Problem, wenn das System in den nächsten Monaten sicherheitsmässig downgegradet wird, solange es mittelfristig secure ist.

KNX ist unser wichtigstes Protokoll. Als wir unseren KNX Stack 2018 veröffentlicht hatten, war dies der leistungsfähigste 64 bit KNX Stack am Markt mit 8.000 Universalobjekten, von denen leider nur 2.000 vom damaligen MT und der ETS unterstützt wurden.

Im letzten Jahr haben wir umfangreiche Erweiterungen der UI für KNX vorgenommen, den Import aus der ETS6 (unverschlüsselt) implementiert, sowie eine automatische Konvertierung und Erweiterungen in der Verknüpfung für KNX umgesetzt.

Seit zwei Wochen ist auch der Import verschlüsselter ETS6 Projekte umgesetzt und befindet sich derzeit zum Test bei den DEV-Testern (war bisher in allen Fällen erfolgreich) und kommt mit der IP5 dann auch für die Insider.

Was nun ansteht ist

1. Erweiterung der KNX Applikation und des KNX Subsystems um weitere DPT, die in den letzten Jahren hinzugekommen sind bzw. jetzt in eine breitere Verwendung kommen.

2. KNXnet/IP Data Stack für Einbindung des Servers über Ethernet und KNX Data Security (dann sowohl für KNX-TP als auch KNXnet/IP)

Diese Entwicklungen sind wichtig. Termin kann ich nicht nennen, es ist fertig, wenn es fertig ist, allerdings wird bereits daran gearbeitet

kuesnacht hat geschrieben: ↑Sa Nov 25, 2023 2:39 pm2. Wenn wir heute Nicht-Secure-Komponenten (Timberwolf, anderes) einhängen (haben wir ja schon gemacht), was bedeutet das genau? Werden die Aktoren dann implizit so programmiert, dass sie auch Nicht-Secure Telegramme annehmen, wenn ein Nicht-Secure-Gerät etwas sendet? Passiert das Geräte- bzw. GA-spezifisch? Danke für etwas technische Aufklärung…

Die Verschlüsselung von KNX Data Security basiert auf Gruppenadressen. Nur dann, wenn alle KNX Geräte deren Objekte mit einer GA verknüpft sind, KNX Data Security unterstützen, dann schlägt die ETS vor, diese GA zu sichern. Ist nur eines der mit einer GA verknpften Objekte eines Gerätes "non-secure" dann wird diese betreffende GAs nicht verschlüsselt.

Dies wird von der ETS automatisch ermittelt und eingerichtet.

ThomasD hat geschrieben: ↑Sa Nov 25, 2023 3:51 pmIch denke man muss da eher mit sehr langfristig rechnen. Wobei ich Zweifel habe das es für Bestandsgeräte überhaupt kommt.

Nein, wir arbeiten bereits dran. Und solange technisch nichts dagegen steht, wird es alle oben genannten KNX Erweiterungen auch für bestehende Server geben. Ob dies im Rahmen eines kostenfreien Updates erfolgt oder dann jeweils ein paar Euro kostet, ist jetzt nicht entschieden.

ThomasD hat geschrieben: ↑Sa Nov 25, 2023 3:51 pmIch glaube nicht daran das der TWS KNX Secure in absehbarer Zeit kann.

Wir arbeiten bereits dran.

ThomasD hat geschrieben: ↑Sa Nov 25, 2023 3:51 pmGefühlt kommen im Moment kaum Features dazu, momentan ist der Hype halt nur um die VISU.

Es geht nicht nur um die VISU. Wir berichten nur über diese deutlich mehr.


Aus dem WIKI zur V4:

ThomasD hat geschrieben: ↑Sa Nov 25, 2023 3:51 pmWer die braucht bekommt sicher was ganz tolles geboten!

Allerdings ist die VISU für vieles strategisch wichtig. Nicht nur erweitern sich damit die Stückzahlen ordentlich, sondern die VISU enabled weitere Technologien und Leistungsmerkmale, die sonst nicht möglich oder wenig sinnvoll gewesen wären. Wird man dann noch sehen, wenn es soweit ist.

lg

Stefan

Ich denke es ist wichtig und richtig KNX (Data) Secure mittelfristig zu implementieren, da dies in bestimmten (gewerblichen) Gebäudekategorien sicherlich Teil einer Ausschreibung ist/wird.

Obwohl ich beruflich im Bereich Cybersecurity (in kritischen Infrastrukturen, Unternehmen die sehr hohe Sicherheitsanforderungen haben) unterwegs bin sehe ich allerdings den Mehrwert im Einfamilienhaus nicht. Es mag Ausnahmen geben wenn ein besonders hohes Sicherheitsniveau durchgängig erreicht werden „muss“. Ich selbst vermisse KNX Secure zu Hause nicht.

Aber ansonsten erhöht es die Komplexität und ich habe aus Erfahrung einen ganz klaren Leitspruch entwickelt: „Komplexität ist der Feind von Sicherheit“.

Diejenigen, bei denen KNX Secure hoch auf der Liste steht sollten ggf. eine einfache Risikobewertung vornehmen. Nur weil 2/3 der gekauften Komponenten es können ist kein guter Grund es unbedingt zu brauchen oder einzusetzen.
Habt ihr dann für eure IT auch konsequent eine eigene CA am Start und managt die Zertifikate?
VPN und WiFi mit zertifikatsbasierter Authentifizierung statt „shared secret“?

Selbst TLS wird für immer mehr Menschen im eigenen Haus eher zu einem Problem als zur Lösung - wer hat schon eine eigene interne CA und wie sind die Angriffsvektoren intern?
Welche zusätzliche Sicherheit wird erreicht?
Allerdings sollten alle Geräte die TLS erzwingen auch ermöglichen, eigene Zertifikate zu nutzen oder auf http zu gehen wenn man denn will (Wink an den TWS

In öffentlichen oder öffentlich zugänglichen Netzen ist das ein „Must Have“, zu Hause eher ein komplexes, nerviges Problem das dazu verleitet, sich anzutrainieren über Zertifikatswarnungen hinweg zu klicken.

Meiner Ansicht nach ist die Architektur hier wichtiger

- KNX Linienkoppler mit Filtertabelle für Außenlinie
- keine Gäste per WLAN ins Hausnetz (also konsequent Gastnetz)
- keine Netzwerkanschlüsse außen zugänglich und falls doch (Türanlage, Kameras) Switches mit einer gewissen Portkontrolle (wenn bei mir eine Kamera entfernt wird wird der Port disabled) und sinnvolle aber einfache VLAN Struktur.

Aber auch hier ist man dann wieder schnell in komplexen Szenarien, die weit über die Fritz!Box Umgebung und oft das eigene Know-How von Bewohnern hinausgehen.

Daher glaube ich, dass man in der Risikobetrachtung getrost im EFH auf KNX Secure verzichten kann ohne dadurch besonders angreifbar zu werden.
Ich würde eher die KNX Server auf der Netzwerkebene angreifen, statt den TP-Bus selbst (für den ich physisch ja am / im Objekt sein muss) - wenn ich einen S1, X1, HS, TWS unter Kontrolle hab, dann habe ich eh quasi das Objekt teilweise unter Kontrolle und ein Footprint im IP Netzwerk ist wertvoller als im KNX-TP.

Nur mal so als Gedankenanregung für diejenigen, denen KNX Secure sehr wichtig ist - habt ihr ein mindestens ähnliches Sicherheitsniveau in eurem Netzwerk? Falls nicht konzentriert euch erstmal auf das Netzwerk und die Client-Endpoints.

Grüße,

Uwe