UPGRADE IP 9 verfügbar!
Timberwolf VISU jetzt mit NEUEM Layout Editor
Freie Anordnung, Reihenfolge und Größe der Widgets - viele weitere Verbesserungen
Infos im Wiki: https://elabnet.atlassian.net/l/cp/06SeuHRJ

NEU! Insider & Leistungsmerkmale FÜR ALLE freigeschaltet
Damit kann nun jeder das Upgrade vornehmen und VISU & IFTTT testen. Alle Info hier: viewtopic.php?f=8&t=5074

Backup-Daten lesen

Hier diskutieren wir über die Leistungsmerkmale rund um Backup & Restore
Forumsregeln
  • Denke bitte an aussagekräftige Titel und gebe dort auch die [Firmware] an. Wenn ETS oder CometVisu beteiligt sind, dann auch deren Version
  • Bitte mache vollständige Angaben zu Deinem Server, dessen ID und dem Online-Status in Deiner Signatur. Hilfreich ist oft auch die Beschreibung der angeschlossener Hardware sowie die verwendeten Protokolle
  • Beschreibe Dein Projekt und Dein Problem bitte vollständig. Achte bitte darauf, dass auf Screenshots die Statusleiste sichtbar ist
  • Bitte sei stets freundlich und wohlwollend, bleibe beim Thema und unterschreibe mit deinem Vornamen. Bitte lese alle Regeln, die Du hier findest: https://wiki.timberwolf.io/Forenregeln
Antworten
Benutzeravatar

Ersteller
Chris M.
Reactions:
Beiträge: 1190
Registriert: Sa Aug 11, 2018 10:52 pm
Wohnort: Oberbayern
Hat sich bedankt: 234 Mal
Danksagung erhalten: 853 Mal
Kontaktdaten:

Backup-Daten lesen

#1

Beitrag von Chris M. »

Wenn ich mir ein Backup herunter lade sehe ich, dass die Dateien alle verschlüsselt sind.

Wie kann ich denn in meine eigenen Daten hineinschauen?
Wo bekomme ich denn den GPG-Schlüssel dafür?
CometVisu Entwickler - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!

CometVisu Fragen, Bugs, ... bitte im Entwicklungs-Forum, hier nur spezifisches für CV<->Timberwolf.

TWS 2500 ID: 76 + TP-UART - VPN offen, Reboot nur nach Absprache

Sun1453
Reactions:
Beiträge: 1849
Registriert: Do Feb 07, 2019 8:08 am
Hat sich bedankt: 1541 Mal
Danksagung erhalten: 788 Mal

#2

Beitrag von Sun1453 »

Das würde mich auch mal interessieren, wie man diese Dateien ansehen kann.
Gruß Michael

Timberwolf 950 QL #344 | Mit Internetanbindung | VPN Offen | Reboot nach Absprache | PROD Server
Timberwolf 2500 #602 | VPN offen | TEST Server | Reboot nach Absprache |

ms20de
Elaborated Networks
Reactions:
Beiträge: 974
Registriert: Sa Aug 11, 2018 9:14 pm
Hat sich bedankt: 280 Mal
Danksagung erhalten: 499 Mal

#3

Beitrag von ms20de »

Hallo Zusammen,

grundsätzlich ist die Funktion des Herunterladens des Backups nicht als Datenexport gedacht, sondern die Idee ist die Daten auf einem anderen Timberwolf wiederherstellen zu können, falls das ursprüngliche Gerät beschädigt wird. Allerdings geht uns das Hochladen des Backups noch ab, da hier unter anderem sehr viel zu beachten ist wenn es sich um eine anderes Timberwolf Modell handelt. Im Notfall kann aber aktuell ein Support-Mitarbeiter die Datei wieder einspielen.

