Schön, wenn einer von außen Zugriff hat - doch was bringt's?

1. Ist die Wahrscheinlichkeit vernichtend gering, dass jemand zufällig mit einem Laptop, Schnittstelle, Software und Wissen vorbeikommt. (Was anderes ist, wenn Du z.B. eine Bank bist und es Profis explizit auf Dich abgesehen haben. Alle normalen Bewohner sind davor sicher, die müssen sich eher vor einer Brechstange schützen. Und eine Bank die per KNX angreifbar wäre hat etwas grundsätzlich verkehrt gemacht)
2. Nehmen wir mal 1. an - wie geht's dann weiter?
   Zufalls-Pakte versenden? Macht keinen Sinn...
   Installation auslesen und gezielt Pakete versenden? Viel zu aufwändig...

Ne, davor muss man sich nicht schützen. Nimm Fenster und Türen in (mindestens) WK2, das bringt deutlich mehr!

Das einzige was ein Angreifer von außen machen kann, was nerven könnte, wäre ein Kurzschluss. Damit ist dieses Bus-Segment lahm gelegt (kaputt kann dabei aber nichts gehen).
D.h. hier macht es Sinn für außen eine extra Linie zu spendieren. Das kostet nicht die Welt und ist für die Struktur auch förderlich.

Und wenn Du weiterhin Angst vor High-Tech-Angreifern hast: es gibt tatsächlich so etwas wie eine Firewall, die gezielt Pakete verhindern kann (insb. solche zum Programmieren)

Ach ja, bei all dem brauchst Du keinen HomeServer.

Danke für deine Einschätzung.

Muss mir noch überlegen ob sich trotzdem ein HS lohnt. Obwohl ich gerne auf diesen Verzichten würde, denke ich dass evtl. viele Funktionen einfacher zum Implementieren sind bzw. erst Mögliche Lösungswege damit aufgezeigt werden.

Wer Zugriff auf den Bus hat, kann dort alles machen.
KNX hat keinerlei Sicherheit direkt eingebaut.

Deswegen ist physikalische Sicherheit auf das Kabel der einzige Schutz.

Deswegen würde ich keine Installation machen wo Befehle aus niedrigeren Sicherheitsbereichen (Garten) auf Bereiche in einem höheren Sicherheitsbereich (Haus) direkt wirken können.
Z.B, nur von innen Licht aussen steuern, aber nichts von aussen direkt innen.
Wie ich das umsetz muss ich mir noch ansehen. Soweit ich das bis jetzt versteh können Linienkoppler das, schlimmstenfalls eine selbstgebaute Linux Kiste mit 2x eibd und Filterregeln dazwischen.

Eine Aussage "es findet eh keiner raus wie das Adressschema ist" scheint mir zu kurz gedacht, das lässt sich automatisiert ausprobieren.

Ich jedenfalls habe keine Lust, dass meine "Hacker" Freunde bei mir im Haus blinken lights machen.

Lothar

In der Regel ist die Wetterstation auf dem Dach. Da wird es schon lustig, dass ein Einbrecher erst mal auf das Dach steigt, um sich dann dort ganz locker in das KNX Netz zu hacken.

Da ist das viel einfacher, deine Stromversorgung oder dein Telefonkabel zu zerstören, oder sich gleich das WLAN vorzunehmen (oder das Kabel der IP Cam)

LG
Christian

Nuja, das hängt vom Dach ab...

Wenn man jedoch über das WLAN auf den Bus kommt und dann der Tür einen Oeffnungsbefehl schickt, ist es natürlich noch simpler...

Was ich sagen will, es bleibt jedem in seiner Risikoeinschätzung selber überlassen wie er sich schützen will. Mein Rat ist das einfach mal jeder für sich durchzudenken und überlegen

• wie leicht kommt man an den Bus (physikalisch, logisch, Netz, WLAN, Sniffer, Kombinationen)?
• was braucht es dazu?
• was kann man über den Bus anstellen (Verfügbarkeit, Integrität, Vertraulichkeit,...)?
• will ich das Risiko akzeptieren?
• wenn nein, was kann ich tun?

Einfach nur zu denken "das macht eh keiner" ist kein gutes Risikomanagement.

Da ich so was täglich beruflich mach für allerlei neue und alte Informationstechnologien bin ich da vll. ein wenig speziell in meiner Denkweise.

Habt Spass ...

-L

Wenn Du schon an diese Punkte denkst - dann solltest Du als erstes mal an die Innensicherheit denken, denn mehr als 90% der Schadtäter sind Innentäter. Und dann kommt noch das Social Egineering dazu.

Was ich aber nicht verstehe: Du bist neu hier im Forum und scheinst nur Zwietracht säen zu wollen....

Innentäter im Einfamilienhaus? OK, die Putzhilfe vielleicht. Aber das kann man eh nicht über technische Schutzmassnahmen abfangen und um die drehte es sich bei der Frage ja.

Hu? Echt? Hab ich eigentlich gar nicht vor!
Ich fühlte mich von dem Thema "Sicherheit KNX Installationen" angesprochen, da ich sowas beruflich mach und dasselbe für mich privat die letzten Tage durchdacht hab für mein Projekt und gebe meine Einschätzung wieder.
Wollte nicht jemanden auf den Fuss treten. Hab ich?

Im Prinzip ist die Frage doch einfach zu beantworten, wenn keiner ins Haus soll, auch versicherungstechnisch, dann müssen alle Ausgänge abgeschlosssen sein, das heißt mit dem Schlüssel abgeschlossen. Dann öffnet auch kein noch so gearteter Befehl im Bus die Haustüre.

Auf ein Motorschloß in der Haustüre sollte man dann halt verzichten.

Eine 2. Linie für den Aussenbereich mit einer gut gepflegten Weiterleitungs-Tabelle kann auch unerwünschte Telegramme verhindern.

Ein HS, der am Internet hängt ist vermutlich leichter zu Hacken.....

PS: Das Thema Sicherheit des Bus ist doch legitim und auch schon öfter hier behandelt worden, das hat doch nichts mit "...Zwietracht säen..." zu tun.

Wie macht Ihr das denn mit den KNX Bewegungsmeldern für Aussen?

Gruß

Jan

Wenn vorhanden (und nicht konventionelle Melder auf BE), dann genau wie die Wetterstation an eine seperate Außen-Linie.

Gibt auch Wetterstationen, deren Auswerteinheit mit KNX Zugang unterm Dach sitzt und nur die analogen Signale von der Station zu dieser geführt werden. Dann gibts auch keinen Zugriff auf den Bus falls der Einbrecher sich die Wetterstation als Schwachstelle ausgesucht hat

Hi,

also eine separate Außenlinie, die mit dem Innenbereich, über ein Linien-Koppler verbunden ist, wird benötigt. Wichtig hier, dass die Filterregeln wirklich nur die GAs durchlassen, die aus der Aussenlinie erfolderlich sind.

Im Koppler ist die Weiterleitung von physikalischen Adressen auszuschalten. Dies ist die Kommunikation zum Programmieren über den BUS. Damit ist ein Programmieren über den Linienkoppler hinweg in der Innenlinie nicht mehr möglich. Natürlich auch nicht mehr von der Innenlinie in der Aussenlinien, klar oder ?

Damit der Linienkoppler aber nicht selbst umprogrammiert wird, ist in der Aussenlinie ein KNXGuard nötig. Der muß natürlich so verbaut werden, dass er nicht abgezogen werden kann. Nur damit ist sichergestellt, dass innerhalb der Aussenlinie selbst nicht programmiert werden kann. Also damit auch der Linienkoppler!

Bleibt noch ein Logischer Angriff über die GAs, hier sollten alle Logiken auf Sicherheit geprüft sein, z.B. "wenn Aussen-Temperatur > 30 C Dann mache alle Fenster auf", geht natürlich nicht.

Also alle GAs, die von der Aussenlinie erlaubt sind, dürfen egal welchen Wert sie haben, zu keinem Sicherheitsrisiko führen.

Wer das alles beachtet hat, hat zumindest alles getan, was mit Standardmitteln hier machbar ist. Das zu überwinden ist nun nicht mehr trivial.

Gruß Tbi

Ok... sehe ich ein. GAs filtern kann dann aber jeder Linienkoppler, oder muss ich da jetzt noch auf dies oder das achten?

Welchen würdest du denn empfehlen?

Gruß

Jan

Hi tbi,

danke für die gute Zusammenfassung.

Weiss jemand, was dieser KNXGuard konkret tut? Wie underbindet er die Programmierung an einem Bus? Antwortet er einfach schneller auf Programmiertelegramme als normale BCU und kollidiert somit mit denen?

Was ist mit den BCU Passwörtern, die man setzen kann, wie ich gerade gelesen habe?

-gramels