ElabNET Technik Forum

Hallo CV Gemeinde,

ich habe eine Frage, bin mir nicht schlüssig ob die in das TWS oder KUF gehört. Also fals ich hier flasch bin, einfach sagen...

Bei mir erstreckt sich das Netzwerk übe das ganze Haus und da habe ich mich gefragt ob den jeder die Möglichkeit haben muss meine Wohnung zu steuern. Nicht das dies ein wirkliches Problem ist, da es ja nur die eigenen Familie ist.

Deshalb die "Dumme" Frage ob es möglich ist, mit den Möglichkeiten des TWS oder der CV eine Art "Zugangsbeschränkung" zur CV Oberfläche zu realisieren?

Gruß Ralf

In der Anfangszeit der CometVisu gab es einmal eine Aussage dazu: https://knx-user-forum.de/forum/öffentl ... post266402

Hi Ralf,

auch wenn CV keine Authentifierzierungsmöglichkeit bietet, so hast du andere Möglichkeiten.

Z.B. könntest Du Dein Netzwerk per VLAN segmentieren und darüber die Berechtigung zum Zugriff auf CV steuern. Eine andere Möglichkeit wäre das Vorschalten eines Reverse-Proxy, der die Authentifizierung stellvertretend für CV übernimmt.

Es gibt verschiedene Möglichkeiten, die alle bzgl. Sicherheit und Aufwand unterschiedliche Eigenschaften haben:

• Sichere Umgebung (jedem wird vertraut), nur Schutz gegen Bedienungsfehler (der CV-Installation):
  Das ist der Standard, man kann vom Browser nur über den Manager etwas kaputt machen
• Sichere Umgebung (jedem wird vertraut), nur Schutz gegen Bedienungsfehler (der CV-Installation und der Bus-Teilnehmer):
  Einfach verschiedene Konfigs nutzen. Eine allgemeine und eine wo auch kritisches enthalten ist (wie z.B. das Stromlos-Schalten von allen möglichen Steckdosen).
  Durch die Verwendung des <include> Widgets geht das auch mit vertretbarem Aufwand
• Unsichere Umgebung, Schutz gegen Manipulation gefordert (z.B. Hotel):
  Hier muss man zwei Bereiche absichern - die Installation so wie den Bus
  • Härtung der Installation:
    Das geht nur über die Kommandozeile.
    Eigentlich ausreichend: das Konfig-Verzeichnis Read-Only machen.
    Für Panaoide: den Manager löschen (ist ja eh nur optional und on-top) oder den Web-Server so umkonfigrieren, dass der zugriffsgeschützt ist.
  • Härtung des Bus:
    Das fängt bereits damit an, dass es keinen Zugriff auf das grüne Kabel geben sollte - auch nicht wenn man den Taster abzieht... Da vermutlich keiner so weit gehen möchte (würde ja z.B. bedeuten, dass man nur mit klassischen Tastern und Binäreingängen in einer sicheren Umgebung arbeiten kann, was auch wieder sehr aufwändig wird), sollte zumindest mit Linien und Paketfiltern gearbeitet werden, so dass der Schaden lokal begrenzt bleibt.
    Die CometVisu (bzw. der Server, hier also der TWS) ist da auch nur ein Bus-Teilnehmer. Einer wo per URL beliebige Werte auf beliebige GAs gesendet werden können. D.h. hier müssen die Filter-Tabellen einfach korrekt implementiert sein.
  Das ganze sollte man nicht als Halb-Laie mal nebenbei machen. Da sollte ein professioneller IT-Administrator und ein KNX Profi zusammen arbeiten, vermutlich mit noch weiteren Kollegen die das Sicherheitskonzept entwickeln, einrichten und abprüfen. Und ohne erfolgreich bestandenen Penetration-Test ist's nichts wert.

Einzelne Konfigs passwortgeschützt o.ä. (z.B. Zertifikate) zu machen ist zwar grundsätzlich angedacht und vom Prinzip vorgesehen. Aber nicht implementiert - da die CometVisu prinzipbedingt eben immer auf alle GAs schreiben kann - so wie jeder andere Teilnehmer am grünen Kabel auch. Der Nutzen war folglich nie den Aufwand wert.