Ja, das überrascht mich. Ich kenne das auch so nicht. Die User und Systemintegratoren, dich ich kenne, greifen niemals über offene Ports zu sondern verwenden sichere(re) Zugriffsmethoden.

Aber jetzt mal konkret: ist ein offener Port für eure Cloudlösung erforderlich? Dann sollte man diese vielleicht besser abschalten, wenn sie eine unsichere Konfiguration beim Kunden erfordert.

Das ganz klingt sehr nach Panikmache um damit Guerilla Werbung zu machen.

Seid wann wird sowas hier im Forum geduldet?

He is spamming all knx forums...

Fernwartung Telenot? Schäm dich ????

gefällt mir!

Die Aussagen bisher machen mich mehr als stutzig. Auf Basis dieser Aussagen würde ich der Sicherheit eurer CloudServer sehr misstrauen.
Und wenn jemand Zugriff auf euren Cloudserver bekommt, kann er plötzlich alles bei allen Kunden machen, was Systemintegratoren auch können.
Davor hätte ich Angst!
Dem schließe ich mich zu 100% an. Bei mir kommt auch niemand im VPN irgendwo hin, wo er nicht soll. Zusätzlich wird jeder einzige Zugriff protokolliert und einem user zugeordnet.
Wenn das nicht eindeutig klappt, gibts eine Warnung. IPs werden schnell gesperrt, PortKnocking wird im Hintergrund benutzt, https-Client-Zertifikate werden
für die Visu verwendet, der SI bekommt per Zeitvorgabe begrenzten Zugang auf seine Fixe oder mobile IP, die in der Visu anlassbedingt freigeschalten wird.

Eine (beliebige) Cloudlösung würde das Sicherheitsniveau massiv reduzieren und die Abhängigkeit von einer einzigen Firma, die es in 20 Jahren vielleicht nicht mehr gibt, sollte jemanden ebenfalls stutzig machen. Ich denke nicht, dass meine Frau in 20 Jahren, wenn irgendjemand der Cloudlösung den Stecker zieht, alleine von solch einer Lösung weg migrieren könnte, weshalb ich das im Vorfeld schon mit einplane und ganz bestimmt unabhängig (und damit einfacher) bleiben möchte.
(... und es gab schon viele Cloudlösungen auch von sehr großen Anbietern, die plötzlich eingestellt wurden.)


So, ich bin raus aus dem Thread, ist komisch und bleibt komisch.

Wie ist das eigentlich bei ISE bzw. Gira S1, was genau läuft dort über den Server des Anbieters?

edit:
Ich habe gerade mal geschaut, ob ich den Serverstandort finde, wo der Portalserver "Secure device access" des ISE Smart Connect läuft.
ping www.securedeviceaccess.net ergibt 149.81.100.67
IP-Abfrage findet diese Adresse beim Clouddienstleister "Softlayer" aus USA, der inzwischen von IBM aufgekauft wurde. Der Dienst heisst jetzt "IBM Cloud".

editedit:
Die Gira-Seite httpaccess.net wird laut meiner Abfrage ebenfalls dort gehostet.

Du hast sicher keinen IPV6 Anschluss oder?

Also ich kenn euren Businessplan nicht und er ist mir gelinde gesagt auch sch.. egal. Ihr habt euch das ausgedacht und nun lebt damit und macht nicht
anderer Leute madig.

Ja ich fahre zu den Leuten hin wenn Sie Probleme haben oder was geändert haben wollen. Denn meist ergeben sich vor Ort noch andere Dinge,
die so nicht aus der Ferne ersichtlich sind und erst im Gespräch mit dem Kunden am Livesystem simuliert und erkannt werden.
Ich verliere dabei keine Zeit und kein Geld. Denn ich werde für meine Arbeit bezahlt.

Durch intelligente Hausbesitzer wahnsinnige Geldbeträge verlieren ?
Wie soll das denn funktionieren?
Es gibt ein Pflichtenheft und einen Leistungskatalog.
Was da drin steht wird umgesetzt und vorgeführt. Danach gibt es ein Abnahmeprotokoll was vom Hausherren unterschrieben wird.
Wie will er mir dann im Nachgang den ***** aus der Hose klagen?

Lese ich den Satz falsch oder hast Du Probleme die grammatikalisch korrekt auszudrücken?

Übrigens arbeite ich mit der App nur im WLAN und überlassen dem Kunden die Entscheidung ob er sich einen Fernzugriff einrichtet.
Ich weise drauf hin und treffe die Entscheidung nicht selbst.
Damit bin ich für mich komplett aus der Verantwortung wenn er da ein unsicheren Port nach draussen aufmacht.

