Oh, dann habe ich das falsch verstanden ... ja da gebe ich dir völlig recht. Aber KNX ist nunmal die einzige Automationslösung, welche wirklich herstellerübergreifend ist und für mich von daher alternativlos. So lange KNX getrennt als TP-Bus gelaufen ist (und das macht es auch bei mir, mal abgesehen von der IP-Schnittstelle) war das alles kein Problem. Aber mit der zunehmenden Vernetzung muss man sich leider auch Gedanken zur Sicherheit machen.

Das hatte ich bereits (in Teilen) geschrieben, hier nochmal zusammengefasst, was mir spontan dazu einfällt:

1. den IT-Zoo klein halten und Altes/Ungebrauchtes konsequent abschalten/entsorgen
2. Software aktualisieren um sicherheitsrelevante Lücken zu schliessen (@gaert: ja, ich sehe sehr wohl das Risiko, dass man einen Bug gelöst bekommt und 2 neue hinzu ... und das ärgert mich auch immer masslos) ...
3. Lokale Firewalls und System-Nahe IPS nutzen ... gerade für edomi (also im "offenen" Linux-Umfeld) gibt es einiges, wenn es der Vendor gaert denn zulässt, z.B. Snort, iwatch, logwatch, Tiger Audit ... ja ist nicht nur intial mit deutlich mehr Aufwand verbunden als regelmässige Updates
4. IP-Schittstelle(n) in ein separates Segment an eine Firewall und nur noch erlauben, was explizit erwünscht ist ... z.B. den KNX-Tunnel
5. Server (z.B: Home-Server oder auch Edomi) können gerne mit in dieses Segment, aber auch in eigenen Segmenten platziert werden ... ebenfalls wieder alles zu machen und nur offen lassen, was es wirklich braucht ... z.B. http/s.
6. die Firewall darf ein IPS haben, ein IPS macht aber nur wirklich Sinn, wenn:
   1. die Signaturen des IPS aktuell gehalten werden (und hier geht es leider kaum ohne kostenpflichtige Subscription, da die freien Signaturen nur auf "frei verfügbaren" Informationen basieren und nein, ich verkaufe die nicht, habe also keinen Gewinn daraus)
   2. der Traffic unverschlüsselt ist (ja richtig gelesen "unverschlüsselt") weil im verschlüsselten Traffic kann auch eine Firewall/IPS nicht mitlesen und nur noch aufgrund von Traffic-Mustern analysieren (also z.B. wenn der durchschnittliche Traffic 100kBit/s ist und plötzlich ist der Link voll ausgelastet, wird das IPS das als Bedrohung erkennen, ein Update könnte aber auch diesen Datenverkehr auslösen und dann als "false positive" gewertet werden, muss man halt entsprechend anschauen und tunen
   3. alternativ die Firewall/IPS auch als Applikations-Proxy fungiert und den verschlüsselten Traffic entschlüsseln kann (aka SSL-Interception)
7. Smart-Phones sind "böse" ... und zwar schlimmer als der Laptop/PC mit Windows drauf, der immer zu Hause steht und mehr oder weniger regelmässig seine Updates macht. Vor allem Android entwickelt sich aufgrund der Vernachlässigung bei der Software-Pflege durch die Hardware-Hersteller zum Problem und die Dinger schwirren ja auch schonmal "ungeschützt" im Internet, je nach Provider sogar mit einer offiziellen IP ... den einen freut's der andere weiss nix davon und wird zum Opfer --> einsperren und nur durch eine Firewall kommunizieren lassen.
8. VPN-Clients ebenfalls nicht ungehindert in's LAN und zu den Servern lassen, ist der Tunnel erstmal offen, kann ungehindert der Traffic reinkommen. Hey und wenn ihr schon VPN macht, dann könnt ihr das auch als Internet-Access nutzen und eure Firewall/IPS schützt euch nit ... that's a give away ...
9. regelmässige Backups für den Fall dass ...

Ja ich weiss, klingt alles sehr aufwändig und auch ich setze davon (privat) nicht alles konsequent genug um, weil es wirklich Aufwand bedeutet. Aber gerade die kleinen Dinge wie "Aufräumen", Updates, Segmentierung & Backups bringen den grössten Nutzen, weil sie das Risiko direkt verringern.

Aber das kann man sicher in den Weiten des Internets alles viel besser zusammenfinden, mir ging es intitial um das Thema Updates des CentOS, was gaert ja vorsichtig positiv beantwortet hat (ja auch Updates bergen Gefahren).

Gruss

fasi