Die Datei kommt so verschlüsselt, wie sie auch auf der SD-Karte abgelegt ist damit niemand im Vorbeigehen die SD-Karte einstecken kann und Zugriff auf sensible Daten hat. (TW2600 und die Hutschienen-Modelle erlauben einfachen Zugriff auf die SD-Karte ohne Werkzeug.) Ich hatte mir gewünscht, dass sich der User den Schlüssel selbst wählen kann und im zweiten Schritt entscheiden kann ob er den Schlüssel auf einen Server bei uns hochladen möchte oder das Risiko eingehen wenn ihm der Schlüssel abhandenkommt die Backup-Datei wertlos wird. Leider musste ich mich erstmal dem Argument geschlagen geben, dass niemand einen Timberwolf Server kauft weil wir das beste Backup System haben. Deshalb müssen wir unsere Entwicklungsressourcen erstmal auf Weiterentwicklung in Richtung Konnektivität richten.

Die meisten Daten lassen sich bereits herunterladen, wie die KNX-Projekte und die Programmierung sowie alle aufgezeichneten Werte der Timeseries.

Viele Grüße,
Matthias
[ Timberwolf Entwicklung ]

TWS 2400 ID:102 VPN offen, Reboot auf Nachfrage

Sun1453
Reactions:
Beiträge: 1849
Registriert: Do Feb 07, 2019 8:08 am
Hat sich bedankt: 1541 Mal
Danksagung erhalten: 788 Mal

#4

Beitrag von Sun1453 »

@ms20de
Kannst du mir bitte sagen, wo man einen Export der Timeseries durchführen kann. Meinst du mit Programmierung, die KNX Programmierung oder etwas anderes? Danke.
Gruß Michael

Timberwolf 950 QL #344 | Mit Internetanbindung | VPN Offen | Reboot nach Absprache | PROD Server
Timberwolf 2500 #602 | VPN offen | TEST Server | Reboot nach Absprache |

ms20de
Elaborated Networks
Reactions:
Beiträge: 974
Registriert: Sa Aug 11, 2018 9:14 pm
Hat sich bedankt: 280 Mal
Danksagung erhalten: 499 Mal

#5

Beitrag von ms20de »

Hallo Michael,
Sun1453 hat geschrieben: Di Jan 21, 2020 2:11 pm Kannst du mir bitte sagen, wo man einen Export der Timeseries durchführen kann.
Entweder kann man direkt auf die influx Schnittstelle zugreifen und dort Daten abfragen mit einem eignen Programm oder bestehenden Tool. Die Zugangsdaten finden ich unter Portainer im Timberwolfmenü hier den Infosysmbol mit den Text "Wie Sie aus dem Docker Container auf die Zeitreihen-Datenbank zugreifen können". Oder man verwendet Grafana dort kann man aus jedem Diagramm oder Tabelle auch die Daten exportieren. In der Kopfzeile neben den Namen des Diagramms gibt es ein Menü, dort git es einen Eintrag "more" und dort "export csv". Wenn man sich bei Grafana nicht so gut auskennt, einfach über die Time Series Seite auf den Timberwolf bei einer Zeitreihe auf das blaue Diagramm (Quickview) klicken und dann auf das Grafana-Sysmbol rechts. In Grafana den gewünschten Zeitraum wählen mit export csv habe ich dann schnell die Messwerte eines Temperatur-Sensors über das letzte Jahr in Excel.
Sun1453 hat geschrieben: Di Jan 21, 2020 2:11 pm Meinst du mit Programmierung, die KNX Programmierung oder etwas anderes? Danke.
Ja, ich meinte die KNX Programmierung. Unter KNX -> Projektdatei kann man sich die einmal das hochgelandene Projekt. sowie die aktuelle Programmierung als csv herunterladen. Letzters ist für die ETS App Timberwolf Importer gedacht.

Viele Grüße,
Matthias
[ Timberwolf Entwicklung ]

TWS 2400 ID:102 VPN offen, Reboot auf Nachfrage
Benutzeravatar

Ersteller
Chris M.
Reactions:
Beiträge: 1190
Registriert: Sa Aug 11, 2018 10:52 pm
Wohnort: Oberbayern
Hat sich bedankt: 234 Mal
Danksagung erhalten: 853 Mal
Kontaktdaten:

#6

Beitrag von Chris M. »

ms20de hat geschrieben: Di Jan 21, 2020 11:34 am grundsätzlich ist die Funktion des Herunterladens des Backups nicht als Datenexport gedacht, sondern die Idee ist die Daten auf einem anderen Timberwolf wiederherstellen zu können, falls das ursprüngliche Gerät beschädigt wird. Allerdings geht uns das Hochladen des Backups noch ab, da hier unter anderem sehr viel zu beachten ist wenn es sich um eine anderes Timberwolf Modell handelt. Im Notfall kann aber aktuell ein Support-Mitarbeiter die Datei wieder einspielen.
Wenn man auf die Daten gekommen wäre, hätte hier https://knx-user-forum.de/forum/support ... ost1456756 kein vollständiger Restore passieren müssen, d.h. alle sonstigen, neueren Daten (z.B. KNX Log) wäre nicht überschrieben worden.
ms20de hat geschrieben: Di Jan 21, 2020 11:34 am Die Datei kommt so verschlüsselt, wie sie auch auf der SD-Karte abgelegt ist damit niemand im Vorbeigehen die SD-Karte einstecken kann und Zugriff auf sensible Daten hat. (TW2600 und die Hutschienen-Modelle erlauben einfachen Zugriff auf die SD-Karte ohne Werkzeug.)
OK, mir war nicht klar wie leicht man bei manchen Systemen an die Karte kommt. (Wobei, sobald jemand physischen Zugang zum System hat ist jegliche Sicherheitsvorkehrung eh obsolet...)

Könnte man dann als schnellen, aber dennoch sicheren, Zwischenschritt den PGP-Schlüssel nicht einfach auf der Admin-Seite zum Herunterladen anbieten?
D.h. dann käme man nur an die wirklichen Daten, wenn man eh schon Admin-Zugang hat.
(Den aktuellen Zustand empfinde ich politisch nicht gut, denn der schmeckt sehr nach Vendor-Lock-In. Auch wenn das nicht die Intention war und ich Eueren Gedankengang nachvollziehen kann)
CometVisu Entwickler - Bitte keine PNs, Fragen gehören in das Forum, damit jeder was von den Antworten hat!

CometVisu Fragen, Bugs, ... bitte im Entwicklungs-Forum, hier nur spezifisches für CV<->Timberwolf.

TWS 2500 ID: 76 + TP-UART - VPN offen, Reboot nur nach Absprache

StefanW
Elaborated Networks
Reactions:
Beiträge: 9689
Registriert: So Aug 12, 2018 9:27 am
Wohnort: Frauenneuharting
Hat sich bedankt: 4831 Mal
Danksagung erhalten: 7633 Mal
Kontaktdaten:

#7

Beitrag von StefanW »

Chris M. hat geschrieben: Di Jan 21, 2020 11:00 pmOK, mir war nicht klar wie leicht man bei manchen Systemen an die Karte kommt. (Wobei, sobald jemand physischen Zugang zum System hat ist jegliche Sicherheitsvorkehrung eh obsolet...)
Jein. Im allgemeinen mag das richtig sein.

Tatsächlich ist die gesamte Datenpartition im System voll verschlüsselt (ähnlich Bitlocker) und Teile des Schlüssels befinden sich in einem Crypto-Chip. Wer also lokal Zugriff hat, kann gerne den Flash / die interne SSD ausbauen, in seinen eigenen Rechner reinstecken und hat dennoch keinen Zugriff.

Es geht hier auch um den Schutz nach DSGVO. Der Server kann - bei geeigneter Konfiguration - durchaus Daten aufzeichnen die als privat / persönlich zu betrachten sind, weil sie Rückschlüsse auf Gewohnheiten der Bewohner / Angestellten zulassen. Zugang zum Server in der normalen Elektroinstallation können durchaus eine Menge Menschen haben, denken wir an Verteilungen in Offices / Firmen. Nur eine vollständige Verschlüsselung aller Daten schützt hier vor fremden Zugriff, auch wenn jemand den Server aus der Verteilung klaut. Oder Behörden den Smarthome Server aus der Verteilung konfiszieren, weil sie die Aufzeichnung über Präsenzmelder auswerten wollen. Um unsere Kunden zu schützen, ist die Partition LIVE verschlüsselt.

Das macht letztlich nur dann Sinn, wenn auch die Backups verschlüsselt sind.

Chris M. hat geschrieben: Di Jan 21, 2020 11:00 pmKönnte man dann als schnellen, aber dennoch sicheren, Zwischenschritt den PGP-Schlüssel nicht einfach auf der Admin-Seite zum Herunterladen anbieten?
Darüber kann man nachdenken, aber das macht den Besitzer des Servers auch erpressbar, falls Behörden nun an die Daten darauf wollen.

Ich bin nicht der Meinung, dass wir dem Staat immer mehr Zugriffsbefugnisse, auch im Rahmen von Ermittlungen, einräumen sollen. Heute mag sich das noch keiner vorstellen, aber schon seit langem ist das erste Ziel von Ermittlungen das Smartphone von Zeugen und Beschuldigten, weil sich darauf das halbe Leben findet, die andere Hälfte gibt es auf Facebook. Das Recht auf Zeugnisverweigerung wird damit weitgehend ausgehebelt. Deshalb stellt sich Apple auch so quer und verschlüsselt ebenfalls alles, weil es auch die Aufgabe als Hersteller von Datensammelgeräten aller Art ist, die eigenen Kunden zu schützen.

Es ist nur eine Frage der Zeit, bis die Behörden auch verstanden haben, welcher Datenschatz sich in einem Smarthome befinden kann. Deshalb haben wir diese Schutzmechanismen eingebaut, auch wenn es vermutlich kaum jemanden interessieren mag.

Chris M. hat geschrieben: Di Jan 21, 2020 11:00 pmD.h. dann käme man nur an die wirklichen Daten, wenn man eh schon Admin-Zugang hat.
Wenn ich mir in manchen Firmen ansehe, wie dort mit Zugangsdaten umgegangen wird (d.h. welche Maßnahmen zum Erstellen von sicheren Kennwörtern und deren Schutz NICHT getroffen oder umgesetzt werden) dann sehe ich das nicht wirklich als guten Schutz an.

Chris M. hat geschrieben: Di Jan 21, 2020 11:00 pm(Den aktuellen Zustand empfinde ich politisch nicht gut, denn der schmeckt sehr nach Vendor-Lock-In. Auch wenn das nicht die Intention war und ich Eueren Gedankengang nachvollziehen kann)
Danke. Es ist schwierig allem gerecht zu werden. Schutz auf der einen Seite und maximaler Zugriff darauf lässt sich nur schwer miteinander vereinbaren, ohne den Schutz zu unterhöhlen.

Womöglich ergibt sich eine Gelegenheit im angedachten externen Backup, dass der Kunde dann seinen eigenen Key angeben kann, mit welcher die Datensicherung auf sein NAS dann verschlüsselt wird.

lg

Stefan
Stefan Werner
Product Owner für Timberwolf Server, 1-Wire und BlitzART
Bitte WIKI lesen. Allg. Support nur im Forum. Bitte keine PN
Zu Preisen, Lizenzen, Garantie, HW-Defekt an service at elabnet dot de

Link zu Impressum und Datenschutzerklärung oben.

Sun1453
Reactions:
Beiträge: 1849
Registriert: Do Feb 07, 2019 8:08 am
Hat sich bedankt: 1541 Mal
Danksagung erhalten: 788 Mal

#8

Beitrag von Sun1453 »

Chris M. hat geschrieben: ↑
Di Jan 21, 2020 11:00 pm
Könnte man dann als schnellen, aber dennoch sicheren, Zwischenschritt den PGP-Schlüssel nicht einfach auf der Admin-Seite zum Herunterladen anbieten?
Das finde ich eine gute Idee. Somit könnte man die Backups auch entschlüsseln und damit Container Daten wiederherstellen. Wenn man damit fertig ist kann man den Schlüssel ja auch wieder löschen mit einen Tool.