Der größte Hemmschuh der Kunden ist doch das ‚nicht selbst Hand anlegen können‘ bzw. der dadurch entstehende Eindruck das System sei absurd komplex und damit absurd teuer. Dadurch werden ja die smartphonehomes gepäppelt und Firmen die die Dinge vermeintlich einfacher und sicherer machen unterstützt. Am Ende schöpfen die Kunden nicht das volle Potential dieser Technologie, zahlen vergleichbar viel aber werfen es denen in den Rachen die marketing besser verstanden haben Als die KNXA.

Leute, danke für die Kommentare. Und schließlich - denke ich - hat sich daraus eine recht produktive Diskussion über Sicherheit entwickelt.


1.VPN ist eine sehr gute Lösung (wie im Artikel erwähnt), aber ...

vento66 - Alles, was du gesagt hast, ist wahr, und VPN - wenn das Setup alle Funktionen unserer oder der Gira Lösung richtig abdeckt.
Wir haben jedoch festgestellt (wie im Artikel geschrieben), dass die Einrichtung des VPN auf einem Router in der Praxis weit verbreitet ist. In diesem Fall werden auch alle mit dem Netzwerk verbundenen Geräte angezeigt. Und hier sehen wir das Problem, wenn jemand das VPN-Zertifikat in die Hände bekommt.

​
2. Cloud-Exponierung sollte kein Tabuthema sein.

Cybso - Du hast Recht. Auf die gleiche Weise kann jede Cloud-Komponente durchbrochen werden. Ich denke, das sollte kein Tabuthema sein und das ist einer der Gründe, warum wir diesen Artikel geschrieben haben. Wir verfügen über ein Team von Experten, die so hart wie möglich daran arbeiten, dieses Risiko zu minimieren. Hand in Hand haben wir Praktiken anstelle dessen, was zu tun ist, wenn die Datenschutzverletzung eintritt. Wir haben unsere gesamte Server-Infrastruktur in Deutschland und sie läuft auf Hetzner.

Also treffen wir jede erdenkliche Vorsichtsmaßnahme. Aber niemand kann behaupten, dass die Cloud nicht durchbrochen werden kann.
Aber bedeutet das, dass wir nicht eine der besten Komponenten im Computing verwenden sollten, die je entwickelt wurden? Lassen Sie uns dann auch einfach unsere Smartphones aufgeben. Computer auch? Sollten wir dann auch aufhören, Autos zu fahren, weil es gefährlich sein kann?

3. Warum beenden wir nicht das Port-Forwarding-Produkt?

Zunächst einmal bieten wir den Kunden von Gira X1, Gira HS und Loxone Miniserver nur das Cloud-Produkt an - da diese Hersteller bewerten Port-Freigabe als nicht gefährlich auf ihren Gateways (und die die Fernsteuerung genauso funktioniert).
Wir vermitteln, dass es eine viel sicherere Option gibt (1Home Box), aber die meisten Leute schätzen, dass ihre Exponierung nicht so groß ist. Wie im Artikel angegeben: Ihr Sicherheitsrisiko ist so groß wie die Motivation von jemandem, dein Netzwerk zu durchbrechen.
Für die KNX IP-Schnittstelle ist 1Home Box der richtige Weg (lokale Anbindung an das Gateway). In keinem Fall empfehlen wir Port-Forwarding - Leute, die wissen, was sie tun - öffnen es nur für den ersten Test.

4. Dies ist kein Marketing, sondern Produkttests.

Wir sind also KNX-Mitglied, Forumssponsor und bezahlen auch Bannerwerbung im Forum. Wir wollen und haben jedes Recht, Teil der Community zu sein - und wir achten auch darauf, die Grenze nicht zu überschreiten, indem wir hier tatsächlich gewerbliche Beiträge leisten. Jedes Mal, wenn wir posten, sprechen wir über Technologie und reale Anwendungsfälle.

Es tut uns leid, wenn wir dich mit unseren Beiträgen hier verärgert haben, das ist nicht unsere Absicht. Es ist jedoch interessant zu sehen, dass es nicht die anderen zu stören scheint, sondern nur bestimmte und immer die gleichen.

Du hast immer die Wahl, unsere Threads zu ignorieren. Sie sind deutlich mit unserem Firmennamen gekennzeichnet. Und wenn du denkst, dass der Zweck Marketing ist, warum ignorierst du nicht einfach unseren Thread und senkst unsere Reichweite?

Aber bitte versteh mich nicht falsch, wir sind immer offen für aufrichtiges und konstruktives Feedback. Und natürlich sind wir mehr als glücklich, über Technik zu diskutieren.

Bis hier hin OK....

