Wenn dies dein erster Besuch hier ist, lies bitte zuerst die Hilfe - Häufig gestellte Fragen durch. Du musst dich vermutlich registrieren, bevor du Beiträge verfassen kannst. Klicke oben auf 'Registrieren', um den Registrierungsprozess zu starten. Du kannst auch jetzt schon Beiträge lesen. Suche dir einfach das Forum aus, das dich am meisten interessiert.
wo Du jetzt schon die Panikkeule rausholen must: Jetzt bleiben wir bei deinem Konstrukt mit dem Spital: Du hast jetzt Busszugriff und nun? Ausser Licht und Jalousie wirst Du nicht viel machen können Ok dann schaltest Du ein paar mal das Licht, und verfährst die Jalousie. Und nun? Spätestens in einer halben Stunde ist der Bus abgeschaltet, und das licht geht automatisch an... Super!
Naja mal nicht auf Hotel / Krankenhaus oder sonstige öffentliche KNX-Installationen bezogen sondern mein privates KNX-Haus.
Derzeit läuft die ganze Anlage vollkommen offline, meine ETS kennt nur USB und grüne KNX-Leitungen.
Hat jemand ein IP-Gateway und das auch noch an der Internet-Fritzbox, dann ist es meiner Meinung nach vorrangig wichtig dafür Sorge zu tragen, dass das GW dicht ist oder gleich die Fritzbox. Warum sollte ich im EFH den internen KNX-Bus-traffic verschlüsseln mit allen Nachteilen die hier genannt wurden, weil entweder ich als Fritzbox-user zu blöd bin ne gescheite Firewall zu installieren oder weils nen Consumer-Produkt ist und der Herrsteller unfähig ist diese Gateways abzusichern. Denn eigentlich gibt es keinen Grund warum die KNX-Geräte mit dem Internet reden sollten können. Und wenn ich das schon nicht hinbekomme das mein IP-Gateway nicht dicht ist, brauch ich den KNX-Traffic nicht auch noch absichern wollen, weil ich dazu dann mit Sicherheit auch zu blöd bin und dann auch nicht richtig funktioniert.
Insofern über die IP-landschaft gesprochen wird gehört verschlüsselte Kommunikation dazu aber eben im IP-Bereich. KNX-TP ist kein IP.
In öffentlichen Gebäuden macht das ggf noch Sinn damit der gewiefte KNX-Hotellbetrüger nicht mit seinem Laptop den Lichtschalter von der Wand zupft und die TP-Anlage manipuliert. Aber dafür gibt es derzeit Produkte eine Linie vor unautorisierter Veränderung zu schützen. Den zusätzlichen Schutz des eigentlich legitimierten Traffics in der TP-Anlage, ja kann man machen weil auch das könnte sich da ggf so ein böser Bub vornehmen.
Im EFH Bereich ist es eben einfach nur wichtig die Schnittstelle in die IP-Welt und vorallem in die externe IP-Welt, nicht unbedingt mal ins reine LAN abzusichern.
Wer sein Häusle unbeding via Handy von sonstwo bedienen will, sollte auch genau da den Focus der Sicherheit legen. Weil wenn der böse Haushacker da drauf ist, ist es doch eh zu spät und es ist dann auch egal ob sich der Taster verschlüsselt mit dem Aktor unterhält. Im reinen LAN kann man heute schon viel mehr Ärger anstellen als das Licht ne weile sinnlos brennen zu lassen.
Oder was natürlich noch kommen kann, die KNX baut jetzt mal langsam das "sichere" KNX als Standard auf und wie ich den Foliensatz der KNX vom Münchner Symposium 2016 noch in Erinnerung habe, folgt dann das der gesamte KNX-Traffic zukünftig nur noch KNX-IP sein wird. Der Anwendungsbereich KNX-TP dann nur noch eine kleine Randerscheinung im Neugerätemarkt sein wird. Und da wir ja die überaus schnellen Entwicklungszyklen der KNX kennen ist das nichts was uns in 5-10 Jahren trifft aber danach denke ich kann das passieren. Und die ETS wird dann ggf nur noch IP können und TP womöglich wie die Plugins vielleicht nur noch im Kompatibilitätsmodus. Und um das ganze noch viel Schlimmer zu malen, alle Ultra-Loxone Häuser die an alle Taster sternförmig CAT-leitung verlegt haben sind dann auf einmal die Helden der Elektrosanierer.
