Zitat von Knochen
Beitrag anzeigen
-
Ich häng mich jetzt auch dazu.
In meiner Installation ist kein BAU Passwort vergeben.
Bei mir gibt es nur eine Port-Weiterleitung auf den Gira Homeserver mit dem Port 443.
Ist das alleine schon ausreichend um die Geräte mit einem BAU Passwort zu verschlüsseln?
Ansonsten gibt es noch ein VPN Gateway.
Die Portweiterleitung auf den HS habe ich jetzt sicherheitshalber deaktiviert.
Welche Ports sind bei den betroffenen Usern offen, dass es zu diesem Hackerangriff kommen kann?Einen Kommentar schreiben:
-
Ich Antworte mir mal selber, habe es in der ETS Hilfe gefunden:Zitat von mmarkus Beitrag anzeigen
Öffnet einen Dialog zum Ändern des BAU-Passworts, das zugehörige Projekt muss dazu geöffnet sein.BAU- Password ändern
Ändern
Geben Sie das alte und zweimal das neue Passwort ein und klicken Sie anschließend zum Bestätigen auf OK. Wird zum ersten Mal ein Passwort eingegeben, so muss kein altes Passwort eingegeben werden.
Deaktivieren
Um den Passwortschutz zu deaktivieren, geben Sie das alte Passwort ein, lassen Sie die anderen beiden Felder frei und klicken dann auf OK.
Verfahren
·Wird das BAU- Passwort gesetzt (sog. Access Key), so werden alle KNX Geräte in diesem Projekt - welche diese Funktion unterstützen - während des Programmierprozesses mit diesem (einem) Passwort gesperrt. Diese Geräte können später ohne dieses Passwort weder ausgelesen noch geändert werden.
·Bei Zugriffen auf ein Gerät durch die ETS ist das Verfahren im Umgang mit dem Passwort folgendes:
oWenn im Projekt ein Passwort gesetzt ist und das Gerät mit dem gleichen Passwort verriegelt ist, erfolgt keine Nachfrage durch die ETS (Normalfall)
oDie ETS Nachfrage sollte nur kommen, wenn das Gerät mit einem Passwort verriegelt ist, das nicht gleich dem BAU Passwort des Projektes ist. Oder wenn das Passwort zwar stimmt, die ETS damit aber nicht mindestens Zugriffslevel 2 erreichen kann (Definition der Zugriffslevel, siehe KNX Spezifikation, meistens 3 verfügbar, 0 .. 2 für die Konfiguration mit der ETS benötigt).
Hinweise
·Ist kein Passwort vergeben, ist das Textfeld leer, ist ein Passwort vergeben wird dies mit "llll" im Textfeld angezeigt.
·Groß/Kleinschreibung wird nicht unterschieden (da am Ende ein 0x0a/0x0A immer zu 10d führt)
·Das Passwort ist maximal 4 Byte lang, die Eingabe erfolgt in hexadezimaler Form von maximal 8 Zeichen [0-9,a-f,A-F]; z.B. als "11AA00FF" oder "11aa00ff" (entspricht 296354047 dezimal).
Achtung
·Verwenden Sie diese Option daher mit Vorsicht; bei Verlust des Passworts müssen diese Geräte an den Hersteller zurückgesendet werden, vergessene BAU Passwörter in den Geräten lassen sich nicht von außen ändern/ zurücksetzen, dann wäre der Schutz in der ETS überflüssig (natürlich wissen die Hersteller selber wie es geht).
·Wird das BAU- Passwort nach dem Programmierprozesses nachträglich geändert oder überhaupt erstmalig für das Projekt vergeben, ist es in der Installation solange nicht verfügbar bzw. aktualisiert, bis die entsprechenden Geräte (welche das unterstützen) wieder geladen werden. Durch so ein Verfahren kann es theoretisch dazu kommen, dass in einer Installation mehrere BAU- Passworte zugleich aktiv sind, im Fall das dass ursprüngliche BAU- Passwort nachträglich (bei einigen aber leider nicht allen Geräten geändert wurde) fragt die ETS beim erfolglosen Gerätezugriff mit dem neuem Passwort das korrekte (alte) Passwort ab.
Sie sollten demzufolge ... sorgfältig sein und aufpassen was Sie tun ...Einen Kommentar schreiben:
-
Solange er die Prozedur nicht irgendwann in ein kleines Stück Schadsoftware packt und clever verteilt, kann man noch entspannt sein.
Ab dann wird's lustig!Einen Kommentar schreiben:
-
Ich komme aus Augsburg, kenne mich bisschen aus, hab die ETS mal gesehen, war auf dem Dach mit einer Drohne und konnte Zugriff auf die KNX Installation erlangen.
Als BAU Passwort habe ich das sicherste meist nie benützte Passwort genommen. 1234
🤷♂️
sorry. 1 BTC bitte auf mein Konto 6567467457536732347656885466Einen Kommentar schreiben:
-
Wäre interessant ob das BAU Passwort wirklich verschlüsselt im BCU Speicher steht?Einen Kommentar schreiben:
-
Auch eine Lösung. Dann nur gut merken!Zitat von madmaxx Beitrag anzeigenEinen Kommentar schreiben:
-
Diese Gedanken habe ich mir auch gerade gemacht. Mann könnte im privaten Bereich das PW ja auch direkt auf die Geräte schreiben.Zitat von madmaxx Beitrag anzeigen
Wie ist das, wird das Baupasswort pro Gerät gesetzt oder für das ganze Projekt?Einen Kommentar schreiben:
-
Kann das MDT Sicherheitsmodul auch das Setzen eines BAU-Passworts verhindern? Im technischen Handbuch gibt es dazu keine Aussagen.Einen Kommentar schreiben:
-
Bei einem neuen Router is keine Weiterleitung eingerichtet, das muß schon jemand wissentlich machen.Einen Kommentar schreiben:
-
Schon den oben verlinkten Thead hab ich mit leichter Anspannung gelesen, da mir gar nicht bewusst war, dass es diese Funktion gibt. Wäre es als vorbeugende Maßnahme nicht clever, generell selbst ein BAU-Passwort zu setzen? Selbst wenn der Port, aus welchen Gründen auch immer (fehlerhafte Einstellung, neuer Router,...), von außen erreichbar wäre, würde doch der Manipulationsversuch in Leere laufen?!
Und nein, bei mir ist der Port ist nicht offen (gewesen).Einen Kommentar schreiben:
-
Interpretiere ich das richtig, dass du jetzt also keine Portweiterleitung mehr hast?Zitat von Tomm25 Beitrag anzeigen
Das ist ja fast noch beängstigender, da dann der Angriff ja aus deinem eigenen Netz gekommen sein muss.Einen Kommentar schreiben:
-
Hab das selbst verbrochen dazu steh ich....das Problem mit dem offenen Port kenn ich , hab da Mal einen Hinweis von der Telekom bekommen und das behoben und dann war eigentlich gut ....hab das nach außen gesperrtEinen Kommentar schreiben:
-
Das ist wohl auch eher historisch begründet. Zudem sollte es wohl sicherstellen, dass im laufenden Betrieb niemand umkonfigurieren konnte (gerade damals, als man noch per RS232 an die Anlage ging).
Einen Kommentar schreiben:
Einen Kommentar schreiben: