Du liest die über Links bereitgestellten APB´s aber auch nicht, oder?
Da steht doch alles drin, was du für die Parametrierung der Siemens-Geräte benötigst?

Hallo

Ihr redet immer von den Ports 50000, 50001, 50002

Wenn ich aber eine Siemens Schnittstelle benutze läuft das ganze doch über EIBnet oder und nicht über EIBlib

welche Einstellungen muß ich hier verwenden

noch ein tip, um die fehlende sicherheit bei freigeschalteten ports 50000-50002 ein wenig zu erhöhen:

es gibt im experten des hs ein freigabeobjekt, welches man dann nur kurzzeitig für den moment der programmierung freischalten kann.

dann sollten auch die offenen ports nicht mehr stören, denn der hs blockt die programmierversuche gleich ab.

ciao
tilo

Sagen wir mal sorum, würdest du die Türe bei dir im Haus auch nicht absperren ?

Fakt ist, dass es ohne Probleme möglich ist ggf. Anlagen platt zu machen.

Klar mit der ETS 3 oder ETS 2 sind die Möglichkeiten einfach gegeben.

Es gibt das Makro alle Geräte entladen, oder über die ETS selbst.

Klar wer will schon, aber die Möglichkeiten bestehen und mir persönlich wäre es zu "gefährlich" Kundenanlagen offen bzw. über Standardports anzusprechen.

Der beste Weg in Anlagen geht eh über einen Tunnel dann gibbet diese Probleme erstmal net so schnell.

Ich versuchs mal trotzdem
Aktuell sind zig Millionen Rechner in DE unter der Kontrolle von Viren/Würmern/Bots. Ich sehe in dieser Minute alleine 37 laufende Portscans und 150 Wurm/Botnet-Pakete PRO Sekunde! Das ist Fakt, daher fühle ich doch eher eine Unterbewertung des Themas Security..
Auch in Bezug auf den HS, ich hab noch kaum einen fragen sehen, ob es evtl. gefährlich sein könnte und man was beachten sollte wenn man den ins Internet durchschaltet. Die Antwort ist aber sicher: JA!

Auf dem LAN: Vor allem Bots installieren, Sachen unter dem Namen des Users verschicken, was nunmal strafrechtliche Konsequenzen haben kann und auch schon hatte. Das ist zwar eine abstrake Gefahr aber trotzdem latent vorhanden.
Ausserdem den PC und/oder Internetzugang lahmlegen, ich denke wir sprechen hier ja nicht nur von privaten Systemen sondern auch Sachen wo teilw. dann wirtschaftlicher Schaden entsteht..

Auf dem EIB: irgendein UDP-Packerl kann z.B. das Gateway "aus versehen" lahmlegen oder zu unerklärlichen Phänomen führen. Ich konstruiere mal was: der HS oder das GW interpretiert das eigentlich an den letzten eMule-Client auf der IP gerichtete UDP-Packerl falsch und schaltet die Heizung volle Pulle. Nicht wirklich, schlimm aber komisch und vermeidbar.
Viel schlimmer aber ein gezielter Angriff: Jemand der anderem was böses will kann ganz leicht dessen IP herausfinden und diesen zumindest ganz stark ärgern wenn nicht schädigen. Und derjenige kann durchaus auch die ETS haben, warum nicht ?
Ich will ja nicht übertreiben, aber ein bisschen Vorsicht kann nicht schaden, vor allem wenns ums iETS eght, wo schon wirklich was passieren kann..

Und diese Angriffe gibt es, nur spricht man als betroffener selten drüber..

Michael

meine 5 cent:

Diese ganzen Sicherheitsaspekte werden, insbesondere in Verbindung mit KNX/EIB, meiner meinung nach zu hoch bewertet.

Was will der potenzielle angreifer schon im LAN bzw. auf dem KNX ausrichten - noch dazu ohne ETS.

Aber das ist meine Meinung die niemand teilen muss.

ei ei ei..
Ist zwar ein anderes Thema, das könnte einer der Gründe sein warum mir eine reine OSS-Lösung hier viel lieber wäre.. Nur gibts die halt scheinbar nicht (mh zwar "nett" aber weit entfernt vom HS), daher heissts dann hier eben auch abschotten, weil ich natürlich auch von aussen drauf will..
Ich denke da an Reverse-Proxy oder simples IDS/IPS mit einer Inspection des HTTP-Verkehrs, dafür brauch ich aber erstmal den HS..

Michael

Nein, auf dem HS läuft kein Apache, die Software die auf Port 80 antwortet ist ein Pyhtonprozess. Besonders gehärtet ist beim HS auch nichts, das ist ein Kernel 2.4.3 und gut ist.

EIB Frenwartung und Security

Jetzt muss ich mal grundlegend nachtreten , weil ich meine im Bereich Internet und Firewalls soviel zu verstehen wie die meisten hier von EIB..

Kern der Sache: so wie ich das sehe, werden hier im Forum die Sachen doch für gewöhnlich "richtig" gemacht. Man verwendet EIB und nicht EL*, beachtet gängige Vorschriften und Standards usw.
Wenn ich dann aber die - sorry - Grütze von D-Link,Netgear usw. lese dreht sich mir der Magen um. Das sind Billigst-Soho-Geräte und die Bedienung unterliegt nach meinem Eindruck zumindest manchmal eher dem Faktor Versuch&Irrtum als Wissen.
Es werden ohne weiteres 500.- EUR für ein IP-GW gezahlt, aber der Router soll 50.- kosten .. Da passt was nicht zusammen..

Ein IP-Filter wäre nur das absolute minimum, wenns um die EIB-Programmierung geht sehe ich eigentlich nur eine saubere Lösung und das ist ein VPN mit Authentisierung drüberlegen.
Es sollte damit sichergestellt sein, dass 1. nur authorisierte Personen überhaupt darauf zugreifen können und 2. die beteiligten Gateways von aussen garnicht ohne weiteres erreichbar sind.

Wie man das realisieren kann hängt von vorhandener Infrastruktur usw. ab, Netgear und Konsorten spielen da aber jedenfalls nicht mit.
Eine Variante wäre eine Linux-Lösung, da wirds aber ein bisschen frickelig, das bietet sich nur an wenn Know-how und z.B. ein laufender Rechner schon vorhanden ist (Forum-Suche "SSH-Server"), da hat mal jemand was geschrieben das sich vernünftig anhörte.
Eine andere, es gibt da eine "Labor-Firmware" von AVM mit VPN für die grosse Fritzbox, kenne ich aber nicht; vermutlich zwar auch eher Soho-Niveau aber besser als "durchschalten".

Was ich machen würde ist ein Cisco-Router mit "richtiger" Firewall und VPN-Zugang.. Das ist zwar erstmal technisch nicht ganz ohne, würde aber auf dem Niveau der ansonsten eingesetzten Komponenten spielen. Die Basis-config jedenfalls könnte ich schnell stricken falls da mal jemand Interesse hat..
Das beginnt HW-technisch so bei 200.- EUR netto und was für den Einsatz-zweck angemessenes "richtiges" mit Wlan, integriertem ADSL-Modem und ISDN (877W) liegt bei 400.- EUR netto..

Grüsse

Michael

Hinweisen wollte ich primär darauf, dass die ETS mit dem IP-GW nicht über Port 80/TCP kommuniziert..

Da stimme ich schon schon zu, aber "security by obscurity" (also z.B. andere Ports verwenden) ist m.E. nur die halbe Wahrheit.
Bei einem HS lasse ich mir das noch eingehen, weil ich davon ausgehe dass da wenigstens ein halbwegs ausgehärteter Apache o.ä. läuft, aber vor Geräte wie diese Gateways gehört m.E. wenigstens ein paar Filter-Regeln die gleich nur bestimmte IP's zulassen!
Was natürlich problematisch ist mit dynamischen IPs beim zugreifenden Rechner, dann bleibt nur das aufmachen nach Bedarf..
Diese ganzen embedded-systeme, egal ob Printserver oder EIB-Gateway sind normalerweise alles andere als für das rauhe Internet ausgehärtet, wenn mal jemand nach Schwachstellen das suchen anfängt, was hier sicherlich schon alleine mangels Verbreitung niemand machen und publizieren wird. Ausser ein potentieller Angreifer..

Michael

siehe z.B. hier

Hallo,

schau mal hier.

Ich kann nur davon abraten, die Standard Ports zu verwenden.

Es gibt genügend Anlagen die über diese Ports erreichbar sind.

Ich verwende intern immer die Standardports aber nach außen gehen andere Ports..................

Muss jeder selbst wissen.............

Im Prinzip wie die Vorposter geschrieben haben: Dyndns an fast jedem gängigen Router und der Zugriff sollte kein Problem sein.
Allerdings kann ichs mir nun nicht verkeifen auf die Sicherheit hinzuweisen:
man sollte den Zugang auch entsprechend abdichten, d.h. entweder wenigstens entsprechende statische Quell-IP's für den Zugriff am Router eintragen oder nur bei Bedarf manuell "von innen" öffnen.. Sonst ist das fast genauso fahrlässig wie wenn ich ne 230V-Leitung anfassen würde

Obwohl ich bisher keine Scans auf die u.g. EIB-Ports gesehen habe
würde ich jetzt sämtliche EIB/IP-Komponenten mangels "aushärtung" nicht so einschätzen, dass sie jegliches sinnfreies, zufällig an diesen Port gesendete Paket ohne weiteres und ohne einen bestenfalls freiwilligen restart überstehen..

Nur am Router ins LAN zum EIB/IP-GW muss man dann nach meiner Kurzrecherche nicht Port 80/TCP (=http für den Homeserver) sondern UDP mit den Ports 50000, 50001, 50002 weiterleiten..

Michael

Hallo!

In der Regel ist der DSL Router in der Lage mit DYNDNS umzugehen. EIn Blick ins Handbuch schafft klarheit..
Hintergrund: Die DSL Verbindung wird mindestens 1x am Tag getrennt, dann bekommt man eine neue, zufällige IP vom Provider. Diese muss man kennen, um ins Netz zu kommen. Nun gibt es dankenswerterweise Einrichtungen wie www.dyndns.org, bei denen ein beliebiger Name
xxx.dyndns.org eingerichtet werden kann. Die Zuordnung Domain - IP wird dann auf Wunsch geändert. Dieses kann manuell, von der Dreambox oder direkt vom Router erfolgen.
Über die Eingabe xxx.dyndns.org landet man dann also auf dem heimischen (oder eben fremden..) DSL Router. Hier gibt man dann halt noch eine http Weiterleitung zum EIB Gateway an. Geschieht wie DYNDNS in der Routerkonfiguration. Empfehelnswert ist dann noch ein anderer Port, z,B. 8080 oder so....

Bei Fragen einfach fragen..


Gruß Jürgen

http://www.automation.siemens.com/et...801603_apb.pdf

http://www.automation.siemens.com/cg...*&re=&fc=279Rr