Ankündigung

Einklappen
Keine Ankündigung bisher.

IP-Router MDT SCN-IP100.03

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • derneugierige
    antwortet
    Zitat von kbabioch Beitrag anzeigen
    Gerade die IP Ebene kann man aber mit anderen Mitteln viel besser absichern (z.B. VPN / VLANs 802.1X, usw.). Dann ist es im Prinzip völlig egal, was darüber ausgetauscht wird, wenn es auf IP Ebene verschlüsselt ist und nur berechtigte Geräte Zugang erhalten. Du könntest z.B. über ein dediziertes Netz für die Gebäudeleittechnik nachdenken, etc.
    Guter Hinweis!

    Siehe z.B. hier.
    Ahja, das Calimero-Projekt. Das hatte ich bewusst ignoriert, weil ich eine gewisse Abneigung zu Java habe...

    Auch für knxd gibt es Überlegungen KNX Secure zu implementieren, siehe z.B. robertguetzkow[/B][/B]

    robertguetzkow

    robertguetzkow

    knxd/knxd/issues/418"]hier[/URL].
    [/quote]
    Ja. Allerdings ist das ein wenig eingeschlafen, weil @robertguetzkow wohl doch ein anderes Thema für seine Diplomarbeit bekommen hat..

    Einen Kommentar schreiben:


  • kbabioch
    antwortet
    Zitat von derneugierige Beitrag anzeigen
    Naja, wir reden hier ja über die IP-Ebene. Und da ist man dann gleich bei potentiellen Löchern in (WLAN?)Router usw/usf. Insofern tue ich mir noch schwer, das zu deaktivieren. Schlechter als Klartext wird es wohl kaum sein, selbst wenn es altbacken ist.
    Gerade die IP Ebene kann man aber mit anderen Mitteln viel besser absichern (z.B. VPN / VLANs 802.1X, usw.). Dann ist es im Prinzip völlig egal, was darüber ausgetauscht wird, wenn es auf IP Ebene verschlüsselt ist und nur berechtigte Geräte Zugang erhalten. Du könntest z.B. über ein dediziertes Netz für die Gebäudeleittechnik nachdenken, etc. Es einfach in dein Heimnetz zu packen ist an sich schon problematisch - zumindest wenn dir die IT Sicherheit wichtig ist. In der Praxis im Einfamilienhaus spielt das alles aber vermutlich kaum eine Rolle. Gute Praxis ist es trotzdem nicht :-).

    Wo KNX Security im Prinzip schön wäre (und es aktuell keine guten Schutzmechanismen gibt), wäre eher auf Ebene der "grünen Datenleitung" (TP) bzw. bei RF. Aktuell ist es halt möglich, dass jemand mit Zugang zum Datenbus (z.B. eben in Hotelumgebungen, usw.) oder mit etwas SDR Equipment Telegramme mitschneidet / manipuliert / versendet. Der einzige Schutz wäre aktuell die Segmentierung in viele Linien mit vielen Kopplern und entsprechenden Filtertabellen, usw. Hier wäre Verschlüsselung / Authentifizierung ein echter Mehrwert.

    Zitat von derneugierige Beitrag anzeigen
    Hmm, hast Du da vielleicht einen Hinweis?
    Siehe z.B. hier. Soll aber nur ein Beispiel sein, ich bin mit dem Projekt weder verwandt noch benutze ich es, etc.

    Auch für knxd gibt es Überlegungen KNX Secure zu implementieren, siehe z.B. hier.

    Einen Kommentar schreiben:


  • derneugierige
    antwortet
    Zitat von kbabioch Beitrag anzeigen
    Bzgl. der Frage wo das Ganze definiert ist:
    ISO 22510:2019
    Danke! Werde mir das mal anschauen...

    Insgesamt ist es aber aus kryptografischer Sicht aber altbacken mit alten kryptografischen Primitiven, usw. Natürlich bietet es Schutz vor einigen Angriffszenarien, aber in der Praxis ist es fragwürdig, ob man das wirklich will/braucht. Vor allem im EFH. Bei Hotels mit Zugang zu KNX Leitungen durch Fremde mag es wieder anders aussehen, aber man handelt sich hier viele Fehlerquellen/Komplexität ein, und der Mehrwert in der Praxis hält sich stark in Grenzen, vor allem wenn nicht alle Geräte KNX Secure fähig sind.
    Naja, wir reden hier ja über die IP-Ebene. Und da ist man dann gleich bei potentiellen Löchern in (WLAN?)Router usw/usf. Insofern tue ich mir noch schwer, das zu deaktivieren. Schlechter als Klartext wird es wohl kaum sein, selbst wenn es altbacken ist.

    Ob FHEM das kann, keine Ahnung.
    Nein, FHEM kann das (noch?) nicht.

    aber es gibt durchaus schon Open Source Implementierungen, die das beherrschen.
    Hmm, hast Du da vielleicht einen Hinweis?

    Einen Kommentar schreiben:


  • derneugierige
    antwortet
    Zitat von scw2wi Beitrag anzeigen
    Hättest du dir wirklich erwartet, dass der MDT-Support ein Problem lösen kann, dass mit MDT überhaupt nichts zu tun hat?
    Das nicht.

    Allerdings hätte ich gehofft, dass der Support nicht schon nach DHCP versus Statische IP mit seinem Latein am Ende ist. Schon die Frage "haben Sie vielleicht KNX IP Secure aktiv?" hätte mich auf die richtige Spur gesetzt. Diese Stichworte hätte ich dann schon an Tante Gockel verfüttern können.

    Fairerweise muss man aber sagen, dass ähnliches auch bei vielen anderen Firmen zu beobachten ist: nach dem Dreisatz DHCP/DNS/Browsercache weiss man nicht mehr weiter...

    Einen Kommentar schreiben:


  • derneugierige
    antwortet
    Zitat von scw2wi Beitrag anzeigen
    Ich halte das gar nicht für so leicht, den Titel immer von Anfang an passend zu wählen,
    vor allem dann, wenn es um ein Problem geht, und man die Ursache noch gar nicht kennt.
    Am besten wäre es dann wohl, das Problem in Stichworten möglichst gut zu beschreiben.
    Eben...

    Hier in diesem Fall geht es ja darum, wie man mit FHEM verschlüsselt kommunizieren kann,
    oder hab' ich das falsch verstanden?
    Im Grunde ja. Zu dem Zeitpunkt an dem ich den Thread eröffnete wusste ich das aber nicht.

    Einen Kommentar schreiben:


  • kbabioch
    antwortet
    Ich bin mir nicht sicher, ob man erwarten kann/soll/darf, dass der Support kunden Mitschnitte dekodiert. Klar, hätte man auch ohne darauf kommen können bzw. rückfragen müssen, ob und sie KNX Secure eingestellt isr, usw.

    Bzgl. der Frage wo das Ganze definiert ist:
    ISO 22510:2019

    Der Zugang kostet aber Geld. Insgesamt ist es aber aus kryptografischer Sicht aber altbacken mit alten kryptografischen Primitiven, usw. Natürlich bietet es Schutz vor einigen Angriffszenarien, aber in der Praxis ist es fragwürdig, ob man das wirklich will/braucht. Vor allem im EFH. Bei Hotels mit Zugang zu KNX Leitungen durch Fremde mag es wieder anders aussehen, aber man handelt sich hier viele Fehlerquellen/Komplexität ein, und der Mehrwert in der Praxis hält sich stark in Grenzen, vor allem wenn nicht alle Geräte KNX Secure fähig sind.

    Ob FHEM das kann, keine Ahnung. Vermutlich nicht, aber es gibt durchaus schon Open Source Implementierungen, die das beherrschen.

    Mit freundlichen Grüßen,
    Karol Babioch

    Einen Kommentar schreiben:


  • tobiasr
    antwortet
    Wenn er an den MDT Support quasi die gleichen Infos gesendet hat wie an uns, hätte dort kommen müssen: "Wir haben die Pakete mal in unseren Paketanalysator gestopft" und der sagt "Verschlüsselt!". Bitte stellen Sie sicher, dass ihre Software Verschlüsselung unterstützt oder deaktivieren sie KNX Secure.

