ElabNET Technik Forum

Weil es gerade im anderen Forum zwei interessante Fälle gibt.

Mit dem TWS wird uns ja per VPN eine sichere Verbindung auf die Installation und dem KNX-Bus angeboten.

Ich kann nur empfehlen diesen Weg zu nutzen.
Negative Erfahrungen werden aktuell gemacht wo man leichtsinniger Weise den KNX-Port offen weitergeleitet hat.

Da wurden dann mal eben alle Geräte quasi entladen und per BAU-Key quasi unbrauchbar gemacht, so dass man nicht mal mehr den letzten Stand seines ETS-Projektes wieder einspielen kann. Das ergibt entweder Hilfe vom Hersteller, oder eine Grundsolide Neuanschaffung aller KNX-HW im eigenen Projekt.

Hier der Link zum aktuellsten Fall, darin ist auch eine weitere Verlinkung zu einem anderen Fall. Das alles im Laufe der letzten 14 Tage passiert.

Link

Ja Danke Göran,

das war auch letztens Thema bei Facebook.

Mit Hilfe einer speziellen Suchmaschine konnte man sehen, dass dies bei vielen tausend Installationen so vorgenommen wurde. Wenn da nun ein Hacker drüber geht.... Mahlzeit.

Es ist halt grob fahrlässig, seinen Router-Port nach außen freizugeben.

Wir überlegen durchaus, im Timberwolf Server bei den Tunnel eine Sperre anzubieten, damit die Verbindungsaufnahme nur von bestimmten IPs innerhalb möglich ist. Zudem denken wir über eine Programmierverhinderung nach. Nur fürchte ich, wird keiner für diese Features bezahlen....


lg

Stefan

Ja das mit der Programmierverhinderung kenne ich bisher nur von MDT mit dem Safe-Modul. Keine Ahnung in welchen Stückzahlen das raus geht. Beim TWS hätte man dann auch die Hauptlinie gesichert kann das aber auch am UI abändern. Beim MDT Safe geht glaube ich nur im Verteiler abstöpseln. Für eine Außenlinie ein gangbarer weg, Aber ansonsten natürlich kein Feature für Fernwartung, wenn man da mechanisch ran muss.

Ja man glaubt kaum was für Anlagen da alles offen stehen, nicht nur das einfache EFH. Und Mal eben mit der ETS da drauf und alle Geräte umprogrammieren ist schnell gemacht. Mal ein GA aus den Geräten löschen ist ja noch nur ärgerlich aber alles mit BAU-Key blockieren ist quasi wie die Ransomware und Verschlüsselung der Laufwerke. Im KNX ist es leider nicht mit nem Reset und Format C: getan, sondern nur mit HW Austausch und das kann teuer werden.

Und wenn wir noch einen Schritt weiterdenken:
Im besten Fall Gitter/Rolladen hochfahren, im schlimmsten Fall Motorschlösser und Riegel öffnen, wenn man die am Bus hatte...

Naja dazu muss man dann aber schon mehr forschen, aus einem reinen Schaltaktor kann man ja nicht so schnell erkennen was davon die Haustür ist.

Bis zum Schritt das da dann einer mit Transporter vor der Türe steht will ich gar nicht dran denken. Rein die Anlage deaktivieren und zu Elektronikschrott zu machen ist fast mehr Schaden als das übrige kleinteilige Inventar einzusammeln. Und es ist halt beliebig aus der Ferne in kurzer Zeit gemacht.

Wir überlegen durchaus, im Timberwolf Server bei den Tunnel eine Sperre anzubieten, damit die Verbindungsaufnahme nur von bestimmten IPs innerhalb möglich ist.

Die Festlegung auf einzelne IPs oder Netze kommt bei mobilen Geräten, mit denen man vielleicht auch im Ausland unterwegs ist, schnell an die Grenze.

Beim Wiregate gab es ja die Möglichkeit, das VPN per KNX GA zu aktivieren und zu deaktivieren. Das habe ich dazu genutzt, es nach dem Anruf auf einer sonst nicht genutzten Nummer von meinem Mobiltelefon aus für eine kurze Zeit freizuschalten. Nach Abbau der Verbindung oder nach ein pAr Minuten ohne Verbindung hab ich es dann deaktiviert.

Ist natürlich nur praktikabel wenn man es nicht ständig braucht und ja, ich weiß das ich bei so etwas paranoid bin

Vielleicht könnte man im Timberwolf eine ähnliche Funktion vorsehen, ob nun per KNX oder Netzwerk ist eigentlich egal. Es müsste eine Möglichkeit geben, das VPN zu starten und zu stoppen und eine Rückmeldung wenn sich ein Client verbindet und trennt. Idealer Weise auch noch eine Möglichkeit den aktuellen Status abzufragen.

Seit dem ich dieses Topic und auch die im ersten Beitrag verlinkten Infos gelesen habe, habe ich meine Installation natürlich noch einmal überprüft. Aber es lässt mich noch immer nicht in Ruhe...

Ist es nicht ggf. sinnvoll selber einen BAU / BCU Schlüssel zu vergeben, um die Sicherheit zu erhöhen? Macht Ihr das so? Wenn ich es richtig verstehe ist der Nachteil dass, ich dann fortan bei jeder Änderung eines KNX-Gerätes diesen Schlüssel werde eingeben müssen...aber bei einem weitestgehend fertigen Projekt ist das ja jetzt im Vergleich zu dem möglichen, höheren Schutz ja nicht so dramatisch.

Was meint die Community?

Die Sicherheit lässt sich deutlich erhöhen, der Aufwand bei der Änderung steigt natürlich auch. Und absolut die Stabilität der Dokumentation der Anlage.

möglichst mit ein wenig Paranoia das LAN betreiben und Außenlinie hinter guten Kopplern betreiben und ggf noch ein MDT-Safe zu installieren. Ist erstmal meine persönliche Sicherheitsstrategie.

In einem Projekt mit grundsätzlich offenen Zugriff auf die grüne Leitung (Hotel usw.) würde ich das direkt mit nutzen.

Hallo Göran,

da stimme ich dir grundsätzlich zu.

Für die Absicherung eines Eigenheimes ist deine persönliche Sicherheitstrategie und Herangehensweise absolut zu empfehlen.

Für andere Objekt/Projekt ist auch der Zugriff vom Inneren heraus, in solch eine Sicherheitsstrategie mit einzubeziehen.
Die beste Verfahrensweise kann ermittelt werden, wenn man sich vorher etwaige Gedanken dazu macht und bestimmte Dinge kritisch hinterfragt.


Grüße

René

Meine ich ja mit dem Hinweis Z.B. Hotel wo neben den Angestellten auch noch fremde Personen Zugriff auf die grüne Leitung haben. Ansonsten ja jede Gewerbeanlage kann natürlich auch potentiell durch einen Mitarbeiter manipuliert werden.