Ankündigung

Einklappen
Keine Ankündigung bisher.

Objekt mit 12 Linien & >300 Geräten angegriffen; 70% der Geräte kaputtprogrammiert

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

    Ok, ich brauche professionelle Hilfe!

    Fragen:
    Wie erkenne ich ob meine KNX Installation angreifbar ist?
    Was muss ich tun um Sie zu schützen? Ich möchte trotzdem von "Außen" programmieren können (bin viel unterwegs)

    Bitte PN an mich!

    Kommentar


      Zitat von Burgerking Beitrag anzeigen
      Wie erkenne ich ob meine KNX Installation angreifbar ist?
      In dem du deine öffentliche IP und etwalige DNS Einträge in einer Suchmaschine z.B. "shodan io" eingibst. Dann siehst du die offenen Ports.
      um tiefere Angriffe zu vermeiden am besten eine Firewall etc. einsetzten oder zum Fachmann.

      Zitat von Burgerking Beitrag anzeigen
      Ich möchte trotzdem von "Außen" programmieren können
      VPN Server oder ISE / Gira Gateway etc.

      Kommentar


        Durch Ändern des virtuellen Switches in Hyper-V auf "extern" so dass sich Ubuntu direkt mit dem LAN verbinden kann statt über eine virtuelle 172er Adresse konnte ich jetzt das Test-IP-Interface auslesen, den Busmonitor und scan des z.Z. angeschlossenen UP-Aktors machen aber der brute-Befehl scheitert mit irgendeinem exception call back Fehler
        Angehängte Dateien
        Zuletzt geändert von Opfer 1; 21.10.2021, 09:55.

        Kommentar


          Zitat von Chris1009 Beitrag anzeigen

          In dem du deine öffentliche IP und etwalige DNS Einträge in einer Suchmaschine z.B. "shodan io" eingibst. Dann siehst du die offenen Ports.
          um tiefere Angriffe zu vermeiden am besten eine Firewall etc. einsetzten oder zum Fachmann.
          Danke Chris!
          Wenn der 3671 dort nicht auftauch ist es ok?
          Wenn dort andere Ports auftauchen, heisst das, dass ich zwangsweise noch kein Problem habe, wenn dahinter z.b. Passwortschutz ist?

          lg Christian

          Kommentar


            Zitat von Burgerking Beitrag anzeigen
            Wenn der 3671 dort nicht auftauch ist es ok?
            Natürlich nicht. Heißt nur, dass dein möglicherweise offener Port nicht gefunden wird. Ob deine Anlage sicher ist, siehst du alleine in deinem Router.
            Gruß Matthias
            EIB übersetzt meine Frau mit "Ehepaar Ist Beschäftigt"
            - PN nur für PERSÖNLICHES!

            Kommentar


              Gib mal da deine öffentliche Ip ein:
              https://www.itexperst.at/online-portscanner-nmap

              Bei mir kommt das:

              Offene Ports / Open Ports
              443 Port "HTTPS" ist offen / is open.
              Geschlossene Ports / Closed Ports
              20 Port "FTP-DATA" ist geschlossen / is closed.
              21 Port "FTP" ist geschlossen / is closed.
              22 Port "SSH" ist geschlossen / is closed.
              23 Port "TELNET" ist geschlossen / is closed.
              25 Port "SMTP" ist geschlossen / is closed.
              37 Port "TIME" ist geschlossen / is closed.
              53 Port "DOMAIN" ist geschlossen / is closed.
              68 Port "DHCPC" ist geschlossen / is closed.
              69 Port "TFTP" ist geschlossen / is closed.
              79 Port "FINGER" ist geschlossen / is closed.
              80 Port "HTTP" ist geschlossen / is closed.
              110 Port "POP3" ist geschlossen / is closed.
              115 Port "SFTP" ist geschlossen / is closed.
              123 Port "NTP" ist geschlossen / is closed.
              135 Port "MSRPC" ist geschlossen / is closed.
              137 Port "NETBIOS-NS" ist geschlossen / is closed.
              138 Port "NETBIOS-DGM" ist geschlossen / is closed.
              139 Port "NETBIOS-SSN" ist geschlossen / is closed.
              143 Port "IMAP" ist geschlossen / is closed.
              161 Port "SNMP" ist geschlossen / is closed.
              194 Port "IRC" ist geschlossen / is closed.
              389 Port "LDAP" ist geschlossen / is closed.
              445 Port "MICROSOFT-DS" ist geschlossen / is closed.
              465 Port "SMTPS" ist geschlossen / is closed.
              631 Port "IPP" ist geschlossen / is closed.
              994 Port "IRCS" ist geschlossen / is closed.
              995 Port "POP3S" ist geschlossen / is closed.
              1433 Port "MS-SQL-S" ist geschlossen / is closed.
              1723 Port "PPTP" ist geschlossen / is closed.
              3306 Port "MYSQL" ist geschlossen / is closed.
              3389 Port "MS-WBT-SERVER" ist geschlossen / is closed.
              5632 Port "PCANYWHERESTAT" ist geschlossen / is closed.
              5900 Port "VNC" ist geschlossen / is closed.
              6112 Port "DTSPC" ist geschlossen / is closed.
              8080 Port "HTTP-PROXY" ist geschlossen / is closed.
              Unter IOptionen mal den 3671 eingaben:

              Geschlossene Ports / Closed Ports
              3671 Port "EFCP" ist geschlossen / is closed.
              Gruß Matthias
              EIB übersetzt meine Frau mit "Ehepaar Ist Beschäftigt"
              - PN nur für PERSÖNLICHES!

              Kommentar


                Habe an einem UP-Aktor, einem 2f.-REG-Aktor und einem Präsenzmelder den brute-Befehl probiert aber entweder kommt die Fehlermeldung oder, meistens, nach einer Sekunde kommt einfach wieder die Befehlszeile als hätte er irgendwas gemacht und ist fertig, gibt aber keine Rückmeldung. Passwort ist natürlich auch ned raus.

                Kommentar


                  Die Suchmaschine ist auch nicht 100% aktuell. Wenn Du eine dynamische IP hast, bedeutet das u.U nur, das derjenige der die IP zu dem Zeitpunkt hatte, kein KNX hat, oder kein Portforwarding hatte.

                  Kommentar


                    Mit den ACPI-Befehlen habe ich auch rumgespielt aber bringt ja nichts ohne den key.

                    Der Schei*kerl von einem Verbrecher hat vlt. die Präsentation gesehen: https://www.blackhat.com/docs/us-17/...ight-Speed.pdf

                    Kommentar


                      @vento:
                      Ich habe eine dynamische statische IP
                      Der Provider sagt, das sie dynamisch ist oder werden kann. Ich habe meine aber seit 2 Jahren.
                      shodan.io liefert keinen 3671 aber die anderen ports sind schlüssig...

                      Danke und lg
                      Zuletzt geändert von Burgerking; 21.10.2021, 11:00.

                      Kommentar


                        Zitat von MatthiasS Beitrag anzeigen
                        Gib mal da deine öffentliche Ip ein:
                        https://www.itexperst.at/online-portscanner-nmap

                        Bei mir kommt das:

                        Unter IOptionen mal den 3671 eingaben:
                        Offene Ports / Open Ports
                        22 Port "SSH" ist offen / is open.
                        443 Port "HTTPS" ist offen / is open.
                        Geschlossene Ports / Closed Ports
                        3671 Port "EFCP" ist geschlossen / is closed.
                        Also, Alles gut?

                        Danke für die Hilfe!

                        Kommentar


                          Opfer 1
                          Um das Ganze mal strutkuriert zu bekommen.
                          Ist bei allen KNX Geräten ein Schlüssel gesetzt?
                          Wenn nicht, bei welchem kommt die Fehlermeldung, mit welchem Aufruf.

                          Wenn man im Bugtracker schaut haben andere scheinbar auch ein paar Probleme mit neueren Pythonversionen als 3.4.
                          Versuch es mal mit der Version 3.4

                          Kommentar


                            Zitat von Burgerking Beitrag anzeigen
                            Was muss ich tun um Sie zu schützen? Ich möchte trotzdem von "Außen" programmieren können (bin viel unterwegs)
                            Wieso eine PN? Das kann man - zumindest im Grundsatz - auch öffentlich erwähnen.

                            Am Router keinerlei Portweiterleitungen einrichten, bis auf, gegebenenfalls, eine Ausnahme.

                            Hat der vorh. Router eine ordentliche VPN-Funktion, dann wird diese eingerichtet u. keine Portweiterleitungen.

                            Fritzboxen & Co. - hier einen VPN-Server im Netz installieren (OpenVPN, Wireguard) und für diesen wird eine Portweiterleitung eingerichtet.

                            Entweder fixe IPv4 vorhanden oder eben einen DynDNS-Dienst einrichten - Zugriffe von außen dann ausschliesslich per VPN.

                            Man könnte nun das interne Netzwerk natürlich auch noch in VLANs separieren, evtl. Dienste in ein DMZ stecken usw. - aber das geht wohl für das Eigenheim eher zu weit u. auch ins Geld.
                            Zuletzt geändert von GLT; 21.10.2021, 10:47.
                            Gruss
                            GLT

                            Kommentar


                              Ok, verstanden.
                              Ein VPN Server ist in meiner Fritzbox4040 integriert (sie liegt aber hinter einem Huawai GF Modem in einer DMZ). Ebenso in meinem Synology NAS.
                              Beide können aber von Außen nicht erreicht werden. Weder über PPTP oder L2TP noch OPenVPN.
                              Keine Ahnung wieso...

                              Kommentar


                                Versuche mal rauszufinden welche Python-Version im aktuellen Ubuntu integriert ist und wie ich die ändere.

                                Bei einem Taster ohne Passwort passiert auch nichts.

                                Auch eine Präsentation über's Hacken von Gebäudesystemen: https://conference.hitb.org/hitbsecc...20Networks.pdf da wird ein Programm namens Calimero Project (http://github.com/calimero-project) benutzt und wie einer in nem Hotel hockt und sich Zugriff auf das Gebäude verschafft. Auf Folie 65 steht was von brute-force cracking authentication key aber nicht, wie. Logischerweise 😶

                                Habe mal bei der Firma LimesSecurity von der ersten Präsentation angerufen. Eine Person die die Präsentation miterstellt hat will sich später bei mir melden. Vielleicht haben die noch Ideen.

                                Der Scan des nicht geschützten Tasters ist Adresse 2.0.99, den Hersteller ausgeblendet, ist ja mal egal, und das Auslesen des geschützten UP-Aktors Adresse 1.0.25
                                Angehängte Dateien
                                Zuletzt geändert von Opfer 1; 21.10.2021, 11:10.

                                Kommentar

                                Lädt...
                                X