Interessanter Ansatz. Den eibd Code schonmal angeschaut?

Ich dachte auch eigentlich eher an die andere Richtung...

Auch wenn sich die Sache mit dem gehackten Wasserwerk in den USA und den heißgelaufenen Pumpen nun als Hoax herausgestellt hat, so richtig überrascht hat es Keinen. Wenn irgendwo was "offen" ist, wird es auch früher oder später jemand finden und seinen Spaß damit haben. Ich habe zwar keine Raketenabschußrampe, aber wenn es mir einen Aktor oder ein anderes KNX Gerät zerschießt finde ich das trotzdem alles andere als lustig...

Erstens, wir sind völlig OT, ist aber auch egal weil die initiale Frage beantwortet ist (da ging es darum, mit security-paranoia ein eigentlich nicht existentes Problem zu verbessern ))
Egal..

Ja, das ist das Problem, diesen Part habe ich ehrlichgesagt aber zumindest was das religiöse angeht: aufgegeben!

Wem es entgangen ist, ich komme aus der Ecke, IPSec-VPN's mit zwar einzig richtigen aber paranoiden X.509-Zertifikaten sind mein täglich Brot.
Nur ist mir ebenso klar, das man das keinem normalsterblichen in unter 960h vermittelt bekommt..

Der bekommt nach bestem wissen & gewissen ein 100% sicheres VPN auf dem Silbertablett, mit CA, Zertifikaten, lokalem HW-RNG, beim Kunden generieten Keys und allem PiPaPo, TA-Keys usw.. ehrlich: mehr kann ich da aus Herstellersicht nicht tun.
Er kann es nun annehmen (tun einige auch gerne) oder eben nicht, fertig.

Wenn man dafür 3570.- EUR aufruft sind dann auch Einzelschulungen zum Thema IP-Grundlagen drin, sonst eher nicht Aber die bekommt man bei anderen Produkten auch nicht, oder steht das beim HS, N146 oder .. dabei?..

Makki

@Makki: Das war keine Kritik an Dir oder dem WG, sondern an der Annahme "na die werden schon Wissen was sie da tun"

Habe ich auch nicht als solche verstanden, ich wollte nur darlegen warum es so ist wie es ist

Denn sie wissen eben nicht was sie tun, daran kann ich aber ohne die Hand Gottes auch nichts ändern - sowas banales wie KNX kann man im Forum erklären, IP/Security-Grundlagen: sorry, unmöglich..

Das es nunmal eine ziemliche Sch*-Idee ist Port 3671/UDP oder einen HS ins Internet weiterzuleiten kann ich zwar gebetsmühlenartig wiederholen aber nicht verhindern.
Dem WG-Kunden werden die richtigen Mittel in den Schoss gelegt (VPN mit Zertifikaten, ist halt das einzig wahre, statische PW sind nunmal per se schrott -> gescheit oder garnicht..)
Kernschrott zusammenbasteln können andere einfacher&besser, da halt ich mich raus..

Makki

P.S.: Ich hab mir mal vorgenommen das mit Reverse-SSL-Proxy und Zertifikaten zu dokumentieren, was die einzig brauchbare Alternative wäre, ist halt nur mittelmässig anstrengend, wie das mit richtiger Security halt immer so ist..

Bin zufällig gerade mal wieder in der BCUSDK README gewesen und was springt mir da doch tatsächlich ins Auge:

Und jetzt?

War genau auch mein erster Gedanke: und weiter?

Ich gebe gerne zu die IMHO wenig zielführende Warnung in meinen Paketen zu entfernen, das mag aus hehren Grundsätzen richtig sein aber in der Praxis IMHO ziemlich sekundär!
Besser wäre: "You should not run eibd or have EIB/KNX at all, if your LAN isn't properly secured against external access!"
Welche Rolle spielt es bitte, ob der eibd als root läuft, wenn man da hin kommt??
Das Kernproblem ist hier wirklich nicht, das die Kiste mit dem eibd drauf vom KNX aus gehacked werden könnte

Makki

Wie schon anderswo diskutiert ist das Ansichtssache. Muss jeder für sich selbst entscheiden.