Kleine Rückfrage an die Entwickler: Wie ist die Struktur des Backups eigentlich aufgebaut? Könnt ihr eigentlich das Backup auf Kundenwunsch hin entpacken und dem Kunden aktuell zur Verfügung stellen? Könnte man alternativ auch das Backup auf der Maschine (dem TWS) öffnen über die Oberfläche und entsprechende Dateien entnehmen? Es geht mir nicht im Hardwäre Defekt sondern wie in dem Fall um die Dateien.
StefanW » Mi Jan 22, 2020 5:58 am
Darüber kann man nachdenken, aber das macht den Besitzer des Servers auch erpressbar, falls Behörden nun an die Daten darauf wollen.

Ich bin nicht der Meinung, dass wir dem Staat immer mehr Zugriffsbefugnisse, auch im Rahmen von Ermittlungen, einräumen sollen.
Der User ist so oder so erpressbar. Wenn die Behörde den Server mitgenommen hat und dann bei sich startet, können die dich auch zwingen das Passwort für den Admin User herauszugeben. Das stellt für mich keinen Unterschied da.
Zuletzt geändert von Sun1453 am Mi Jan 22, 2020 9:36 am, insgesamt 1-mal geändert.
Gruß Michael

Timberwolf 950 QL #344 | Mit Internetanbindung | VPN Offen | Reboot nach Absprache | PROD Server
Timberwolf 2500 #602 | VPN offen | TEST Server | Reboot nach Absprache |

alexbeer
Reactions:
Beiträge: 394
Registriert: Mi Sep 12, 2018 1:11 am
Wohnort: NRW
Hat sich bedankt: 212 Mal
Danksagung erhalten: 251 Mal

#9

Beitrag von alexbeer »

StefanW hat geschrieben: Mi Jan 22, 2020 5:58 am [...]Deshalb stellt sich Apple auch so quer und verschlüsselt ebenfalls alles, weil es auch die Aufgabe als Hersteller von Datensammelgeräten aller Art ist, die eigenen Kunden zu schützen.
[...]
Dazu gerade gestern in der Presse: https://www.heise.de/mac-and-i/meldung/ ... 42839.html (21.01.2020)
VG Alex
Timberwolf122 (TWS 2500) // Wartungs-VPN: offen // Reboot: jederzeit

ms20de
Elaborated Networks
Reactions:
Beiträge: 974
Registriert: Sa Aug 11, 2018 9:14 pm
Hat sich bedankt: 280 Mal
Danksagung erhalten: 499 Mal

#10

Beitrag von ms20de »

Chris M. hat geschrieben: Di Jan 21, 2020 11:00 pm Wenn man auf die Daten gekommen wäre, hätte hier https://knx-user-forum.de/forum/support ... ost1456756 kein vollständiger Restore passieren müssen, d.h. alle sonstigen, neueren Daten (z.B. KNX Log) wäre nicht überschrieben worden.
Wenn wir das Problem gekannt hätten, hätten wir hier vom Support aus schon helfen können und eine Datei aus dem Backup entpackt :?
Wenn natürlich andauernd einer eine Datei braucht, dann kann man das so nicht mehr bezahlen.

Wie gesagt, wir haben noch viele Ideen für die Verbesserung des Backups. Wo es gespeichert wird, wie es verschlüsselt wird, was gesichert wird, Zeitplan usw. Ich bin auch guter Dinge dass wir euch das umsetzen können, wir müssen nur mit Priorität bei anderen Punkten weiterkommen um die Attraktivität des Server zu stärken.

Viele Grüße,
Matthias
Zuletzt geändert von ms20de am Mi Jan 22, 2020 6:32 pm, insgesamt 1-mal geändert.
[ Timberwolf Entwicklung ]

TWS 2400 ID:102 VPN offen, Reboot auf Nachfrage
Antworten

Zurück zu „Backup & Restore“