    Einen Kommentar schreiben:


  • scw2wi
    antwortet
    Zitat von derneugierige Beitrag anzeigen
    der MDT-Support wusste es leider auch nicht besser als ich...
    Hättest du dir wirklich erwartet, dass der MDT-Support ein Problem lösen kann, dass mit MDT überhaupt nichts zu tun hat?
    Mich hätte das jetzt echt überrascht.

    Walter

    Einen Kommentar schreiben:


  • scw2wi
    antwortet
    Zitat von derneugierige Beitrag anzeigen
    Das Titel-Feld ist ausgegraut.
    Das ist bei meinen Threads genauso, vermutlich kann den Titel nur ein Admin ändern.

    Ich halte das gar nicht für so leicht, den Titel immer von Anfang an passend zu wählen,
    vor allem dann, wenn es um ein Problem geht, und man die Ursache noch gar nicht kennt.
    Am besten wäre es dann wohl, das Problem in Stichworten möglichst gut zu beschreiben.

    Hier in diesem Fall geht es ja darum, wie man mit FHEM verschlüsselt kommunizieren kann,
    oder hab' ich das falsch verstanden?

    Walter

    Einen Kommentar schreiben:


  • derneugierige
    antwortet
    Zitat von hjk Beitrag anzeigen
    Wenn du den ersten Beitrag bearbeitest, sollte eine Titeländerung möglich sein.
    Habe es gerade eben versucht: da kann ich vor den Titel zwar einen Prefix setzen, aber nicht den Titel selbst ändern. Das Titel-Feld ist ausgegraut.

    Der Titel ist in der Tat unpassend und sollte geändert werden.
    Naja, das liegt wohl im Auge des Betrachters.

    Natürlich hätte ich mit dem jetzigen Wissen einen anderen Titel gewählt. Hinterher weiss man es eben immer besser...

    Zu meiner Verteidigung muss ich aber sagen: der MDT-Support wusste es leider auch nicht besser als ich...

    Einen Kommentar schreiben:


  • hjk
    antwortet
    Wenn du den ersten Beitrag bearbeitest, sollte eine Titeländerung möglich sein.
    Der Titel ist in der Tat unpassend und sollte geändert werden.

    Einen Kommentar schreiben:


  • derneugierige
    antwortet
    gbglace:

    Die Frage war, wie man den Router umkonfigurieren kann.

    Wo bitte wurde geschrieben, dass der Router irgendetwas nicht beherrschen soll? Wenn Du schon stänkern möchtest, dann doch wenigstens nicht mit Argumenten die an den Haaren herbeigezogen sind...

    Das Bastelsystem darfst Du gerne ignorieren. Niemand zwingt Dich, es zu verwenden.

    Und Deine .sig könntest Du bei Gelegenheit auch mal selbst beherzigen... Bevor Du DIch eingeklinkt hast ging es in diesem Thread vollkommen stressfrei zu.

    PS: Wie ändert man den Titel? Finde kein Eingabefeld um diesen zu ändern.

    Einen Kommentar schreiben:


  • gbglace
    antwortet
    Kann da mal wer den Titel des Threads anpassen? Hier geht es doch nur darum wie man den Bastelsystem KNX-Secure beibringt und nicht das der MDT Router irgendetwas nicht beherrscht?

    Einen Kommentar schreiben:


  • Klaus Gütter
    antwortet
    Zitat von jayem0 Beitrag anzeigen
    Ist bei Wireshark standardmäßig ein / der (?) KNX-Dissector installiert
    Ja; ich kann jetzt allerdings nicht auswendig die Wireshark-Version sagen, seit der das so ist.
    Wenn er nur unverschlüsselte anzeigt, ist das jedenfalls nicht die aktuelle Version.

    Einen Kommentar schreiben:


  • derneugierige
    antwortet
    Zitat von jayem0 Beitrag anzeigen
    Blöde Frage: Ist bei Wireshark standardmäßig ein / der (?) KNX-Dissector installiert oder muss der TE den ggfs. nachinstallieren?
    Unverschlüsselte KNX-Telegramme zeigt er ja an. Daraus hätte ich jetzt schlussgefolgert, dass Wireshark das grundsätzlich kann...

    Wo findet man denn Informationen, wie die Pakete von KNX IP Secure aufgebaut sind?

    BTW: Kann eigentlich knxd mit KNX IP Secure umgehen?

    Einen Kommentar schreiben:

Lädt...
X