Ab hier wird's Polemisch. Ihr seid nicht Google oder Apple, die Millionen in die Absicherung ihrer Server stecken können und vermutlich die besten Security-Experten der Welt haben. Und selbst denen passieren regelmäßig Unfälle. Ja, Computer und Smartphones sind ein Sicherheitsrisiko, und das ist den meisten Leuten auch bewusst. Aber ihr stellt euch hier hin und bepreist die Sicherheit eurer Architektur als besser als die des Wettbewerbs, obwohl ihr gleichzeitig einen zentralen Zugangspunkt schafft, um die Hardware eurer Kunden fernzusteuern. Gerade in diesem Punkt ist eine VPN oder eine passive Portweiterleitung eurer Architektur aber sogar überlegen, da eben jede Node einzelnd angegriffen werden müsste.

Damit seid ihr halt auf dem selben Niveau wie jedes IoT-Device, welches eine permanente Verbindung zu einem Kontrollserver offen hält. Das ist nicht schlimm, aber man sollte dann eben auch dazu stehen.

Dann mal Tacheles:

Die Box hat einen Stromanschluss und braucht damit ein CE Kennzeichen. Ich würde gerne die Erklärung, das Datenblatt und das Handbuch sehen.

Weiter hätte ich gerne Referenzen wie die Box in den Installationsverteiler eingebaut werden soll. Der Hutschienenadapter ist so platziert, dass die Box niemals hinter die Abdeckung passt. In einen Schaltschrank (so wie ihr schreibt) würde die Box allerdings passen.

Danke.

Edit: was kaufe ich eigentlich für 499€? Ein fertiges Produkt oder ein Gehäuse für einen RPI auf das ich noch ein Image spielen muss? Letzteres habe ich aus dem übersichtlichen Schnellstart.

Edit: arbeitet ihr mit Pollin zusammen? Immerhin sagt ihr, dass das RPi3 Starterset dort zu kaufen ist erwähnt aber keine Alternativen (die es gibt). Nicht das ihr den Kunden so um die Möglichkeit bringt weniger Geld zusätzlich zu den 499€ ausgeben zu können.

Hmmm .. wenn ich in die Anleitung zum X1 schaue, dann ist dort der Fernzugriff über S1 (Hardware) und eine Anleitung zur Konfiguration mit OpenVPN beschrieben.

Und im Gira FAQ findet man dies: "Über den Port 4432 kann der X1 direkt angesprochen werden, allerdings ist die favorisierte Lösung von Gira die sichere OpenVPN Verbindung."

Die Anleitung zur maximal unsicheren Lösung - Port des IP-Interface öffnen - findet man nicht bei Gira & Co sondern auf eurer Webseite in der Anleitung um eure Cloudlösung zu testen. Und dann gibt's hier im Post #1 euren Artikel, wo beschrieben ist, warum genau das so eine schlechte Idee ist. Etwas schizophren, oder?

Danke für die Klarstellung - Werbung von Forumssponsoren ertragen wir geduldig, weil es zur Finanzierung des Forums nötig ist.

Abendliche Grüße,

Ich hätte da ein paar Fragen über Eure Technologie die ja Bestandteil dieses Threads ist.
Es wird nirgends erläutert wie ihr dies technisch bewerkstelligt. Soweit ich das verstanden habe öffnet eure Box einen VPN Tunnel zu einem zentralen Server welcher unter Eurer Kontrolle steht. Wie kann ich als Anwender sicherstellen dass ihr nicht auf das gesamte Netz zugreift welches sich hinter Eurer Box befindet.

Der erste Satz klingt nach Marketing Kauderwelsch. HTTP schützt by Design nichts. Was bedeutet denn Sicherheitskennung und wie sollte diese etwas schützen?
Der zweite Satz verwirrt mich dann vollkommen. HTTP/S setzt genauso auf TCP auf. Warum teilt ihr dies extra auf. Noch dazu bleibt ihr eine Erklärung schuldig was denn mit VPN-ähnlich gemeint ist.

Leider habe ich beim lesen eures Blogartikels stehende Nackenhaare erhalten. Wenn ihr Produkte für mehr Sicherheit auf den Markt bringen wollt dann kommt ihr an gewissen Standards nicht vorbei. Lasst euch ISO/IEC 27001 zertifizieren, stellt die technischen Spezifikationen Eures Business Case bereit, meldet euch bei CVE an und baut euch einen guten Ruf unter versierten Anwendern auf. So wie ich eure Beiträge bisher wahr genommen habe könnte ich euch niemand weiter empfehlen.

Geht denn die Nerverei dieser Firma hier schon wieder los? Ich dachte, die Resonanz auf die letzte Werbeattacke im Juli hätte für längere Abstinenz gereicht?

EDIT: aha, Forumssponsor. Meine Güte, kann man das nicht anders regeln? Ich bin sicher, dass es hier viele User ohne gewerblichen Hintergrund gibt, die hier was zur Finanzierung springen lassen würden (mich eingschlossen), um von solchen Nervbeiträgen verschont zu bleiben. Das ist bald nicht mehr auszuhalten.