Uhh ich muss aufhören da weiter drüber nachzudenken.
----------------------------------------------------------------------------------
"Der Hauptgrund für Stress ist der tägliche Kontakt mit Idioten."
Albert Einstein
wo Du jetzt schon die Panikkeule rausholen must: Jetzt bleiben wir bei deinem Konstrukt mit dem Spital: Du hast jetzt Busszugriff und nun? Ausser Licht und Jalousie wirst Du nicht viel machen können Ok dann schaltest Du ein paar mal das Licht, und verfährst die Jalousie. Und nun? Spätestens in einer halben Stunde ist der Bus abgeschaltet, und das licht geht automatisch an... Super!
... bin kein KNX SI und kann nicht sagen was man in so einem modernen Krankenhaus so mittels KNX realisiert. Aber generell finde ich das Argument: "Na und, dann hack mich doch, bei mir kann man nichts schlimmes machen" nicht ausreichend
In öffentlichen Gebäuden macht das ggf noch Sinn damit der gewiefte KNX-Hotellbetrüger nicht mit seinem Laptop den Lichtschalter von der Wand zupft und die TP-Anlage manipuliert. Aber dafür gibt es derzeit Produkte eine Linie vor unautorisierter Veränderung zu schützen. Den zusätzlichen Schutz des eigentlich legitimierten Traffics in der TP-Anlage, ja kann man machen weil auch das könnte sich da ggf so ein böser Bub vornehmen.
Jau, evolution hat hier schon auf das MDT Sicherheitsmodul hingewiesen.
Das hat hier niemand, vielleicht liest du den Beitrag nochmal und informierst dich ein bisschen mehr über das Thema.
Glaube mich da schon ein wenig auszukennen.
Kurz zusammengefasst vertrete ich die Meinung, dass eine Verschlüsselung des Transportweges mittels Zertifikaten wie es z.b. SSL/TLS 1.2 macht, nach heutigem Stand der Technik bei korrekter Implementierung als einigermaßen "sicher" gilt und auch der KNX Bus von etwas derartigem profitieren würde. Und ich habe nichts weiter behauptet, das dies bei korrektem Design auch problemlos in der Realität integrierbar ist, wenn man nur will - ganz ohne Rocket science. Das war das einzige was ich mit dem "SSL everywhere" zum Ausdruck bringen wollte...
So und wenn man sich jetzt mal anschaut wie KNX Date Secure im Detail funktioniert, dann wird man gewisse Parallelen entdecken...
Langsam mutiert der Thread zum Einsteiger-Thema... wie schade...
Erhelle mich. Ich bin der Meinung sehr wohl gewisse Paralellen zu entdecken. Vertraulichkeit durch Verschlüsselung mittels symmetrischem Schlüssel. (AES 128)
Aber egal, mir ist mittlerweile schon gar nicht mehr klar wofür ich hier auf der "Anklagebank" sitze... ^^
Deshalb mal ne ein anderen Ansatz.
Denkt ihr das der Einsatz eines Sicherheitsmoduls (und gleichzeitigem deaktivieren der "Unlock über Telegramm"- Funktion eine getrennte Linie für den Außenbereich aus Security-Sicht überflüssig macht?
Seht ihr, außer für den Fall von Limits in der Spezifikation (max. Anzahl Geräte usw.) noch andere Argumente für eine getrennte (Außen)-linie?
Seht ihr, außer für den Fall von Limits in der Spezifikation (max. Anzahl Geräte usw.) noch andere Argumente für eine getrennte (Außen)-linie?
Motivierter Gärtner, der mit der Schaufel einen Kurzschluss auf dem Bus erzeugt
Früherer Elektriker, der in einer vergrabenen Innen Verteilerdose eine Busklemme hatte und bei jedem Lauf der Sprinkleranlage einen Kurzschluss produziert hat
Beides schon erlebt - in beiden Fällen war der Hausherr froh, dass sein Licht noch funktioniert. D.h. muss nicht immer "IT-Security" sein
Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.
Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.
Kommentar