Wozu dann teure Router, wenn der Nutzer nicht zugreifen darf? Ich kann mir nur vorstellen, daß du mit deinen Maßnahmen externen Zugriff auf das Routing der IP-Linie blockieren kannst, während Zugriff per Tunneling in die Sublinie erlaubt ist.
Aber ich bleibe dabei: du schaffst Probleme, die schwer zu lösen sind, und sobald man es sicher machen will bleibt kein erkennbarer Mehrwert.
-
bei IP kann schon der Switch das Gerät ignorieren, sofern es sich nicht um den erlaubten IP Router handelt ... der Trend geht in der IP schon seit einiger Zeit auf Zero-TrustEinen Kommentar schreiben:
-
Bei TP gibt es die Koppler die die Telegramme filtern und die Programmierung lässt sich auch als nicht linienübergreifend einstellen. Und gegen Programmierversuche auf allen Linien hilft je ein MDT-Safe-Modul. Damit halte ich die TP-Linien für recht sicher.
Bei IP sehe ich da noch keine Chance das sicher zu blocken.Einen Kommentar schreiben:
-
Zitat von 6ast Beitrag anzeigen
Es tut mir leid, aber ich sehe hier leider kein Unterschied zu TP und ich beschäftige mich tatsächlich seit 2011 beruflich mit Datenschutz. IT-Sicherheit noch länger.Einen Kommentar schreiben:
-
Ich geb's auf, du willst es nicht verstehen.Zitat von EugenDo Beitrag anzeigen
Privatsphäre ist schon bei den Türkommunikationssystemen ein wichtiges Thema, was dort auch technisch umgesetzt ist.
Und du gibst jedem die Möglichkeit, sich beim unverschlüsselten KNX in Sekunden Vollzugriff zu verschaffen auf fremde Wohnungen ... Ich wünsche dir ein glückliches Händchen bei der Auswahl deiner Mieter!Einen Kommentar schreiben:
-
Egal wie man es macht, sollen da aber sowas wie G1 einziehen hat man das IP-Netzwerkproblem schon in jeder Wohnung.
Ggf bringen die Secure-Optionen Mal mehr Sicherheit in den Konstellationen. Aber bis zum G1 IP-Secure dauert es wahrscheinlich noch eine Weile.Einen Kommentar schreiben:
-
Das ist nur die Möglichkeit der Erweiterung, falls der Mieter eigenen Spieltrieb entwickelt. In dem Fall wird der Mieter einfach von meinem Netz abgetrennt und hat seine eigene Backbone. Im TP Fall geht das aber nicht mehr.Zitat von 6ast Beitrag anzeigen
In meinem MFH mit 5 WE hat das noch kein Mieter gewollt, sich mit KNX zu beschäftigen. Die finden das cool, dass es geht und bei Problemen muss ich das eh lösen. Ich sehe hier kein Problem mit Datenschutz. Zumindest wird dieser nicht anders als schon im TP Fall.
Einen Kommentar schreiben:
-
Ich kann deiner Argumentation nicht folgen ...Zitat von EugenDo Beitrag anzeigen
Oben schriebst du was von KNX IP Geräten in der Wohnung, und dazu muß es in der Wohnung nicht nur die untergeordnete TP-Linie geben sondern Vollzugriff auf die übergeordnete IP-Linie. Und da ist alles an KNX IP Multicast drauf für alle Wohnungen, wie willst du das mit einer Firewall filtern?
Ja, beispielsweise. Oder in einem verschlossenen Schrank.Zitat von EugenDo Beitrag anzeigenZuletzt geändert von Gast1961; 24.02.2020, 10:28.Einen Kommentar schreiben:
-
Zitat von 6ast Beitrag anzeigen
Du müsstest schon alle Koppler in einem abgeschlossenen Raum habenEinen Kommentar schreiben:
-
Zitat von 6ast Beitrag anzeigen
wie kommst Du auf fremde Telegramme? Du siehst nicht mehr, wie Du sonst auf der TP Ebene auch sehen wirst. Statt einem TP-Koppler, hast Du halt einen KNX IP Router ...
alleine per VLAN kannst Du ja z.B. schon mal die Geräte eingrenzen, die in dein KNX IP Netz dürfen. Eine Firewall verhindert, dass ein neues unbekanntes Gerät in das Netzwerk aufgenommen wird.
Einen Kommentar schreiben:
-
Hmm? Wie willst du mit einem Switch/Firewall verhindern, daß man beim Zugriff auf KNX/IP fremde Telegramme sieht? Ich halte deine Lösung für sehr problematisch, was Datenschutz/Privatspäre der Nutzer angeht, sofern die Zugriff auf die IP-Seite haben.Zitat von EugenDo Beitrag anzeigen
Bei TP kann ich die Koppler irgendwo zentral verbauen, wo nicht jeder physischen Zugriff hat, und in den Wohneinheiten ist dann erstmal nur die "eigene" Linie verfügbar. Also keinen fremden Daten.Zitat von EugenDo Beitrag anzeigen
Das ist also deutlich besser abgrenzbar als wenn jeder Bewohner für "seine" KNX-Zugriffe über die gemeinsame IP-Linie einsteigt, oder überhaupt physischen Zugriff auf eine übergeordnete IP-Linie hat. Das ganze Problemfeld kann man doch komplett vermeiden, indem man TP-Koppler verwendet.Zuletzt geändert von Gast1961; 24.02.2020, 10:19.Einen Kommentar schreiben:
-
Zitat von 6ast Beitrag anzeigen
das ist nicht anders als bei TP, Du hast auch Zugriff auf die TP Hauptlinie ... Vorteil bei IP ist aber, dass Du auf Switchen und Firewalls, sofern die Funktionen vorhanden sind, die Kommunikation einschränken kannst.Einen Kommentar schreiben:
-
Deine Scheinlösung (Router pro Wohneinheit) bedeutet aber, daß dann von jeder Wohnung aus per IP Vollzugriff auf die IP-Linie (incl. aller darunterliegenden fremden Wohneinheiten) besteht. Das ist doch komplett vollständig total inakzeptabel.Zitat von EugenDo Beitrag anzeigenEinen Kommentar schreiben:
-
Hallo zusammen
Vielen Dank für eure Antworten. Einig sind wir uns glaube ich in dem Punkt, dass wir uns uneinig sind ;-) Ich persönlich bevorzuge momentan die Lösung über IP. Ich sehe da bei der Verkabelung der Wohneinheiten nicht wirklich einen Nachteil. Sollte eine Wohneinheit von den anderen getrennt werden müssen, kann ich den Stecker ziehen und dann hat sich dies mehr oder weniger erledigt (natürlich entfällt dann der Vorteil einer KNX installation bei der ich z.B die Wetterdaten auf mehrere Wohneinheiten verteilen kann)Einen Kommentar schreiben:
-
Ah jetzt weis ich was Du meinst! Bei Gira ist es doch nicht unbedingt notwendig, und wenn jemand mit Tasmota und co experimentiert, kann er auch einen eibd / knxd vor das IP Gateway basteln. Und Axis IP halte ich jetzt in einer Wohnung eher für ungewöhnlich. Aber auch nicht unmöglich....Einen Kommentar schreiben:
Einen Kommentar schreiben: