Ankündigung

Einklappen
Keine Ankündigung bisher.

IP Gateway im LAN/WLAN schützen

Einklappen
X
Einklappen
 
  • Seite von 1
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge
Vorherige template Weiter
    #1

    IP Gateway im LAN/WLAN schützen

    Moin,
    es wird ja heiß zum Thema KNX Security diskutiert, ich möchte mich mal auf den wohl realistisch heikelsten Punkt beschränken: Das IP Gateway im LAN/WLAN.
    Bei mir ist ein BeagleBoneBlack per Debian/KNXD der IP-Gateway und wird somit direkt von der Visu per Ethernet angesprochen.

    Wie schützt ihr das denn im lokalen Netz? Der völlig freie Zugriff auf den KNXD stört mich.
    Nutzt ihr VLANs? Hat jemand pragmatische Ideen, nicht überkomplex oder over-engineered?

    Besten Dank!
    Stichworte: -
    • Likes 1
    #2
    Gegenfrage: Welche Bedrohungen hast Du denn bei Dir im lokalen Netz, die Du gerne vom IP-Gateway fernhalten möchtest?

    Kommentar

      #3
      Ich vermute ...

      Wenn er nur LAN hätte, ohne Internet und Zugang von Außen, zu 99,99% keine, aber ...

      LAN + Internet … theoretisch sind alle möglichen Bedrohung möglich
      WLAN mit oder ohne Internet … wie oben bzw. ohne durch „leichterer“ Hack ins LAN/WLAN

      Es kommt halt darauf an ob das einer Person egal ist oder nicht sein LAN/WLAN ohne Gegenmassnahmen zu betreiben - das ist halt subjektiv … manche verschlüsseln sein WLAN gar nicht ...

      Und wenn jemand aus seiner subjektiven Sicht eine Schwachstelle beim KNXnet/IP-Gateway sieht (berechtigt oder auch nicht) bzw. diese entschärfen möchte, dann ist das doch OK wenn er sich dazu Gedanken macht und sich austauschen möchte ...

      Danke und LG, Dariusz
      GIRA | ENERTEX | MDT | MEANWELL | 24VDC LED | iBEMI | EDOMI | ETS5 | DS214+ | KNX/RS232-GW-ROTEL
      • Likes 1

      Kommentar

        #4
        Da Sicherheit bei smart homes heiß diskutiert wird, und jeder Journalist eine riesen Freude daran hat, darauf hinzuweisen, wie unheimlich unsicher die Bussysteme heutzutage sind, ist eigentlich die Konnex gefragt, bei der Sicherheitsfrage aktiv zu werden. Den Meisten ist es egal, wenn der böse Hacker das Licht schaltet, kritisch wird es bei elektrisch betätigte Türen. Der unbedarfte Journalist kennt sich nicht aus und schreibt, was seine Phantasie hergibt, und da jeder heutzutage im Internet ist, ist die Gefahr nicht von der Hand zu weisen!
        if you make something idiot-proof, they start making better idiots......
        KNX:3 Linien,121 Teiln.,Siemens N146 und N350E,RasPi mit SV,8 FBH-Kreise mit Siemens HK-Regler,HS4, Haus ohne öffentl. Wasser-/Stromversorg.,PV-Anlage Wechselrichter:SI5048(8kW, 24 Pufferbatterien 1400Ah),PV-Module mit 7,5kWp

        Kommentar

          #5
          Kurze Gegenfrage, was sollen bitte VLANs etc. bringen? Der Zugriff darauf wird doch trotzdem benötigt.

          Du könntest, da es sich ja um ein Linux Gateway handelt, folgendes tun.
          * Zugriff mittels iptables auf IP Adressen begrenzen.
          * Zugriff mittels ebtables auf MAC Adressen begrenzen
          * auf dem Debian suricata oder snort installieren
          Nils

          aktuelle Bausteine:
          BusAufsicht - ServiceCheck - Pushover - HS-Insight
          • Likes 1

          Kommentar

            #6
            dachte darüber nach den IP gateway und visu Rechner per vlan vom Rest des Netzes zu separieren.
            ​​​​​​
            aber
            - ETS Zugriff per WLAN direkt auf den IP Gateway/knxd
            - influxdb/grafana system wird vom IP gateway befüllt

            Weiss nicht ob man das noch sinnvoll mit vlans abbilden kann?

            vielleicht ist iptables wirklich das pragmatischste. Sollte jemand bewusst versuchen auf den knxd zu kommen, hilft mir das zwar nichts aber dann habe ich eh ein anderes Problem.

            ​​​​​​fokussiert auf das IP gateway, wie sichert ihr es bzw. mit welchen Gründen tut ihr es denn nicht?

            ​​​​​​

            Kommentar

              #7
              Zitat von hotzen Beitrag anzeigen
              dachte darüber nach den IP gateway und visu Rechner per vlan vom Rest des Netzes zu separieren.
              ​​​​​​
              Dein VIsu Rechner braucht kein Internet?
              Du willst also einen frei zugänglichen Rechner mit Internet in das geschützte VLAN bringen...

              ETS Zugriff per WLAN direkt auf den IP Gateway/knxd
              Mit Tunneling wäre das in einem anderen Netz jetzt nicht so das Problem, eher bei Multicast

              influxdb/grafana system wird vom IP gateway befüllt
              Was nutzt du da als Firewall?

              .... mit welchen Gründen tut ihr es denn nicht?
              Du musst halt (wie auch in dem etwas ausgearteten KNX Security Thread benannt) die Sicherheits relevanten Dinge vom Bus lassen. Dann ist die Angriffsfläche durchaus überschaubar. Aus dem Internet direkt (ist klar) sollte der knxd nicht erreichbar sein. Wenn jemand es bei dir bis in ein internes Netz geschafft hat, gibt es dort sicher viel interessantere Ziele als den knxd.
              Nils

              aktuelle Bausteine:
              BusAufsicht - ServiceCheck - Pushover - HS-Insight

              Kommentar

                #8
                Ich hab meine KNX Router in einem eigenen VLAN hängen ...
                da meine VISU aber im Server-VLAN hängt, musste ich Multicast-Routing aktivieren, damit diese miteinander sprechen können...

                Kommentar

                  #9
                  Hmmm, naja. .. Geräte die man evtl nicht updated und die auch von jedem im Haus genutzt werden können würde ich ganz sicher nicht in ein gesichertes Server-VLAN setzen. Dann dort auch noch Löcher zu bohren damit da Multicast durch geht .... dann doch lieber eher ganichts
                  Nils

                  aktuelle Bausteine:
                  BusAufsicht - ServiceCheck - Pushover - HS-Insight

                  Kommentar

                    #10
                    naja, multicast natürlich nur von bestimmten geräten! nicht generell! Firewalls haben ja auch eine Aufgabe!

                    Kommentar

                      #11
                      Ich schütze mein IP-Gateway im lokalen Netz, indem ich von Außen keine Zugriffe zulase und intern die Gäste nur in ein separates Gäste WLAN lasse.

                      Kommentar

                      Vorherige template Weiter
                      Lädt...
                      X

                      Wir verarbeiten personenbezogene Daten über die Nutzer unserer Website mithilfe von Cookies und anderen Technologien, um unsere Dienste bereitzustellen. Weitere Informationen findest Du in unserer Datenschutzerklärung.

                      Indem Du unten auf "ICH stimme zu" klickst, stimmst Du unserer Datenschutzerklärung und unseren persönlichen Datenverarbeitungs- und Cookie-Praktiken zu, wie darin beschrieben. Du erkennst außerdem an, dass dieses Forum möglicherweise außerhalb Deines Landes gehostet wird und bist damit einverstanden, dass Deine Daten in dem Land, in dem dieses Forum gehostet wird, gesammelt, gespeichert und verarbeitet werden.

                      Ich stimme zu